ICT-arkea

Jakso 2: Asiantuntijavinkit mobiililaitteiden tietoturvalliselle käytölle. Kuinka lataat sovelluksia tietoturvallisesti? Vieraina Valtorista palvelupäällikkö Mikko Nurminen ja tietoturva-arkkitehti Petteri Virtanen.

What is ICT-arkea?

ICT-arkea on Valtorin podcast-sarja, jonka aiheet keskittyvät ajankohtaisiin kehittyviin palveluihin ja vastuullisuuteen. Keskustelijoina on Valtorin asiantuntijoita ja johtajia.

Meidän tehtävämme Valtorissa on huolehtia siitä, että valtionhallinnon arki on sujuvaa ja turvallista ICT-palveluiden ja -työvälineiden kanssa. Kehitämme, ylläpidämme ja suojelemme maan laajinta ICT-ympäristöä kumppaniemme kanssa, jotta voimme yhdessä viedä Suomea eteenpäin.

Seppänen [00:00:11]: Tämä on Valtorin ICT-arkea podcast-sarja, jonka sisältö käsittelee kehittyviä palveluitamme, ja vastuullisuutta. Minä olen Ulla-Maija Seppänen Valtorista, ja toimin tämän podcastin hostina. Tämän päivän vieraina Valtorista ovat palvelupäällikkö Mikko Nurminen.

Nurminen [00:00:28]: Tervehdys.

Seppänen [00:00:30]: Ja tietoturva-arkkitehti Petteri Virtanen.

Virtanen [00:00:33]: Terve vaan.

Seppänen [00:00:34]: Terve. Minkälaisia turvallisia vinkkejä voisitte antaa mobiililaitteiden käyttäjille?

Virtanen [00:00:42]: No yleisesti suojauspalvelut toimivat tuossa taustalla, niissäkin harvoissa tilanteissa, kun käyttäjä saattaa erehtyä. Mutta lähtökohtaisesti muutamat perusasiat on hyvä sen käyttäjän muistaa. Ja toki siihen pohjalle on hyvä ymmärtää myös, että minkälaisia uhkia siellä voi tulla vastaan. Mitä nyt tällaisia muutamia esimerkkejä voisi listata, niin ovat esimerkiksi haittaohjelmat, mahdolliset vakoiluohjelmat, tietojen kalastelut viestillä, sähköpostilla. Mahdollisesti sitten jopa laitteen varastaminen jossain, vaikka työmatkalla, julkisessa välineessä tai missä tahansa muualla. Niin nämä ovat sellaisia selkeitä uhkia ja riskejä sitten laitteen osalle, ja siellä laitteessa olevalle kriittiselle tiedolle. Ja monet näistä uhista voivat johtua esimerkiksi heikoista salasanoista, vanhentuneista ohjelmistoista. Sekä tällaisesta riskialttiista käyttäytymistä esimerkiksi jossain julkisissa wifi-verkoissa, esimerkiksi hotelleissa ja muissa vastaavissa.

Nurminen [00:01:55]: Joo, eli siinä tapauksessa, jos vaikka käyttäjä liittää laitteen tällaiseen wifi-verkkoon, jossa ei ole salasanaa, niin sitä liikennettä voidaan sitten kaapata sieltä ja katsella, mitä se käyttäjä siinä tekee siinä laitteella. Ja tietysti julkisella puolella niin näitähän nyt on saatavilla reilustikin. Tällaisia, kutsutaan käyttämään jotain wifi-verkkoa, ja pahimmassa tapauksessa pyytää sitten vielä asentamaan siihen laitteelle jotain. Niin siinä kohtaa pitäisi sitten viimeistään herätä, että mitähän kaikkea tänne laitteelle oikein asentuu.

Virtanen [00:02:42]: Tosiaan käyttäjän on hyvä muistaa, että ladataan ne sovellukset vain luotetuista lähteistä. Tietysti sitä riskiä, että käyttäjä lataa sovelluksia mistä sattuu ja mitä sattuu, niin saadaan rajattua sillä tavoin, että laitteet ovat hallittuja, ja sinne saa asentaa silloin vain työnantajan hyväksyttyjä sovelluksia. Eikä laitteelle voi asennella ihan mitä tahansa sattuu sovelluksia.

Nurminen [00:03:18]: Joo, tässä niin kun hallituissa laitteissa, niin Android-puhelimissa suurella osalla on se työ- ja henkilökohtainen puoli siinä rajattu ihan erikseen. Ja sitten noissa Applen puhelimissa niin sinne sitten sieltä laitteelta asentuvat ne työnantajan sovellukset sinne yleensä automaattisesti, ja sitten sieltä Apps@Workista pystyy sitten lataamaan niitä tarvittaessa lisää, mitä ollaan tuotu siihen saataville työkäyttöön.

Virtanen [00:03:58]: Näihin vinkkeihin liittyen myös, niin käyttäjän on hyvä olla tietoinen myös näistä kalasteluyrityksistä. Niitähän voi tulla puhelimitse, viesteillä ja sähköposteilla. Ja näissä olisi hyvä muistaa, ettei availisi niitä epäilyttäviä linkkejä. Toki miten sitten tunnistaisi tällaisen, vaikka epäilyttävän linkin, niin sitä on hyvä sitä viestin ulkoasua vähän tarkkailla, että onko tässä nyt ihan kieliasu oikein, ja mistä se viesti on mahdollisesti tullut, että mikä se lähettäjä on. Toki nämä voivat olla haasteellisia, mutta siinä kannattaa aina mahdollisesti vaikka vieruskaveriakin, jos siinä sattuu olemaan, niin toisetkin silmäparit on hyvä aina vähän, hyvä olla siinä mukana tarkastamassa, että onko tämä nyt epäilyttävän vai ei.

Nurminen [00:04:51]: Joo, tähän on kyllä sellainen ihan mukava peli, joka tuli, sellainen digiturvallinen elämä. En tiedä kuinka moni sitä kerkesi jo pelaamaan, se on jo hetken aikaa ollut olemassa, mutta se kannattaa kyllä ladata ja pelata, koska siinä tulee sitten näitä pelinomaisesti näitä skenaarioita. Niin se on ihan hyvä tapa herähtellä itseänsäkin, että miten se tietoturva oikein rakentuu.

Virtanen [00:05:20]: Kyllä. Ja tietysti nykyään kun on tätä tekoälyä ja muuta, mitä sitten hyödynnetään myös siellä niin sanotun hyökkääjänkin puolella, niin se on hyvä treeniä vähän katsella, että minkälaisia huijausyrityksiä sillä mahdollisesti nousee. Ja sitä kautta saa sitten treenattua sitä niin sanottua lukutaitoja sitten näiden huijausten osalta. Toki siinä taustalla niin aina on mahdollisuus, että niihin haksahtaa, ja se voi olla osaavammallekin henkilöille vähän haastavaa niitä tunnistaa. Ja sitä varten siellä taustalla on näitä suojauspalveluita, millä saadaan sitten kiinni mahdollisia haitallisia ohjelmia ja muita vastaavia, jos se käyttäjä sitten erehtyy. Ja sitten lisäys ehkä tuohon, jos käyttäjiltä häviää laite, tai se mahdollisesti varastetaan tai muuta vastaavaa, niin käyttäjän olisi hyvä olla heti yhteydessä sitten järjestelmänvalvojaan tai asiakastukeen. Ja yleisesti ottaen niin nämä yhteystiedothan löytyvät työnantajan koneelta tai muuta kautta, tai sitten kysyy vaikka siltä kollegalta, että hetkinen tällainen kävi, niin siitä monesti pääsee jo eteenpäin. Toki näissä tilanteissa nuo laitteiden suojausasetukset sitten auttavat, jos se laite on joutunut väärin käsiin. Niin esimerkiksi tällaiset biometriset tunnisteet rajoittavat siinä sitä hyökkäjän pääsyä siihen laitteelle, ja sitten esimerkiksi kahdeksanmerkiset PIN-koodit, ja sitten vahvat salasanat myös hidastavat sitä hyökkäjän pääsyä siihen laitteelle. Että ei ole perus 1, 2, 3, 4 -pääsykoodi siinä, ja sitten ollaankin jo firman tärkeissä tiedoissa. Niin se on hyvä muistaa sitten tällaiset vahvat tunnistamiset ja vahvat salasanat.

Nurminen [00:07:25]: Joo, tuossahan sitten tietysti tulee se, että jos sitä salasanaa syöttää sinne tarpeeksi aikaa väärin, niin hups, se menikin sitten tyhjäksi se laite. Että niin käy sitten kyllä myös sille hyökkäjälle. Ja toki tuossa niin kun sitten niihin sisäverkon palveluihin tai palveluihin, mitä tarjotaan sieltä esimerkiksi intranetti, niin niihin käytetään sitten näitä VPN-ratkaisuja, jolloin se yhteys on turvallinen. Ja varmaan sitten tuossa tulevaisuudessa myös tuon SASEn kautta pystyy sitten ottamaan sitä yhteyttä niihin sisäverkkopalveluihin. Ja tuossa niin kuin Petteri mainitsikin jo tuosta katoamisesta, niin siinä olisi kyllä hyvä muistaa vaihtaa se SIM-kortin pin-koodi kanssa, koska monella on se, että on määritelty se MFA-tunnistus SMS-viestillä kanssa saapuvaksi, niin jos sen painaa sen 1234 siihen SIM-korttiin, niin sen voi sitten pistää seuraavaan puhelimeen ja ottaa sen MFA-koodin sitä kautta. Niin tuota se olisi kyllä hyvä ainakin muistaa sitten vaihtaa myös.

Virtanen [00:08:56]: Ja tuo vielä vähän lisäyksenä siihen, että kun se laite häviää, niin minkä takia se on tärkeää olla nopeasti yhteydessä siihen järjestelmänvalvojaan, asiakastukeen, muun vastaavaan. Niin yleisesti ottaen kun nämä laitteet ovat kuitenkin hallittuja ja muita, niin pystytään sitten joissakin tapauksissa esimerkiksi tyhjäämään laitetta jopa etänä sitten. En muista, oliko se niin kuin nykyisin sitten?

Nurminen [00:09:21]: Joo, kyllä se pystytään tyhjentämään etänä ja poistamaan sieltä ne tiedot, niin se kyllä pelastaa sitten monesti sen, että siihen laitteelle tullut tieto sitten ei eksy väärin käsin.

Seppänen [00:09:37]: Kiitos mielenkiintoisesta haastattelusta molemmille. Tämä oli Valtorin ICT-arkea podcast. Toivottavasti viihdyitte seurassamme.