Hyppää pääsisältöön

TAMKin opiskelijan käsikirja

Tietoturvaohje opiskelijalle

Tampereen yliopisto ja TAMK

Ohjeen loppuosassa listaus toimenpiteistä joilla voit parantaa tietoturvaasi nykyisessä kiristyneessä tietoturvatilanteessa

  1. Pidä hyvää huolta käyttäjätunnuksesta ja salasanasta, olet vastuussa tunnuksesi käytöstä. Velvollisuutesi on suojata omien tietojesi lisäksi hallussasi olevat muiden henkilöiden tiedot. Älä luovuta salasanaasi kenellekään toiselle. Jos tiedät tai epäilet salasanasi joutuneen toisen henkilön tietoon, vaihda se välittömästi osoitteessa id.tuni.fi tai pyydä IT Helpdeskiä vaihtamaan se. 

  2. Valitse salasana, jonka itse muistat helposti, mutta joka ulkopuolisten on vaikea arvata. Käytä aina korkeakoulun ulkopuolisissa palveluissa eri salasanaa kuin korkeakoulun palveluissa.

  3. Noudata varovaisuutta sähköpostiviestejä avatessa, etenkin jos et ole varma viestin alkuperästä. Viesti voi sisältää haittaohjelmia tai ohjata haittaohjelmia sisältävälle sivulle.

  4. Varo kalasteluviestejä, joissa sinua pyydetään luovuttamaan tunnuksesi ja salasanasi tai kirjoittamaan ne jollekin verkkosivulle. Ylläpitäjät eivät koskaan kysy salasanaasi.

  5. Tarkista linkin todellinen kohdeosoite aina ennen klikkaamista. Ole erityisen varovainen, jos olet saanut linkin viestissä. Opettele erottamaan asialliset verkko‐osoitteet huijareiden käyttämistä. Jos epäilet saamasi linkin aitoutta, kirjaudu korkeakouluyhteisön palveluihin etsimällä palvelun linkki tuni.fi tai intra.tuni.fi -sivustoilta niin, että kirjoitat itse sivuston osoitteen osoiteriville. 

  6. Varmista verkkopalveluiden käyttöehdoista ennen palvelun käyttöönottoa ainakin

    • tiedon omistajuuden säilyminen ja 

    • ettei tietojasi luovuteta eteenpäin. 

      Harkitse, mitä omia tai muiden tietoja viet verkkopalveluihin (Facebook, kuvienjakopalvelut ym.).

  7. Haittaohjelmat leviävät tehokkaasti sosiaalisessa mediassa ja verkkopalveluissa. Varo ponnahdusikkunoita, mainoksia ja kutsuja, käytä harkintaa klikkaillessasi.

  8. Huolehdi oman tietokoneesi suojaamisesta mm. palomuurin, haittaohjelmatorjunnan, varmuuskopioinnin ja ohjelmistopäivitysten avulla. Huolehdi myös älypuhelimesi ja mobiililaitteesi suojaamisesta mm. lukituskoodilla. Asenna tietokoneeseen ja mobiililaitteeseen vain ne ohjelmat, joita tarvitset.

  9. Käytä ensisijaisesti muuta tallennuspaikkaa, kuin muistitikku. Muistitikku rikkoutuu helposti,  eikä ole riittävän turvallinen tiedostojen ensisijaisena tai ainoana tallennuspaikkana. Jos tallennat tikuille arkaluonteista materiaalia, hanki tiedot salakirjoittava muistitikku.

  10. Jos epäilet tietoturvarikkomusta tai järjestelmän väärinkäyttöä, ota yhteyttä IT Helpdeskiin.

  11. Tietotekniikkaan ja tietoturvaan liittyvät ohjeet ja säännöt löytyvät Intran IT-palvelut käsikirjasta.

 

Suositellut toimenpiteet henkilökohtaiseen tietoturvaan Ukrainan sodasta nousseen tietoturvariskin johdosta 

Kun organisaatiot pohtivat kyberturvallisuuttaan Ukrainan sodan aikana, on myös yksittäisten ihmisten hyvä varmistaa säännöllisesti, että heidän tietokoneensa, mobiililaitteidensa ja ohjelmistojen päivitykset ovat ajan tasalla ja että kaikki salasanat ovat turvallisia ja kaikki tärkeät tilit on suojattu kaksivaiheisella todennuksella. Tie korkeakouluyhteisöön voi löytyä työntekijän omien laitteiden kautta ja vallitsevassa ilmapiirissä jokainen yksityishenkilökin on vaikuttamisen kohde. 

Olemme jo pitkään eläneet tietojenkalastusyritysten kulta-aikaa ja vallitseva tilanne todennäköisesti vain pahentaa jo ennestään vaikeaa tilannetta. Tietojenkalasteluhyökkäykset voivat lisääntyä hyökkääjien pyrkiessä huijaamaan ihmisiä napsauttamaan linkkejä, jotka antavat hyökkääjille pääsyn tietokonejärjestelmiin. Sen jälkeen hyökkääjä voi varastaa tietoa, tuhota sitä tai salata sen. 

Eräänä tilanteeseen räätälöitynä uhkana ovat väärennetyt lahjoitussivustot ja ihmisten houkuttelu erilaisiin vetoaviin asioihin kuten kryptovaluuttaan. Pyrkimys on aina saada ihminen toimimaan motiivilla tai toisella. Usein kyse on tunteisiin vetoamisesta tai kiireen tunteen luomisesta. Tällaisessa tilanteessa ihminen unohtaa helposti varovaisuuden ja klikkaa linkkiä tai avaa liitetiedoston. 

Tässä asioita, jotka auttavat turvaamaan omat ja organisaatiomme tiedot. Lista on laaja, mutta niin on myös digitaalinen toimintaympäristömme. Yritä siis jaksaa loppuun saakka. 
 

Päivitä salasanasi 

  • Käytä pitkää salasanaa, mieluiten salasanalausetta. 
  • Älä käytä samaa salasanaa useissa palveluissa. 
  • Älä käytä samaa runkoa kaikissa salasanoissa. 
  • Vältä helppoja salasanoja. 

Someta harkiten. Älä jaa henkilökohtaisia tietoja verkossa. Tarkista someviestimiesi tietoturva ja yksityisyysasetukset. Huomioi venäläisillä sivustoilla: Venäjä vaihtaa varmenteita paikalliseen juurivarmenteeseen

  • Poista tai estä ns. trollitilit eli disinformaatiota levittävät tilit. 
  • Jos et halua estää näitä tilejä perustellusta syystä, niin älä kuitenkaan välitä niiden viestiä eteenpäin tai lähde keskusteluihin mukaan. 
  • Älä reagoi outoihin yhteydenottoihin. 
  • Venäjälle sen hyökkäyksen vuoksi asetetut pakotteet estävät myös www-sivujen varmenteiden uusimisen. Jatkossa monet venäläiset sivut tulevat antamaan varoituksen vanhentuneesta tai epäkelvosta varmenteesta. Lehtitietojen mukaan Venäjä suunnittelee oman juurivarmenteen luomista. Tällä hetkellä Venäjän myöntämä juurivarmenne katsotaan epäluotetuksi ja sitä ei tule asentaa selaimeen luotuksi varmenteeksi. Parempi on hyväksyä varmenne osoitekohtaisesti, vaikka se tuottaakin enemmän vaivaa. Epäluotettujen juurivarmenteiden hyväksyminen altistaa sinut salatun liikenteen salakuuntelulle.

Asenna tietoturvapäivitykset viipymättä 

  • Tällaisena aikana monet toimijat käyttävät hankkimiaan ns. 0-päivähaavoittuvuuksia, jolloin ne tuleva tietoon myös rikollisille. Näiden hyödyntäminen on nopeaa ja niiden avulla pystytään tunkeutumaan laitteisiin ja ohjelmistoihin. Tietoturvapäivityksissä nämä aukot pyritään tukkimaan. Siksi on tärkeää, että nämä viedään nopeasti käyttöön. 

Varmista kriittiset tiedot pariin eri tallennuspaikkaan tai välineelle jos mahdollista. Näin suojaat ne katoamiselta tai tuhoutuiselta ja haittaohjelmien aiheuttamilta vaurioilta. 

  • Parhaiten turvaat tietosi pitämällä yhden kopion aina irti verkosta tai omista laitteistasi. Tiedostoja salaavat haittaohjelmat pyrkivät usein salaamaan kaiken mitkä näkevät, mukaan lukien verkko- ja pilvilevyt. 

Älä jaa laitteesi tai korkeakouluyhteisön turvallisuuteen liittyvää tietoa kenellekään tai mihinkään esimerkiksi:

  • tietojen suojausta
  • tietojen sijaintia 
  • laitteiden sijaintia 
  • laitteiden tai ohjelmistojen malleja, nimiä tai versioita.

Käytä vain tunnettuja WiFi-verkkoja tai mobiiliyhteyttä 

  • Jos käytät turvallisuudeltaan epäilyttävää yhteyttä, ota käyttöösi EDUVPN ja hyödynnä sitä.  
  • Suojaa omat WiFi-laitteesi salasanoilla ja salauksella. Vaihda myös laitteen hallintaan tarvittava administraattorin (pääkäyttäjän) salasana ja mielellään myös vaihda tunnuksen nimi, jos se on mahdollista. Tee siis uusi tunnus niin vaikeutat automatisoituja hyväksikäyttötapoja. 

Turvaa käyttämäsi postin pääsy 

  • Usein postia käytetään unohtuneen tunnuksen palautusvälineenä. Jos pääsyä esim. gmail-laatikkoosi ei ole kunnolla suojattu, tämä saattaa muodostua todella hankalaksi tietolähteeksi kannaltasi. Kytke siis tähän aina kaksivaiheinen suojaus, jolla tili suojataan ja estetään pääsy näihin tietoihin. Postin kautta voidaan tiedustella mitä olet ostanut ja mistä, minne sinulla on tilejä ja keiden kanssa olet yhteyksissä. Tätä kaikkea voidaan väärinkäyttää ja kaikki nämä tilisi voidaan kaapata tätä postitiliä käyttäen. 

Suojaa SOME- ja yksityiset tunnuksesi kaksivaiheisella tunnistautumisella 

  • Käytä aina sovellusta älä SMS- viestiä, jos se on saatavilla, sillä valtiolliset toimijat ja useat haittaohjelmat osaavat kaapata SMS-viestin. Tässä linkkejä ohjeisiin, joilla voit suojata Some tilisi ja palvelusi ottamalla käyttöön kaksivaiheisen tunnistuksen.

          FB: 
          https://t.co/eZTDNl4Cu6 

          Twitter: 
          https://t.co/h59qs1zlBV 

          Instagram: 
          https://t.co/BloGeHrt4F 

           Google: 
           https://t.co/ek366yw8uB 

          Microsoft: 
          https://t.co/ZtGiXFrT79 

           Apple ID 
           https://t.co/1gJ9G0C4MC 

Ole tarkkana roskapostien ja tietojen kalastelun kanssa 

  • Nyt parhaillaan verkkorikolliset hyödyntävät verkossa ihmisten kiinnostusta Ukrainan sotaan liittyviin aiheisiin ja houkuttelevat sen varjolla lataamaan haitallisia liitteitä. Sähköpostin aiheena on ollut esim. ”Recall: Ukraine-Russia Military conflict: Welfare of our Ukrainian Crew member”. Myöskään suomen kieli ei ole enää suoja verkkorikollisuutta vastaan, vaikka määrä onkin pienempi. Lue siis kaikki viestintä huolella, jos viesti edellyttää jotain toimintaa. 
  • On aina tärkeää tarkistaa, että lähettäjän sähköpostiosoite on aito, ja tarkkailla mahdollisia kirjoitusvirheitä viesteissä. Älä avaa liitteitä tai klikkaa linkkejä, ellet ole varma sähköpostin turvallisuudesta. Tarvittaessa ota yhteyttä lähettäjään jollain toisella tavalla (esim. soita tai lähetä pika-/tekstiviesti) ja varmista että viesti on todella häneltä.  
  • Jos saat epäilyttävän viestin 
    - Älä avaa viestiä tai sen mukana tulleita linkkejä tai liitteitä. 
    - Jos erehdyt avaamaan viestin liitetiedoston, älä anna lupaa aktivoida lisätoimintoja tai asentaa ohjelmia. 
    - Jos erehdyt klikkaamaan viestissä olevaa linkkiä, joka vie sivustolle, jossa pyydetään syöttämään käyttäjätunnus ja salasana, älä syötä niitä. 

Asenna ohjelmat vain tunnetuista palveluista ja sivustoista 

  • Käytä virallista sovelluskauppaa (Google Play, Apple App Store). 
  • Käytä TUNI-sivustoilla osoitettuja linkkejä. 
  • Asenna päivitykset ohjelmiston omista päivityslinkeistä.
  • Käytä tarkkaa harkintaa, jos sivustoilla kysellään pankkikortin tunnuslukuja tai luottokortin tietoja.

Liitä laitteeseesi vai tuntemiasi lisälaitteita

  • Älä kytke esimerkiksi löytämääsi tai tuntematonta USB-tikkua koneeseesi.  
  • Älä liitä Bluetooth-laitteita, joita et tunnista tai joiden omistajaa tai käyttöä et tiedä. 
  • Älä hyväksy langattomasti (esim. Bluetoothin kautta) tulleita kuvia, linkkejä tai tiedostoja ellet tiedä varmasti lähettäjää.
  • Vältä esim. ulkomaisten kongressikeskusten, messujen tai lentokenttien WIFI-verkkoja. 

Käytä vain turvallisia pikaviestimiä ja mieti mitä niissä voi viestiä 

  • Kovasta epävarmuutta kylvävästä kampanjoinnista huolimatta Signal on tällä hetkellä varmin ja turvallisin pikaviestin. Muiden käyttöä tulee välttää. 
  • Pikaviestimissä ei tule viestiä henkilötietoja. 
  • Telegram on venäläinen pikaviestin väline, jonka käytön puolesta Ukrainan sodan alettua on kampanjoitu voimakkaasti. Emme suosittele Telegramin käyttöä!  
  • Koska Whatsapp ja FB Messenger keräävät ja käsittelevät henkilötietoja EU:n lainsäädännön vastaisesti, ne on sovelluksena myös korkeakouluyhteisössä kielletty. 

Päivitä kodissasi olevat verkkoon kytketyt laitteet ja irrota vanhat tai tarpeettomat laitteet 

  • Verkkoon kytketyt, päivittämättömät laitteet vaarantavat oman tietoturvasi ja yksityisyytesi. Harkitse kannattaako ne ylipäätään kytkeä verkkoon ja tuoko niiden kytkeminen oikeaa hyötyä. Voit myös tehdä ns. kotiverkon, jota ei ole kytketty Internettiin. Erilaisia päivittämättömiä verkkolaitteita käytetään usein väärin esim. verkkohyökkäyksissä, jolloin sinun laitteillasi saatetaan häiritä muiden toimintaa. 

Varaa vähän käteistä tilanteisiin, joissa sähköiset maksuvälineet eivät toimi 

  • Viime päivinä on tehty lukuisia palvelunestohyökkäyksiä keskeisiin media-alan ja finanssisektorin toimijoihin ympäri maailman. Hyökkäysten avulla tavoitellaan organisaatioiden toiminnan häiriintymistä ja yleistä sekasortoa. Rikolliset haluavat evätä kansalaisten pääsyn verkkopalveluihin ja lamaannuttaa yrityksen kyvyn toimia normaalisti. Tämän varalta pieni varakassa on hyvä turva. 
  • Kodissa on hyvä noudattaa 72 tunnin varautumista. 
  • https://www.varmuudenvuoksi.fi/aihe/elintarvikehuolto/529/72_tuntia_on_kotien_varautumisen_uusi_mitta  

Informaatiovaikuttaminen 

Totta vai tarua 

  • Kuka on tekijä? 
  • Keneltä tieto tuli sinulle?  
  • Onko nimi tai verkko-osoite löydettävissä?  
  • Kenelle se on tehty tai suunnattu?  
  • Missä julkaistu?  
  • Miksi juuri sinä törmäsit tähän?  
  • Mitä siinä oikeastaan halutaan sanoa?  
  • Onko se mainos vai uutinen?  
  • Miksi se on tehty?  
  • Halutaanko sinuun vaikuttaa jollain tavalla?  
  • Mihin tietoon se perustuu?  
  • Onko viittauksia lähteisiin ja tiedon alkuperään?  
  • Ovatko kuvat aitoja?  
  • Liittyykö kuva tekstiin?  
  • Ovatko kuvia tai videoita käsitelty? 

Milloin on syytä epäillä disinformaatiota? 

  • Viestiä toistetaan erittäin tiheään.
  • Viestin yhteydessä on huomiota herättäviä kuvia.
  • Viesti pyrkii nostattamaan voimakkaan tunnereaktion.
  • Viestiin liittyy vahvoja tarinallisia elementtejä.
  • Viestin lähteet ovat oudot tai poikkeukselliset(esim. sivun metatiedot johtavat eri maahan kuin viestin sisältö antaa ymmärtää).
  • Hakukoneet löytävät saman tai lähes saman viestin, mutta tuntuvasti vanhemmalla päiväyksellä.
  • Viestiin liittyvät kuvat löytyvät netistä muista yhteyksistä käänteisellä kuvahaulla.
  • Viestiä levittävä taho levittää muuta epäilyttävää sisältöä.

Tarpeellisia kysymyksiä koskien lähdekritiikkiä 

  • Ajantasaisuus: Milloin tieto on julkaistu? Pitääkö se yhä paikkansa?
  • Mitä näkökulmaa lähde edustaa - tutkija, viranomainen, rahoittaja, edunvalvoja, kokemusasiantuntija, mahdollinen poliittinen suuntaus?
  • Miten lähde valitaan ja löydetään? Verrattiinko useita hakukoneita vääristymien ehkäisemiseksi?
  • Mihin tarkoitukseen löydetty tieto on tehty?
  • Onko kyseessä alkuperäinen dokumentti vai ns. toisen käden tieto?
  • Jos kyse on tilastollisista tunnusluvuista, kuka ne on koonnut?
  • Eihän yrityksen tai muun tahon lehdistötiedotetta käytetä ainoana lähteenä?
  • Erotteleeko lähde faktat mielipiteistä? Onko se voimakkaan tarinallinen tai tarkoituksellisen tunteita herättävä? Onko sen yhteydessä tunteita nostattavia kuva- tai videomateriaaleja?
  • Paljastaako käytetty lähde omat lähteensä? 
    Myös niiden paikkansapitävyys on tarkistettava.  
    On tarkistettava linkkien toimivuus. Jos verkko-osoite epäilyttää, verkkotunnuksen omistajan voi tarkistaa esimerkiksi WHOIS-palvelusta.

Poliisi varoittaa: Ethän lähde mukaan rikolliseen verkkotoimintaan edes kriisitilanteessa - Poliisi

Lisätietoa kiinnostuneille 

Opettele uusia taitoja 

Turvatunnin esitys 14.4.2022 


IT Helpdesk
0294 520 500
it-helpdesk [at] tuni.fi
helpdesk.tuni.fi

 

Julkaistu: 28.3.2019
Päivitetty: 20.5.2022