Yleissivistys on avain kyberturvallisuuteen - Koulutuskeskus Salpaus
Salpaus > Ajankohtaista > Yleissivistys on avain kyberturvallisuuteen
Uutinen
Jyrki Kasvi
Tietoyhteiskunnan kehittämiskeskus TIEKE ry:n kehitysjohtaja Jyrki Kasvi puhui kyberturvallisuudesta ja esineiden internetistä Salpauksessa.
17.3.2015 15:50

Yleissivistys on avain kyberturvallisuuteen

- Maailmassa, jossa kaikki esineetkin on kytketty verkkoon, ei ole enää kyberturvallisuutta, vaan turvallisuutta.
 
Näin totesi Tietoyhteiskunnan kehittämiskeskus TIEKE ry:n kehitysjohtaja Jyrki Kasvi, joka puhui Koulutuskeskus Salpauksen Kyberturvallisuustapahtumassa maaliskuun alussa.
 
Jyrki Kasvin mielestä yleissivistys on avain myös turvallisuuteen.
 
- Suomalaiset vanhemmat kieltävät lapsiltaan netin käytön, jos siinä ilmenee ongelmia. Se ei ole ratkaisu vaan turvallisuusriski, koska lapset käyttävät silloin nettiä salaa eivätkä luota vanhempiensa arvostelukykyyn.
 
Tietojärjestelmien ja tietovarantojen heikko hallinta voi vaarantaa kansalaisten tietoturvan ja yksityisyyden. Myös lainsäädäntö laahaa perässä teknologian kehityksestä: esimerkiksi modeemikaappauslaki saatiin voimaan vuosikymmen liian myöhään.
 
- Suomessa on toisaalta tietoturvan kansainvälisiä huippuyrityksiä, mutta toisaalta ammattilaisten ja ihan kaikkien ihmisen osaamisessa on paljon toivomisen varaa.
 
Myös resursseista on pulaa: kyberturvallisuuskeskuksen perustamiseen varattiin saman verran resursseja kuin Helsingin kaupungin kanintorjuntaan.
 

Esineiden internet tulee arkeen

Jääkaappi tietää, mitä syöt ja muki tietää, mitä juot. Piilolinssi seuraa verensokeriasi, ranneke sykettäsi ja verenpainettasi. Lattia tietää, oletko pystyssä vai makaatko kaatuneena maassa.
 
- Esineiden internet on jo arkea. Sosiaalinen media teki internetistä ihmisten verkon, esineiden internet tekee siitä taas koneiden verkon, sanoi Kasvi.
 
Kotona kukkaruukku lähettää tiedon älypuhelimeen, kun kukkaa pitää kastella. Pyykinpesukone tunnistaa pyykkien laadun ja hakee sopivan pesuohjelman automaattisesti. Kosteusanturit kosteissa tiloissa hälyttävät liiasta kosteudesta.
 
Kaikki tämä on teknisesti mahdollista, mutta ei vielä Suomessa kovinkaan laajasti käytössä. Miksi?
 
- Kehitys on niin nopeaa, että emme pysy perässä. Olemme osittain jämähtäneitä. Suomi alkaa olla myös viimeisiä maita, joissa luetaan näin paljon kirjoja ja lehtiä paperilta.
 

Kuka omistaa tiedon?

Lahden tietotekniikan toimitusjohtaja Jarmo Tuovinen antoi Kyberturvallisuustilaisuudessa vinkkejä pilvipalvelujen käyttäjille ja pilveen aikoville. Kun yritys tai yksityinen henkilö punnitsee tietojen ylläpitoa pilvipalveluissa, on syytä selvittää esimerkiksi, kuka omistaa tiedon ja sen käyttöoikeudet. Pääsääntö on, että tiedon omistajuus ja siihen liittyvät oikeudet ovat sillä henkilöllä tai organisaatiolla, joka on tuottanut tiedon alun perin.

Erityisen tärkeää on huomioida tiedon hallintaan ja käsittelyoikeuteen liittyviä seikkoja. Jos yritys säilyttää pilvessä muun tiedon ohella myös liikesalaisuuksiaan, on varmistettava etteivät henkilöt, joilla ei ole oikeutta käsitellä näitä tietoja, pääse niihin käsiksi.

- On hyvä varmistaa sopimuksin, että käsittelyoikeus säilyy vain organisaatiolla itsellään. Arvioitavaksi voi tulla myös se, pitääkö yrityksen ja pilvipalveluntarjoajan välillä solmia salassapitosopimus, sanoi Tuovinen.
 

Missä tieto sijaitsee?

Pilvipalvelun käyttäjän tulee varmistaa, missä hänen tallentamansa tieto sijaitsee koko sen elinkaaren aikana. Pilvipalveluun tallennetut tiedot voivat sijaita palvelun tarjoajasta riippuen yhdessä tai useammassa eri paikassa, yhdessä tai useammassa eri maassa.
 
Tiedon sijainti vaikuttaa muun muassa seuraaviin seikkoihin:
  • Mitä tietoa kyseiseen palveluun saa tallettaa oman maan lakien puitteissa?
  • Minkä maan lakia sovelletaan mahdollisissa poikkeustapauksissa?
  • Onko jonkin maan viranomaisilla oikeus tutkia tätä tietoaineistoa?
Kun yritys ryhtyy käyttämään pilvipalveluja, on hyvä arvioida riskit ja hyödyt. Onko palvelun käytöstä saatava hyöty riittävän suuri tilanteessa olevaan riskiin nähden? Jos kyseessä on kriittinen tieto, kannattaa siitä pitää varmuuskopio myös muualla kuin pilvessä.
 
Yrityksen kannattaa ohjeistaa, mitä tietoa pilvipalveluun saa tallentaa sekä mihin tarkoitukseen ja millä laitteilla sitä saa käyttää.
 
- Jokaisen on syytä tiedostaa, millaista tietoa käsittelee ja mihin sen voi tallentaa. Yksittäinen käyttäjä voi olla tietoturvallisuuden heikoin lenkki.
 

Huonosti suojattuun verkkoon helppo murtautua

Kyberturvallisuustilaisuudessa pääsi myös seuraamaan, miten langattoman verkon suojaus puretaan.
 
- Netistä löytyy helposti ohjeet, miten langaton verkko pystytään murtamaan. Halusimme tuoda esiin, että ei tarvitse olla alan ammattilainen, jotta pystyy murtautumaan huonosti suojattuun langattomaan verkkoon, kertoo tietojenkäsittelyn opettaja Ismo Turve.
 
Jos murtaa esimerkiksi yrityksen langattoman verkon salasanan, voi päästä käsiksi siinä verkossa oleviin jaettuihin resursseihin tai tietokoneisiin ja valvomaan verkon liikennettä.
 
- Salasanojen murtamiseen tarkoitettujen ohjelmistojen hallussapito ja levittäminen on rikoslaissa kiellettyä, mutta koulutustarkoituksessa ja oman verkon suojauksen edistämiseksi niitä voidaan testata. Opiskelijoille tähdennämme jatkuvasti, mikä on sallittua ja mikä ei.
 
Teksti Silja Häikiö, kuva Natalie Kuokkanen

 
http://www.facebook.com/salpaus
http://www.twitter.com/salpaustweet
http://instagram.com/koulutuskeskussalpaus#
https://www.snapchat.com/add/salpaussnap
http://www.flickr.com/photos/koulutuskeskussalpaus
LinkedIn
http://www.youtube.com/user/KoulutuskeskSalpaus
http://www.salpaus.fi/Sivut/rss.aspx