Tietoturva jäämässä omalle vastuulle – Asiantuntija: Vain ajan kysymys, kun Facebook murtuu

Yahoon tietomurto paljastaa tietoturvan heikkouden. Tietoturva-asiantuntija antaa neljä yksinkertaista ohjetta, joilla tietoturva pysyy mahdollisimman hyvällä tasolla.

Ulkomaat
Servesali.
Jyrki Lyytikkä / Yle

Internet-palveluita tarjoavaan Yahoo-yhtiöön kohdistunut massiivinen tietomurto vahvistaa asiantuntijoiden käsitystä, että netin tietoturva heikkenee kaiken aikaa huolimatta erilaisista suojaustekniikoista.

Yahoon käyttäjiä Suomessa ei ole kovin paljon. Uusimman tietoturvan uhreja Suomessa ovat todenäköisimmin kuvapalvelu Flickrin käyttäjät, arvelee Ylen haastattelussa tietoturva-asiantuntija Petteri Järvinen. Yahoon sähköpostin käyttäjiä on Suomessa vain vähän.

Järvinen toteaa, että suuriin yhtiöihin kohdistuneita murtoja on tullut ilmi viime aikoina muutaman kuukauden välein. Hän uskoo, että todella vakavat ja ihmisten henkilökohtaisiin tietoihin iskevät tietomurrot Googleen ja Facebookiin ovat vain ajan kysymys.

Järvisen mukaan tietoturva jää yhä suuremmassa määrin käyttäjän omalle vastuulle. Hän antaa muutaman vihjeen, joilla tietoturvaa voidaan ylläpitää hyvällä tasolla.

  • Jos uskot käyttämäsi palvelun joutuneen tietomurron kohteeksi, vaihda salasana. Yahoon asiakkaiden tulee vähintäänkin vaihdettava salasana, jos eivät ole tehneet niin vuoden 2014 jälkeen.
  • Käytä vahvoja salasanoja. Tämä tarkoittaa, ettei sitä voi helposti arvata. Vahvassa salasanassa on isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä.
  • On tärkeää käyttää eri palveluissa eri salasanoja.
  • Älä laita arkaluontoisimpia tietojasi nettiin.

Yahoon murron takana valtio?

Petteri Järvinen on vakuuttunut, ettei Yahoon tietomurtoa ole tehnyt mikään yksittäinen hakkeri, vaan takana on suuri valtiollinen toimija, Järvisen veikkauksen mukaan todennäköisimmin joko Kiina tai Venäjä.

Puolen miljardin käyttäjätunnuksen urkkiminen edellyttää todella korkeaa osaamista. Tietoja ei myöskään ole kahden vuoden aikana myyty pimeillä markkinoilla.

Kiinan ja Venäjän tiedustelupalvelut käyttäisivät tietoja samalla tavalla, kuin yhdysvaltain NSA:kin käyttää. Järvinen muistuttaa, että Edward Snowdenin tietojen mukaan NSA:lla on myös ollut pääsy Yahoon tietoihin.

– Todennäköisimmin käyttäjäverkostojen ja muiden analyysien tekemiseen, sosiogrammien piirtämiseen - kuka on vaikutusvaltainen henkilö, kuka tuntee kenet, kuka liikkuu missäkin netissä. Tämä ei näy käyttäjälle itselleen millään tavalla, Järvinen kertoo.

Näiden käyttäjätietojen pääsy tiedustelupalveluiden käyttöön ei ole Järvisen mukaan pahin mahdollinen tietoturvauhka. Pahin olisi, jos poliittisten päättäjien ja johtavien virkamiesten käyttäjätunnukset päätyisivät vääriin käsiin. Tuolloin rikolliset voisivat esimerkiksi lähettää näiden henkilöiden salasanojen avulla viestejä tai päästä valtionhallinnon järjestelmiin.

Ainakin osa varastetuista salasanoista oli kryptattuja. Tämä tarkoittaa, että vaikka varkaat saisivatkin käyttäjätunnuksiin liittyvän salasanatiedoston, olisi sen sisältö koodattu, niin etteivät itse salansanat näy. Jokaiseen salasanaan liittyvä koodaus pitää murtaa. Yahoo käytti hyvin kehittynyttä salauksen algoritmia, joka on vaikea murtaa.

– Toisaalta tiedetään, että Kiinassa on maailman tehokkaimmat supertietokoneet, joiden käyttö nopeutta murtamista, jos asialla on joku Kiinan kaltainen tiedustelupalvelu.

Yahoo-teksti ja näppäimistö
Satojen miljoonien Yahoon käyttäjätilien tietoja on joutunut vääriin käsiin.

Yahoon tiedotuksessa epäselvyyttä

Yahoon tietomurrosta tiedetään toistaiseksi vasta vähän. On erikoista, että yhtiö kertoi asiasta vasta nyt, vaikka murto tapahtui jo kaksi vuotta sitten. Eikö yhtiö tiennyt murrosta aiemmin, vai pidettiinkö se tietoisesti piilossa?

Järvinen tietää, että internetin salaisessa osassa, darknetissä, oli jo elokuussa myynnissä 200 miljoonaa Yahoon käyttäjätunnusta. Myyjä ilmoittautui venäläisen hakkeriryhmän jäseneksi. Oliko tämä osa samaa tietomurtoa, vai onko kyseessä kaksi eri tietomurtoa, Järvinen kyselee.

Oma lukunsa on Yahoon vireillä oleva myynti Verizon-yhtiölle. Toistaiseksi ei tiedetä, vaikuttiko myyntiaikomus siihen, että Yahoo kertoi tietomurrosta juuri nyt.

EU:n tietosuoja-asetukselle käyttöä

Yahoon tapauksesta on syytä ottaa opiksi. Petteri Järvinen nostaa esiin EU:n tulevan tietosuoja-asetuksen. Kun se astuu voimaan, suuryrityksillä on velvollisuus kertoa niitä kohdanneista tietoturvaongelmista.

Yhdysvalloissa vastaavaa ei ole ja siksi yritykset voivat Järvisen mukaan mahdollisesti jättää murrot ilmoittamatta.