Älypuhelinten tietoturva yllätti: rikoksia vain muutamia kymmeniä vuodessa – Maksullinen lisäturva usein turhaa
Turvapakettien myyjät vetoavat kuluttajien pelkoihin. Laitteet, yhteydet ja palvelut ovat kuitenkin niin turvallisia, että raha ei välttämättä paranna suojaa.
Vuoden 2017 piti koetella mobiililaitteiden tietoturvaa. Viestintäviraston kyberturvallisuuskeskus povasi, että Suomessa nähtäisiin yhä laajempia ja kehittyneempiä mobiililaitteille suunnattuja haittaohjelmakampanjoita.
Toisin kävi. Laajamittaiset puhelimiin kohdistuvat haittaohjelmaepidemiat eivät vallanneet Suomea.
Kyseessä oli ainut kyberturvallisuuskeskuksen arvioimista vuoden 2017 kymmenestä tietoturvanäkymästä, joka jäi toteutumatta.
Älypuhelimet yleistyvät nopeasti, ja omistajien määrä kasvaa noin viisi prosenttiyksikköä vuodessa. Tilastokeskuksen mukaan 77 prosentilla 16–89-vuotiaista suomalaisista oli omassa käytössään älypuhelin vuonna 2017. Oman älypuhelimen omisti 16–24-vuotiaista 99 prosenttia ja 45–54-vuotiaistakin 89 prosenttia.
Tästä huolimatta poliisin tietoon tulee vuosittain vain muutamia kymmeniä älypuhelimiin kohdistuneita kyberrikoksia.
Krp:n kyberrikostorjuntakeskuksen ja Viestintäviraston kyberturvallisuuskeskuksen näkökulmasta ongelma ei ole laajamittainen.
Teleoperaattorit ja jopa vakuutusyhtiöt kuitenkin myyvät puhelimille tarkoitettuja tietoturvapalveluita. Markkinointi vetoaa usein kuluttajien pelkoihin.
Esimerkiksi DNA:n mukaan puhelimen käyttöön ”liittyy paljon tietoturvauhkia”. Elisan sivuilla puolestaan kerrotaan, millaiset uhat ”vaanivat” älypuhelimia ja niiden käyttäjiä. If Tietoturva muistuttaa, että ”kuka tahansa voi joutua kyberrikollisuuden uhriksi” ja että kyberrikollisuuden arvioidaan olevan jo ”huumekauppaa suurempi bisnes”.
äLYPUHELIMET ovat toki joutuneet tietoturvarikosten kohteeksi. Ensi kerran näin kävi vuonna 2004, kun 29A:na tunnettu ryhmä suunnitteli ensimmäisen puhelimiin hyökkäävän viruksen. Caribe-virus levisi Bluetooth-yhteyden välityksellä ja hyödynsi puhelimen rajallisia voimavaroja lyhentäen muun muassa akun käyttöikää.
Kun vielä 1990-luvulla ja 2000-luvun alussa tietokonevirukset aiheuttivat haittaa lähinnä hävittämällä tiedostoja, nykyään haittaohjelmilla ja huijausviesteillä haetaan pääasiassa taloudellista hyötyä.
Tavallisiin kuluttajiin kohdistuvat tietoturvauhat ovat myös yhä enemmän kytköksissä kansainväliseen rikollisuuteen, ja haittaohjelmien takana on ammattitaitoisia järjestäytyneitä rikollisia.
Suomi on pienenä kielialueena ollut suhteellisen turvassa kansainvälisiltä kalasteluviesteiltä, mutta toisaalta täällä ei olla totuttu varautumaan niihin erityisen hyvin.
”Voidaan liioittelematta sanoa, että nykyajan tietoturvauhat ovat aiempaa vakavampia”, sanoo Aalto-yliopiston tietotekniikan laitoksen tohtorikoulutettava Thomas Nyman.
”Tämän päivän älypuhelimien ja tablettien käyttöjärjestelmät ovat kuitenkin paljon turvallisempia kuin 1990-luvun ja 2000-luvun alun tietokoneet ja sisältävät jo valmiiksi välttämättömiä tietoturvaominaisuuksia.”
Tyypillisiä puhelimiin kohdistuvia tietoturvarikoksia ovat erilaiset haittaohjelmat sekä kalasteluviestit ja -puhelut, joilla yritetään urkkia käyttäjän tunniste- ja henkilötietoja.
Haittaohjelmista tavallisimpia ovat kiristysohjelmat, jotka lukitsevat puhelimen ja vaativat käyttäjää maksamaan lunnaita hyökkääjälle, jotta laite avautuisi ja tärkeät tiedostot palautuisivat.
Kun tietoturvaa parannetaan, myös rikolliset muuttavat toimintatapojaan. Viestintäviraston tietoturva-asiantuntijan Markus Lintulan mukaan tänä vuonna yleistynyt ongelma on virtuaalivaluutan louhinta.
Moni ei edes huomaa, että omaa puhelinta hyödynnetään virtuaalivaluutan louhimiseen. Toiminta kuitenkin syö akkua, kuumentaa puhelimen ja lyhentää sen elinkaarta.
Keskusrikospoliisin kyberrikostorjuntakeskuksen rikoskomisario Antti Velinin mukaan poliisille ilmoitetaan jonkun verran myös tapauksia, joissa läheinen on asentanut laitteeseen seurantaohjelman vakoilutarkoituksessa. Kaiken kaikkiaan ilmoituksia matkapuhelimiin kohdistuvista tietoturvarikoksista tulee kuitenkin vähän.
”On oletettavaa, että kyse on suurelta osin piilorikollisuudesta, joka ei tule poliisin tietoon.”
Puhelimet ovat perustaltaan tietokoneita suojatumpia, eikä niille ole yhtä helppoa asentaa haittaohjelmia kuin Windows-koneille. Käytännössä haitallinen sovellus ei tule puhelimeen itsestään, vaan käyttäjän pitää hyväksyä se ensin.
Tämä ei tarkoita, etteikö puhelimen käyttäjän tulisi ottaa tietoturvallisuutta huomioon seikkaillessaan verkossa. Thomas Nyman muistuttaa, että ”tietoturva on viime kädessä kiinni käyttäjästä”.
Viestintäviraston kyberturvallisuuskeskus nimeää viideksi yksityishenkilön suurimmaksi tietoturvauhaksi herkkäuskoisuuden, kiristyshaittaohjelmat, heikot salasanat, älylaitteiden vaihtelevan tietoturvan ja tietojen luovutuksen eri sovelluksille.
Paras turva on ladata vain sovelluskaupan omia sovelluksia, pitää ohjelmistopäivitykset ajan tasalla ja olla vastaamatta epäilyttäviin sähköposteihin sekä avaamatta niiden yhteydessä olevia liitetiedostoja ja linkkejä.
Kannattaa myös miettiä, minkä verran omia tietojaan luovuttaa eri sovelluksille. Nykyisin sovelluksien toiminnan läpinäkyvyys on lisääntynyt ja käyttäjä pääsee itse näkemään, mitä tietoja kulloinkin luovuttaa.
Tämä parantaa turvallisuutta, mutta vaatii käyttäjältä myös viitseliäisyyttä. Omien hälytyskellojen pitää soida, jos esimerkiksi taskulamppusovellus pyytää oikeuksia kaikkiin puhelimen tietoihin.
Maksullinen palvelu voi tuoda turvaa samalla tavalla kuin tuplaehkäisy.
Teleoperaattorit tarjoavat ratkaisuksi tietoturvauhkien torjuntaan maksullisia tietoturvapalveluita. Ne sisältävät muun muassa haittaohjelmien ja huijaussivujen torjuntaa, kadonneen tai varastetun puhelimen etälukituksen tai tyhjennyksen ja erityisesti lapsille suunnattuja käyttörajoituksia.
Useita suojaominaisuuksia on kuitenkin sisäänrakennettu valmiiksi myös puhelimien käyttöjärjestelmiin. Suomalaisten teleoperaattoreiden verkko- ja puhelinyhteydet ovat niin ikään valmiiksi suojattuja.
Parempi, uudempi yhteys tarkoittaa myös parempaa suojaa. Kun 2G-puheluita pystyi salakuuntelemaan helposti, ovat 3G- ja 4G-yhteydet suojattuja.
Maksullisen tietoturvapalvelun ostoa harkitsevaa Nyman neuvoo selvittämään, mitkä palvelun ominaisuuksista toimivat omalla puhelimella, miten niitä käytetään, ja mitä vaihtoehtoja maksulliselle palvelulle on.
Esimerkiksi verkkopankkitunnuksia kalastelevilta sivustoilta voi suojautua käyttämällä pankkien virallisia verkkopankkisovelluksia. Myös kaikkien suomalaisten teleoperaattoreiden ja pankkien verkkosivujen yhteydet ovat suojattuja. Ainoa riski on, että eksyy virallisen verkkosivun sijaan huijaussivustolle.
Maksullinen tietoturvapalvelu ei siis ole huolelliselle puhelimen käyttäjälle välttämätön, mutta voi tuoda turvaa samalla tavalla kuin tuplaehkäisy, sillä eri ohjelmat voivat torjua haittaohjelmia hieman eri tavoin.
”Tietoturvapalvelun käyttö on ikäänkuin kysyisi toisenkin lääkärin mielipidettä diagnoosista.”
Myös Aalto yliopiston tietotekniikan professorin Tuomas Auran mukaan tietoturvaohjelmien toimintamahdollisuudet mobiilikäyttöjärjestelmissä ovat hyvin rajalliset.
”Kun mobiililaitteen käyttöjärjestelmä toimii tarkoitetulla tavalla, se eristää sovellukset toisistaan ja käyttöjärjestelmästä. Koska tietoturvaohjelma on vain yksi sovellus, sekin on eristetty muista sovelluksista ja käyttöjärjestelmästä eikä pysty valvomaan näiden toimintaa”
Turvapalveluiden on nykyään myös yhä vaikeampi tunnistaa ja suodattaa nettiliikennettä, koska sivustot ovat salattuja ja palvelimet pilvessä.
”Tietoturvayritykset tekevät tärkeää työtä, ja vaikeuttavat rikollisten toimintaa. Kun huijareita vastaan kehitetään suojamekanismeja, joutuvat nämä jatkuvasti muuttamaan toimintatapojaan”, Aura sanoo. ”Yksittäinen kuluttaja ei kuitenkaan voi usein tietää, saako turvapalvelusta maksettuaan yhtään parempaa suojaa.”
Suurimmaksi esiin tulleeksi tietoturvaongelmaksi Auran nostaa kaupallisten mobiilisovellusten puhelimista keräämän henkilötiedon, sen rajoittamattoman käytön sekä yritysten palvelimien tietovuodot.
Paljon keskustelua on herättänyt muun muassa Facebookin käyttäjistään keräämä data ja sen hyödyntäminen.
”Mikään älypuhelimen tietoturvaohjelma ei estä käyttäjää antamasta hyödylliseksi kokemilleen sovelluksille pääsyä henkilökohtaisiin tietoihinsa, eivätkä ne myöskään estä palvelimilla tapahtuvia tietomurtoja.”
Ihmiset siis altistuvat suurimmille tietoturvauhille vapaaehtoisesti.