Tietosuojasta ja sen toteuttamisesta

Kaikki tietokoneen käyttäjät eivät ole kovin sinut tietotekniikan ja sen käyttämisen pelisääntöjen kanssa. On tavallista, että salasana annetaan tietokoneen käytössä opastaville tai salasanat kirjoitetaan paperilla ylimpään pöytälaatikkoon. Eikä haittaa niin kauan kun ei mitään tapahdu.  Erityista turvallisuutta vaativissa palveluissa, kuten pankkiasioissa, palvelun tuottaja auttaa osaltaan turvallisuuden ylläpitämisessä. Sille ei sitten mitään voi, jos hyväuskoisuus menee niin pitkälle, että salasanat ja turvakoodit annetaan puhelimessa niitä kysyville. Seuraavassa joitakin ohjeita, joilla tietotekniikan käytön turvallisuutta voi parantaa.

Miksi joku haluaisi tietoihisi käsiksi?

Tietomurtojen takana on monenlaisia motivaatioita. Joku haluaa taloudellista hyötyä ja keskittyy pankki- ja vastaaviin palveluihin tai satunnaisten tietokoneiden haltuunottoon ja kiristämiseen. Tietomurron yhteydessä voi huono-onniselta palvelutoimittajalta päätyä vääriin käsiin miljoonia käyttäjätunnuksia, joista roskapostittajat ja muut hämäräperäiset tahot maksavat. Yhtä hyvin voit olla täsmäkohde toisella puolella maapalloa tai seinän takana asuvalle hakkerille, joka odottaa tilaisuuttaan, oikean hetken tullen iskee ja peittää jälkensä selvittämättömiksi. Tietomurrosta tulevat seuraukset voivat tulla esiin vasta kun on myöhäistä ja selvittäminen on niin työlästä, että harmit ja tappiot jäävät kärsittäväksi. Joillekin hakkereille riittää haasteen voittaminen, tunnusten paljastaminen ja oman käyntimerkin jättäminen murrettuun palveluun tai käyttäjätiliin. Lain mukaan tietomurron yrittäminenkin on rikollista. On myös hyviksiä, jotka testaavat järjestelmiä ja ilmoittavat käyttäjille järjestelmiin liittyvistä riskeistä.

Jos pitäisi antaa yksi neuvo, olisi se ehkä: ”Älä klikkaa tuntemattomia linkkejä, ei sähköpostissa eikä Facebookissa. Älä avaa tuntemattomilta tulleita sähköposteja tai tutuilta tulleita erikoisia viestejä. Ja avaa jokainen viesti ensin esikatseluun.” Toinen neuvo voisi olla: ”Älä panikoi suotta, toimimalla harkitusti olet melko hyvässä turvassa.”

Jokaisen tulisi olla perillä siitä, mitä kaikkia palveluja käyttää, mutta myös siitä, mitä on vuosien varrella käyttänyt. Jos vuosia käyttämättä olleen ja unohtuneen palvelun tunnukset joutuvat harhateille ja sama salasana on käytössä muualla, voivat seuraukset olla arvaamattomia.

Käyttäjätunnus

Tietoturvan keskeinen elementti on salasana, mutta myös käyttäjätunnuksella on merkitystä.

Poista tarpeettomiksi käyneiden palvelujen käyttäjätunnukset. Jos ostat verkkokaupasta, johon on kirjauduttava, lopeta tili heti käytön jälkeen, ellet tiedä sitä käyttäväsi pian uudelleen. Ennen palvelun lopettamista poista tai muuta kaikki mahdollinen henkilökohtainen tieto ja vaihda salasana pitkäksi sekalaiseksi merkkijonoksi. Tunnuksen poistaminen ei ole aina tehokasta, voi olla että palvelu vain piilottaa sen.

Monissa palveluissa käyttäjätunnus on sama kuin sähköpostiosoite. Tietoturvaa voi lisätä käyttämällä erilaisia palveluja varten useampaa sähköpostiosoitetta.

Salasanat

Jos palveluun on monen käyttäjän yhteinen salasana, ei se ole oikeastaan salasana lainkaan. Tällaisen, yleensä määräajoin vaihdettavan salasanan tarkoitus on vain rajoittaa liikennettä eikä sen karkaaminen aiheuta pahoja taloudellisia tappioita tai tietoturvaongelmia kenellekään. Kunnioita kuitenkin palvelua, äläkä vuoda salasanaa.

Arvioi kohde, johon salasana on. Jos henkilökohtainen salasana oikeuttaa esim. lukemaan yhdistyksen jäsensivua, eikä sillä voi tehdä mitään erityistä, voit käyttää helpompaa salasanaa. Tässä tapauksessa tilin murtaminen ei ehkä kiinnostakaan kovin laajaa ryhmää. Vaihda salasana kuitenkin säännöllisesti. Sähköpostin, Facebookin ja vastaavien palvelujen salasanan paljastuminen olisi ikävämpi asia. Käyttäjä voi kaapata identiteetin ja tehdä toimia nimissäsi tai muuten käyttää tietoja. Tee tällaisiin palveluihin salasanasta vahvempi esimerkiksi huomioimalla seuraavia ohjeita.

Älä käytä salasanana puhelinnumeroa, henkilötunnusta, sukunimeä, osoitetta, lapsen nimeä, työpaikan nimeä, lemmikin nimeä, urheilujoukkuetta tms. Älä käytä mitään sisällöltään ymmärrettävää nimeä tai sanaa. Älä edes niin, että korvaat kirjaimen ilmeisellä numerolla (i=1, o=0, s=5 jne).

Älä käytä samaa salasanaa monessa palvelussa. Älä myöskään samaa runkoa, johon lisäät palvelun nimen tms. Ei siis esim. salasana ”väkkärä-pyörä-FB” Facebookissa ja ”väkkärä-pyörä-MH” MyHeritagessa. Vaikka tällainen vinkki salasanarungosta on annettu internetissä, ei se ole hyvä tapa! Jos käytät runkoa, älä ainakaan käytä arvattavaa muuttuvaa osaa.

Jos palvelu edellyttää isoa kirjainta ja erikoismerkkiä, älä hoida asiaa kirjoittamalla ensimmäinen kirjain isolla ja lisäämällä perään piste.

Älä vaihda salasanaa niin että sen perusteella voi arvata seuraavan salasanan ”SalaTammi1.” -> ”SalaHelmi2.”. Seuraava lienee ”SalaMaalis3.”

Älä käytä salasanaa, jossa on näppäimistön peräkkäiset merkit - ”qwertyuiop” on pitkä, mutta helppo.

Älä talleta salasanoja sellaisenaan kännykän osoiterekisteriin tai ns. muistilappuohjelmaan. Kännykän yhteystiedot voivat päätyö jonkin sovelluksen käyttöön ihan huomaamattasi.

Älä käytä tietoturvakysymystä, jonka vastaus helppo selvittää. Ensimmäisen opettajasi nimi, lemmikkisi nimi tai äitisi tyttönimi löytyy helposti. Jos tällaista vaaditaan, vastaa väärin tavalla, jonka vain itse tiedät.

Käytä pitkää salasanaa (lausetta), jossa on ulkomaisille murtajille aavistuksen eksoottisia ääkkösiä (äöåÄÖÅ). Valitettavasti ihan kaikki palvelut eivät niitä hyväksy. Numeroilla ja erikoismerkeillä lisäät vielä vaikeutta. Tee salasanalauseesta helppo muistaa, esim. ”2018Mätäytän64”.

Robotit jaksavat testata salasanoja palveluihin, joissa niiden kirjaamista ei ole rajoitettu. Vain salasanan pituus on silloin suojana. Käytä vähintään 12 merkkiä pitkää salasanaa. Internetissä on palvelu, joka kertoo kuinka kauan robotilta kestää murtaa jokin salasana. Nämä ovat vain esimerkkilaskelmia - et voi tietää kuinka tehokas robotti on tai mistä se aloittaa. Robotti voi onnekkaasti (eli omalta kannaltasi onnettomasti) osua kohdalleen nopeastikin!

Käytä salasanaohjelmaa, mutta valitse luotettava sellainen. Lue arvioita ja tutustu ohjelman käyttöehtoihin – erityisesti jos ohjelma on ilmainen. Jos ohjelma on vain koneellasi ja kone särkyy, voit menettää kaikki salasanat eli tee näistäkin tiedoista varmuuskopio.

Käytä salasanojen salakoodausta, jos talletat ne jonnekin saataville. Tee valeluettelo salasanoista ja jätä se kirjoitusalustan alle. Tietomurron yrittäjälle saa tehdä kiusaa. Talleta oikea luettelo jonnekin varmaan paikkaan. Esimerkiksi tyhjä vitamiinipurkki kaapissa voi olla hyvä piilopaikka? Vai onko? Se voi lentää epähuomiossa roskiin! Olisiko paikka kirjakokoelman määrätyn kirjan välissä? Tai hillorasiassa pakastimessa. CD-levykotelossa se voi päätyä varkaalle, joka tavoitteli levyä. Muista mihin listan piilotit! Älä talleta listaa lähettämällä se itsellesi sähköpostilla! Ehdotus: Tee kaksi listaa eri paikkoihin, toiseen palvelut jossakin järjestyksessä ja toiseen salasanat jossakin toisessa järjestyksessä.

Huomioi salasanaa kirjoittaessasi, ettei kukaan katsele tai jopa videoi tapahtumaa. Videointi voi tapahtua kaukaakin tai hyvin näkymättömällä kameralla. Vaikka toinen kääntää katseensa pois, hänen kynänsä voi kuvata tapahtuman.

Muu tietosuoja

Monissa tietokoneissa ja palveluissa voi käyttää salasanan lisänä tai vaihtoehtona sormenjälkeä, silmän tai kasvojen kuvaa, toimikorttia tai muuta tekniikkaa. Näidenkin luotettavuus on paljolti kiinni omasta toiminnasta.

Verkkoliikenne langattomissa verkoissa on altis hakkeroinnille. Kannattaa arvioida mitä palveluja, millä tekniikalla ja missä käyttää. Nettikahvilan tietokoneessa voi olla ohjelma, joka nauhoittaa jokaisen näppäimen painakkulsen. Jos joutuu asioimaan epäilyttävissä paikoissa, kannattaa salasana vaihtaa heti kun turvallinen yhteys on käytettävissä.

Tietokoneeseen tai selaimeen kertyneet tiedot tulee poistaa ja selain sulkea, jos käyttää vierasta tietokonetta. Hyvä tapa tämä on omaakin konetta käyttäessä.

Palomuuri- ja virusohjelmistot tulee olla käytössä ja ajan tasalla. Jos ohjelmiin tai järjestelmiin on tarjolla päivityksiä, ne kannattaa aina ladata, kunhan varmistaa että ne ovat todellisia. Tässä auttaa se, että sallii ohjelmille automaattisen päivittämisen.

Yksi keino lisätä tietoturvaa, on kahden eri selaimen tai peräti kahden eri tietokoneen käyttäminen. Esimerkiksi tietokoneella käytetään pankkipalveluja, ensisijaista sähköpostia ja muuta arvokasta, tabletilla avataan sekalaiseen käytetty apusähköpostilaatikko ja some.

Muista varmuuskopiot. Älä tee varmuuskopiota huomenna, vaan heti kun siltä tuntuu. Kopioi valokuvat ja muut ainutkertaiset tiedot tunnistetiedoilla varustettuna paikkaan, josta ne ovat palautettavissa. Älä tee sekalaista varmuuskopioläjää. Säilytä hankkimiesi ohjelmien alkuperäiset levykkeet tai muut tunnukset, joilla ne voit palauttaa. Tai kopioi koko kovalevy niin, että tiedot on palautettavissa tarvittaessa toiselle tietokoneelle. Varmuuskopiointiin on olemassa valmiita ohjelmia ja palveluja. Säilytä varmuuskopiot eri paikassa, jopa eri rakennuksessa, kuin tietokone.

Huomioi verkkopalvelujen ja työasemien lisäksi erilliset kovalevyasemat, muistitikut ja levykkeet. Ne voivat joutua vääriin käsiin mitä erilaisimmissa tilanteissa.

Kun aika jättää…

Mieti, haluatko jälkeenjääviesi pääsevän käsiksi sähköpostiisi ja käyttämiisi palveluihin. Monessa tapauksessa perilliset saavat automaattisesti oikeuden käyttämiisi palveluihin. Yleensä perilliset saavat oikeuden sisältöön, myös yksityisviesteihin, mutta eivät tunnuksia, joilla voisi palvelun käyttöä jatkaa kuolleen identiteetillä.

Voit laatia jälkisäädöksen (testamentin), jossa esität toiveesi käyttäjätunnusten ja salasanojen ja vastaavan digitaalisen jäämistösi ja aineettomien oikeuksiesi käsittelystä. Voit vaikkapa kerätä tunnukset kuoreen, jonka osoitat määrätylle henkilölle.

Tietosuoja ja turvallinen tietotekniikan käyttö edellyttää huolellisuutta, mutta ei ole mahdotonta. Ihan kuin toimit kotiavainten kanssa.

A Miettinen