Ads 468x60px

keskiviikko 1. helmikuuta 2012

Pekka Peruskäyttäjän erilainen arki

Vuosi 2011 jäi historiaan osittain suurten tietomurtojen vuotena. Kuten monet muutkin uutiset, myös tämän blogin kirjoitukset ovat pääsääntöisesti koskeneet organisaatiotason tietoturvaa ja sen kehittämistä monelta eri kantilta. Eikä syyttä - ovathan tapahtuneet tuoneet esille monia yllättävänkin yksinkertaisia puutteita ja välinpitämättömyyksiä, jotka saavat tietoturva-ammattilaisten purukaluston vääntymään fysiologisten rajojen alueelle.

Yksi hyvä puoli suurissa tietomurroissa on ollut se, että kotimaiset valtavirtamediat ovat alkaneet uutisoida niistä laajemmin. Uhka ei ole enää vain jossain tuolla - nyt se voi koskettaa meitä jokaista. Silti Pekka Peruskäyttäjä tuntee olevansa melko turvassa - onhan hän vain yksityishenkilö. Varsinkin, kun hän vuosien ohjeistusten jälkeen ymmärtää olla avaamatta sähköpostia, jossa "naapurin Michelle" kertoo lähettäneensä juuri Pekalle itsestään vietteleviä kuvia.

Tämän "aasinsillan" johdattelemana pääsemmekin hieman uuteen peruskäyttäjää koskevaan aiheeseen, josta toivoisin saavani jatkokeskustelua viestin alle. Millaisia ovat peruskäyttäjiä koskevat uhat, joita emme vielä ole tarpeeksi hyvin tunnistaneet? Itse olen huomannut, että yksi tärkeä seikka tietoturvakoulutuksia pitäessä on yrittää lisätä luovaa ajattelua kohdeyleisölle. Mikäli keskitymme kertomaan vain tärkeimpiä konkreettisia esimerkkejä siitä, mitkä asiat käyttäjiä uhkaavat, he saattavat keskittyä liikaa vain näihin "opittuihin" asioihin. Olisiko oikea tapa ennemminkin opettaa kyseenalaistamaan ja tuomaan ennakoivaa skeptistä asennetta yllättäviinkin asioihin? Muun muassa sosiaaliset mediat (esim. Facebook) ovat paikkoja, joissa näkee hälyttävän usein käyttäjiltä toisille kiertäviä haittaohjelmalinkkejä. Usein käyttäjät hairahtavat hieman muunneltuihin versioihin vanhoista kikoista, joita he ovat jo omakohtaisen kokemuksen kautta oppineet välttämään. Tämä mielestäni kertoo siitä, että joko peruskäyttäjiä ei huoleta mahdolliset riskit tai he eivät pysty leventämään tietoturvaan liittyvää katsomustaan "valmiiden annettujen lauseiden ympärille."

IT-alalla työskentelevät törmäävät usein ystäväpiirissään tilanteisiin, joissa he joutuvat auttamaan ystäviään tai tuttavapiirissä olevia henkilöitä tietotekniikkaan liittyvissä asioissa. Tällaiset tilanteet tuntuvat monesta tuskallisilta, mutta tietoturvamielessä tutun Pekka Peruskäyttäjän käyttäytymistä seuraamalla voi löytää hyvinkin mielenkiintoisia tietoturvaan liittyviä asioita. Esimerkiksi tämän kirjoituksen pohjana toimi seuraavaksi kuvaamani arkipäivän huomio.

Usein peruskäyttäjä on valmis (erityisesti ongelmatilanteessa) luovuttamaan tietokoneensa tuntemattomalle ihmiselle. Yksityinen laite annetaan helposti toisen ihmisen huostaan pidemmäksikin aikaa. Käyttäjät saattavat viedä esimerkiksi kannettavan tietokoneensa kodinkoneketjuihin erilaisia toimenpiteitä varten - virustorjuntaa, vikatilanteita, kovalevyn vaihtoa ym. Muun muassa eräs tuttavani oli juuri vienyt kannettavansa erääseen valtavirtaketjuun valokuvien talteenottoa varten. Voiko kukaan taata mitä henkilö X, jolle kone lopulta päätyy, tekee koneen sisältämillä tiedoilla ja mitä vakoiluohjelmia hän voisi teoriassa koneeseen asentaa? Entä voivatko koneiden sisältämät valokuvat päätyä muuallekin kuin vain asiakkaan varmuuskopioille?

Viimeistään tämä kysymys heräsi itselläni selatessani erään maakunnan sanomalehteä, jossa lähellä seuranhakupalstoja oli pieni kolmen rivin ilmoitus yksityisestä ATK-tuesta. En muista ilmoitusta sanatarkkaan, mutta se oli tyyliltään jotain seuraavan kaltaista: "ATK-huolia? Tuo koneesi Jussille! Puh ..." Uskaltaisitko Sinä antaa tietokoneesi sisällön kyseisen Jussin käsiin?

Vaikka tämän kirjoituksen aihe oli melkolailla kevyempi kuin blogin tekstit yleensä, haluan kuitenkin vielä kyseisen kevennyksen loppukevennyksenä linkittää erään hauskan tositarinan menneeltä vuodelta. Eräs Mac-asiantuntija oli asentanut huollon yhteydessä naisasiakkaiden koneille urkintaohjelman, jolla sai otettua salaa kuvia koneiden web-kameroilla. Ohjelman toimi niin, että se kehotti viemään Mac-koneen lähelle kuumaa höyryä. Tarkoituksena oli houkutella asiakkaansa näin suihkuun ja saada näistä alastonkuvia.

...ja uskokaa tai älkää, se toimi...

Ohessa MicroPC:n uutinen aiheesta: http://www.mikropc.net/kaikki_uutiset/mackorjaaja+houkutteli+naiset+suihkuun+ja+kuvasi+salaa+asentamansa+ohjelman+avulla/a640000

1 kommentti:

Anssi kirjoitti...

Pekka Peruskäyttäjällä ei välttämättä ole kovin paljon hävittävää, jos hänen tietonsa joutuvat vääriin käsiin. Lisäksi on hyvin epätodennäköistä, että joku pyrkii aktiivisesti ja suurella fyyisellä vaivalla pääsemään käsiksi juuri hänen koneeseensa. Jos hän itse tekee aloitteen ja esim. vie koneen huoltoon, riski on vielä paljon pienempi.

Eli itse asiassa Pekka Peruskäyttäjä on alitajuisesti tehnyt aika hyvää riskianalyysiä käyttäytyessään kuten käyttäytyy. Ja tässä blogissa en usko, että pystymmme hirveästi petraamaan siitä, mitä miljoonan vuoden evoluutio ja tuhatvuotinen tapakulttuuri on jo Pekalle opettanut...

Ross Anderson ja Carmac Herley ovat esimerkkejä tutkijoista, jotka korostavat, että tietoturvan "ongelmat" eivät useinkaan ole sitä, että joku käyttäytyy "tyhmästi", vaan sitä, että toisten ratioaalinen itsekkyys ei palvele toisten, esim. heidän työnantajiensa tai kansakunnan todellisia tai oletettuja tietoturvatarpeita.

Lähetä kommentti