Tietomurrolla tarkoitetaan tilannetta, jossa ulkopuolinen p\u00e4\u00e4see k\u00e4siksi tietoihin, joiden pit\u00e4isi pysy\u00e4 suojattuina. Kohteena voi olla yksitt\u00e4isen henkil\u00f6n laite tai tili, mutta julkisuuteen nousevat yleens\u00e4 suuret murrot, joissa palveluntarjoajan tietokannasta vuotaa tuhansien tai miljoonien k\u00e4ytt\u00e4jien tietoja kerralla. K\u00e4ytt\u00e4j\u00e4n kannalta lopputulos on sama riippumatta siit\u00e4, miss\u00e4 kohtaa ketjua aukko syntyi: tietoja, jotka k\u00e4ytt\u00e4j\u00e4 antoi luottamuksellisesti, p\u00e4\u00e4tyy v\u00e4\u00e4riin k\u00e4siin.<\/p>\n
On hyv\u00e4 erottaa kaksi asiaa toisistaan. Murto tarkoittaa luvatonta p\u00e4\u00e4sy\u00e4 j\u00e4rjestelm\u00e4\u00e4n. Vuoto tarkoittaa, ett\u00e4 tieto on p\u00e4\u00e4tynyt ulos, joko murron seurauksena tai vahingossa esimerkiksi v\u00e4\u00e4rin m\u00e4\u00e4ritellyn palvelimen kautta. Molemmat johtavat samaan ongelmaan k\u00e4ytt\u00e4j\u00e4n n\u00e4k\u00f6kulmasta, mutta syyt ja korjaukset poikkeavat toisistaan.<\/p>\n
Yleinen harhak\u00e4sitys on, ett\u00e4 hy\u00f6kk\u00e4\u00e4j\u00e4t murtavat salauksen nerokkailla matemaattisilla keinoilla. Todellisuudessa valtaosa murroista hy\u00f6dynt\u00e4\u00e4 paljon arkisempia heikkouksia. Tunnistamalla yleisimm\u00e4t reitit ymm\u00e4rr\u00e4t, mihin suojaus kannattaa kohdistaa.<\/p>\n
Yleisin yksitt\u00e4inen syy on salasana. Jos k\u00e4ytt\u00e4j\u00e4 on valinnut arvattavan salasanan tai k\u00e4ytt\u00e4\u00e4 samaa salasanaa monessa palvelussa, yksi vuoto avaa monta ovea. Hy\u00f6kk\u00e4\u00e4j\u00e4t ker\u00e4\u00e4v\u00e4t aiemmin vuotaneita k\u00e4ytt\u00e4j\u00e4tunnus- ja salasanapareja ja kokeilevat niit\u00e4 automaattisesti muihin palveluihin. T\u00e4t\u00e4 kutsutaan tunnusten t\u00e4ytt\u00f6hy\u00f6kk\u00e4ykseksi. Se toimii, koska sama salasana kelpaa usein useaan paikkaan.<\/p>\n
Toinen merkitt\u00e4v\u00e4 reitti on huijaus, jossa k\u00e4ytt\u00e4j\u00e4 houkutellaan luovuttamaan tunnuksensa v\u00e4\u00e4rennetylle sivulle tai avaamaan haitallinen liite. T\u00e4ll\u00f6in hy\u00f6kk\u00e4\u00e4j\u00e4n ei tarvitse murtaa mit\u00e4\u00e4n, koska k\u00e4ytt\u00e4j\u00e4 antaa avaimet vapaaehtoisesti. T\u00e4t\u00e4 aihetta k\u00e4sitell\u00e4\u00e4n tarkemmin tietojenkalastelua<\/a> koskevassa artikkelissa.<\/p>\n Ohjelmistoissa on virheit\u00e4, ja osa niist\u00e4 on hy\u00f6dynnett\u00e4viss\u00e4 murtautumiseen. P\u00e4ivitt\u00e4m\u00e4tt\u00e4 j\u00e4tetty palvelin, vanhentunut sis\u00e4ll\u00f6nhallintaj\u00e4rjestelm\u00e4 tai korjaamaton kirjasto tarjoaa hy\u00f6kk\u00e4\u00e4j\u00e4lle valmiin sis\u00e4\u00e4nk\u00e4ynnin. Tunnetut haavoittuvuudet ovat erityisen vaarallisia, koska niiden hyv\u00e4ksik\u00e4ytt\u00f6\u00f6n on usein olemassa valmiita ty\u00f6kaluja, ja hy\u00f6kk\u00e4\u00e4j\u00e4t etsiv\u00e4t verkosta j\u00e4rjestelm\u00e4llisesti koneita, joita ei ole viel\u00e4 paikattu.<\/p>\n Kaikki murrot eiv\u00e4t tule ulkopuolelta. V\u00e4\u00e4rin m\u00e4\u00e4ritelty pilvitallennus, vahingossa julkiseksi j\u00e4tetty tietokanta tai ty\u00f6ntekij\u00e4n huolimattomuus voivat paljastaa tietoja ilman, ett\u00e4 kukaan varsinaisesti murtautuu mihink\u00e4\u00e4n. My\u00f6s sis\u00e4piiril\u00e4inen voi v\u00e4\u00e4rink\u00e4ytt\u00e4\u00e4 oikeuksiaan. N\u00e4m\u00e4 tapaukset muistuttavat, ett\u00e4 turvallisuus on yht\u00e4 paljon prosessien ja oikeuksien hallintaa kuin teknisten esteiden pystytt\u00e4mist\u00e4.<\/p>\n Murron vakavuus riippuu siit\u00e4, mit\u00e4 tietoja paljastuu. Yhteystiedot kuten s\u00e4hk\u00f6postiosoitteet ja puhelinnumerot ovat itsess\u00e4\u00e4n v\u00e4hemm\u00e4n arkaluonteisia, mutta niit\u00e4 voidaan k\u00e4ytt\u00e4\u00e4 kohdennettuun huijaukseen. Salasanat ovat kriittisi\u00e4, ja niiden vaarallisuus riippuu t\u00e4ysin siit\u00e4, miten palvelu oli ne tallentanut. Jos salasanat oli suojattu kunnollisella tiivistefunktiolla ja suolalla, niiden palauttaminen on ty\u00f6l\u00e4st\u00e4. Jos ne oli tallennettu selkokielisen\u00e4 tai heikosti suojattuna, ne ovat v\u00e4litt\u00f6m\u00e4sti k\u00e4ytett\u00e4viss\u00e4.<\/p>\n Pahimmillaan vuotaa tietoja, joita ei voi vaihtaa. Salasanan voi nollata, mutta henkil\u00f6tunnusta, syntym\u00e4aikaa tai biometrist\u00e4 tunnistetta ei. Maksukorttitiedot, terveystiedot ja viralliset tunnisteet ovat siksi erityisen arvokkaita rikollisille ja erityisen haitallisia uhrille. T\u00e4llaisten tietojen vuoto voi johtaa identiteettivarkauteen, joka seuraa k\u00e4ytt\u00e4j\u00e4\u00e4 vuosia.<\/p>\n K\u00e4ytt\u00e4j\u00e4lle v\u00e4litt\u00f6min seuraus on tilien kaappaus. Kun hy\u00f6kk\u00e4\u00e4j\u00e4 saa toimivan tunnus- ja salasanaparin, h\u00e4n voi kirjautua sis\u00e4\u00e4n, lukita oikean omistajan ulos ja k\u00e4ytt\u00e4\u00e4 tili\u00e4 v\u00e4\u00e4rin. Jos kyseess\u00e4 on s\u00e4hk\u00f6postitili, vahinko moninkertaistuu, koska s\u00e4hk\u00f6posti toimii salasanan nollauksen kanavana l\u00e4hes kaikkiin muihin palveluihin.<\/p>\n Toinen yleinen seuraus on kohdennettu huijaus. Vuotaneiden tietojen avulla rikollinen voi rakentaa uskottavan viestin, joka k\u00e4ytt\u00e4\u00e4 oikeita yksityiskohtia ja vaikuttaa siksi aidolta. T\u00e4llainen viesti pett\u00e4\u00e4 selv\u00e4sti todenn\u00e4k\u00f6isemmin kuin satunnainen massaposti. Pidemm\u00e4ll\u00e4 aikav\u00e4lill\u00e4 seurauksena voi olla identiteettivarkaus, taloudellisia menetyksi\u00e4 ja pitk\u00e4 selvittelyprosessi. Yrityksille lis\u00e4t\u00e4\u00e4n t\u00e4h\u00e4n viel\u00e4 mainehaitta, asiakkaiden luottamuksen menetys ja mahdolliset oikeudelliset seuraamukset.<\/p>\n Vaikka et voi est\u00e4\u00e4 palveluntarjoajaa joutumasta murron kohteeksi, voit merkitt\u00e4v\u00e4sti rajoittaa siit\u00e4 sinulle koituvaa haittaa. Suojaus rakentuu muutamasta toisiaan tukevasta toimenpiteest\u00e4.<\/p>\n T\u00e4rkein yksitt\u00e4inen toimenpide on lopettaa salasanojen uudelleenk\u00e4ytt\u00f6. Kun jokaisella palvelulla on oma yksil\u00f6llinen salasana, yhden palvelun vuoto ei vaaranna muita. T\u00e4m\u00e4 on k\u00e4yt\u00e4nn\u00f6ss\u00e4 mahdotonta tehd\u00e4 ulkomuistista, joten k\u00e4yt\u00e4 salasanojen hallintaohjelmaa. Se luo ja muistaa pitk\u00e4t, satunnaiset salasanat puolestasi. Aihetta k\u00e4sitell\u00e4\u00e4n tarkemmin artikkelissa salasanaturvallisuus<\/a>.<\/p>\n Kaksivaiheinen tunnistautuminen lis\u00e4\u00e4 salasanan rinnalle toisen vaiheen, esimerkiksi sovelluksen luoman kertakoodin tai fyysisen turva-avaimen. Vaikka salasanasi vuotaisi, hy\u00f6kk\u00e4\u00e4j\u00e4 ei p\u00e4\u00e4se sis\u00e4\u00e4n ilman t\u00e4t\u00e4 toista tekij\u00e4\u00e4. T\u00e4m\u00e4 yksi asetus torjuu suuren osan tunnusten t\u00e4ytt\u00f6hy\u00f6kk\u00e4yksist\u00e4. Ota se k\u00e4ytt\u00f6\u00f6n ainakin s\u00e4hk\u00f6postissa, pankkipalveluissa ja sosiaalisen median tileiss\u00e4.<\/p>\n On olemassa palveluita, joihin voit sy\u00f6tt\u00e4\u00e4 s\u00e4hk\u00f6postiosoitteesi ja tarkistaa, esiintyyk\u00f6 se tunnetuissa vuodoissa. Monet salasanojen hallintaohjelmat ja selaimet my\u00f6s varoittavat automaattisesti, jos tallennettu salasana l\u00f6ytyy vuotaneiden joukosta. Jos saat t\u00e4llaisen varoituksen, vaihda kyseisen palvelun salasana heti ja varmista, ettet k\u00e4yt\u00e4 samaa salasanaa muualla.<\/p>\n Mit\u00e4 v\u00e4hemm\u00e4n tietoa annat, sit\u00e4 v\u00e4hemm\u00e4n voi vuotaa. Harkitse, onko palvelun todella tarpeen tiet\u00e4\u00e4 syntym\u00e4aikasi, puhelinnumerosi tai osoitteesi. Pakollisten kenttien t\u00e4ytt\u00e4minen on usein v\u00e4ltt\u00e4m\u00e4t\u00f6nt\u00e4, mutta vapaaehtoisten tietojen kanssa kannattaa olla pid\u00e4ttyv\u00e4inen. T\u00e4m\u00e4 periaate pienent\u00e4\u00e4 vahinkoa silloinkin, kun murto tapahtuu.<\/p>\n Tietomurto ei yleens\u00e4 ole hetkellinen tapahtuma vaan prosessi, joka etenee vaiheittain. Ymm\u00e4rt\u00e4m\u00e4ll\u00e4 sen kulun hahmotat paremmin, miss\u00e4 kohdin suojaus voi katkaista ketjun. Hy\u00f6kk\u00e4ys alkaa tiedustelusta, jossa hy\u00f6kk\u00e4\u00e4j\u00e4 ker\u00e4\u00e4 tietoa kohteesta: k\u00e4ytetyist\u00e4 j\u00e4rjestelmist\u00e4, ty\u00f6ntekij\u00f6ist\u00e4 ja mahdollisista heikkouksista. T\u00e4m\u00e4 vaihe on usein n\u00e4kym\u00e4t\u00f6n, eik\u00e4 siit\u00e4 j\u00e4\u00e4 j\u00e4lki\u00e4, jotka uhri huomaisi.<\/p>\n Tiedustelua seuraa sis\u00e4\u00e4np\u00e4\u00e4sy. Hy\u00f6kk\u00e4\u00e4j\u00e4 k\u00e4ytt\u00e4\u00e4 l\u00f6yt\u00e4m\u00e4\u00e4ns\u00e4 heikkoutta, esimerkiksi vuotanutta salasanaa, korjaamatonta haavoittuvuutta tai onnistunutta huijausta, p\u00e4\u00e4st\u00e4kseen j\u00e4rjestelm\u00e4\u00e4n. P\u00e4\u00e4sty\u00e4\u00e4n sis\u00e4\u00e4n hy\u00f6kk\u00e4\u00e4j\u00e4 pyrkii usein laajentamaan oikeuksiaan ja liikkumaan j\u00e4rjestelm\u00e4st\u00e4 toiseen, jotta h\u00e4n p\u00e4\u00e4sisi k\u00e4siksi arvokkaampaan tietoon. Vasta t\u00e4m\u00e4n j\u00e4lkeen seuraa varsinainen tiedon kopiointi ulos. Koko ketju voi kest\u00e4\u00e4 viikkoja tai kuukausia, mik\u00e4 selitt\u00e4\u00e4, miksi murto havaitaan usein vasta pitk\u00e4n ajan kuluttua.<\/p>\n T\u00e4m\u00e4 vaiheittaisuus on my\u00f6s puolustajan etu. Jos yksikin vaihe katkeaa, hy\u00f6kk\u00e4ys pys\u00e4htyy. Kaksivaiheinen tunnistautuminen voi est\u00e4\u00e4 sis\u00e4\u00e4np\u00e4\u00e4syn vuotaneella salasanalla. Oikeuksien rajaaminen voi est\u00e4\u00e4 liikkumisen j\u00e4rjestelm\u00e4st\u00e4 toiseen. Tarkkailu voi paljastaa ep\u00e4tavallisen toiminnan ennen kuin tietoa ehtii vuotaa ulos. Juuri t\u00e4st\u00e4 syyst\u00e4 kerroksittainen suojaus toimii: se tarjoaa useita kohtia, joissa hy\u00f6kk\u00e4ys voi ep\u00e4onnistua.<\/p>\n K\u00e4ytt\u00e4j\u00e4 saa usein tiedon murrosta vasta, kun palveluntarjoaja ilmoittaa siit\u00e4. Hyv\u00e4 toimija havaitsee poikkeaman omasta seurannastaan, tutkii sen ja kertoo asiasta k\u00e4ytt\u00e4jille mahdollisimman pian. Ilmoituksessa kerrotaan tyypillisesti, mit\u00e4 tietoja vuoti, milloin tapahtuma havaittiin ja mit\u00e4 k\u00e4ytt\u00e4j\u00e4n tulisi tehd\u00e4. T\u00e4llainen avoin ja nopea viestint\u00e4 on merkki vastuullisesta palvelusta.<\/p>\n Kaikki murrot eiv\u00e4t kuitenkaan tule esiin n\u00e4in siististi. Toisinaan vuotanut tieto ilmestyy julkisuuteen ennen kuin palveluntarjoaja itse on ehtinyt havaita ongelmaa. Joskus murto paljastuu vasta, kun vuotaneita tietoja aletaan k\u00e4ytt\u00e4\u00e4 hy\u00f6kk\u00e4yksiin. T\u00e4m\u00e4n vuoksi sinun ei kannata j\u00e4\u00e4d\u00e4 odottamaan virallista ilmoitusta, vaan seurata aktiivisesti, esiintyv\u00e4tk\u00f6 tietosi tunnetuissa vuodoissa, ja toimia heti, jos saat siit\u00e4 viitteit\u00e4.<\/p>\n Murtoa koskeviin ilmoituksiin liittyy my\u00f6s oma riskins\u00e4. Huijarit hy\u00f6dynt\u00e4v\u00e4t uutisoituja murtoja l\u00e4hett\u00e4m\u00e4ll\u00e4 v\u00e4\u00e4rennettyj\u00e4 ilmoituksia, jotka n\u00e4ytt\u00e4v\u00e4t tulevan kyseiselt\u00e4 palvelulta ja pyyt\u00e4v\u00e4t vahvistamaan tietoja tai vaihtamaan salasanan linkin kautta. \u00c4l\u00e4 koskaan toimi t\u00e4llaisen viestin linkin kautta, vaan kirjaudu palveluun erikseen kirjoittamalla osoite itse. T\u00e4t\u00e4 aihetta k\u00e4sitell\u00e4\u00e4n tietojenkalastelua<\/a> koskevassa artikkelissa.<\/p>\n Jos saat tiedon, ett\u00e4 k\u00e4ytt\u00e4m\u00e4si palvelu on joutunut murron kohteeksi, toimi rauhallisesti mutta ripe\u00e4sti. Vaihda kyseisen palvelun salasana, ja jos olet k\u00e4ytt\u00e4nyt samaa salasanaa muualla, vaihda se my\u00f6s niiss\u00e4. Ota kaksivaiheinen tunnistautuminen k\u00e4ytt\u00f6\u00f6n, jos et ole jo tehnyt sit\u00e4. Tarkkaile tilej\u00e4si ep\u00e4tavallisen toiminnan varalta ja suhtaudu erityisell\u00e4 varauksella viesteihin, jotka viittaavat vuotaneeseen tietoon, sill\u00e4 juuri niit\u00e4 k\u00e4ytet\u00e4\u00e4n jatkohuijauksiin.<\/p>\n Jos vuodossa on paljastunut maksutietoja, ota yhteytt\u00e4 pankkiisi ja seuraa tilitapahtumiasi. Jos kyse on virallisista tunnisteista, selvit\u00e4, mit\u00e4 toimia identiteettivarkauden ehk\u00e4isemiseksi on saatavilla. Nopea reagointi rajoittaa vahinkoa olennaisesti, ja useimmat haitat ovat torjuttavissa, kun niihin tartutaan ajoissa.<\/p>\nOhjelmistojen haavoittuvuudet<\/h3>\n
Sis\u00e4iset ja inhimilliset virheet<\/h3>\n
Millaisia tietoja vuotaa<\/h2>\n
Mit\u00e4 seurauksia murrolla on<\/h2>\n
Miten suojaudut k\u00e4yt\u00e4nn\u00f6ss\u00e4<\/h2>\n
K\u00e4yt\u00e4 jokaiseen palveluun omaa salasanaa<\/h3>\n
Ota kaksivaiheinen tunnistautuminen k\u00e4ytt\u00f6\u00f6n<\/h3>\n
Seuraa, ovatko tietosi vuotaneet<\/h3>\n
Rajoita antamaasi tietoa<\/h3>\n
Miten murto etenee<\/h2>\n
Miten murrot havaitaan ja niist\u00e4 kerrotaan<\/h2>\n
Jos olet joutunut murron kohteeksi<\/h2>\n