Tietovarkauden määritelmä
Tietovarkaus tai datavarkaus tarkoittaa henkilökohtaisten, luottamuksellisten tai talouteen liittyvien tietojen siirtämistä tai tallentamista lainvastaisesti. Tiedoilla voidaan tarkoittaa salasanoja, ohjelmistokoodeja, algoritmeja ja omistusoikeudellisesti suojattuja prosesseja ja teknologioita. Tietovarkaus katsotaan vakavaksi tietoturvan ja yksityisyyden rikkomukseksi, jolla voi olla merkittäviä seuraamuksia yksityishenkilöille ja organisaatioille.
Tietovarkaudet
Tietovarkaus tarkoittaa tietokoneeseen, palvelimeen tai elektroniseen laitteeseen tallennettujen digitaalisten tietojen varastamista tarkoituksena saada haltuunsa luottamuksellisia tietoja tai loukata yksityisyyttä. Tietovarkauden tavoitteena voi olla saada haltuun pankkitilitietoja, verkkopalvelujen salasanoja, passien numeroita, henkilökortin numeroita, henkilötunnuksia, terveystietoja, verkkotilausten tunnuksia ja niin edelleen. Kun luvaton henkilö pääsee käsiksi henkilökohtaisiin tai taloudellisiin tietoihin, hän voi poistaa ne, muuttaa niitä tai estää niiden käytön ilman tietojen omistajan lupaa.
Tietovarkaus tehdään usein, koska rikollinen toimija haluaa myydä saamansa tiedot tai käyttää niitä identiteettivarkauden tekemiseen. Jos tietovarkaat saavat haltuunsa tarpeeksi tietoja, he voivat päästä niiden avulla käsiksi suojattuihin tileihin, tilata luottokortteja uhrin nimissä tai hyödyntää uhrin henkilöllisyyttä muulla tavoin omaksi edukseen. Tietovarkaudet olivat aiemmin pääsääntöisesti yritysten ja organisaatioiden ongelma, mutta valitettavasti ne koskettavat nykyään yhä enenevässä määrin myös yksityishenkilöitä.
Vaikka puhumme tietovarkaudesta, tässä tapauksessa varkaudella ei tarkoiteta sitä, että uhri välttämättä menettäisi varastetut tiedot. Tietovarkaustapauksissa hyökkääjä kopioi tai monistaa tiedot omaan käyttöönsä.
Tietovarkauksista puhuttaessa saatetaan käyttää sekä termiä tietomurto että tietovuoto samasta asiasta puhuttaessa. Niillä on kuitenkin selkeä merkitysero:
- Tietovuoto tarkoittaa arkaluonteisten tietojen paljastumista vahingossa, joko Internetissä tai kiintolevyjen tai laitteiden katoamisen seurauksena. Tällöin kyberrikolliset saavat luvatta haltuunsa arkaluonteisia tietoja tekemättä mitään itse aktiivisesti.
- Tietomurto puolestaan tarkoittaa tahallista kyberhyökkäystä.
Tietovarkauksien toteutustavat
Tietovarkauksia tai digitaalisia varkauksia voidaan tehdä monin eri tavoin. Joitakin yleisimmistä esimerkeistä ovat:
Käyttäjien manipulointi:
Yleisin käyttäjien manipuloinnin muoto on verkkokalastelu. Verkkokalastelulla tarkoitetaan sitä, että hyökkääjä yrittää saada viestin vastaanottajan avaamaan sähköposti-, teksti- tai keskusteluviestin lähettämällä sen luotettavan lähettäjän nimissä. Käyttäjien haksahtaminen tietojenkalasteluhyökkäyksiin on yleinen syy tietovarkauden onnistumiselle.
Heikot salasanat:
Helposti arvattavan salasanan käyttäminen tai saman salasanan käyttäminen usealla tilillä voi antaa hyökkääjille helpon pääsyn käsiksi tietoihisi. Heikko salasanahygienia, kuten salasanojen kirjoittaminen muistiin paperille tai jakaminen muiden käyttäjien kanssa, voi myös johtaa tietovarkauteen.
Järjestelmien haavoittuvuudet:
Heikkoon ohjelmistokoodiin ja huonosti suunniteltuihin tai toteutettuihin verkkoihin voi jäädä haavoittuvuuksia, joita hyödyntämällä hakkerit voivat päästä varastamaan tietoja. Myös päivittämättömät virustentorjuntaohjelmat voivat luoda haavoittuvuuksia.
Sisäpiiriuhat:
Organisaatioiden työntekijöillä on yleensä pääsy asiakkaiden henkilötietoihin. Rikollisiksi ryhtyvät tai tyytymättömät alihankkijat saattavat kopioida, muuttaa ja varastaa tietoja. Sisäpiiriuhka ei myöskään rajoitu pelkästään nykyisiin työntekijöihin. Myös organisaation entisillä työntekijöillä, alihankkijoilla tai kumppaneilla voi olla pääsy organisaation järjestelmiin tai arkaluonteisiin tietoihin. Sisäpiiriuhkaan perustuvat tapaukset ovat ilmoitusten mukaan nousussa.
Inhimilliset virheet
Tietovuodot eivät välttämättä ole seurausta pahansuovista aikeista. Ne saattavat perustua yksinkertaisiin inhimillisiin virheisiin. Yleisiä virheitä ovat arkaluonteisten tietojen lähettäminen väärälle henkilölle esimerkiksi lähettämällä sähköpostiviesti väärään osoitteeseen, liittämällä viestiin väärä asiakirja tai luovuttamalla fyysinen asiakirja henkilölle, jolla ei pitäisi olla oikeutta käsitellä sitä. Inhimillinen virhe voi johtaa myös virheellisiin määrityksiin esimerkiksi, kun työntekijä jättää arkaluonteisia tietoja sisältävän verkkotietokannan salasanasuojauksen määrittämättä.
Vaaralliset lataukset
Henkilö saattaa ladata vahingossa tietokoneeseensa viruksia, matoja tai haittaohjelmia sisältäviä ohjelmia tai tietoja vaarallisilta verkkosivustoilta. Näin rikolliset pääset käsiksi lataajan laitteisiin varastamaan niistä tietoja.
Fyysinen toiminta
Tietovarkaudet eivät rajoitu kyberrikollisuuteen vaan niihin voi liittyä myös fyysistä toimintaa. Rikolliset saattavat varastaa esimerkiksi fyysisiä asiakirjoja tai kannettavia, puhelimia tai tallennusvälineitä. Etätyöskentelyn yleistyttyä myös kadonneiden tai varastettujen laitteiden määrä on kasvanut. Kun työskentelet julkisissa tiloissa, kuten kahvilassa, joku voi näyttöäsi ja näppäimistön käyttöäsi seuraamalla saada varastettua esimerkiksi kirjautumistietosi. Tietovarkaat hyödyntävät myös kortinlukijoita eli pankkiautomaattien korttiaukkoon asennettavia laitteita, jotka keräävät käytettyjen pankkikorttien tiedot.
Tietokanta- ja palvelinongelmat
Kun tietojasi tallessa pitävä yritys joutuu hyökkäyksen kohteeksi tietokanta- tai palvelinongelman seurauksena, hyökkääjä saattaa saada käsiinsä yrityksen asiakkaiden henkilötietoja.
Julkisesti saatavana olevat tiedot
Tietoja on tarjolla runsaasti julkisista lähteistä esimerkiksi Internet-hauilla ja käyttäjien sosiaalisten median julkaisuja tutkimalla.
Mitä tietoja varkaat yleensä tavoittelevat?
Tietovarkaiden kohteena voivat olla mitkä tahansa yksityishenkilön tai organisaation tallentamat tiedot. Esimerkiksi:
- asiakastiedot
- taloudelliset tiedot, kuten pankki- tai luottokorttiotteet
- lähdekoodit ja algoritmit
- omistusoikeudellisesti suojattujen prosessien kuvaukset ja menettelytavat
- verkkotunnistetiedot, kuten käyttäjänimet ja salasanat
- henkilöstöhallinto- ja työntekijätiedot
- tietokoneisiin tallennetut yksityiset asiakirjat.
Tietovarkauden seuraamukset
Tietomurron kohteeksi joutuville organisaatioille seuraamukset voivat olla vakavat:
- Asiakkaat, joiden tiedot ovat altistuneet, voivat alkaa oikeustoimiin.
- Kiristysohjelmia käyttävät hyökkääjät voivat vaatia lunnaita.
- Korjauskustannukset, kuten murrettujen järjestelmien palauttaminen tai paikkaaminen, voivat nousta korkeiksi.
- Maine kärsii ja asiakkaita saattaa siirtyä muualle.
- Viranomaiset saattavat määrätä rangaistusmaksuja (toimialasta riippuen).
- Toiminnot saattavat keskeytyä tietojen palautuksen ajaksi.
Yksityishenkilöille merkittävin seuraamus tietovarkaudesta on, että se saattaa johtaa identiteettivarkauteen, mistä voi seurata taloudellisia tappioita ja stressiä.
Tietojen pitäminen turvassa ja suojattuina
Miten tiedot sitten voi suojata kyberrikollisilta? Rikollisten tietovarkauksia voi ehkäistä monella eri tavalla. Niitä ovat esimerkiksi seuraavat:
Käytä turvallisia salasanoja
Hakkerit pystyvät murtamaan salasanat helposti, ellet käytä vahvoja salasanoja. Vahvassa salasanassa on vähintään 12 merkkiä ja siinä on sekä isoja että pieniä kirjaimia, symboleja ja numeroita sekaisin. Mitä lyhyempi ja yksinkertaisempi salasanasi on, sitä helpommin kyberrikolliset saavat sen murrettua. Vältä ilmiselviä merkkiyhdistelmiä, kuten peräkkäisiä numeroita (”1234”) tai henkilötietoja, jotka joku sinut tunteva voi arvata, kuten syntymäpäiväsi tai lemmikkisi nimi.
Salasanan vahvuutta voi lisätä helposti muodostamalla salasanan ”salalauseesta”. Salalauseella tarkoitetaan jotakin itsellesi merkityksellistä sanontaa, jonka muistat helposti. Salasana muodostetaan salalauseesta ottamalla sanonnan jokaisen sanan ensimmäinen kirjain ja muodostamalla salasana niistä.
Älä käytä samaa salasanaa useilla tileillä
Jos käytät samaa salasanaa eri tileillä, hakkeri saattaa päästä käsiksi muihin tileihisi, jos hän saa tietoonsa yhden tilisi salasanan. Muista vaihtaa salasanasi säännöllisesti, noin puolen vuoden välein.
Vältä salasanojen kirjoittamista muistiin
Jos salasanan kirjoitetaan muistiin paperille, Excel-taulukkoon tai puhelimesi muistiinpanosovellukseen, hakkeri saattaa löytää sen tietojasi urkkiessaan. Jos salasanoja on niin paljon, että niiden muistaminen on vaikeaa, kannattaa harkita salasanojen hallintaohjelman käyttöönottamista.
Monivaiheinen todennus
Monivaiheinen todennus (josta käytetään myös lyhennettä MFA), jonka yleisin muoto on kaksivaiheinen todennus (TFA tai 2FA), on menetelmä, joka vahvistaa Internet-käyttäjien tietoturvaa lisäämällä perinteisen sähköpostiosoitteen/käyttäjänimen ja salasanan yhdistelmään perustuvan kirjautumisen rinnalle uusia todennusmenetelmiä. Kaksivaiheinen todennus tarkoittaa sitä, että sinun on todennettava henkilöllisyytesi kahdella eri tavalla, jotta pääset kirjautumaan. Ensimmäinen näistä todennustavoista on salasana ja toinen on yleensä älypuhelimeesi lähetettävä todennuskoodi tai biometrinen tunnistus sormenjälkeä, kasvojasi tai silmäsi verkkokalvoa käyttämällä. Ota aina monivaiheinen todennus käyttöön tileilläsi, jos se on mahdollista.
Jaa henkilötietojasi harkiten
Pyri pitämään tietosi niin verkossa kuin muussakin elämässäsi vain niitä oikeasti tarvitsevien tiedossa. Jos joku esimerkiksi kysyy henkilötietojasi, kuten henkilötunnustasi, luottokorttisi tai passisi numeroa, syntymäaikaa, työhistoriaa tai luottoluokitustasi, kysy, mihin kysyjä tarvitsee näitä tietoja ja miten niitä käytetään. Tiedustele myös, miten he ovat varmistaneet henkilötietojesi pysymisen turvassa.
Rajoita tietojen jakamista sosiaalisissa medioissa
Tutustu käyttämiesi sosiaalisen median palvelujen tietoturva-asetuksiin ja varmista, että ne on asetettu turvalliseksi kokemallesi tasolle. Vältä paljastamassa käyttämiesi some-palvelujen kuvauksissasi osoitteesi ja syntymäaikasi kaltaisia tietoja, sillä rikolliset saattavat koota niiden avulla sivusta tarkan kokonaiskuvan itsestäsi.
Sulje tilit, joita et käytä
Monet meistä ovat kirjautuneet aikanaan verkkopalveluihin, joita emme enää käytä. Mikäli näiden palvelujen tilit ovat edelleen olemassa, ne sisältävät todennäköisesti henkilötietojasi, tietoja identiteetistä tai luottokorttiesi numeroita, jotka kaikki ovat arvokasta tietoa kyberrikollisille. Ja mikä pahinta, jos käytät samaa salasanaa useilla eri tileillä (mikä ei ole suositeltavaa), unohtamaltasi sivustolta vuotaneella salasanalla voidaan päästä käyttämään aktiivikäytössäsi olevia tilejä. Jotta voit olla varma yksityisyytesi säilymisestä, henkilötiedot kannattaa poistaa kaikista palveluista, joita et enää käytä. Jos mahdollista, tämä kannattaa tehdä sulkemalla tarpeettomat tilit sen sijaan, että lopettaisit vain niiden käytön.
Silppua henkilötiedot
Silppua kaikki saamasi kirjeet, joissa nimesi, syntymäaikasi tai henkilötunnuksesi kaltaisia henkilötietoja. Pidä postiasi silmällä, sillä poikkeamat postin kulussa saattavat viitata havaitsematta jääneisiin tietomurtoihin. Jos esimerkiksi saat kirjeen lääkärikäynnistä, jota ei ole tapahtunut, se voi olla merkki tapahtuneesta tietomurrosta, jolloin sinun on ryhdyttävä välittömästi toimeen.
Pidä järjestelmät ja ohjelmat ajan tasalla.
Pidä kaikkien laitteidesi käyttöjärjestelmät ja ohjelmat ajan tasalla asentamalla tietoturva-, selain-, käyttöjärjestelmä- ja sovelluspäivitykset heti, kun niitä tulee saataville.
Valvo tilejäsi
Tarkista pankki- ja luottokorttiotteesi ja muut tilisi säännöllisesti, jotta huomaat tietämättäsi tehdyt veloitukset ja muut epänormaalit tapahtumat. Et välttämättä saa ilmoitusta käyttämäsi yrityksen tietomurrosta, joten kannattaa pysyä valppaana itse.
Käytä maksuttomia Wi-Fi-verkkoja harkiten
Maksuttomien julkisten Wi-Fi-verkkojen käytöstä on tullut jokapäiväinen arkirutiini monille, mutta suojatut ja luotettavatkaan yhteydet eivät välttämättä ole turvallisia. Julkiset Wi-Fi-hotspotit ovat helppoja kohteita hakkereille ja kyberrikollisille, jotka voivat hyödyntää niitä tietojen varastamisessa. Voit käyttää julkisia Wi-Fi-verkkoja turvallisesti välttämällä arkaluonteisten tietojen avaamista tai lähettämistä niitä käyttäessäsi, poistamalla Bluetooth-yhteydet ja tiedostojen jakamisen käytöstä ja käyttämällä VPN-ratkaisua ja palomuuria. Hyvä virustentorjuntaratkaisu on aivan ehdoton. Lue vinkkimme turvalliseen julkisen Wi-Fi-verkon käyttöön täältä.
Seuraa uutisia
Seuraa yleisiä uutislähetyksiä tai tietoturvauutisiin keskittyviä verkkosivustoja, jotta saat tiedon, jos käyttämäsi yritys altistuu tietovuodolle tai -murrolle.
Yksi tehokkaimmista tavoista varmistaa turvallisuus verkossa on korkealaatuisen virustentorjuntaratkaisun käyttäminen. Kaspersky Total Security pitää laitteesi ja tietosi suojattuina keskeytyksettä. Se tunnistaa laitteiden haavoittuvuudet ja niihin kohdistuvat uhat, estää kyberuhkia ennen niiden aktivoitumista sekä eristää ja poistaa välittömän vaaran aiheuttavat uhat.
Aiheeseen liittyvät artikkelit: