Arjen tietoturvan ABC
2.2.2021
Harto Pönkä
Innowise
Kuva: Marvin Meyer @Unsplash, 2018

Onko tietokoneesi turvallinen?
Kuva: Alkuperäinen IBM PC 5150, Wikimedia Commons, https://commons.wikimedia.org/wiki/File:IBM_PC_5150.jpg (CC-BY-SA)
Pakollinen
kirjautuminen
Virusten ja haitta-
ohjelmien torjunta
Ajanmukainen
nettiselain
Verkkoyhteys
ja palomuuri
Varmuuskopiot
Käyttäjä
2
Ohjelmat

1. Hyökkääjä etsii verkkopalveluita ja -sivustoja,
joissa on tietoturva-aukkoja.
2. Hyökkääjä saastuttaa haavoittuvan palvelun
tai sivuston.
3. Haittaohjelma etsii saastuneen palvelun
käyttäjiltä tietoturva-aukkoja:
a) nettiselaimesta
b) selaimen laajennuksista/lisätoiminnoista
c) käyttöjärjestelmästä
4. Jos tietoturva-aukko löytyy, käyttäjän laitteelle
voidaan asentaa viruksia ja haittaohjelmia.
Miksi päivitykset ovat tärkeitä?
Lähde: Viestintäviraston Kyberturvallisuuskeskuksen vuosiraportti 2015,
https://www.viestintavirasto.fi/attachments/tietoturva/Viestintaviraston_Kyberturvallisuuskeskuksen_vuosiraportti_2015.pdf
3

Kännyköiden tietoturva
• Päivittämätön laite tai sovellus on aina riski.
• Käytä PIN-koodia, salasanaa, sormenjälkeä tms.
• Asenna vain turvallisiksi tietämiäsi sovelluksia.
• App Storen sovellustarjontaa valvotaan
tarkemmin kuin Google Playn.
• Käytä vain turvallisiksi tietämiäsi WLAN-verkkoja.
• Käytä laitteen paikantamista häviämisen varalta.
• Käytä sovelluksissa kaksivaiheista kirjautumista,
jos sellainen on tarjolla.
• Jos säilytät työhön liittyviä tiedostoja
kännykässä, salaa tallennustila/muistikortti.
• Tyhjennä vanha kännykkä.

1. Asenna sovelluksia vain luotetuista sovelluskaupoista.
2. Tarkista sovelluksen tekijä ja sovelluksen saama palaute.
– Sovelluskaupoissa voi olla myös tunnettujen sovellusten väärennöksiä.
– Jos sovellukselle ei tule päivityksiä, se voi sisältää haavoittuvuuksia, joita hyökkääjät
voivat hyväksikäyttää.
3. Arvioi sovelluksen pyytämät oikeudet verrattuna sovelluksen käyttäjää
palvelevaan toiminnallisuuteen.
– Hyväksy mahdollisimman vähän oikeuksia laitteen tietoihin.
– Tarkista sovellusten oikeudet kännykän asetuksista.
4. Tutustu sovelluksen käyttöehtoihin.
– Mitä tietojen keräämisestä ja käsittelystä kerrotaan?
– Missä maassa tietoja käsitellään?
5. Työnantajalla voi olla tarkempia ohjeita kännyköiden käytöstä työssä.
– Noudata työnantajan ohjeita, jos asennat sovelluksia työssä käytettäviin laitteisiin.
5 neuvoa mobiilisovellusten arviointiin
Lähde: Viestintäviraston Kyberturvallisuuskeskus, 2018,
https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2018/11/ttn201811141100.html
5

”Nämä haavoittuvuudet antavat hakkereiden
katkaista helposti viestinnän vpn-palveluntarjoajan
sekä käyttäjän välillä, jolloin hakkerit näkevät kaiken,
mitä käyttäjä tekee.
--
85 prosenttia ilmaisista vpn-ohjelmistoista halusi
käyttäjältä tarpeettoman paljon tietoa, kuten pääsyn
lukea, muokata tai poistaa puhelimessa olevaa dataa,
urkkia käyttäjän tai tämän ystävien puhelinnumerot
sekä saada selville kännykän sijainnin”
Suositut ilmaiset VPN-sovellukset sisälsivät haavoittuvuuksia
Lähde: Tivi, 27.2.2020,
https://www.tivi.fi/uutiset/nama-10-vaarallista-android-sovellusta-tulisi-poistaa-heti/d730cffb-50bd-4753-897b-0bf77236822a
6

Milloin on syytä epäillä haittaohjelmaa?
 Laite hidastuu ilman selvää syytä.
 Laitteelle ilmestyy yllättäen uusia ohjelmia.
 Laite alkaa näyttää mainoksia, nettiselaimen
aloitussivu vaihtuu tai muuta yllättävää.
 Tuttavasi saavat sinulta roskapostia.
 Verkkoyhteys siirtää dataa, vaikka et käytä
nettiä ja päivityksiä ei ole latautumassa.
 Windows 10: Asetukset  Verkko &
internet  Datan käyttö
 Applen tietokoneissa: Ohjelmat 
Lisäohjelmat  Järjestelmän valvonta ja
 Iphone ja iPad: Asetukset  Mobiiliverkko
 Muut kännykät: Asetukset  Datan käyttö
7
Lisätietoa: https://yle.fi/aihe/artikkeli/2019/06/02/digitreenit-kirotut-haittaohjelmat-kuinka-tunnistaa-onko-kone-saastunut

Mitä tehdä, jos epäilet haittaohjelmaa tai virusta?
1. Etukäteen: varmuuskopioi tärkeät tiedostot esim. ulkoiselle
kovalevylle tai luotettavaan pilvipalveluun.
2. Kun tilanne on päällä: ota laite pois netistä.
3. Tarvittaessa kysy apua ammattilaiselta/tekniseltä tuelta
4. Aja virustorjuntaohjelman tarkistus
5. Poista nettiselaimen väliaikaistiedostot ja evästeet
6. Tarkista selaimen aloitussivu ja asennetut laajennukset (plugins)
7. Tarkista viimeksi asennetut ohjelmat ja poista epämääräiset
8. Tarvittaessa palauta laite aiempaan palautuspisteeseen tai asenna
käyttöjärjestelmä / alusta laite uudestaan.
8

9
 Onko päivitykset tehty ja
varmuuskopiot ajantasalla?
Tarkistettavaa

Langattoman verkon turvallisuus
Kuva: Viestintävirasto, 2011, lisätietoa:
https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Langattomasti_mutta_turvallisesti._Langattomien_lahiverkkojen_tietoturvallisuudesta.pdf
10
WPA2
WPA2
SSL
SSL

WLAN-tukiasemien turvallisuus
1. Käytä WPA2-salausta ja pitkää salasanaa.
 Päivitä tarvittaessa verkkokorttisi ajuri WPA2-yhteensopivaksi.
 Älä käytä vanhaa WEP- tai WPS-suojausta.
 Tukiaseman nimen piilottaminen ei paranna sen tietoturvaa.
2. Muuta WLAN-tukiasemasi hallintapaneelin asetuksia vain kaapeliyhteyden kautta. Voit
estää sen käytön langattoman verkon kautta.
3. Vaihda WLAN-tukiaseman hallintapaneelin käyttäjätunnus ja salasana. Hyökkääjä voi
saada tietoonsa tehdasasetuksena olevan tunnuksen ja siihen liitetyn salasanan.
4. Tee tukiaseman ohjelmiston päivitykset viipymättä.
5. Seuraa verkon käyttöä tuntemattomien käyttäjien (laitteiden) varalta.
11

Selaimen yksityinen tila ei tee netin käytöstä ”turvallista”
Microsoft Edge
Google Chrome
Yksityisessä tilassa nettiselain ei tallenna laitteen muistiin:
• Sivuhistoriaa
• Lomaketietoja ja kirjautumisia
• Evästeitä (cookies)
• Www-sivustojen tiedostoja välimuistiin
Verkkopalvelut ja verkkoyhteyden tarjoaja näkevät kuitenkin toimintasi normaalisti.
Mozilla Firefox
12

VPN-yhteys salaa nettiliikenteen
 VPN-yhteydellä nettiliikenne kulkee salattuna
palveluntarjoajan palvelimen kautta.
 VPN estää oikean IP-osoitteen ja sijainnin
näkymisen verkkopalveluille.
 Käytä työasioissa vain työnantajan VPN-yhteyttä
ja hyväksyttyjä sovelluksia.
 Kuluttajille sopivia VPN-palveluita:
 ProtonVPN, https://protonvpn.com/
 Opera-nettiselain sisältää VPN:n,
http://www.opera.com/fi
 F-Secure Freedome, https://www.f-
secure.com/en/web/home_global/freedome
Lisätietoa ja kuva: https://www.cloudflare.com/learning/access-management/what-is-a-vpn/
13

Verkkopalveluihin kirjautuminen
14

Lähde: Tom Evans, Maailman suurimmat tietomurrot, http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

Tarkista, onko tietojasi
vuotanut verkkopalveluista:
https://haveibeenpwned.com
1. Syötä tarkistettava
sähköpostiosoite
2. Jos tietojasi on vuotanut:
a) vaihda salasana ko. palveluissa
b) pidä huolta, ettet käytä samoja
salasanoja muissa palveluissa
16

Yleisimmät salasanat 2020
1. 123456
2. 123456789
3. picture1
4. password
5. 12345678
6. 111111
7. 123123
8. 12345
9. 1234567890
10. senha
11. 1234567
12. qwerty
13. abc123
14. Million2
15. 000000
16. 1234
17. iloveyou
18. aaron431
19. password1
20. qqww1122
Lähde: Pcmag, 18.11.2021,
https://uk.pcmag.com/security/130034/2020s-most-common-passwords-are-laughably-insecure
17

18

Hyvä salasana
 Mieluummin salalause kuin -sana!
 Vähintään 8, mielellään 15 merkkiä
 Sisältää kirjaimia, numeroita ja
erikoismerkkejä
 Ei ole nimi, sana tai päivämäärä
 Ei ole arvattavissa
 Ei ole käytössä muualla
19

1. Kirjaudu Google-tunnuksellasi
ja mene osoitteeseen:
https://myaccount.google.com/
2. Valitse valikosta ”Tietoturva”
Lisätietoa:
https://www.google.com/landing/2step/
3. Ota käyttöön ”2-vaiheinen vahvistus”
Googlen kaksivaiheinen tunnistautuminen
20

Facebookin kirjautumisen asetukset
21
Facebook-tunnuksen asetukset
 Turvallisuus ja sisäänkirjautuminen
https://www.facebook.com/settings?tab=security

22
 Käytätkö jo kaksivaiheista tunnistautumista?
 Onko sähköpostisi salasana käytössä myös
jossain muualla?
 Ovatko salasanojen palautukseen käytettävät
puhelinnumerot ja sähköpostiosoitteet yhä
voimassa?
Tarkistettavaa

Varo rikollisten huijausviestejä!
23

Huijari houkuttelee avaamaan liitetiedoston
Kuvakaappaus: Saapunut roskaposti
24
”Lähettäisitkö oikean
tilinumerosi, ohjeet
liitetiedostossa.”

Miksi WhatsApp lähettäisi ääniviestin sähköpostiin?
Kuvakaappaus: Saapunut roskaposti
25
”Kuuntele saamasi
ääniviesti.”

Tunnetuksi yritykseksi naamioituminen
Gigantin nimissä lähetettyjä huijausviestejä, lähde: https://www.gigantti.fi/cms/20160216_111847/huijausviestit/
26
”Ystäväsi on lähettänyt
sinulle yllätyksen…”
”Pakettisi odottaa…”

Aina ei todellakaan voi tietää…
Lisätietoa: Postin huijausviestitiedote, https://www.posti.fi/fi/asiakastuki/tiedotteet/20201008_huijausviestitiedote
27
Aito Huijaus

Kuvat: Saapuneita WhatsApp- ja tekstiviestihuijauksia
28
Älä avaa epäilyttävää linkkiä, olipa
se somepalvelussa, tekstiviestissä
tai sähköpostissa.

29
 Älä luota sähköpostin tai tekstiviestin lähettäjän
nimeen tai osoitteeseen/numeroon.
 Älä koskaan avaa yllätyksenä tullutta liitetiedostoa.
 Tarkista linkki esim. viemällä hiiri sen päälle.
 Anna tietojasi vain varmasti luotettaville tahoille.
 Jos epäilet huijausta, tarkista aitous muuta kautta!
Tarkistettavaa

Tietojenkalastelusivustot
30

Varo: Office 365 -huijaukset ovat nyt yleisiä!
 Rikolliset pyrkivät tietojenkalastelusivun avulla saamaan haltuunsa käyttäjätunnuksia,
joilla he voivat päästä käsiksi luottamuksellisiin tietoihin kuten lähetettyihin laskuihin.
 Murretuilla tunnuksilla voidaan lähettää esim. ”korjattuja” huijauslaskuja.
Lähde: Viestintävirasto, 2019,
https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/uusin-microsoft-office-365-huijaus-ohjaa-uhrin-murretulle-sharepoint-tilille
31

1. Viestillä houkutellaan huijaussivulle, jolla pyritään saamaan käyttäjän tunnus ja salasana.
2. Käyttäjän Facebook-tunnuksella lähetetään huijausviestiä edelleen tämän kavereille.
Poisto: Asetukset ja yksityisyys  Asetukset  Turvallisuus ja sisäänkirjautuminen
 Missä olet sisäänkirjautuneena?  Näytä lisää  Kirjaudu ulos kaikista istunnoista
Facebook Messengerin virusviestit
Ohjeita: https://harto.wordpress.com/2020/04/23/facebook-messenger-virus-ja-sen-poistaminen/
32

Onko tämä aito Googlen kirjautumissivu?
Kuva: Google Chromen tietosuojailmoitus, 2020,
https://www.google.fi/chrome/privacy/whitepaper.html
33

Verkkopankilta näyttävä huijaussivusto
Lähde: Viestintävirasto, 2014, https://www.viestintavirasto.fi/attachments/cert/certtiedostot/Nain_meita_huijataan.pdf
34
 Tietojenkalastelusivu voi
näyttää täsmälleen oikealta
kirjautumissivulta
 Huijaus paljastuu osoitteesta

Veronpalautus -huijaussivusto
Lähteet: Viestintävirasto, 7.9.2017, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2017/09/ttn201709071144.html
Yle uutiset, 24.6.2014, https://yle.fi/uutiset/3-7316236
35
Lähes vuosittain ”päivittyvä” huijaussivusto

Nettiselaimet pyrkivät tunnistamaan huijaussivustot
 Yleisimmät nettiselaimet pyrkivät
tunnistamaan huijaussivustot ja
varoittamaan epäilyttävistä
tiedostoista
 Virustorjuntaohjelmat parantavat
yleensä nettiselailun turvallisuutta
Kuvat: Google Chromen tietosuojailmoitus, 2017,
https://www.google.fi/chrome/privacy/whitepaper.html
36

37
 Tarkista, että kirjautumissivun
osoite on oikea
(tai kirjoita se itse)
Tarkistettavaa

Huijarit ovat loputtoman kekseliäitä
38

Huijauspuhelut
 Käyttäjätunnusten urkintaa, esim. huijari
esiintyy IT-tukihenkilönä
 Nigerilaishuijaus: saat rahaa, mutta ensin
joudut maksamaan siitä aiheutuvia kuluja
 Pankkitunnusten ja luottokorttitietojen
urkintaa pankkien ja viranomaisten nimissä
 Maksulliset numerot takaisin soitettaessa
 Harhaanjohtavat yritykset ja yhdistykset
 Hakemistopalvelut: ”jatketaanko aiemmalla
näkyvyydellä?”
 Yrityksille suunnatut ylihintaiset
verkkomainonta- ja domain-huijauspalvelut
 Muut tilausansat
39
Lisätietoa esim. Mikrobitti, 23.5.2020, https://www.mikrobitti.fi/uutiset/mb/455d0762-783c-4f14-8cdc-3d1b1eb96346

YouTube-videohuijaus
Lähde: Mari Männistö, 2016, http://statiivi.fi/blogi/2016/9/23/varo-youtube-mainosta-jaljittelevaa-huijausta (”ohita mainos” linkkinä)

Kuvakaappaus: Sittemmin poistunut Facebook-sivu, 26.9.2019
Facebookin huijausarvonnat
Mitä arvonnan tekijä kertoo itsestään?
Miten osallistujien tietoja käytetään?
Onko arvonnalla sääntöjä?
Tämä huijaus olisi paljastunut
tekemällä matkailuauton kuvalla
käänteisen kuvahaun.
 Googlen kuvahaku:
https://images.google.com/
 TinEye-kuvahaku:
https://tineye.com/
41

Huijaussivuston linkki Twitter-mainoksessa
Kuvakaappaus: Twitter-mainos, 9.1.2019
42

Lähde: HS, 3.1.2020, https://www.hs.fi/kotimaa/art-2000006361932.html
43
” Fani oli yllättynyt
rahan tarpeesta,
mutta hän oli
kuitenkin valmis
siirtämään rahaa”
”Julkkisten” lähettämät someviestit

44
Kysymyksiä tai
kommentteja?
Yhteystiedot
Harto Pönkä
0400500315
@hponka
harto.ponka@innowise.fi
https://www.innowise.fi/
Kiitos!