Tietoturvatiedotteet

1 2 3 4 5 6 7 8 9 10 ... 64 Näyttäminen 4-6 max 191

19 02 2020

Väärennettyjä puheluita teknisen tuen nimissä

Tunnisteet: puhelinhuijaus, tekninen tuki -huijaus

Suomalaisille organisaatioille ja yksityisille henkilöille on tullut tällä viikolla runsaasti puheluita, jossa soittaja esiintyy Microsoftin teknisenä tukena. Soittaja väittää että uhrin tietokoneella on tietoturvaongelma ja pyytää avaamaan tietokoneen korjatakseen sen. Puhelut näyttävät tulevan suomalaisesta puhelinnumerosta. Huijarit ovat puhuneet englantia tai suomea. Soitot ovat huijauksia ja on aihetta olettaa, että ne on soitettu väärennetyistä puhelinnumeroista.

Älä usko huijaria, joka väittää soittavansa Microsoftin teknisestä tuesta ja pyytää avaamaan tietokoneen. 

Huijari voi väittää, että uhrin koneella on haittaohjelma, tai että käyttöjärjestelmälisenssi on vanhentumassa, tai muuta vastaavaa, joka vaatii korjausta. Huijari pyytää avaamaan tietokoneen ja suorittamaan siinä joitakin Windows-komentoja, kuten ASSOC. Systeemikomentojen tulosteen perusteella huijari väittää tuntevansa uhrin koneelta lisenssinumeroita tai yksityiskohtia, joilla huijari perustelee väitteitään. Kaikki on kuitenkin huijausta ja systeemikomennot on tarkoitettu aivan muuhun. Soittaja ei ole Microsoftin palveluksessa, vaan huijari. 

Jos saat tällaisen puhelun, älä noudata huijarin vaatimuksia. Älä asenna tietokoneellesi mitään huijarin pyytämää etähallintaohjelmaa (esim. TeamViewer) äläkä anna huijarille pankkitietojasi tai maksukorttitietojasi. Kyberturvallisuuskeskus kehottaa tekemään huijaussoitoista rikosilmoituksen ja ilmoittamaan niistä meille.  

Jos olet jo tullut asentaneeksi etähallintasovelluksen tai muuten antanut soittajalle pääsyn koneeseesi, vaihda salasanasi ja tarvittaessa poista asentamasi sovellukset. Ota yhteyttä pankkiin, jos olet luovuttanut huijarille maksukorttinumerosi tai pankkikirjautumistietosi. 

Teknisen tuen huijaukset (tech support scam) ovat kansainvälinen ilmiö. Niitä voi tulla vastaan myös mainoslinkeistä tai verkkosivuilta, jotka johtavat virheviestiltä näyttävään selaimen ponnahdusikkunaan.

Microsoftin ohjeet teknisen tuen huijauksilta suojautumiseksi

Ilmoita huijauksesta Microsoftille

Ilmoita tietoturvaloukkauksesta Kyberturvallisuuskeskukselle

  Traficom 15.02.2020

Lue lisää

17 11 2019

Luottamuksellinen viestintä

Kukaan ei saa ilman laissa säädettyä perustetta tai suostumusta käsitellä toisen henkilön viestejä tai viestintään liittyviä välitystietoja. Oikeus luottamukselliseen viestintään on turvattu Suomen perustuslaissa. Valvomme sähköisen viestinnän tietosuojaa viestinnän välittäjien toiminnassa. Valvonta koskee tietyin edellytyksin myös ulkomailta tarjottuja palveluita.

Sähköisen viestinnän ja välitystietojen tietosuojasta säädetään sähköisen viestinnän palveluista annetussa laissa.

  • Sähköistä viestintää ovat esimerkiksi puhelut, sähköpostiviestit, tekstiviestit, kuvaviestit, puheviestit, pikaviestit ja internetissä surfailussa siirtyvät viestit.
  • Välitystietoja ovat esimerkiksi puhelinnumero, sähköpostiosoite sekä IP-osoite. Välitystiedot ovat tietoja, joita käsitellään viestintäverkoissa viestien siirtämiseksi, jakelemiseksi tai tarjolla pitämiseksi ja jotka ovat yhdistettävissä tilaajaan tai käyttäjään.

Viestinnän osapuolten käsittelyoikeudet

Lain mukaan viestinnän osapuoli voi käsitellä omia sähköisiä viestejään ja niihin liittyviä välitystietoja, jollei laissa toisin säädetä. Lisäksi sähköisiä viestejä ja välitystietoja saa käsitellä viestinnän osapuolen suostumuksella tai jos laissa niin säädetään. Se, joka on ottanut vastaan tai muutoin saanut tiedon sähköisestä viestistä, radioviestinnästä tai välitystiedosta, jota ei ole hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta ilmaista tai käyttää hyväksi viestin sisältöä, välitystietoa tai tietoa viestin olemassaolosta, ellei laissa toisin säädetä.

Toisin sanoen viestinnän lähettäjä ja aiottu vastaanottaja saavat lähtökohtaisesti käsitellä keskinäistä viestintäänsä, mutta viestintää ei saa käsitellä kukaan kolmas osapuoli.

  • Esimerkiksi omia puhelujaan saa lain mukaan nauhoittaa
  • Viestinnän luottamuksellisuutta ei myöskään loukata silloin, kun viestinnän osapuoli itse lähettää saamansa viestin, vaikkapa sähköpostiviestin, edelleen kolmannelle taholle, ellei salassapito perustu muuhun lakiin tai sopimukseen.
  • Viestin vastaanottaja voi myös kertoa saamastaan viestistä ja sen sisällöstä, ellei hänellä ole erikseen säädettyä vaitiolovelvollisuutta. Esimerkiksi viranomaisen palveluksessa olevan vaitiolovelvollisuus saattaa perustua lakiin viranomaisen toiminnan julkisuudesta.

Viestinnän välittäjien käsittelyoikeudet ja -velvollisuudet

Sääntelyn kohteet

Lain mukaan viestinnän välittäjät eli teleyritykset, yhteisötilaajat ja muut viestinnän välittäjät voivat lain mukaan käsitellä sähköisiä viestejä ja välitystietoja siinä määrin kuin se on tarpeen viestinnän välittämiseksi ja sovitun palvelun toteuttamiseksi sekä laissa säädetyllä tavalla tietoturvasta huolehtimiseksi.

Lue lisää sääntelyn kohteista

Sähköisen viestinnän palveluista annetussa laissa säädetään myös viestinnän välittäjien oikeuksista sähköisen viestinnän ja välitystietojen käsittelyyn mm. laskutusta, markkinointia ja teknistä kehittämistä varten.

Viestintäpalvelun tilaajalla sekä muutamilla viranomaisilla on joissain tapauksissa oikeus saada teleyrityksiltä tietoja käyttäjän viestinnästä.

Käsittelyoikeuksien lisäksi sähköisen viestinnän palveluista annettu laki käsittelee viestinnän välittäjien velvollisuuksia sähköisen viestinnän ja välitystietojen käsittelyssä. Lain mukaan esimerkiksi käsittelyn jälkeen sähköiset viestit ja välitystiedot on hävitettävä tai välitystiedot tehtävä sellaisiksi, ettei niitä voi yhdistää tilaajaan tai käyttäjään, jollei laissa toisin säädetä.

Julkiseksi tarkoitettu viestintä

Luottamuksellisen viestinnän lisäksi on myös julkiseksi tarkoitettua viestintää. Julkiseenkin viestintään liittyvät välitystiedot ovat luottamuksellisia. Viestinnän välittämiseen osallistuvat toimijat, kuten teleyritykset ja yhteisötilaajat saavat käsitellä välitystietoja ainoastaan laissa säädettyihin tarkoituksiin. Heillä on lisäksi välitystietoja koskeva vaitiolovelvollisuus.

Keskustelupalstapalvelun tai muun vastaavan viestien julkaisupalvelun tarjoajalla on oikeus julkaista keskustelijoiden lähettämiin viesteihin liittyviä välitystietoja, jos tästä on sovittu palvelun sopimusehdoissa. Kysymys on sanomalehden yleisönosastoon verrattavasta toiminnasta, jossa myös voidaan julkaista kirjoituksia joko nimellä tai nimimerkillä.

Julkaistun viestin sisältöä koskevasta vastuusta sekä julkaisijoiden velvollisuudesta paljastaa anonyymien viestien tietolähteet tai kirjoittajat on säädetty laissa.

Luottamuksellisen viestinnän rajoitukset ja rangaistukset viestintäsalaisuuden loukkaamisesta

Oikeutta luottamukselliseen viestintään voidaan rajoittaa muun muassa joidenkin rikosten tutkinnassa.

Poliisilla on oikeus käyttää telekuuntelua ja -valvontaa tiettyjen rikosten selvittämisessä. Myös hätäilmoituksia vastaanottaville viranomaisille on säädetty oikeus saada tiedot hätäilmoituksen tehneen sekä hädässä olevan käyttäjän liittymän sijainnista.

Viestintäsalaisuuden loukkaaminen on rikos. Rangaistavaa on muun muassa oikeudeton tiedon hankkiminen ulkopuoliselta suojatusta viestistä murtamalla suojaus.

Viranomaisvalvonta

Traficomin Kyberturvallisuuskeskus valvoo, että viestinnän välittäjät toteuttavat verkko- ja viestintäpalvelunsa tietoturvallisesti siten, ettei viestinnän luottamuksellisuus vaarannu. Lisäksi keskus ohjaa ja valvoo, että viestinnän välittäjät noudattavat lain oikeuksia ja velvollisuuksia luottamuksellisen viestinnän käsittelyssä.

Tietosuojavaltuutettu taas valvoo henkilötietojen ja viestintään liittyvien sijaintitietojen eli viestintäverkosta tai päätelaitteesta saatavien liittymän tai päätelaitteen maantieteellisen sijainnin ilmaisevien tietojen käsittelyä.

Luottamuksellista viestintää koskevissa rikosasioissa tulee kääntyä poliisin puoleen.

Evästeet

Eväste (cookie) on pieni tekstitiedosto, jonka internetselain tallentaa käyttäjän laitteelle. Evästeitä käytetään esimerkiksi silloin, kun käyttäjän tietoja halutaan säilyttää tämän siirtyessä internetpalvelun sivulta toiselle. Evästeiden käyttö edellyttää lähtökohtaisesti käyttäjän suostumusta.

Eväste voidaan tallentaa käyttäjän laitteelle pysyvästi (stored cookie) tai se voidaan poistaa palvelun käytön jälkeen (session cookie).

Evästeiden avulla voidaan kerätä muun muassa seuraavia tietoja:

  • käyttäjän IP-osoite
  • kellonaika
  • käytetyt sivut
  • selaintyyppi
  • mistä verkko-osoitteesta käyttäjä on tullut kyseiselle verkkosivulle
  • miltä palvelimelta käyttäjä on tullut verkkosivulle
  • mistä verkkotunnuksesta käyttäjä on tullut verkkosivulle.

Evästeiden käyttö vaatii käyttäjän suostumuksen

EU:n tuomioistuimen päätös 1.10.2019

Euroopan unionin tuomioistuin on antanut 1.10.2019 kyseisen tuomion evästekäytäntöihin liittyen. Virasto perehtyy tuomioon ja arvioi tarvetta muuttaa antamaansa ohjeistusta evästeistä.

EUT:n päätös asissa C-673/17

Evästeistä, käyttötietojen tallentamisesta ja niiden käyttötarkoituksesta on kerrottava selkeästi ja kattavasti sivuston käyttäjälle. Palvelun käyttäjältä on pyydettävä suostumus evästeiden avulla kerättävien tietojen tallentamiseen ja käyttöön. Informaatio evästeiden avulla kerättävistä tiedoista ja mahdollisuus niiden tallentamisen kieltämiseen pitää toteuttaa käyttäjän kannalta mahdollisimman vaivattomasti.

Laki sähköisen viestinnän palveluista 205 § (Ulkoinen linkki)

Suomessa on tulkittu sähköisen viestinnän tietosuojadirektiiviä  (Ulkoinen linkki) siten, että käyttäjä voi antaa suostumuksensa evästeiden tallentamiseen esimerkiksi selaimen tai muun sovelluksen asetusten avulla.

Suomessa evästeistä informoimista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa. Evästekäytännöt on kuitenkin mainittava verkkosivuilla niin, että käyttäjän on mahdollista saada niistä lisätietoa.

Tämä tulkintakäytäntö vaihtelee valtioittain. Ulkomaisissa palveluissa evästeitä saatetaankin kysyä sivustokohtaisesti.

Evästeiden käytöstä ei tarvitse informoida tai suostumusta pyytää, 

  • jos niiden ainoana tarkoituksena on toteuttaa viestin välittäminen teknisesti
  • joka on välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.

Tällaisia palveluita ovat esimerkiksi verkkopankit ja verkkokaupat. Käytännössä nämä palvelut eivät toimi ilman evästeitä. Evästeistä ja niiden käyttötarkoituksesta voi kuitenkin kertoa edellä mainituissa tapauksissa.

Evästeet ja EU-lainsäädäntö

EU:n yleinen tietosuoja-asetus (EU) 2016/679 (Ulkoinen linkki) tuli sovellettavaksi 25.5.2018. Samalla kumottiin yleisen tietosuoja-asetuksen edeltäjä henkilötietodirektiivi.

Sähköisen viestinnän palveluista annetun lain evästeitä koskevassa sääntelyssä suostumuksen käsite ja sen antamisen edellytykset ovat perustuneet henkilötietodirektiivin sääntelyyn. Yleisen tietosuoja-asetuksen mukaiset suostumuksen edellytykset ovat kuitenkin muuttuneet henkilötietodirektiiviin verrattuna.

EU:ssa on valmisteilla uusi sähköisen viestinnän tietosuoja-asetus (Ulkoinen linkki), joka korvaa valmistuttuaan sähköisen viestinnän tietosuojadirektiivin ja sähköisen viestinnän palveluista annetun lain evästeitä koskevan sääntelyn. Komission asetusehdotuksen mukaan suostumus evästeiden tallentamiseksi käyttäjän päätelaitteelle voitaisiin ilmaista käyttämällä asianmukaisia verkkoselaimen tai muun sovelluksen asetuksia. Lainsäädäntömenettely EU:ssa on vielä kesken, eikä asetuksen lopullisesta sisällöstä ja valmistumisaikataulusta ole vielä varmuutta.

Euroopan tietosuojaneuvosto (European Data Protection Board) on antanut maaliskuussa 2019 ohjeistuksen (pdf) (Ulkoinen linkki) sähköisen viestinnän tietosuojadirektiivin (2002/58/EY) ja tietosuoja-asetuksen soveltamisesta tilanteissa, joissa on yhtymäkohtia molempiin säädöksiin. Evästeiden osalta ohjeistuksessa käsitellään myös evästeitä koskevia esimerkkejä.

Lue lisää

24 05 2019

Etätyöpöytäratkaisun kriittinen BlueKeep-haavoittuvuus vaatii kiireellistä päivittämistä vanhemmissa Windows-versioissa

Viime viikolla Microsoft julkaisi Remote Desktop Service (RDS) etätyöpöytäratkaisuun liittyvän kriittiseen haavoittuvuuden. Useat tietoturvaorganisaatiot ovat kehittäneet haavoittuvuuden havainnollistavia esimerkkikoodeja (PoC). Haavoittuvuuden hyväksikäytöstä ei ole vielä toistaiseksi havaintoja, mutta sen hyväksikäyttöä tietomurroissa pidetään lähinnä ajan kysymyksenä. Haavoittuvuuteen on olemassa päivitys, jonka käyttöönottoa suositellaan voimakkaasti.

Vanhempien Windowsien etätyöpöytäyhteyksiin liittyvissä RDS-ratkaisussa havaittiin toukokuun puolessa välissä kriittinen haavoittuvuus. Nykyään BlueKeep-nimellä tunnettua haavoittuvuutta hyväksikäyttämällä hyökkääjällä on mahdollisuus suorittaa koodia kohdejärjestelmässä lähettämällä siihen haitallinen viesti RDP:llä. Tämän voi tehdä ennen RDP-palveluun tunnistautumista, eikä haavoittuvuuden hyväksikäyttö vaadi kohdejärjestelmän käyttäjältä toimenpiteitä. Näin ollen haavoittuvuutta hyväksikäyttämällä on mahdollista tehdä automaattisesti leviäviä haittaohjelmia. Haavoittuvuus ei koske uusimpia käyttöjärjestelmiä, kuten Windows 10, Windows Server 2012 ja Windows Server 2016. 

Haavoittuvuuden hyväksikäytöstä tietomurroissa ei ole vielä viitteitä. Useat tietoturvatoimijat ovat testanneet haavoittuvuuden hyväksikäyttöä kehittämällä haavoittuvuutta hyödyntävän esimerkkikoodin (PoC). Esimerkkikoodin kehittäminen osoittaa haavoittuvuuden hyväksikäyttömahdollisuuden. On todennäköistä, että haavoittuvuutta tullaan käyttämään hyväksi tietomurroissa lähiaikoina.

Kyberturvallisuuskeskus on julkaissut aiheesta haavoittuvuustiedotteen.
Suosittelemme voimakkaasti haavoittuvien järjestelmien välitöntä päivittämistä tai muita korvaavia suojauskeinoja. Lisäksi on syytä selvittää avoimesti internetiin kytkettyjen etätyöpöytäratkaisujen tarpeellisuus. Avoimet etätyöpöytäratkaisut tarjoavat hyökkääjille mahdollisuuden järjestelmään tunkeutumiseen.  

Lisää tietoa haavoittuvuudesta löytyy Microsoftin Blokista , haavoittuvuustiedotteesta sekä  päivitysohjeista.

 

Lue lisää
1 2 3 4 5 6 7 8 9 10 ... 64 Näyttäminen 4-6 max 191
.