Tietoturvan ajankohtaiskatsaus: Turvallisuusympäristön muutos ja korkeakoulujen tietoturva

Julkaistu kirjoittanut Teemu Seppänen

Maailmalla herättiin uudenlaiseen turvallisuustilanteeseen tänä vuonna, kun Venäjä aloitti hyökkäyssodan Ukrainassa. Sota on kybermaailmassa laajentunut myös Ukrainan rajojen ulkopuolelle, ja Venäjä on toteuttanut lisääntyvissä määrin erilaisia kyberhyökkäyksiä Ukrainaa tukeviin maihin. Suomalaisella korkeakoulukentällä tietoturvauhkien lisääntymistä ei ole vielä merkittävästi havaittu, mutta tänäkin syksynä Helsingin yliopiston sähköpostilaatikot ovat saaneet osansa tietojenkalasteluhyökkäyksistä ja huijausyrityksistä. Tässä tietoturvan ajankohtaiskatsauksessa tarkastellaan turvallisuusympäristön muutosta korkeakoulujen näkökulmasta ja tarjotaan ohjeita sekä vinkkejä tietoturvan edistämiseen niin töissä kuin vapaa-ajalla.

Teksti: Teemu Seppänen (tietotekniikkakeskus)

Valtioneuvosto julkaisi huhtikuussa 2022 ajankohtaisselonteon Suomen ja Euroopan turvallisuusympäristön muutoksesta Venäjän hyökättyä Ukrainaan. Selonteon mukaan ”Venäjä todennäköisesti laajentaa kyber- ja informaatio-operaatioitaan Ukrainasta länteen”. Lisäksi tietoturva-asiantuntijat arvioivat Suomen Nato-hakemuksen jättämisen lisäävän kyberiskuja Suomeen [1], mutta toistaiseksi hyökkäykset ovat jääneet odotettua vaisummiksi [2]. Myös Kyberturvallisuuskeskuksen syyskuun Kybersää-raportin mukaan Suomeen kohdistunut kyberuhkataso on noussut [3, pdf].

Näkyvin venäläisten nimissä tehty kybertoimi Suomessa oli elokuussa eduskunnan verkkosivuille kohdennettu palvelunestohyökkäys, joka lamautti verkkosivut hetkellisesti [4]. Euroopan parlamentin hyväksymä julkilausuma Venäjästä terrorismia tukevana valtiona johti taas siihen, että parlamenttiin verkkosivuille tehtiin verkkohyökkäys pian julkilausuman hyväksymisen jälkeen [5]. Verkkosivuja tai -palveluja tilapäisesti kaatavat palvelunestohyökkäykset saavat paljon huomiota mediassa, mutta niiden aiheuttamat haitat ovat pahimmillaankin vain tilapäisiä.

Kyberturvallisuuskeskuksen syyskuun Kybersää-raportin mukaan Suomeen kohdistunut kyberuhkataso on noussut.

Laajemmassa mittakaavassa yhteiskuntaan ja korkeakouluihin kohdistuvat informaatio-operaatiot voivat tavoitella korkeakoulukentän ja yhteiskunnan toiminnan horjuttamista. Kuitenkin Venäjän informaatiovaikuttaminen länsimaissa Ukrainan sodan aikana on osoittautunut oletettua heikommaksi. Sen sijaan kehittyvissä maissa Venäjän luomille sotaa oikeuttaville narratiiveille on vastaanottavaisuutta [6]. Mali on uusin esimerkki siitä, miten Venäjä on kasvattanut nopeasti vaikutusvaltaansa Afrikassa [7]. Suomessa informaatiovaikuttamisen suhteen ollaan siinä mielessä hyvässä tilanteessa, että väestön medialukutaito ja digiosaaminen on keskimääräisesti kiitettävällä tasolla. Voiko turvallisuusympäristön muutos siis mahdollisesti näkyä Suomessa myös yliopistolaisen arjessa?

Korkeakoulujen kyberuhkat ovat pääosin sähköpostihuijauksia

Suoraan Helsingin yliopistoon kohdistuneita hyökkäyksiä, joiden voisi kohtuudella sanoa liittyvän jotenkin turvallisuuspoliittiseen tilanteeseen, ei tänä vuonna ole havaittu. Korkeakoulujen tyypilliset tietoturvauhkat ovat tietojenkalasteluhyökkäyksiä ja huijauksia, joiden tavoitteena on kaapata käyttäjätunnuksia, päästä korkeakoulun järjestelmiin tai esimerkiksi saada taloudellista hyötyä. Kaapattuja tunnuksia voidaan muun muassa käyttää huijausten ja kalasteluviestien eteenpäin lähettämiseen, koska yliopiston nimissä saapuneet viestit koetaan yleensä luotettaviksi. Viimeaikaisena esimerkkinä ovat Suomen poliisin nimissä lähetetyt sähköpostihuijaukset [8], jotka löysivät tiensä myös Helsingin yliopiston henkilökunnalle ja opiskelijoille. Ei voida kuitenkaan suoraan sanoa, että kaikkien ulkoisten tietoturvauhkien jäljet juontavat esimerkiksi Venäjälle tai Kiinaan, mutta monesti näissä tapauksissa suunta osoittaa itään. Yksittäisiin korkeakouluihin lähetetään satojatuhansia kalasteluviestejä kuukausittain, niistä suurin osa ei läpäise teknisiä suojaustoimia eikä täten näy yliopistolaisille.

Yksittäisiin korkeakouluihin lähetetään satojatuhansia kalasteluviestejä kuukausittain, niistä suurin osa ei läpäise teknisiä suojaustoimia eikä täten näy yliopistolaisille.

Huijausten lisäksi korkeakoulujen riesana voivat olla kiristyshaittaohjelmahyökkäykset, jotka ovat eurooppalaisella korkeakoulusektorilla vakiintunut ilmiö. Helmikuussa 2022 Savonia-ammattikorkeakoulu joutui kiristyshaittaohjelman kohteeksi. Ohjelma lukitsi yliopiston tiedostoja ja vei noin 50 opiskelijan henkilötietoja, jotka julkaistiin Tor-verkossa [9]. Tiedostojen vapauttamiseksi vaadittiin lunnaita Bitcoin-virtuaalivaluutalla.

Kyberturvallisuuskeskuksen tiedotustilaisuudessa kyberturvallisuusjohtaja Rauli Paananen korosti erityisesti yritysten ja kansalaisten valppautta siinä, että laitteiden tietoturvapäivitykset pidetään ajan tasalla [5]. ”Ohjelmistohaavoittuvuuksia hyödynnetään hyökkäyksissä nyt erittäin nopeasti sen jälkeen, kun haavoittuvuus on tullut ilmi”, Paananen sanoi.

Helsingin yliopiston tietoturvaan vaikuttavia tekijöitä.

Yksilöiden tietoturvaosaaminen tärkeässä osassa

Oikeanlaisella tietoturvakäyttäytymisellä on edelleen merkittävä rooli tietoturvauhkien ennaltaehkäisyssä, koska mikään tekninen järjestelmä ei ole sataprosenttisen tietoturvallinen. Tietomurto tai -vuoto voi tapahtua, vaikka turvallisuuden eteen olisi kaikki mahdollinen tehty. Monesti toteutuneet tietomurrot ovat ihmisen toiminnan sekä tietotekniikan haavoittuvuuden yhteissumma. Olennaista onkin myös kyky reagoida oikein ja selvitä näistä ikävistä tilanteista. Helsingin yliopistolla on luotu toipumissuunnittelun periaatteet ja kriittisyysluokitus, jotka ohjaavat toimintaa tietojärjestelmän kohdatessa häiriötilanteen (lue aiheesta lisää Flamma-intranetistä).

Lokakuussa 2022 julkaistun digiturvabarometrin mukaan 75 prosenttia suomalaisista ei ole osallistunut digiturvakoulutukseen viimeisen vuoden aikana ja 40 prosenttia vastaajista ei ole huolissaan digiturvasta [10]. Suomalaiset menettävät kuitenkin vuosittain kymmeniä miljoonia euroja erilaisissa nettihuijauksissa, joten ehkä aihetta huoleen kuitenkin olisi [11, pdf]. Vuonna 2021 pankkitunnuksia huijattiin viesteillä, jotka oli väärennetty näyttämään viranomaisen palveluilta, kuten Omakanta tai Suomi.fi. Tänä vuonna taas poliisin nimissä tehdyt huijaukset ovat yleistyneet. Voidaan todeta, että koulutuksille ja tietoisuuden lisäämiselle olisi tarvetta.

Digiturvallisuuteen liittyvät teot arjessa (Digi- ja väestötietoviraston Digiturvabarometri, 10.10.2022).

Vapaa-ajalla tietoturvaan keskittyminen on usein erilaista kuin työpaikalla. Työpaikalla käytössä ovat usein valmiiksi suojatut laitteet, IT-tuki sekä tietoturvaohjeistukset ja -politiikat. Vapaa-ajalla omien laitteiden tietoturva on taas pitkälti omissa käsissä ja jokainen on lähtökohtaisesti vastuussa vain itselleen. Kuitenkin hybridityön arjessa kotiverkon saastuminen ja omilla laitteilla työasioiden hoitaminen voivat siirtää tietoturvauhkia vapaa-ajalta työpaikalle. Tietoturvaa täytyykin katsoa kokonaisuutena, josta huolehtiminen ei pääty työpaikalta lähtiessä tai työläppärin sulkeutuessa, vaan on mielessä myös vapaa-ajalla.

Hybridityön arjessa kotiverkon saastuminen ja omilla laitteilla työasioiden hoitaminen voivat siirtää tietoturvauhkia vapaa-ajalta työpaikalle.

Tietoturvakoulutukset ja -testit ovat osa organisaatioiden arkea

Useimmat organisaatiot järjestävät työntekijöilleen tietoturvakoulutuksia ja tuottavat tietoturvaan keskittyviä kampanjoita. Helsingin yliopistolla on käytössä kerran vuodessa suoritettava pakollinen tietoturvatesti yliopistolaisille, jolla halutaan muistuttaa tietoturvan tärkeydestä, sen perusasioista sekä ajankohtaisista ilmiöistä (lue tietoturvatestistä lisää Flamma-intranetistä). Lisäksi tietotekniikkakeskus viestii ja tiedottaa tietoturvauhkista sekä jakaa ohjeistusta ja vinkkejä työarjen tietoturvaan (lue lisää yliopiston tietoturvasta Flamma-intranetistä). Tietoturvakouluttamisen haasteena isossa korkeakoulussa on laaja osaamisen tason vaihtelu – osa on alan asiantuntijoita ja osalla on haasteita perustason osaamisen haltuunotossa. Vuoden aikana yliopistolaisilta saatua palautetta tietoturvatestistä hyödynnetään aina keväisin, kun testi uudistetaan seuraavalle lukuvuodelle.

Muutama vinkki tietoturvan edistämiseen!

  • Yliopistolla käytössä oleva MFA eli Multi-Factor Authentication tarkoittaa käytännössä sitä, että käyttäjätunnuksen ja salasanan lisäksi kirjautuminen täytyy vahvistaa esimerkiksi puhelimeen saapuvalla tekstiviestillä tai soitolla. Katso tarkemmat ohjeet IT-Helpdeskin ohjesivustolta.
  • Jos saat kalasteluviestin, ilmoita siitä Microsoftille Outlookissa (Roskaposti > Report as Phishing). Katso tarkemmat ohjeet IT-Helpdeskin ohjesivustolta. Outlookissa jätetyt kalasteluilmoitukset menevät tiedoksi myös yliopiston sähköpostiylläpidolle ja auttavat torjumaan tietoturvauhkia. Viesteistä ei tarvitse erikseen ilmoittaa IT-Helpdeskille.
  • Oma tietokone on lukittava työpisteeltä poistuttaessa, jopa WC:ssä käynnin ja kahvin hakemisen ajaksi. Tämä koskee kaikkia yliopiston tiloja sekä julkisia tiloja.
  • Yliopiston laitteet päivittyvät automaattisesti, muistathan toimia päivityskehotusten mukaisesti. Päivitykset ovat tärkeä osa laitteiden turvallisuutta. Henkilökohtaiset laitteet eivät välttämättä päivity automaattisesti, joten tarkistathan omien laitteiden päivitykset myös säännöllisin väliajoin.

Teemu Seppänen (HY) työskentelee tietotekniikka-asiantuntijana Helsingin yliopiston tietotekniikkakeskuksessa tietoturvan parissa. Hän valmistelee myös tietoturva-aiheista väitöskirjaa Jyväskylän yliopistossa.

Lähteet:

  1. Moilanen, P. (2022). Sotia käydään myös digitaalisesti: eikä Ukrainan sota ole poikkeus. Sytyke, 10(2), 18-21.
  2. Niinistö, M. (2022). Venäjä yllätti: Maan kyky tehdä kyberhyökkäyksiä vaikuttaa olevan huono – ”Venäjän paukut on käytetty”, arvioi asiantuntija. Yle 12.8.2022.
  3. Traficom (2022). Kybersää: Syyskuu 2022 [pdf].
  4. Bodganov, J. & Tolkki, K. (2022). Venäläinen hakkeriryhmä ilmoittautui eduskunnan sivujen kaatajaksi – Mikko Hyppönen: ei ole mitään syytä epäillä ilmoitusta. Yle 10.8.2022.
  5. Lapintie, L. (2022). Kyberhyökkäykset ovat yleistyneet, kansalaisia kehotetaan valppauteen. Helsingin Sanomat 25.11.2022.
  6. Valtioneuvosto (2022). Ajankohtaisselonteko turvallisuusympäristön muutoksesta.
  7. Tolsa, M. & Toivonen, P. 2022. Venäjän toinen rintama. Yle 27.11.2022.
  8. Poliisi (2022). Poliisi varoittaa – poliisijohdon nimissä lähetetty huijausviestejä. Poliisi.fi 7.9.2022.
  9. Rytkönen, A. (2022). Tietomurrossa uusi käänne: Savonian opiskelijoiden tietoja julkaistiin Tor-verkossa. Yle 16.2.2022.
  10. Digi- ja väestötietovirasto (2022). Digiturvabarometrin tulokset herättävät huolen suomalaisten digiturvaosaamisen tasosta – ”Nyt tarvitaan koulutusta”. Dvv.fi 10.10.2022.
  11. Traficom (2022). Tietoturvan vuosi 2021: Kyberturvallisuuden vuosikatsaus [pdf].