29
Mitkä uhat vaanivat palveluiden käyttäjää ja miten niihin voi varautua?

Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

Embed Size (px)

Citation preview

Page 1: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

Mitkä uhat vaanivat palveluiden käyttäjää ja miten niihin voi varautua?

Page 2: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

|

Viestintäviraston Kyberturvallisuuskeskus

Kyberavaruuden toimijat ja toiminnan kohteet

Palveluiden käyttäjiä vaanivat uhkat

» Tietojenkalastelut ja tilausansat

» Huonot salasanat

» Esineiden internet

» Haittaohjelmat

Miten käyttäjän tulisi toimia?

Sisältö

10.10.2017 Tomi Kinnari 2

Page 3: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

|

Viestintäviraston Kyberturvallisuuskeskus

10.10.2017 Tomi Kinnari 3

Page 4: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

|

Mikä on Kyberturvallisuuskeskus?

Kyberturvallisuuskeskus on Kansallinen tietoturvaviranomainen, joka kehittää ja valvoo viestintäverkkojen ja -palveluiden toimintavarmuutta ja turvallisuutta.

» Kyberturvallisuuskeskus on osa Viestintävirasta

» N. 70 työntekijää

Tietoturvaloukkausten ilmoituspiste

» Neuvoja ja tukea

» Tilannekuva

Tietoturvaloukkausten havainnointi (HAVARO)

Yhteistyöverkostot

Haavoittuvuuskoordinointi

Järjestelmäturvallisuus

Salaustuotteiden hyväksynnät

Suojatut satelliittien aika- ja paikkasignaalit

Harjoitustoiminta

10.10.2017 Tomi Kinnari 4

Page 5: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

|

Kyberavaruuden toimijat ja toiminnan kohteet

5

KANSALAISET YKSITYINEN SEKTORI

KRIITTINEN INFRASTRUKTUURI

VALTIO

TEINIT JA HAKTIVISTIT

PIKKURIKOLLISET

RIKOLLISJÄRJESTÖT

KYBERVAKOILU

KYBERTERRORISMI

KYBEROPERAATIOT

5 10.10.2017

Erittäin harvinaista

Nähty maailmalla, mutta ei Suomessa

Nähty myös Suomessa

Tomi Kinnari

Page 6: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

|

Tietojenkalastelut ja tilausansat

10.10.2017 Tomi Kinnari 6

Page 7: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

|

Tietojenkalastelu

Huijataan tietoa esiintymällä jonakin toisena tahona

esimerkiksi pankkina, verottajana, poliisina, jne.

Tavoitteena esimerkiksi pankkitunnukset, luottokortti, sähköpostitunnukset, Apple ID, Outlook Web Access -tunnukset, Google Drive -tunnukset

Alkaa usein sähköpostilla, jossa on linkki tietojenkalastelusivulle

Joskus saattaa liittyä myös tekstiviesti tai puhelinsoitto

Kuva: Sähköpostiviesti, jossa uhri yritetään saada Apple-teemaiselle tietojenkalastelusivustolle

10.10.2017 Tomi Kinnari 7

Page 8: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

| 10.10.2017 Tomi Kinnari 8

Page 9: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari
Page 10: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

|

Harhaanjohtavalla mainonnalla ja verkkosivun ulkoasulla pyritään saamaan kuluttaja tilaamaan asia, jota hän ei ehkä tiennyt tilaavansa

Teemana on usein arvonta, johon voi osallistua maksamalla euron

» Voittona Gigantin, Finnairin tai Prisman 500 euron lahjakortti tai uusi iPhone

Todellisuudessa sitoutuu johonkin palveluun, jossa on jatkuva kuukausittainen veloitus

Tilausansat

10.10.2017 Tomi Kinnari 10

Page 11: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

| 10.10.2017 Tomi Kinnari 11

Page 12: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

| 10.10.2017 Tomi Kinnari 12

Page 13: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

|

Heikot salasanat

10.10.2017 Tomi Kinnari 14

Page 14: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

|

Salasanoihin liittyviä riskejä

Tietomurto ja sama salasana muissakin palveluissa

Helposti arvattavissa oleva salasana

» Verkossa on erilaisia salasanalistoja, johon on kerätty yleisimpiä salasanoja

Liian lyhyt salasana

» Tietokone voi murtaa lyhyen salasanan nopeasti.

» Esimerkki: 8 merkkisen salasanan murto kestää kotikoneella muutamia tunteja, mutta 15 merkkisen jo vuosisatoja

Oletussalasanan käyttö

» Internetiin kytkettyjä laitteita skannataan jatkuvasti ja niihin kokeillaan kirjautua oletussalasanoilla

• Älypää.com tietomurron datasta (2010) kerätty suomalaisten yleisimmät salasanat:

1. salasana : 419 kpl

2. 123456 : 304 kpl

3. älypää : 184 kpl

4. kissa : 134 kpl

5. johanna : 128 kpl

6. 54321 : 113 kpl

7. perkele : 108 kpl

8. hevonen : 96 kpl

9. nallepuh : 93 kpl

10. aurinko : 93 kpl

11. tappara : 92 kpl

12. koira : 90 kpl

13. tiikeri : 89 kpl

14. tietokone : 86 kpl

15. qwerty : 85 kpl

10.10.2017 Tomi Kinnari 15

Page 15: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

|

1. Älä kierrätä samoja salasanoja eri palveluissa.

» Käytä salasananhallintaohjelmia, kuten KeePass, joilla voi luoda ja säilöä eri palveluille oman uniikin salasanan

2. Käytä kaksivaiheista tunnistautumista (two factor authentication)

3. Valitse hyvä salasana

» Vähintään 15 merkkiä pitkä ja sisältää numeroita, isoja ja pieniä kirjaimia sekä erikoismerkkejä

» Salalause on helpompi muistaa kuin pitkä salasana. Esimerkiksi "Bussilla matkustaa 2 mustaa kissaa ja 3 valkoista koiraa"

» Älä käytä helposti arvattavia yleisiä salasanoja, kuten kissa, kissa11, salasana tai 123456. Näitä murtajat kokeilevat ensimmäisenä.

Vinkkejä hyvään salasanaturvallisuuteen

10.10.2017 Tomi Kinnari 16

Page 16: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

|

Esineiden internet

10.10.2017 Tomi Kinnari 17

Page 17: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

| 10.10.2017 Tomi Kinnari 18

Page 18: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

|

Esimerkkejä esineiden internet-laitteista

10.10.2017 Tomi Kinnari 19

Page 19: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

|

"Älykkään laitteen" ruumiinavaus

10.10.2017 Tomi Kinnari 20

Ympäristöään mittaava tai siihen

vaikuttava laite

Pieni tietokone

Verkkoyhteys Käyttöjärjestelmä • Linux-ydin • Minimaalinen

perusohjelmisto, kuten Busybox

Ohjelmistoja • WWW-palvelin • Muita kenties

tarpeellisia palvelimia

• Ohjelmistoja, jotka vaikuttavat laitteeseen

Page 20: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

|

Lypsykone osallistuu palvelunestohyökkäykseen

Kokoushuoneen varauspaneeli lataa ja näyttää mainoksia

Maalämpöpumppu skannaa haavoittuvuuksia

Kotiteatterivahvistin on osa bot-verkkoa

Verkkokamerassa kutsumattomia katselijoita

Esimerkkejä Suomessa nähdyistä tapauksista

10.10.2017 Tomi Kinnari 21

Page 21: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

|

Suojautumisvinkkejä esineiden internetiin

1. Älä yhdistä laitteita nettiin, ellei se ole tarpeellista

2. Liitä laitteet jaetun ulkoisen IP-osoitteen alle, jolloin ne eivät ole suoraan internetistä tavoitettavissa (kotireitittimen NAT-toiminto)

3. Vaihda oletussalasanat

4. Päivitä ohjelmisto aina kun mahdollista

5. Ennen ostopäätöstä Googleta, onko laitteella tiedossa olevia tietoturvaongelmia

10.10.2017 Tomi Kinnari 22

Page 22: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

|

Haittaohjelmat

10.10.2017 Tomi Kinnari 23

Page 23: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

|

Haittaohjelmat

Haittaohjelmilla on erilaisia tarkoituksia

» Kiristyshaittaohjelmat

» Etähallintaohjelmat (RAT)

» Pankkihaittaohjelmat

» Kryptovaluutan louhinta

» Roskapostin lähettäminen

Haittaohjelmien ympärille on muodostunut ekosysteemi, josta erilaisia palveluita voi ostaa

» Rikollisen ei välttämättä tarvitse osata koodata lainkaan

» Laadukkaita haittaohjelmia voi ostaa verkon hämäräpalstoilta valmiina

» Myös haittaohjelmien jakelun voi ulkoistaa

10.10.2017 Tomi Kinnari 24

Page 24: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

| 10.10.2017 Tomi Kinnari 25

Lähde: F-Securen State of cyber security 2017 -raportti

Page 25: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

|

Miten haittaohjelmia nykyään levitetään?

Sähköpostin liitetiedostot suosituin

» Zip-pakattu ja salasanasuojattu

» Makroja sisältävä Office-tiedosto

Haitalliset verkkosivustot, joissa toimii haittaohjelmien jakelualusta

Ohjelmistojen jakeluketjut

USB-tikut ja muut siirrettävät mediat

10.10.2017 Tomi Kinnari 26

Tyypillisiltä hyökkäysmenetelmiltä VOI suojautua!

Ns. nollapäivähaavoittuvuuksia käyttävät yleensä vain valtiolliset toimijat

Page 26: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

| 10.10.2017 Tomi Kinnari 27

Miten käyttäjän tulisi toimia?

Page 27: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

|

Miten käyttäjän tulisi toimia?

10.10.2017 Tomi Kinnari 28

Twitter 18.11.2016: @mikko

Käytä valppautta sähköpostien kanssa!

Päivitä!

» Pidä laitteet ajan tasalla

» Pidä ohjelmistot ajan tasalla

» Päivitä vanhat laitteet hankkimalla uusia

Varmista!

» Tee kaikesta tärkeästä tiedosta aina varmuuskopiot. Mielellään fyysisesti eri paikkaan.

» Kovalevyt EIVÄT ole luotettavia

» Tietokoneet EIVÄT ole luotettavia

Käytä tietoturvaohjelmistoa!

Ilmoita jos olet joutunut tietoturvaloukkauksen kohteeksi!

Page 28: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

|

Ota yhteyttä!

10.10.2017 Tomi Kinnari 29

www.viestintavirasto.fi/

kyberturvallisuus

www.viestintavirasto.fi/

kyberturvallisuus

sähköpostitse: [email protected] sähköpostitse: [email protected]

asiakaspalvelu: 0295 390 230 asiakaspalvelu: 0295 390 230

www.facebook.com/NCSC.FI www.facebook.com/NCSC.FI

twitter.com/certfi twitter.com/certfi

Page 29: Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Tomi Kinnari

www.kyberturvallisuuskeskus.fi www.viestintävirasto.fi