Siirry pääsisältöön

Identiteettivarkaudet eivät ole muuten mitään pelkästään Internetiin liittyviä juttuja

.


Identiteettivarkaudet eivät ole muuten mitään pelkästään Internetiin liittyviä juttuja


Puhutaan siitä, että identiteettivarkauksien varalta myydään vakuutuksia, mutta kuten tiedämme, niin mielipahalta nämä vakuutukset eivät pelasta, eivätkä ne tuo esimerkiksi Facebook- tai muuta sosiaalisen median tiliä tai siihen liitettyjä henkilöitä takaisin. Mutta kuitenkaan emme ehkä muista sitä, että identiteettivarkaudet eivät ole pelkästään internetiin liittyvä ilmiö, vaan on sitä ennenkin osattu lähettää kirjeitä sekä soitella puheluita toisten nimissä, eli mitään uutta ei internet ole tuonut auringon alle. Yhteen aikaan esimerkiksi julkisuuden henkilöistä saatettiin levitellä tietoja, että heillä oli AIDS, mikä ei varmaan tunnu kovin mukavalta. 

Ennen internetin aikaan olivat riesana henkilöt jotka soittivat uhreilleen poliisin tai jonkun muun vastaavan järjestön nimissä sekä tiedustelivat luottokorttien tunnuslukuja. Samalla tavoin myös esimerkiksi koulukiusaajat ovat lähetelleet uhreilleen kirjeitä toisten nimissä, jotta saavat “karsittua” näiden kaveripiiriä, ja tietämättömyys altistaa ihmisen tällaiselle toiminnalle. Eli jos ihminen tiedostaa se, että häntä voidaan huijata esimerkiksi äänen muuntimen tai varastetun puhelun avulla, niin silloin elämä muuttuu paljon helpommaksi, kuin jos vain luotetaan sokeasti siihen, että jossain yhteystiedoissa lukee numeron kohdalla “saa antaa palvelua”. Puhelin voi jäädä pöydälle tai sitten sen salasanoja voidaan muulla tavalla kysellä. 

Identiteettivarkaudet ovat siis oikeastaan melko vanha asia, ja eräiden tarinoiden mukaan esimerkiksi natsipomo Rudolf Hess lensi Britanniaan siksi, että joku lähetti hänelle käskyn lähteä neuvottelemaan rauhasta vuonna 1940. Vasta internet on nostanut identiteettivarkaudet sekä tietoturvan ihmisten tietoisuuteen, ja esimerkiksi 1990-luvulla ei edes siitä varoitettu, että joku viranomaisena esiintyvä henkilö voi tiedustella perheiden lapsilta heidän vanhempiensa sosiaaliturvatunnuksia, joten varmasti noita tietoja on päätynyt esimerkiksi rikollisten käsiin. 

Eli todella mielenkiintoista tämä politiikan muuttuminen tämän asian tiimoilta. Internet on muuttanut maailmaa todella paljon, ja jos ajatellaan sitä hyvää, mitä esimerkiksi sosiaalinen media on saanut aikaan, niin sen ansiosta esimerkiksi tietojenkalastelu sekä identiteettivarkaudet ovat tulleet myös suuren yleisön tietoon. Eli nämä asiat eivät kuulu vain johonkin alamaailmaan, vaan myös tavallinen ihminen voi kohdata missä hyvänsä jonkinlaisen vedättäjän. 

Monissa yrityksissä esimerkiksi tietoturvaa koskeva ohjeistus on täysin kunnossa. Mutta ongelma on sitten siinä, että tuota ohjeistusta pitäisi vielä noudattaa. Ja mitä suurempi pomo sitten noiden asioiden kanssa tekee virheitä, niin sitä suurempi osa järjestelmästä on hänen valvonnassaan. Joten ison pomon tekemät virheet voivat aiheuttaa suuremman vuodon kuin mikään normaali alainen voi edes kuvitella aiheuttavansa. Se että tietoturvaan kohdistuvia rikkeitä tai vuotoja salaillaan ei varmaan ole kaikkein paras ratkaisu. 

Salaaminen ei tee esimerkiksi sitä tekemättömäksi, jos puhelin tai lompakko missä järjestelmän salasanoja on säilytetty on unohtunut pöydälle, ja sitten joku on ottanut hetkestä kiinni. Se että tällaisen asian myöntää saattaa tietenkin aiheuttaa tahran omaan kilpeen, ja alaiset voivat katsoa itseä hieman ivallisesti. Mutta kuitenkin tällainen asia, että salasanat ovat päätyneet vääriin käsiin on uskallettava myöntää. Sitten tietenkin jokaisen pitää silloin itse vastata seurauksista. Tuota taustaa vasten pitää sitten arvioida se, miten näistä asioista puhutaan työpaikalla. Me kaikki olemme ihmisiä, ja meille sattuu virheitä. 

Nykyinen työyhteisö sekä työelämä suosii tehokkuutta, ja sen takia joissakin työpaikoissa esimerkiksi virheiden tunnustaminen on vaikeaa. Etätyö on tuonut tarpeen maksimoida oma suoritus, ja esimerkiksi vessassa käyntejä saatetaan pelätä todella paljon. Eli pienikin tauko aiheuttaa pelkoa siitä, että pomo näkee sen, että henkilö ei ole 100% ajastaan koneen ääressä vaan hänen pitää käydä välillä vessassa tai hakemassa juotavaa. 

Tuolloin voidaan sitten miettiä yhdessä, että mitä mahtaa siitä seurata, jos henkilö on sitten esimerkiksi unohtanut salasana lapun kaupan kassalle. Siis työpaikan koneita ei saisi käyttää muihin kuin työasioihin, ja omille asioille pitäisi hankkia oma kone. Nimittäin työpaikan koneille on ostettu mikrotukipalvelu, ja etäkäytön kautta annettava mikrotuki aiheuttaa sen, että koneella olevat tiedot voivat päätyä mikrotuen tietoon. 

Eli sen takia työpaikan koneet ovat työntekoa varten. Vapaa-ajalle kannattaa ostaa oma tietokone. Samoin yhtiön kännykkä on tietenkin sitä varten että sillä hoidetaan yhtiön eli työhön kuuluvia asioita. Omia asioita varten sitten hankitaan oma kännykkä, johon laitetaan ne omat luottokortit. Ja työpäivän päätteeksi kannattaa se yhtiön kännykkä sulkea, niin vapaa-aikaa ei tarvitse käyttää työasioiden hoitamiseen. 

Joten työpaikan ilmapiirin pitäisi kannustaa myös tunnustamaan omat virheet, varsinkin jos ne vaarantavat koko työyhteisön turvallisuutta. Eli johtajaa pitää voida uskaltaa lähestyä myös tuollaisen virheen jälkeen. Mutta sitten taas esitetään se ikuinen kysymys, että mitä jos sitten edessä on potkut? Jos henkilö itse on kovin jyrkkä noiden asioiden kanssa, niin silloin potkujen antaminen hänelle on helpompaa.

Samoin tuollainen johtaja on vaikeasti lähestyttävä tietoturvaa koskevissa asioissa, missä alaisen pitää myöntää virheensä.  Mitä jos oma asenne on ollut se, että “kyllä tänne hakijoita on, ja sosiaaliset mediat pysyvät kiinni työpäivän aikana”. “Jos tämä ei miellytä, niin alainen voi vaihtaa työpaikkaa”. Sen jälkeen tuo henkilö joka on tätä ehkä hokenut mallikkaasti itse lähtee tekemään virheitä, eli unohtaa nuo kallisarvoiset salasanat jonkun kaljabaarin pöydälle. Mitä silloin mahtavat muut ajatella?

Ja esimerkiksi Vastaamon tapauksessa olen joskus miettinyt sitä, että onko joku vain salannut sen, että puhelin on unohtunut pöydälle, kun noita henkilökohtaisia tietoja on päätynyt verkkoon. 

Nykyteknologia mahdollistaa esimerkiksi “deep fake” kuvat missä henkilö todella vaikuttaa olevan joku prinsessa tai prinssi, ja noiden kuvien avulla voidaan ihmisiä vedättää melko tehokkaasti. Kun ajatellaan esimerkiksi sitä, että joku yhtiö on laittanut kaiken tietoturvan mallikkaasti kuntoon, niin usein tietoturvaan tulee sitä kautta aukkoja, että unohdetaan inhimillinen tekijä. Inhimillinen tekijä tarkoittaa sitä, että vaikka koko yrityksen henkilökunta on mallikkaasti perehdytetty ja kurssitettu, niin silloin unohdetaan se, että myös uusille- sekä tilapäisille työntekijöille olisi järjestettävä kursseja, jotta he voivat varautua juuri identiteettivarkauden avulla suoritettaviin “phishing”-hyökkäyksiin. Ja esimerkiksi yritykseen kesätöihin tulevan mikrotukihenkilön pitäisi tietää samat asiat kuin muidenkin noiden asioiden ympärillä työskentelevien henkilöiden.

Tai sitten hänen pitää työskennellä vakituisen työntekijän kanssa, jolle annetaan salasanat järjestelmään. Ja näin noita asioita ei tarvitse antaa kenenkään tilapäistyöntekijän käyttöön. Mutta sitten tietenkin tulee mieleen mitä motivaatiota tuolla kesätyöntekijällä on sitten tehdä mitään kunnolla, kun ei sitten ole mitään tietoja siitä, miten jatkojen kanssa on, paitsi että tuo henkilö ei työssä jatka. 

Tuolloin esimerkiksi yrityksen johtajana esiintyvä henkilö saattaa kysellä salasanoja vaikkapa työpuhelimesta. Silloin kannattaa muistaa että tuo puhelin on ehkä unohtunut pöydälle, ja sitä saattaa käyttää joku muu. Tai jostain muusta syystä on joku päässyt tuohon puhelimeen käsiksi ja saanut haltuunsa sen lukituskoodin. Eli puhelin kannattaa päivittää sellaiseen, missä puhelimessa itsessään on myös pin-koodi tai sormenjälki lukitus. Vanhoissa puhelimissa SIM-kortin poistaminen avaa puhelimen koko kansalle, joten sen takia puhelimessa itsessään oleva koodi on äärimmäisen tärkeä suoja nimenomaan identiteettivarkauksia vastaan. 


Kommentit

Lähetä kommentti

Tämän blogin suosituimmat tekstit

Piia Ristikankareen 35 vuotta sitten tapahtunut katoaminen on taas kerran julkisuudessa

Kuva: Nanna Särkkä / Yle, Mapcreator, OpenStreetMap Piia Ristikankareen (s. 18.12.1972) katoaminen 35 vuotta sitten ei jätä ihmisiä koskaan rauhaan. Ja tässä haluan sanoa, että murha tai henkirikos ei koskaan vanhene. Eli Piia Ristikankareen katoamista tutkitaan murhana, ainakin kunnes hänen ruumiinsa löytyy, ja kuolinsyy sitten saadaan selville. 7. Lokakuuta 1988 tuo 15 vuotias tyttö lähti kotoaan, eikä häntä koskaan sen jälkeen olla tavattu. Ja juuri tämä katoaminen on asia, mikä tekee tästäkin tapauksesta merkillisen.  https://yle.fi/a/74-20089138 Veljen lausunnon mukaan Piia Ristikankare paukautti oven kiinni perässään, ja sen jälkeen tuota nuorta tyttöä ei koskaan tavattu, elävänä eikä kuolleena. Ja taas kerran YLEn kotisivuilla on ollut tarina siitä, kuinka joku kalastaja oli lokakuussa 1988 nähnyt oudon veneen, kuullut loiskahduksen sekä sitten myöhemmin epäillyt tämän veneen liittyvän Piia Ristikankareen katoamiseen. Veneessä oli kalastajan mukaan ilmeisesti kolmesta neljä ihmi
Lähetä kommentti
Lue lisää

Tieteen vääristelyn ja taiteellisen vapauden ero

Tieteen tehtävä on luoda tietoa, kun taas taiteen tehtävä on viihdyttää. Tieteen vääristely on taas se, että valheellista eli tekaistua tietoa esitetään totena. Eli romaanista tulee tieteen vääristelyä jos se esitetään totena.  Tieteen tehtävä ei ole olla moraalista, sen ei ole tarkoitus olla viihdyttävää eikä myöskään mitään poliittista agendaa tukevaa. Tieteen tehtävä on luoda tai tuoda ihmisten eteen oikeasti tutkittua tietoa, ja se miten sitten tuota tutkittua tietoa käytetään on tiedon käyttäjän asia. Miten tieto muuttuu tutkituksi sekä todistetuksi tiedoksi on oma prosessinsa, eli ensin esitetään hypoteesi, sitten asiaa tutkitaan, ja tuossa vaiheessa asiaa kutsutaan konjektuuriksi. Sen jälkeen kun asiaa on testattu lukuisin kokein, niin siitä tulee tutkittua ja varmennettua tietoa. Ja tämän jälkeen tutkittu ja varmennettu tieto saattaa kuitenkin muuttua siksi, että havaintovälineet sekä havaintojen analysoimiseen tarkoitetut välineet parantuvat.  Mutta sitten me välillä kohtaamme
Lähetä kommentti
Lue lisää

Sama tukikohta, mikä kestää ydiniskun ei välttämättä kestä drone-iskua.

Miksi Ukrainan isku Toropetsin asevarikolle onnistui, vaikka tuon varikon piti kestää ydinaseen avulla tehty hyökkäys? Syy tähän löytyy dronen erilaisista kyvyistä verrattuna ydinaseeseen. Drone kykenee esimerkiksi lentämään tukikohdan sisään, jos se vain pystyy välttämään törmäykset sekä esimerkiksi potkurien vaurioitumisen. Samoin jos dronen potkurit ovat kehyksen sisällä, niin se voi liikkua maata pitkin kuin auto, ja sen takia tuollainen drone voi liikkua esimerkiksi tukikodan ilmastointikanavaa pitkin kohteeseensa. Samoin drone voidaan laskea maahan, ja sitten kun tukikohdan ovia availlaan, niin se voi lentää sisään avatusta ovesta.  Joten tuollaisten kykyjen takia drone voi tuhota kohteita, joita ydinaseet eivät kykene neutraloimaan. FPV (First Person View) eli VR laitteiden avulla ohjattava drone on erittäin tarkka väline. Joten jos ohjaaja vain kykenee säilyttämän yhteyden droneen, niin hän voi lentää sen hyvinkin ahtaasta aukosta sisään.  Jos drone pääsee esimerkiksi ammusvara
Lähetä kommentti
Lue lisää