perjantai 2. lokakuuta 2015

Mainos voi tuoda haittaohjelman koneellesi – vaikka et edes klikkaisi mitään

Muistatko päivittää käyttämäsi ohjelmistot ? Vai kannattaako päivittämistä edes jättää muistin varaan ?

Luotettavaksi tunnetun verkkomainostajan mainos voi ohjata selaimen haittaohjelmia levittävälle palvelimelle, joka tartuttaa selaimeen haittaohjelmia. Haittakoodin levittäjät esiintyvät luotettavina mainostajina. He rekisteröityvät tunnettuihin mainosverkkoihin, joiden mainoksia on esillä niinikään luotettavina pidetyillä verkkosivuilla.

Haittaohjelmien levittäjät käyttävät myös murrettuja www-sivuja, jotka ulkoisesti muistuttavat luotettavana pidettyä sivustoa. Haittaohjelmat voivat levitä myös luotetuilla sivustoilla näytettävien
mainosten yhteydessä ilman, että sivustoa on murrettu. Nämä ”malvertising- (= malware + arvertising) kampanjoiden luojat ovat onnistuneet liittämään tunnettuihin mainosalustoihin omia, haitallista sisältöä levittäviä palvelimiaan.

Haittaohjelma voi tarttua ilman, että käyttäjä edes klikkaa mitään epäilyttävää. Yksittäisen laitteen puhdistaminen on vielä kohtuullisen vaivatonta ja edullista. Mutta haittaohjelmien mahdollisesti tuhoamien tiedostojen menetys voi olla isompi ongelma.


Tilanne on vakavampi, jos useita yrityskäytössä olevia työasemia saastuu. Haittaohjelmat voivat aiheuttaa liiketoiminnan kannalta kriittisen tiedon häviämistä tai sen joutumista vääriin käsiin. Tämä saattaa pahimmassa tapauksessa vaarantaa toiminnan jatkuvuuden ja johtaa suuriinkin kustannuksiin.

Suojautuminen

Haittaohjelma saattaa tarttua todella huomaamattomasti aivan arkisessa käytössä, käyttäjälle tämä ei juuri näy ja tähän haittaohjelmien levittäjät pyrkivätkin. Virusten leviäminen voidaan kuitenkin helpoiten estää päivittämällä käyttöjärjestelmä ja sen ohjelmistot sekä selaimet ja niiden liitännäiset uusimpiin ohjelmistoversioihin. Myös virustorjuntaohjelmistot on pidettävä ajan tasalla. Työasemilta ja verkkolevyiltä on myös syytä ottaa säännöllisin väliajoin varmuuskopiot ja siirtää ne erilliseen paikkaan.

Arjen kiireessä nämä ennaltaehkäisevät toimet usein unohtuvat ellei yrityksen käyttöön ole hankittu järjestelmän päivitys- ja ylläpitopalvelua, joka automaattisesti päivittää ohjelmistot uusimpiin
saatavilla oleviin versioihin. Tällainen automatiikka on käytössä muun muassa kaikilla Opsecin IT-päällikkö -asiakkailla. Jos tarvitset apua ohjelmistojesi ylläpidossa, valvonnassa tai muissa tietoturvaan liittyvissä asioissa, ota yhteyttä !

-Mika Kuusisaari, Opsec Oy
mika.kuusisaari@opsec.fi
020 198 6697

Lähde:
https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2015/09/ttn201509171541.html

 
Aiheesta lisää:

keskiviikko 30. syyskuuta 2015

Opsec Ketterä teollisuus – hankkeen aloitusseminaarissa


Ketterä teollisuus – hanke starttasi eilen aloitusseminaarilla Seinäjoella. Hankkeen tarkoituksena on lisätä tietoisuutta digitalisoinnin ja teollisen internetin hyödyntämisen mahdollisuuksista PK-teollisuudessa. Hankkeen toteutuksesta vastaavat yhteistyössä Seinäjoen ammattikorkeakoulu, Tampereen teknillinen yliopisto ja Etelä-Pohjanmaan liitto.

Pk-teollisuus digiaikaan

Nykypäivän PK-teollisuudessa tuotannon ohjaus ja tuotannon ”ketteryys” on nousemassa kriittiseksi menestystekijäksi. Teollinen tuotanto tänä päivänä rakentuu usein pitkistäkin alihankintaketjuista. Teollinen lopputuote on lähes aina alihankintaketjun tulos. Lisäksi PK-teollisuudessa entistä tärkeämpää on pystyä ketterästi reagoimaan markkinoilla tapahtuviin muutoksiin; kysynnän kausivaihteluihin, ansaintalogiikan muutoksiin jne. Tuotannonohjauksella ja tuotannon optimoinnilla on tässä keskeinen merkitys.

Perinteisesti PK-teollisuuden tuotannon ict -järjestelmiä on toteutettu ja ylläpidetty suljetuissa ympäristöissä. Nykyään kuitenkin tuotantoa ohjataan erilaisten internetin yli toimivien järjestelmien avulla ja järjestelmien tarvitsema tieto on pilvipalvelimilla. Näin siitä syystä, että digitalisaatioon perustuvat järjestelmät oikein käyttettyinä tuottavat kustannussäästöjä ja mahdollistavat reaaliaikaisen tiedon saannin esim. tuotannon vaiheista, koneiden huoltoväleistä, tuotannon vika- tai häiriötilanteista ym. Nykypäivän tuotantopäällikkö tietää lähes reaaliaikaisesti mitä 100m pitkällä tuotantolinjalla kulloisessakin vaiheessa tapahtuu, tieto kriittisistä poikkeamista välittyy heti ja häiriötilanteiden vahingot pystytään minimoimaan.

Digitalisaation avulla tuotantoa pystytään entistä joustavammin muokkaamaan asiakkaan toivomusten mukaan. Tämä on varsin tärkeä menestystekijä kilpailluilla markkinoilla.

Tietoa liikkuu yhä enemmän verkon välityksellä

Kriittinen menestystekijä on myös se miten oman liiketoiminnan kannalta tärkeä tieto suojataan ja varmistetaan toiminnan jatkuvuus myös tilanteissa, joissa toiminnan kannalta tärkeää tietoa katoaa tai se joutuu vääriin käsiin.

Jokaisen organisaation onkin syytä miettiä :
  • Mitä suojataan ?
  • Mikä uhkaa toiminnan jatkuvuuden kannalta kriittisiä tietovarastoja ?
  • Millä keinoin päästään hyväksyttävään riskitasoon ?

Jari Latvala Opsec Oy:stä piti Ketterä teollisuus – hankkeen aloitusseminaarissa esityksen kyberturvallisuudesta ja uhkiin varautumisesta. Jarin esitys on nähtävissä alla olevan linkin kautta.

https://prezi.com/mbjrne9bfyxe/mita-on-kyberturvallisuus/

Lähes jokaisessa organisaatiossa on toiminnan jatkuvuuden kannalta kriittistä tietoa ja lähes yhtä varmaa on, että tuo tieto on jonkinasteisesti tai jollain tavalla uhattuna. Miten sinun organisaatiosi on varautunut tietoturvauhkiin? Jos tarvitset apua tietoturvallisuuden hallinnassa, suunnittelussa tai tason todentamisessa, ota yhteyttä!

-Mika Kuusisaari, Opsec Oy
 mika.kuusisaari@opsec.fi
 020 198 6697 

torstai 10. syyskuuta 2015

Identiteettivarkaus on oikea rikos


Identiteettivarkaus eli toisen henkilötietojen oikeudeton käyttö ei sellaisenaan ole aiemmin ollut rikos, ellei siihen ole liittynyt esimerkiksi toisen kunnian loukkaamista tai petosta.

Nettipoliisi Marko Forssin mukaan teko olisi pitänyt kriminalisoida jo vuosia sitten. Nyt ihmisillä on jo vahva mielikuva siitä, että somen valeprofiilit eivät ole rikollisia.

Nyt rangaistavaa on periaatteessa myös pelkän valeprofiilin tekeminen, jos laissa säädetyt edellytykset täyttyvät. Toisen nimissä esiintymisestä tulee asianomistajarikos eli poliisi tutkii juttua vain, jos uhri vaatii tekijälle rangaistusta.

Lakiteksti on muotoiltu siten, että identiteettivarkaudesta voidaan tuomita:
  • jos erehdyttääkseen kolmatta osapuolta käyttää oikeudettomasti toisen henkilötietoja, tunnistamistietoja tai muuta vastaavaa yksilöivää tietoa ja aiheuttaa taloudellista vahinkoa tai vähäistä suurempaa haittaa.
  • Laki koskee yksityishenkilöiden lisäksi myös esimerkiksi yrityksiä.
Laissa mainitun haitan tulee siis olla vähäistä suurempi. Käytännössä esimerkiksi tilanteet, joissa varastetulla identiteetillä on tehty petos, jonka seurauksena syntyneiden aiheettomien laskujen selvittäminen vie aikaa ja vaivaa. Myös toisen henkilötiedoilla luodun valeprofiilin poistaminen saattaa olla hyvinkin hankalaa ja aikaa vievää. Tällaiset tilanteet voivat esimerkiksi johtaa lain mainitsemaan vähäistä suurempaan haittaan.

Some-rikokset arkipäiväistyvät mutta keinot niiden estämiseen eivät

Sisäministeriön poliisitarkastaja Antti Simanainen kritisoi, sitä, että juttujen selvittämiseksi tarvittavien tunnistamistietojen hankinta voi osoittautua ongelmalliseksi. Identiteettivarkaus ei nimittäin mahdollista televalvonnan käyttöä pakkokeinona.

Edelleen parhaimpana mahdollisuutena säilyy se, että asianomainen itse ilmoittaa omalla oikealla profiilillaan asiasta palvelun ylläpitoon, jolloin väärä profiili usein poistuu parhaiten. Nähtäväksi jää antaako lainsäätäjä viranomaisille riittävät työkalut identiteettivarkauksien tehokkaaseen tutkintaan.

Sosiaalisen median käyttö kasvaa ja sen tarjoamat palvelut ja sovellukset monipuolistuvat entisestään. Voi hyvin olettaa, että sosiaalista mediaa hyväksi käyttävä rikollisuus kasvaa vähintäänkin samassa tahdissa.

-Mika Kuusisaari, Opsec Oy

Lähde: 

keskiviikko 11. maaliskuuta 2015

Tietoturvan "villi länsi"

Minkään muun turvallisuuden osa-alueen kehitys ei ole kai ollut yhtä kaoottista, hallitsematonta ja sekavaa kuin tietoturvan. Kyberturvallisuus -sanakin kuulostaa jo tavallisesta yrittäjästä uhalta, josta pitää pysyä kaukana.

Palo- ja pelastusturvallisuuden nimissä ei tietääkseni ole sytytelty yritysten ja valtion virastojen rakennuksia tuleen. En ole kuullut, että voisin kantaa tavaraa kaupasta ulos maksamatta kaupan hävikintorjunnan testaamiseksi. Jos vierailen pankissa sulkemisajan jälkeen, niin seuraavan päivän otsikoissa ei pääasia ole poliisin muutaman minuutin myöhästyminen hälytystehtävältä. Enkä takuulla saisi millään foorumilla netissä sympatiaa siitä, että olipa tuo Jari noheva, kun huomasi tällaisen puutteen poliisin toiminnassa.

Minkä ihmeen takia tietoturvan nimissä saa tehdä typeryyksiä, rikkoa lakia ja toimia edesvastuuttomasti? Tarkoittaako se, että lain valvonta ei ylety sähköiseen maailmaan vielä? Vaiko että toimialalla on keskimääräistä enemmän vastuuttomia ja hölmöileviä yrittäjiä? Mediasta saa tällä hetkellä kuvan, että kuka tahansa voi hyökätä mihin tahansa, murtaa ja varastaa mitä tahansa ja aina syy on uhrissa. Esimerkiksi eiliseen Tekes -tietomurtoon liittyvä uutisointi keskittyy siihen, mitä Tekes aikoo nyt tehdä. Entä ne rikolliset?!? Minua kiinnostaa paljon enemmän se, että millä tuollainen yritys saadaan pois markkinoilta, vastuuhenkilöt tuomittua ja palautetaan asiat normaalitilaan ja ihmisten usko vastuulliseen yritystoimintaan.


Tietoturvallisuus ja kyberturvallisuus ovat nopean kehitysvauhtinsa vuoksi koko ajan muuttuvassa tilassa. Ja osalla alan toimijoista iskee välillä vauhtisokeus - etenkin jos osaamista ja kokemusta on vähemmän kuin intoa. Tilanne on paha, kun tällainen toiminta alkaa muuttua niin hyväksyttäväksi, että poliisikaan ei välttämättä enää suhtaudu asiaan sen vaatimalla vakavuudella. Jos kuka tahansa voi hyökätä mihin tahansa jälkikäteisselitysten turvin, ei kukaan ole enää turvassa.

  • Entä jos "testaajalla" ei ole oman ympäristön tietoturva kunnossa ja "tietoturvatestaus" aiheuttaa enemmän vaaraa kuin haavoittuvuus
  • Entä jos testaajalla ei olekaan moraali kunnossa? Asiasta ei esimerkiksi ilmoitetakaan, kun huomataan, ettei jääty kiinni ja saatu tieto onkin yllättäen arvokasta ja mielenkiintoista. 
  • Mikä takaa, että haavoittuvuudesta oli alun perin tarkoitus ilmoittaa? Vai tehtiinkö ilmoitus vain siksi, että saadulla tiedolla ei ollutkaan hyötykäyttöä? 
  • Mitä tiedolle tapahtuu sillä välillä kun "testaaja" on haavoittuvuuden todennut siihen, että asiasta ilmoitetaan? Kenen vastuulla on sen luottamuksellisuus?
Millaista sähköistä toimintaympäristöä me tällä luomme? Miten jatkuu tietoyhteiskunnan kehitys? Haavoittuvuuksia on aina ollut ja niitä tulee aina olemaan. Emme me saa koskaan sähköisiä ympäristöjä täydelliseen kuntoon. Pitkästä liikenneturvallisuustyöstä huolimatta kolareja sattuu edelleen. Mutta ei naapurin auton kylkeä silti saa lommoille potkia varashälyttimen testaamiseksi.


perjantai 30. tammikuuta 2015

Viestintärauhan rikkominen ja vaino

Vuoden 2014 alusta viestintärauhan rikkominen ja vainoaminen tulivat uusiksi rikosnimikkeiksi. Myös meidän toimeksiannoissa nämä ovat näkyneet, mutta enemmän aikaisemmilla rikosnimikkeillä kuten kunnianloukkaus, laiton uhkaus, salakuuntelu, salakatselu tai yksityiselämää loukkaavan tiedon levittäminen. 

Rikosuhripäivystyksen nettisivujen mukaan:

"Viestintärauhan rikkomiseen syyllistyy se, joka häirintätarkoituksessa toistuvasti lähettää viestejä tai soittaa toiselle siten, että teko on omiaan aiheuttamaan huomattavaa häiriötä tai haittaa.  Säännös laajentaa häirintäviestinnän rangaistavuutta muihinkin viestintävälineisiin, eikä rangaistavuus ole enää sidottu siihen, että puhelu tai viesti vastaanotetaan kotirauhan piirissä." 
"Vainoamiseen syyllistyy, se joka toistuvasti uhkaa, seuraa, tarkkailee, ottaa yhteyttä tai muuten näihin rinnastettavalla tavalla oikeudettomasti vainoaa toista siten, että se on omiaan aiheuttamaan vainotussa pelkoa tai ahdistusta"
Viestintärauhan rikkominen on asianomistajarikos, mutta vainoaminen on virallisen syytteen alainen rikos. Vuonna 2014 rikosilmoituksia viestintärauhan rikkomisesta on kirjattu 1124 ja vainosta 633. Vertailun vuoksi laittomia uhkauksia kirjataan noin 8 000 ja lähestymiskieltoja määrätään noin 1500 vuosittain. Lähestymiskieltojen rikkomisia tapahtuu noin 1 000 vuosittain. Ulkomaisten tutkimusten mukaan vainon kohteena miehistä on noin 4-7% ja naisista 12-16%. Vaino voi kohdistua julkisuuden henkilöihin, ammattiryhmiin tai mihin tahansa, mutta noin puolet kohdistuu entisiin parisuhdekumppaneihin ja useimmiten tekijänä on mies. Naisten osuus uhreista on noin 75 - 80%. Etenkin parisuhdevainoon on syytä suhtautua vakavasti. Varsinkin silloin, kun vainoaminen on jo suhteen aikana sisältänyt esimerkiksi väkivaltaa. Noin 70-80% ex-kumppaninsa surmanneista on vainonnut ennen henkirikosta.

Vainoon liittyy olennaisesti tänä päivänä digitaalinen maailma; sosiaalinen media, uudet laitteet ja uudet viestintäteknologiat. Toisaalta se tarjoaa vainoajalle työkaluja, mutta yhtä lailla myös vainotulle sosiaalisen tukiverkoston. Sen lisäksi, että esimerkiksi sosiaalinen media on hyvä tietolähde, liittyy laitteisiin vakaviakin riskejä varsinkin paikannuspalvelujen kautta. Esimerkiksi sinällään harmiton kuva sisältää nykyään lähes aina kuvan ottamispaikan koordinaatit. Tietokoneiden ja puhelinten seuranta sekä haittaohjelmien kautta tapahtuva vainoaminen on myös erittäin yleistä. Vaino alkaa usein jo suhteen aikana ja vielä parisuhteessa kumppanilla on mahdollisuus päästä toisen laitteisiin ja tileihin käsiksi.

Olennaisena osana vainolta suojautumisessa on digitaalinen suojaamissuunnitelma. Myös todistusaineiston keruu on huomioitava alusta asti. Ongelmalliseksi nämä asiat tekee yleensä se, että vainon kohteen traumatisoituminen ja vainon aiheuttama stressi aiheuttaa muutoksia kyvyssä tunnistaa riskejä, suojella itseään tai lapsiaan tai ylipäätään hakea apua. Tästä huolimatta asiantuntija-apua on syytä hakea. Avun hakeminen voi kuitenkin ääritilanteissa aiheuttaa väkivallan uhan lisääntymisen. Tästä syystä meilläkin on ohjeet luottamukselliseen yhteydenottoon.

Vaikka olemme IT-alan yritys, henkilöstöllämme on myös sosiaalialan koulutusta ja vaikeat tilanteet ovat meille tuttuja. Vahvan turvallisuusosaamisemme vuoksi meiltä kannattaa kysyä apua, jos epäilet digitaalista seurantaa tai sinä tai läheisesi tarvitsee suojaamissuunnitelmaa digitaalisen yksityisyytensä suojaamiseksi.