Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
© Petteri Järvinen Oy 2014
1 http://pjarvinen.blogspot.com
Twitter: @petterij
10.12.2014
Tietoturva kirjastossa mitä jokaisen tulee tietää tietoturvasta
10.12.2014 Turku
@petterij
• Tietoturva on arkipäivää – työ, koti, harrastukset, nettikäyttö...
– NFC-maksaminen kännykällä
• Miksi tietoturvaihmiset ovat insinöörejä? – kyse on 80 % ihmisistä
• Rutiinit tuovat turvallisuutta – vahvista hyviä, hylkää huonoja
– tietoturvasta tulee automaattista
• Tietoturva on vain yksi uusi riski – kartoita, arvioi, varaudu
• Odota odottamatonta Mukavuus * turvallisuus = vakio
© Petteri Järvinen Oy 2014
2 http://pjarvinen.blogspot.com
Twitter: @petterij
10.12.2014
• Älä klikkaa OK tai Yes ellet ymmärrä kysymystä
• Älä avaa tuntemattomia tiedostoliitteitä (PDF, Word, Excel)
• Älä jätä tulosteita kirjoittimelle eikä papereita työpöydälle päivän jälkeen
• Älä käytä toisen tunnusta luvatta (tietomurto)
• Älä anna lasten pelata tai surffata työkoneellasi
• Muista välitallennukset työn aikana (ctrl+s)
• Vieras kone ei voi koskaan olla täysin turvallinen
• Varo vieraita usb-tikkuja! Voivat murtaa koneen
• Älä klikkaa sähköpostissa olevia linkkejä
IL 5.7.2013
Tietosuoja kiristyy entisestään tulevaisuudessa
© Petteri Järvinen Oy 2014
3 http://pjarvinen.blogspot.com
Twitter: @petterij
10.12.2014
Osaatko käyttäytyä netissä oikein?
• Älä hauku pomoja äläkä muitakaan – älä osallistu koulukiusaamiseen
• Mokaa oikein – sähköposti ei anna anteeksi
– harkitse, tarkista -- istu vaikka käsien päällä
– erityisesti jos myös organisaation sometili
– jos silti mokaat: peru viestisi, älä jää selittelemään
– hukuta huonot viestit hyviin
Jos otat, älä klikkaa!
Kunnianloukkauksen tunnus- merkistö täyttyy helposti
© Petteri Järvinen Oy 2014
4 http://pjarvinen.blogspot.com
Twitter: @petterij
10.12.2014
HS 20.5.2013
”Teko jatkui pitkään, lähes kahden vuoden ajan ja mies myös välitti osan viesteistä eteenpäin, mikä häiritsi naisen sosiaalista elämää. Hän esimerkiksi tekeytyi viestien lähettelyssä naiseksi. Osa viesteistä liittyi naisen seurustelusuhteisiin.
Mies urkki muun muassa naisen Gmail-sähköpostia ja Facebook-viestejä.
Teko oli mahdollinen, koska miehellä oli aluksi mahdollisuus käyttää naisen tietokonetta ja puhelinta luvallisesti. Hän teki tällöin järjestelmiin oikeuden mukaan niin sanotut takaporttiasetukset, mikä mahdollisti myöhemmät laittomat pääsyt viesteihin.
Naiselle aiheutui tapauksesta traumaattinen stressireaktio.”
Tuomio: 60 päivää ehdollista vankeutta + ”pitkälti yli kymmenen tuhannen euron korvaukset muun muassa tilapäisestä haitasta, kärsimyksestä ja oikeudenkäyntikuluista”
”Syytteen mukaan Munkkivuoren Hesburgerin vuoropäällikkönä työskennellyt nainen oli murtautunut erään työntekijän Facebook-tilille noin puolitoista vuotta sitten ja lukenut tämän viestittelyä toisen työntekijän kanssa. Viestejä oli syytteen mukaan lukenut myös toinen syytetty, kenttäpäällikkönä työskentelevä mies. Lisäksi viestejä olisi välitetty edelleen henkilöstöpäällikölle.
Kenttäpäällikön mukaan hänelle ei tullut mieleen, että viestien lukeminen ja välittäminen eteenpäin olisi ollut laitonta. Mies korosti, että työntekijät ovat toimineet väärin käyttäessään työpaikan konetta Facebook-sivujen katseluun.
"Ketjun ohjeistus on, että Facebookissa ei saa olla työaikana", kenttäpäällikkö korosti. Vuoropäällikkö kiisti murtautuneensa sivuille. Hän myönsi nähneensä vain niitä keskusteluja, jotka olivat jääneet koneelle auki.
Uhrien asianajajan Juha-Pekka Hipin mukaan teon motiivi liittyy ravintolan tulehtuneeseen ilmapiiriin. Tämän takia esimiehet halusivat saada selville, mitä työntekijät ajattelivat tilanteesta ja mitä esimiehistä puhuttiin.”
Tuomio 27.3.2014: 30 päiväsakkoa + yht. 1300 euron korvaukset työntekijöille
© Petteri Järvinen Oy 2014
5 http://pjarvinen.blogspot.com
Twitter: @petterij
10.12.2014
salasana
Ei saa kirjoittaa muistiin
Oltava pitkä ja mutkikas Sg9+Iksq!slGknx?
Joka paikkaan eri salasana
Vaihdettava säännöllisesti
Tietomurto 2011
salasana, aurinko,
123456, perkele,
johanna, qwerty, tiikeri,
nallepuh, mansikka,
rasmus, susanna,
pauliina, porkkana,
emilia, oskari, karoliina,
rakkaus, hannele, 1234
Adobe 2013 -tietomurto
© Petteri Järvinen Oy 2014
6 http://pjarvinen.blogspot.com
Twitter: @petterij
10.12.2014
• Ei sama kuin käyttäjätunnus (etuperin tai takaperin) – eikä PIN-koodi saa olla syntymäaika!
– riittävä pituus vaihtelee, vähintään 10 merkkiä
– sana + numero ei ole turvallinen, helppo kokeilla
– 1, 3 ja 0 -korvaukset liian yleinen kikka
• Niksejä – OdJoKo2015KeLo (Odotan Jo Kovasti 2015
KesäLomaa)?
– Lumi&Tuisku, Vilu/Nälkä
– Hesari!Matti+2014 Google!Matti+2015 ...
– ”Laitetaan vain monta sanaa peräkkäin jos sallittua”
– Ääkköset kaksiteräinen miekka, eivät aina sallittuja
• Turvakysymys on helpompi arvata kuin salasana
• Huom: turvakysymyksen ei tarvitse olla totta, kunhan itse muistat vastauksen
• Puhelinnumero kannattaa ilmoittaa palveluun
© Petteri Järvinen Oy 2014
7 http://pjarvinen.blogspot.com
Twitter: @petterij
10.12.2014
• Koodi matkapuhelimeen – kun kirjaudutaan uudelta koneelta – vaatii joissakin sovelluksissa kertakäyttösalasanan
määrittelyn
• Kallis palvelulle, mutta turvallinen käyttäjälle – pitää urkkia salasana ja kaapata puhelin
• Mm. Google, Apple, Facebook, Microsoft – FB:ssä nimellä ”sisäänkirjautumisen hyväksyntä”
• Oma puhelinnumero kannattaa ilmoittaa nettipalveluihin – vaikka se arveluttaa tietosuojan vuoksi
• Joissakin koneissa merkkivaloa ei ole tai sen voi ohittaa (myös älytelevisiosta)
• Vakoiluohjelmat käyttävät kameraa
• Peitä kamera teipillä tai laastarilla
© Petteri Järvinen Oy 2014
8 http://pjarvinen.blogspot.com
Twitter: @petterij
10.12.2014
• Urkkivat tunnukset
• Lähettävät huijausta eteenpäin – pyytävät rahaa tai
muuta apua
• Tyhjentävät osoitekirjan – myös puhelimesta!
• Katso tarkkaan osoite
• Älä klikkaa linkkejä!
• Kokeile joulupukkia
© Petteri Järvinen Oy 2014
9 http://pjarvinen.blogspot.com
Twitter: @petterij
10.12.2014
© Petteri Järvinen Oy 2014
10 http://pjarvinen.blogspot.com
Twitter: @petterij
10.12.2014
Kiristysohjelmat ovat tehokkaita
© Petteri Järvinen Oy 2014
11 http://pjarvinen.blogspot.com
Twitter: @petterij
10.12.2014
• Avoin wlan on aina riski – salaamaton liikenne nähtävissä (Kismet ym.)
– liikenne kaapattavissa valepalvelimelle
– tee mieluummin 3G/4G-tukiasema älypuhelimestasi
• Salasanalla suojattu turvallinen – vaikka salasana on kaikille sama ja julkinen, liikenne ei
näy muille käyttäjille – sopii myös kirjastoihin
• Poista WPS käytöstä – Wi-Fi Protected Setup
– http://null-byte.wonderhowto.com/how-to/hack-wpa-wifi-passwords-by-cracking-ps-pin-0132542
Oma nimi hotspotissa ei ehkä ole hyvä idea
• Henkilökohtainen laite tietää kaikki salaisuutesi – tiedot menevät myös pilveen
• Ei juurikaan haittaohjelmia – esim. iPad erittäin turvallinen
– riskit erilaisia kuin tietokoneissa
• Varkaudet ja katoamiset – älä menetä elämääsi!
– riittävän pitkä pin-koodi
– pakotettu soitto (vaikka äänetön)
– etäpaikannus
– etälukitus
– etäpyyhintä Harjoittele etukäteen – kun hätä iskee, on kiire
© Petteri Järvinen Oy 2014
12 http://pjarvinen.blogspot.com
Twitter: @petterij
10.12.2014
www.112.fi/hatatilanne/matkapuhelinpaikannus
• Taneli Heikka HS 24.5.2014: ”Työnantajat kenties kiinnostuvat onnellisen ja tasapainoisen lapsuuden eläneistä ihmisistä, jotka ovat jo nuorena olleet hyviä ongelmanratkaisijoita. Vakuutusyhtiöt maksavat saadakseen tietää, keiden terveysriskit ovat kasautuneet lapsesta saakka. Pikalainoittajat kohdistavat mainontaa ihmisille, jotka eivät koulussa osanneet laskea korkoa.”
• ”Ihmisistä kerättävän digitaalisen tiedon hyödyntäminen kehittyy juuri nyt valtavaa vauhtia. Jokainen klikkaus, tarina ja automaattisesti tunnistettava kasvokuva tallentuu datapankkeihin. Ne pankit eivät unohda. Klikkaus kerrallaan luomme mainostajille, työnantajille, oppilaitoksille, vakuutusyhtiöille ja viranomaisille kuvitettuja tarinoita siitä, keitä ja millaisia olemme.”
• Lapsen todistus periaatteessa julkinen asiakirja – uskonnonopetus, tukiopetus ym. kuitenkin luottamuksellisia tietoja
• Lapsilla on oikeus sanoa mielipiteensä itseä koskevissa asioissa
© Petteri Järvinen Oy 2014
13 http://pjarvinen.blogspot.com
Twitter: @petterij
10.12.2014
”Sähköhäiriöharjoitus keskeytettiin – katko venyi Rovaniemellä liian pitkäksi
Sähköt olivat poikki Rovaniemellä joillakin alueilla runsaan tunnin.
Suursähköhäiriöharjoitus Valve 2014 jouduttiin keskeyttämään tiistaina, koska rovaniemeläisten sähkönsaanti venyi luvattua pidemmäksi. Sähköt olivat poikki Rovaniemellä joillakin alueilla runsaan tunnin, kun alun perin oli luvattu, että katkokset kestävät enimmillään 45 minuuttia.
Fingridin toimitusjohtaja Jukka Ruususen mukaan sähköjä ei saatu palautettua vesivoiman avulla suunnitellussa aikataulussa. Sähköt palautettiin liittämällä Rovaniemen alue kantaverkkoon.”
YLE uutiset 23.9.2014