“Iskuja tulee kuin sieniä sateella”
Teksti Åsa Niemi
Kuva Santeri Kinnunen
Kaikki tietokoneella säilytettävät tietomme ovat meille tärkeitä, mutta tietoturvaiskuja tulee koko ajan enemmän. “On aivan mahdottomasti vaihtoehtoja, mitä kaikkea kyberhyökkääjät voivat tehdä”, kertoo Lapin yliopiston tietoturvapäällikkö Pekka Halmkrona.
“Me emme rakenna mitään, eikä meillä ei ole mitään tuotantoa yliopistossa. Meillä on vain tietokoneet ja se tieto, mitä me hallitsemme, käytämme ja tuotamme. Entä jos se kaikki katoaa?”
Näin Lapin yliopiston tietoturvapäällikkö Pekka Halmkrona avaa yliopiston verkkosivuilta löytyvää lausetta “Tärkein voimavara on tietopääoma”. Meidän täytyy siis huolehtia tietoturvastamme, sillä muuta meillä ei ole.
“Tietoturvaiskujen määrä on kasvanut räjähdysmäisesti. Iskuja tulee kuin sieniä sateella”, Halmkrona kuvailee.
Halmkronan kuvailu on sopivaa, sillä iskujen määrä ympäri maailmaa kasvoi 75 prosenttia vuosien 2020 ja 2021 välillä vain koulutussektorilla. Sen lisäksi, että tietoturvaiskujen määrä kasvaa nopeaa tahtia, ne ovat koko ajan parempia ja tehokkaampia.
“Aikaisemmin ne tekivät vähän hallaa, mutta nykyään haittaohjelmien tekeminen on ansaintakeino. Ihmisiä on palkattu tekemään niitä.”
Eniten Lapin yliopistolle tulee sähköpostikalasteluja. Sähköpostiin tulevat kalasteluviestit ovat yleensä kyberhyökkääjien helpoin tapa saada tietoja, kuten käyttäjätunnuksia tai luottokorttitietoja. He voivat myös esimerkiksi yrittää saada haittaohjelman vastaanottajan tietokoneelle, jonka avulla voidaan lähettää tietoja muualle tai pyrkiä salaamaan kovalevyjä tietokoneista.
“On aivan mahdottomasti vaihtoehtoja, mitä kaikkea kyberhyökkääjät voivat tehdä. Nykyään sähköpostilla tulevat kalasteluviestit ovat todella hyvin muotoiltuja. Ne voivat esimerkiksi tulla oikealta lähettäjältä, sillä jos jonkun toisen sähköpostitili on saatu jo aikaisemmin kaapattua, niin he lähettävät meille siitä sähköposteja. Näin on käynyt meilläkin useampaan kertaan.”
“Jos et odota sellaista viestiä, joka tulee sähköpostiin, niin kannattaa hyvin tarkkaan lukea, onko se kalasteluviesti.”
Kalasteluviestejä jää sähköpostin roskapostifiltteriin, mutta opiskelijoiden ja korkeakoulujen henkilökunnan täytyy kuitenkin myös itse olla tarkkana sähköpostien kanssa. Sähköposteissa olevia tuntemattomia linkkejä ei kannata klikata. Halmkrona huomauttaa, että he eivät ikinä pyydä salasanaasi tai lähetä viesteissään linkkejä salasanan vaihtoon.
“Meille tulee paljon kalasteluviestejä, missä lukee, että ’tunnukset menevät kiinni muutaman päivän päästä. Käy klikkaamalla jatkamassa tunnusten voimassaoloa’. Mekin kyllä lähetämme sellaisen viestin, mutta siinä ei ole linkkiä, mistä pääsee suoraan jatkamaan tunnuksia. Opinto-oikeuden jatkaminen ja läsnä olevaksi ilmoittautuminen tehdään Oilissa, Opintopolussa tai Pepissä.”
Joskus sähköpostisovelluksen kautta voi tulla haittaohjelma tietokoneelle, vaikka ei edes avaisi sinne saapunutta kalastelusähköpostia.
“Joskus on ollut sellainen tilanne, että Outlook-sähköpostiohjelmassa oli haavoittuvuus eikä sähköpostia tarvinnut edes lukea, niin hyökkääjä sai tietokoneen haltuun ja ujutettua haittaohjelman tietokoneelle. Se on mahdollista, jos sovellus on auki.”
“En voi paljastaa, miten me reagoimme, sillä silloin kertoisin hyökkääjille niistä kohdista, mitä me emme huomaa. Se on vähän sama, kun ei lukitsisi ovia ja sanoisi, että tervetuloa tänne.”
-Pekka Halmkrona
Tällaisiin ongelmiin reagoidaan esimerkiksi päivityksillä. Halmkrona sanookin, että on tärkeää pitää laitteet päivitettynä. Hyökkäysten paljastuessa niihin reagoidaan nopeasti.
“En voi paljastaa, miten me reagoimme, sillä silloin kertoisin hyökkääjille niistä kohdista, mitä me emme huomaa. Se on vähän sama, kun ei lukitsisi ovia ja sanoisi, että tervetuloa tänne.”
Tietoturvan kannalta kaksivaiheinen tunnistautuminen on tärkeää, vaikka se voi kiireessä ärsyttääkin. Tunnistautumisen voi tehdä sovelluksella, tekstiviestillä tai puhelulla. Se on jo käytössä osassa palveluista.
“Syksyn aikana kaikkiin palveluihin tulee käyttöön kaksivaiheinen tunnistautuminen. Microsoft Authenticator -sovellus on nopein, turvallisin ja varmatoimisin vaihtoehto”.
Halmkrona myös huomauttaa, että aina ennen puhelinnumeron vaihtumista, kannattaa käydä vaihtamassa puhelinnumero Peppiin ja kaksivaiheisen tunnistautumisen palveluihin.
“Mikäli palveluissa on väärä puhelinnumero, niin joudumme pyytämään esimerkiksi näyttämään Teamsissa passia tai muuta henkilötodistusta.”
Perusasia tietoturvassa on vahvoista salasanoista huolehtiminen. Vahvan salasanan vaatimukset ovat hieman muuttuneet perinteisestä ohjeesta, jonka mukaan salasanan pitää olla monimutkainen.
“Ei pidä käyttää samaa salasanaa monissa palveluissa. Salasanan pitää myös olla vahva eli ainakin 14 merkkiä, vaikka sekin alkaa olla jo lyhyt. Ennen sanottiin, että salasanan pitää olla monimutkainen, mutta merkkimäärä on tärkeämpi. Meidän palvelumme vaativat silti erikoismerkin, numeron ja ison kirjaimen.”
“Hyvä salasana on joku loru, tarina tai jotkut satunnaiset sanat peräkkäin, mitkä eivät muuten esiinny siinä järjestyksessä koskaan. Voit esimerkiksi kuvitella tilanteen, mitä ei voi millään tapahtua. Siitä tulee helposti pitkä salasana, joka on helppo muistaa, kun muistaa sen tilanteen”.