Suomen Kuvalehti lähetti ”huijausviestin”: Yllättävän moni viranomainen nieli syötin

Selvitimme, millainen on sähköpostin tietoturva ministeriöissä ja virastoissa.

sähköposti 15.9.2017

Teksti: Tuomas Pulsa

Julkaistu yli kolme vuotta sitten

Sähköpostin sai 41 viranomaista. Vastaanottajina olivat muun muassa ministeriöt, valtion virastot, suojelupoliisi ja puolustusvoimat.

Viesti oli haastattelupyyntö. Suomen Kuvalehden toimittaja halusi keskustella tietoturvasta.

Vastaanottajat työskentelevät viranomaisten viestintäosastoilla. He saavat jatkuvasti postia toimittajilta.

Tosin tällä kertaa kaikki ei ollut kohdillaan.

Lähettäjän nimi oli Suomen Kuvalehden toimittajan, mutta sähköpostiosoitetta oli peukaloitu.

Näytti siltä, että viesti tuli viranomaisen oman organisaation sisältä. Esimerkiksi suojelupoliisi sai postia osoitteesta @supo.fi ja ulkoministeriö osoitteesta @formin.fi

Osoitteita ei oikeasti ollut olemassa.

Vastaukset oli ohjelmoitu palautumaan toiseen sähköpostiosoitteeseen. Se ei vastaanottajille näkynyt.

Tarkoitus oli kokeilla, vastaisivatko viranomaiset outoon viestiin.

Sähköpostin lähettäjätietojen väärennys on helppoa. Yksinkertaisimmillaan temppu onnistuu verkosta löytyvillä valmiilla työkaluilla.

Niin kutsutut toimitusjohtajahuijaukset alkavatkin olla internetin arkipäivää.

Niissä huijari lähettää sähköpostia esiintyen toisena henkilönä. Nimitys toimitusjohtajahuijaus kertoo siitä, että toimitusjohtaja on suosittu valeidentiteetti varsinkin yrityksiin kohdistuvissa huijauksissa.

Yleensä huijarin tavoitteena on hankkia arkaluonteisia tietoja, levittää haittaohjelmia tai huijata rahaa. Yritysten ja yksityishenkilöiden lisäksi viranomaiset ovat houkutteleva kohde.

Valtaosa huijausyrityksistä kariutuu umpisurkeaan toteutukseen.

Jokainen internetin käyttäjä lienee nähnyt viestin, jossa pyydetään huonolla suomella tai englannilla rahaa kadonneelle sukulaistädille. Tai ottamaan heti yhteyttä ”pankinsa klikaman ohessa linkkiä”.

Tällaiseen lankeavat yleensä korkeintaan ne, joille internet-maailma ei ole kovin tuttu.

Taitava huijari hankkii taustatietoja ja kohdistaa viestinsä juuri tietylle vastaanottajalle.

Sähköpostiin ei kilahda kökköä roskapostia, vaan sujuva viesti esimerkiksi omalta esimieheltä. Osoite on oikein, samoin henkilöiden nimet. Viestin aiheena asia, josta pomon kanssa on ollut puhetta.

Viestissä ”pomo” saattaa vedota: Lähetä luottamukselliset materiaalit heti sähköpostitse. Se on ohjeistuksen vastaista, mutta nyt on kiire.

Jos työntekijä noudattaa ”pomon” käskyä, huijari on saanut haluamansa.

Tällä kertaa viranomaisia ei siis lähestynyt tiedon- tai rahanahne rikollinen, vaan oikea Suomen Kuvalehden toimittaja.

Viesti oli testi. Miten eri viranomaiset reagoivat sähköpostiin, joka väittää tulevansa oman organisaation olemattomasta osoitteesta?

Meneekö viesti edes perille? Tunnistaako jo sähköpostipalvelin, ettei posti ole sen itsensä lähettämä, ja pysäyttää viestin?

Jos viesti pääsee postilaatikkoon asti, miten siihen reagoidaan, vastataanko viestiin sähköpostilla tai muuten? Huomataanko huijausta?

Tulokset olivat kirjavia.

Viesteistä vain yksi pysähtyi heti kättelyssä. Lääketurvallisuudesta vastaavan Fimean sähköpostipalvelin palautti huijausviestin lähettäjälleen.

Viranomaisista 13 vastasi hiljaisuudella.

On mahdollista, että myös heille suunnatut viestit pysähtyivät palvelimille, mutta lähettäjälle ei annettu virheilmoitusta. Yhtä mahdollista on se, että viestit pääsivät perille, mutta niihin ei syystä tai toisesta reagoitu.

Ainakin 28 viranomaista sai viestin, sillä he myös vastasivat tavalla tai toisella.

Säteilyturvakeskuksesta soitettiin toimittajalle heti. ”Oletko oikeasti lähettänyt tällaisen viestin, vai onko identiteettisi kaapattu?”

Ulkoministeriöstä kerrottiin automaattisen suodattimen poimineen sähköpostin talteen.

Muutamaa vastaanottajaa sähköpostijärjestelmä oli varoittanut väärennöksestä: tämä viesti ei tule sieltä, mistä se väittää.

Osa huomasi väärennöksen itse. Tietoturvakoulutuksissa oli muistutettu, että sähköpostin osoitekentän suhteen kannattaa olla tarkkana. Näin kerrottiin muun muassa liikenteen turvallisuusvirasto Trafista.

Osa selitteli huolimattomuutta sillä, että riski ei ollut suuri.

Kaikki eivät olleet yhtä valppaita.

Väärä osoite huomattiin, mutta viestiin vastattiin, koska toimittajan nimi löytyi googlaamalla.

Unohtui vain, että samoja julkisia tietoja huijarikin käyttäisi yrittäessään tehdä viestistään mahdollisimman uskottavan.

Joiltakin väärä osoite jäi kokonaan huomaamatta.

He havahtuivat vasta, kun asiasta huomautettiin. Muun muassa elintarviketurvallisuusvirasto Eviran viestintä kiitteli herätyksestä.

Osa vetosi siihen, ettei huolimattomuudesta aiheutunut suurta riskiä. Olihan pyydetty tieto julkista. Luottamuksellisen tiedon kohdalla olisi tietenkin oltu tarkempia.

Oikeassa huijauksessa tosin olisi väärennetty sähköpostiosoitteen lisäksi lähettäjän nimi. Huijari olisi todennäköisesti esiintynyt vastaanottajalle tuttuna henkilönä ja pyytänyt tietoja, joita arvelisi tämänkin voivan pyytää.

On kuitenkin totta, että viranomaisilla on tiukat pelisäännöt luottamuksellisen tiedon käsittelyyn.

Tiedon arkaluonteisuus määritellään neliportaisella asteikolla. Tavallisella sähköpostilla on lupa välittää vain alimmalle portaalle luokiteltua materiaalia. Tästä muistutti useampi Suomen Kuvalehden viestin saanut viranomainen.

Tosin elokuussa 2017 selvisi, että poliisi oli lähettänyt Venäjän presidentti Vladimir Putinin vierailuun liittyneitä arkaluonteisia tietoja sähköpostilla.

Asia tuli ilmi, koska viesti lähetettiin väärälle ihmiselle.

Poliisin näppäilyvirheelle naureskellessa harva muisti kysyä, mitä tiedot ylipäänsä tekivät sähköpostissa.

Sähköposti on internetin alkuaikoina kehitetty viestiväline, joka on sitkeästi säilyttänyt suosionsa.

Sähköpostiin liittyy kuitenkin paljon ongelmia – varsinkin jos välitettävänä on luottamuksellista tai arkaluonteista tietoa.

Kaikki sähköpostiliikenne kulkee lähtökohtaisesti salaamattomana. Jos ulkopuolinen onnistuu kaappaamaan viestin verkosta, hän pystyy myös lukemaan sen.

Salaamattomat yhteydet mahdollistavat myös niin sanotut ”mies välissä” -hyökkäykset (man in the middle). Niissä hyökkääjä hyödyntää esimerkiksi avointa wlan-verkkoa ja reitittää verkkoliikenteen niin, että se kulkee hänen itsensä kautta.

Jos liikenne on salaamatonta, mies välissä -hyökkääjän on mahdollista muuttaa verkkosivujen tai sähköpostiviestien sisältöä. Mukaan voi ujuttaa esimerkiksi linkin, jota klikkaamalla uhrin koneelle asennetaan haittaohjelma.

Sähköpostilla on edelleen ominaisuuksia, jotka sen uudemmilta kilpailijoilta puuttuvat.

Tärkein lienee se, että sähköposti ei ole riippuvainen yhden valmistajan laitteista tai ohjelmistoista. Viestejä voi lähettää tuntemattomillekin ihmisille riippumatta siitä, mitä laitteita ja ohjelmia he käyttävät.

Ainoa vaatimus on sähköpostiosoite.

Esimerkiksi WhatsAppin kaltaisilla pikaviestimillä, samoin kuin sosiaalisen sosiaalisessa mediassa viestintä onnistuu vain tietyn ohjelman tai palvelun käyttäjien välillä. Facebook-viesti ei Twitter-käyttäjää tavoita.

Nykyisellään sähköposti ei myöskään ole yhtä riskialtis kuin internetin alkuaikoina.

Palvelinten välinen liikenne voidaan salata, samoin viestien sisältö. Huijauksenestotekniikoilla voidaan vaikeuttaa lähettäjätietojen väärentämistä.

Tekniikka kuitenkin auttaa vain, jos sitä käyttää.

Eikä mikään määrä salauksia tee sähköpostista sataprosenttisen luotettavaa viestivälinettä.

Esimerkiksi viestin perille menoon vaadittavat metatiedot ovat avoimia. Niiden perusteella voi päätellä jo paljon: kuka viestii, kenen kanssa, milloin, kuinka usein.

Ainakin kaikkein arkaluontoisimmille tiedoille sähköposti on siis yhä edelleenkin väärä väline.

Valtionhallinnon tietoturvaa ohjataan ja kehitetään valtiovarainministeriön alaisuudessa. Johtoryhmän nimi on Vahti.

Pääsihteeri Kimmo Rousku ottaa vastaan neuvotteluhuoneessa ministeriön kellarissa ja tarjoaa automaattikahvin.

Tietoturvapomo ei vaikuta yllättyneeltä kuullessaan valesähköpostin aiheuttamista reaktioista.

Jokainen virasto vastaa itse omista riskiarvioistaan, hän sanoo. Siksi myös tietoturvakäytännöissä on eroja.

Pelisääntöjä yhdenmukaistetaan, mutta työ on vielä kesken. Valtion it-palvelut keskitettiin yhden katon alle tieto- ja viestintätekniikkakeskus Valtoriin vasta vuonna 2014.

Sitä ennen tietohallinto oli lähes villi länsi. Sähköpostijärjestelmiä saattoi olla yhtä monta kuin virastoja, samoin ohjeistuksia, Rousku kertoo.

”Nyt kun erilaisia järjestelmiä on enää kaksi tai kolme, on helpompi kehittää myös yhtenäisiä käytäntöjä.”

Muutos ottaa aikansa. Eivätkä huijarit välttämättä tyydy kohteliaasti odottamaan.

”Toimitusjohtajahuijaukset ovat kasvava riesa”, Rousku muotoilee.

”Yhä useampi huijaus myös kohdistetaan aiempaa paremmin. Selvitystyötä on tehty.”

Rousku muistuttaa, ettei tiedossa kuitenkaan ole yhtään tapausta, jossa toimitusjohtajahuijaus olisi mennyt läpi valtionhallinnossa.

Niin, tiedossa ei ole. Haluamansa saanut huijari ei välttämättä juhli onnistumistaan julkisesti. Ehkä hän juuri nyt nostaa rahoja, jotka sai myytyään valtiolta kaappaamansa tiedot.

Suuriin vahinkoihin voi riittää yksi huijaus.

Rousku kuitenkin muistuttaa, että jos uuden teknologian eduista haluaa nauttia, on oltava valmis ottamaan joitakin riskejä.

”Täydellinen tietoturva edellyttäisi sitä, ettei tietoon pääse käsiksi kukaan.”

Kyse on kilpajuoksusta, johon turvan kehittäjä lähtee yleensä takamatkalta.

”Fakta on se, että rikolliset löytävät uusia keinoja nopeammin kuin niitä vastaan voidaan suojautua.”

Tämä ei tarkoita sitä, etteikö turvallisuuden parantamisessa olisi otettu merkittäviä askeleita.

Yhä useampi työntekijä toimenkuvasta riippumatta saa tietoturvakoulutusta. Yritysten ja muiden isojen organisaatioiden järjestelmien tekninen suojaus on aiempaa parempaa ja niihin murtautuminen vaikeampaa.

Teimme myös toisen testin: selvitimme, käyttävätkö viranomaiset muutamia yleisimpiä huijauksenestotekniikoita.

Sähköpostihuijaukset kiinnostavat huijareita osin siksi, että ne voivat tarjota tien suojausten ohi. Käytännössä jokainen luottaa helposti viestiin, jos luulee saaneensa sen tuntemattoman sijaan työkaveriltaan.

Vaikka sähköposti on internetin mittapuulla vanha teknologia, sitä käytetään edelleen paljon. Viranomaiset eivät ole poikkeus.

Sähköposti suunniteltiin alun perin verkkoon, jossa oli nykyiseen verrattuna vähän käyttäjiä.

Kaikki viestit kulkivat salaamattomina. Jos joku kaappasi viestin verkosta, hän pystyi sekä lukemaan sen että muokkaaman sen sisältöä.

Sama koski lähettäjätietoja. Niiden väärentäminen oli helppoa, ja vastaanottajan oli lähes mahdoton selvittää, oliko näin tehty.

Sähköpostin turvallisuutta on toistuvasti yritetty parantaa.

Esimerkiksi kahden sähköpostipalvelimen välinen tietoliikenne on jo pitkään ollut mahdollista salata.

Myös viestien sisällön vahva salaus on mahdollista, mutta suhteellisen hankalaa. Viestin lähettäjän ja vastaanottajan on käytettävä samaa salausmenetelmää ja heillä on oltava hallussaan salauksen purkuun tarvittavat avaimet.

Myös lähettäjätietojen väärentämistä on yritetty vaikeuttaa. On kehitetty muun muassa kolme huijauksenestotekniikkaa, jotka tunnetaan lyhenteillä SPF, DKIM ja DMARC.

Tehokkaimman suojan kolme tekniikkaa antavat yhdessä. Suojaus ulottuu tekniikoita käyttävän palvelimen lisäksi myös tilanteisiin, jossa huijari yrittää käyttää kyseistä osoitetta huijatakseen jotain kolmatta osapuolta.

Käytännössä: @poliisi.fi-sähköpostiosoitteessa käyttöön otettu SPF-DKIM-DMARC -tekniikkayhdistelmä estää huijareita lähettämästä @poliisi.fi-sähköposteja myös kaikille muille samoja tekniikoita käyttäville.

Se, käyttääkö joku palvelin tekniikoita, voidaan selvittää helpolla testillä, jossa tietokoneohjelma yksinkertaisesti ”kysyy” palvelimelta asiaa.

Teimme testin viranomaisten sähköpostipalvelimille. Kysyimme, käyttävätkö ne jotain kolmesta tekniikasta.

Kun Suomen Kuvalehti selvitti, käytetäänkö viranomaisten sähköposteissa huijauksenestotekniikoita, kaikki testit tehtiin lain sallimin keinoin.

Tämä onnistui, koska SPF- ja DMARC-teknologioiden käyttö näkyy normaalissa julkisessa verkkoliikenteessä. Tieto DKIM:stä selviää lähettämällä sähköpostia.

Kolmesta huijauksenestotekniikasta vanhin on SPF. Se kertoo sähköpostin vastaanottajille, miltä palvelimilta tietty sähköpostiosoite lähettää viestinsä. Joltain muulta palvelimelta tulevaa viestiä on siis syytä epäillä väärennetyksi.

DKIM on eräänlainen sähköinen allekirjoitus. Sen avulla viestin vastaanottaja voi sekä varmistaa viestin alkuperän että sen, ettei viestin sisältö ole muuttunut matkalla.

Kolmikon tuorein tulokas on DMARC. Sen avulla voidaan määrittää, mitä vääriltä palvelimilta lähetetyille viesteille tehdään. Niiden perille pääsy voidaan estää tai ne voidaan merkitä epäilyttäviksi. Vaihtoehtoisesti viestit voidaan myös päästää läpi ja vain kerätä niiden tiedot talteen.

SPF-DKIM-DMARC-yhdistelmä on käytössä muun muassa Googlen suositussa Gmail-palvelussa. Myös esimerkiksi tietoturvayhtiö Symantec ja Yhdysvaltain liittovaltion teknologiavirasto NIST suosittavat tekniikoiden käyttöä.

Tieto muutaman tekniikan käytöstä ei tietenkään kerro kaikkea. Laajempia johtopäätöksiä organisaation tietoturvan tilasta ei tältä pohjalta voi tehdä.

Suuri osa tietoturvaa parantavista suojauksista ei näy julkisesti. Jos niistä yrittäisi hankkia tietoja, syyllistyisi helposti rikokseen.

Rikosnimike voisi olla esimerkiksi tietoliikenteen häirintä. Rikoslain mukaan siihen syyllistyy, jos puuttuu verkkoon kytkettyjen laitteiden toimintaan. Myös massamainen roskapostitus tai muu tietoliikennettä häiritsevä ilkivalta täyttää tunnusmerkit.

Täydellisen kuvan organisaation tietoturvasta saisi oikeastaan vain murtautumalla sen verkkoon.

Rikoslain mukaan tällainen ”testi” olisi tietomurto.

Enimmäisrangaistus on kaksi vuotta vankeutta. Jos teko tulkitaan törkeäksi, kolme vuotta. Myös yritys on rangaistavaa.

Lain kirjain rajoitti myös testiä, jossa Suomen Kuvalehti lähetti viranomaisille peukaloidun sähköpostin.

Lähettäjätietojen väärentäminen itsessään ei ole rangaistavaa. Sen sijaan toisena ihmisenä esiintymisestä voisi seurata syyte identiteettivarkaudesta.

Rikoksen tunnusmerkit täyttyvät, jos hankkii taloudellista hyötyä tai aiheuttaa vahinkoja toisen henkilötietoja käyttäen.

Testissä toimittaja esiintyi koko ajan omalla nimellään ja paljasti viranomaisille, mistä oli kyse.

Yritys tai viranomainen voi joskus antaa luvan testata tietoturvaansa myös laittomin keinoin. On useita yrityksiä, jotka tekevät tällaisia testejä.

Julkisuuteen tulleet tiedot testien tuloksista ovat olleet suhteellisen karuja.

Tietoturvatestaukseen erikoistuneen Silverskinin toimitusjohtaja Marko Savolainen kertoi Ylelle 4. syyskuuta, että yrityksen tekemien sähköpostihuijausten onnistumisprosentti on ollut noin 60.

Eikä internetin ulkopuolella näytä sujuvan paremmin.

Silverskinin testeissä tietoja on yritetty hankkia myös tunkeutumalla fyysisesti yritysten toimitiloihin. Käytännössä jokainen yritys on onnistunut.

Yleisin selitys tekniikoiden puuttumiselle oli virkavastuu.

Viranomaiset tuntuvat luottavan huijauksenestotekniikoihin varsin vähän.

Suomen Kuvalehti kävi läpi yhteensä 145 viranomaisten sähköpostipalvelinta. SPF-tekniikka oli käytössä 54 palvelimella, DMARC tasan yhdellä: vasta perustetulla hybridiosaamiskeskuksella.

DKIM-allekirjoituksen havaitseminen vaatii sähköpostin lähettämistä, joten sitä ei pystytty selvittämään automaattisesti. Ainakaan yksikään toimittajan lähettämään väärennettyyn viestiin vastanneista viranomaisista ei DKIM-allekirjoitusta käyttänyt.

Yleisin selitys tekniikoiden puuttumiselle oli virkavastuu.

Laki edellyttää, että viranomainen vähintään ottaa vastaan ja tutkii kaikki kansalaisten lähettämät viestit, oli niiden muoto tai lähetystapa kuinka epämääräinen hyvänsä. Esimerkiksi vinkkausta väärinkäytöksistä tai rikoksesta ei välttämättä haluta toimittaa omalla nimellä ja sähköpostiosoitteella.

Puhtaan roskapostin suodattaminen on viranomaisellekin luvallista. Tiukkaa automaattiseulaa karsastetaan silti.

Huijauksenestotekniikoiden käyttöönotto voi myös olla hankalaa, sanoo Viestintäviraston tilannekuvaryhmän päällikkö Jarna Hartikainen.

”Tekniikat itsessään ovat kyllä tehokkaita. Mutta mitä suurempi ja monimutkaisempi organisaatio, sitä työläämpää on niiden käyttöönotto.

Suuret toimijat esimerkiksi ostavat usein palveluita muilta yrityksiltä. Monesti on perusteltua, että palveluiden tuottajat saavat lähettää sähköpostia palvelun ostajan lähettäjätiedoilla.

Ministeriöiden tietoturvasta vastaavan Valtioneuvoston kanslian Petri Puhakaisella on esimerkki.

”Kun aiemmassa työssäni kokeilin kiristää sähköpostien seulaa, muun muassa henkilöstökyselyt jäivät menemättä perille.”

Tekniikoiden käyttöönotto ei toki ole mahdotonta suuressakaan organisaatiossa, mutta se vaatii aikaa ja resursseja. Puhakaisen mielestä hyödyt eivät vastaa aiheutuneita haittoja.

Sähköpostihuijauksia voidaan torjua myös muilla tavoin: esimerkiksi lisätä merkintä kaikkien paitsi erikseen luotettaviksi määriteltyjen palvelimien lähettämiin viestehin.

Keinojen käyttökelpoisuus vaihtelee, mutta minkään tietyn tekniikan puute ei automaattisesti tarkoita suojatonta palvelinta.

Siksi myöskään Viestintävirasto ei anna yleispäteviä suosituksia.

”Huijauksenestotekniikat itsessään kyllä toimivat. Jos ne saadaan kohtuullisella vaivalla käyttöön, se kannattaa ilman muuta”, Hartikainen tiivistää.

”Mutta jokainen organisaatio joutuu arvioimaan hyödyt ja haitat itse.”

Väärennetyillä lähettäjätiedoilla varustettu huijausviesti saapuu palvelimelle. Palvelin käyttää SPF-, DKIM- ja DMARC-huijauksenestotekniikoita.
Viestin vastaanottanut palvelin ottaa yhteyttä sähköpostipalvelimeen, jonka hallinnoimasta osoitteesta viesti väittää tulevansa. Jos lähettäjäosoitteena on esimerkiksi toimitusjohtaja@esimerkkioy.fi, palvelin ottaa yhteyden @esimerkkioy.fi:n sähköpostipalvelimeen. Myös tällä palvelimella ovat käytössä SPF- DKIM- ja DMARC-tekniikat.
@esimerkkioy.fi-sähköpostipalvelin kertoo, millä palvelimilla on lupa lähettää sähköpostia sen nimissä. Se antaa myös DKIM-allekirjoituksen tiedot. Viestin vastaanottanut palvelin vertaa saamiaan tietoja saamaansa sähköpostiin: Onko viesti tullut sallitulta palvelimelta? Täsmääkö DKIM-allekirjoitus?
Jos tiedot eivät täsmää, DMARC-asetukset määräävät, mitä viestille tehdään. Se joko poistetaan, siirretään karanteeniin tai päästetään läpi epäilyttävyydestään huolimatta. Jos suojaustekniikoita ei ole käytössä, viesti pääsee automaattisesti läpi.

Valtionhallinnossa riskiarviot on tehty, vakuuttaa Vahti-pääsihteeri Rousku.

Huijausviestien aiheuttamaa tietoturvariskiä ei ole arvioitu kovin suureksi. Siksi myöskään huijauksenestotekniikoiden käyttöä ei ole vaadittu.

Arviointia on kuitenkin tehtävä jatkuvasti uudelleen.

Yksi mahdollisuus olisi ottaa tekniikoita käyttöön vaiheittain. Ensin niin, että ne vain tallentavat tiedot, mutta eivät puutu viestien kulkuun.

Näin nähtäisiin, mitkä tarpeelliset viestit ovat sellaisia, joita automatiikka luulee huijauksiksi. Samalla huijausyrityksistäkin saataisiin vähintään tieto.

Osa viranomaisista on ilmeisesti näin jo tehnytkin.

Esimerkiksi liikenneviraston tietoturvapäällikkö Paul Kinnunen kertoo sähköpostijärjestelmän varoittaneen käyttäjiä väärennöksestä myös Suomen Kuvalehden lähettämän sähköpostin kohdalla.

Olisiko väärennettyyn viestiin vastanneiden luku ollut pienempi, jos muutkin olisivat toimineet samoin?

Ehkä. Mutta mikään yksittäinen tekniikka ei korjaa kaikkia ongelmia.

Vaikka sähköpostiosoitteen väärentäminen saataisiin estettyä, huijarille jää muitakin mahdollisuuksia.

Moni saattaisi langeta esimerkiksi osoitteesta @p0l1isi.fi lähetettyyn viestiin. Yleisimmät huijauksenestotekniikat eivät pysäyttäisi sitä.

Huomasitko itsekään, että osoitteen o-kirjain on numero nolla ja toinen i-kirjain numero yksi?

Tietoturvan kilpajuoksu aiheuttaa sen, ettei asioita ole mahdollista hoitaa kerralla kuntoon.

Kehittäminen ja ylläpito tuntuvat ajoittain unohtuvan varsinkin rahoista päättäviltä, Vahti-ryhmän Rousku sanoo.

”Jos mitään ei tapahdu, kysytään, miksi näistä pitää puhua niin paljon. Meillähän on tilanne hyvin.”

Se usko voi romuttua äkkiä.

Näin kävi Ruotsissa, jossa paljastui, että käytännössä kaikki paikallisen liikenneviranomaisen tietokannat olivat mahdollisesti vuotaneet ulkopuolisille.

Mikään määrä tekniikkaa tai tietoturvakoulutusta ei myöskään riitä nollaamaan inhimillisen virheen tai huolimattomuuden mahdollisuutta.

Koulutus kuitenkin kannattaa. Satsaukset maksavat itsensä takaisin, jos edes kaikkein hölmöimmät virheet saadaan karsittua.

Hyvään tietoturvaan kuuluu myös varautuminen siihen, että jotain sattuu.

Miten toimitaan, jos haittaohjelma saastuttaa ministeriön tietokoneet? Mitä tehdään, jos luottamuksellista tietoa todella pääsee vuotamaan?

Suomessa on varauduttu ja suunnitelmia löytyy, vakuuttavat Rousku ja VNK:n Puhakainen.

Varautumissuunnitelmien yksityiskohdat tosin ovat salaisia. Niistä on turha kysyä. Kansalaisen on luotettava viranomaisen sanaan.

Lopullinen totuus selviää vasta jos jotain tapahtuu.

Ilmoita asiavirheestä