Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Tietoturva Nyt!

Verkkotunnukset ovat nykyisin merkittävää aineetonta omaisuutta ja niistä kannattaa pitää huolta. Verkkotunnuksen päätyminen toisen käsiin voi olla kiusallista tai jopa vaarantaa tietoturvaa, eikä verkkotunnusta yleensä saa helposti takaisin.

Verkkotunnus eli tuttavallisesti domain-nimi on osoite, jolla ihmiset ja organisaatiot löytyvät verkosta. Se voi olla esimerkiksi nettisivujen osoite kuten kyberturvallisuuskeskus.fi tai osa sähköpostiosoitetta, kuten cert@traficom.fi. Verkkotunnus ei kuitenkaan ole sama asia kuin nettisivu, vaan se on eräänlainen digitaalinen “tontti” jolle käyttäjä voi hankkia tai rakentaa haluamansa palvelut, myös nettisivut.

Moni ei välttämättä tule ajatelleeksi verkkotunnusta hankkiessaan, millaista digitaalista jalanjälkeä verkkotunnus kerää, tai millaisia digitaalisia rakennelmia ja riippuvuuksia sen päälle ajan saatossa kasaantuu. Ihmiset esimerkiksi muistavat verkkotunnuksen ja voivat etsiä sitä aikojenkin kuluttua, minkä lisäksi se on saatettu painaa paperille, lisätä palveluihin yhteystiedoksi, tai se on jäänyt hakukoneen muistiin.

Verkkotunnuksen voimassaolo täytyy uusia säännöllisesti

Verkkotunnuksen olemassaolo on erillinen siitä, mitä sen päälle on rakennettu. Verkkotunnus ei ole voimassa ikuisesti, vaan sen voimassaolo täytyy uusia väliajoin. Jos verkkotunnuksen voimassaolo päättyy, myös kaikki sen päällä olevat palvelut lakkaavat olemasta ja verkkotunnus on vapaasti rekisteröitävissä uudelleen kenelle tahansa nopeimmalle halukkaalle. Tällöin myös uudella rekisteröijällä on vapaus tehdä verkkotunnuksella mitä haluaa, esimerkiksi pystyttää sinne uudet nettisivut.

Eräs Kyberturvallisuuskeskukselle ajoittain esiin nousevista teemoista onkin verkkotunnusten vanheneminen ja siitä aiheutuvat ongelmat. Verkkotunnusten uudelleenrekisteröiminen heti niiden vanhennuttua (ns. dropcatching) on ammattimaista toimintaa ja on melko varmaa, että yhtään tunnetumpi verkkotunnus päätyy opportunistisen toimijan nappaamaksi. Tunnettu ilmiö on, että verkkotunnuksen napannut taho laittaa sinne edellistä sivustoa jäljittelevän sivuston, jota kuitenkin on höystetty mainoksilla tai muulla alkuperäiseen omistajaan täysin liittymättömällä sisällöllä. Tästä voi aiheutua mainehaittaa, eikä vanhenemaan päässyttä domainia saa yleensä takaisin kuin odottamalla sen vanhenemista uudelleen.

Verkkotunnusten vanhentumisesta voi aiheutua myös konkreettinen tietoturvauhka. Useiden palveluiden käyttöoikeudet, käyttäjätunnukset tai salasanat voi palauttaa tunnukselle rekisteröidyllä sähköpostiosoitteella. Kyberturvallisuuskeskuksella on tiedossa tapauksia, joissa tietomurto on päässyt tapahtumaan, kun tietomurron tekijä on ensin napannut verkkotunnuksen ja sen jälkeen onnistunut vastaanottamaan sinne lähetetyt salasananpalautusviestit.

Verkkotunnusten käyttäjien on siis syytä muistaa ajoittain tarkastaa verkkotunnustensa voimassaolo. Vanhenemisen jälkeen verkkotunnus säilyy kuukauden ajan suoja-ajalla, jolloin sen palvelut eivät toimi, mutta edellinen käyttäjä voi vielä palauttaa verkkotunnuksen käyttöönsä.

Jos toisen rekisteröimä verkkotunnus perustuu omistamaasi suojattuun tuotemerkkiin, voi olla mahdollista tehdä poistopyyntö.

Ohjeita yksityishenkilöille

  • Muista huolehtia verkkotunnuksen rekisteröinnin uusimisesta. Yleensä tämän tekee palveluntarjoajasi, esimerkiksi websivujen ylläpitäjä. Vaaran paikka voi olla, jos lopetat palvelun ja nettisivut, jolloin joudut erikseen huolehtimaan, että verkkotunnuksesi säilytetään. Palveluntarjoajan asiakaspalvelu auttaa tässä.
  • Jos päätät luopua verkkotunnuksesta, tarkista ensin huolellisesti, että sitä ei ole käytetty muissa palveluissa esimerkiksi salasanan palauttamiseen.
  • Tiedosta, että luopumisen jälkeen et voi enää vaikuttaa verkkotunnuksen käyttöön, jos joku muu rekisteröi sen.

Ohjeita organisaatioille

  • Mieti verkkotunnuksen koko elinkaari. Onko verkkotunnus varmasti tarpeellinen ja käytössä pitkän aikaa? Verkkotunnusta luodessasi harkitse tarkkaan, voiko sillä aiheuttaa vahinkoa sinulle tai hallinnoimallesi brändille, jos joskus luovut tunnuksesta. Verkkotunnuksella voi helposti esiintyä toisena henkilönä tai organisaationa. Kannattaa suunnitella etukäteen, voiko tunnuksesta luopua, vai kannattaako se pitää pysyvästi.
  • Lyhyempiaikaisiin kampanjoihin voi olla hyvä käyttää ns. alidomainia tai uudelleenohjausta.
    • Alidomain sijaitsee pääasiallisen verkkotunnuksesi “alla” (esimerkiksi kampanja.domain.fi) ja voit ottaa sen käyttöön ja poistaa käytöstä ilman erillistä rekisteröintiä. Se ei myöskään maksa mitään. Muut eivät saa alidomainia käyttöönsä niin kauan kuin verkkotunnuksesi säilyy hallinnassasi.
    • Uudelleenohjaus on tietty nettiosoite (esimerkiksi domain.fi/kampanja), joka ohjaa käyttäjän automaattisesti kampanjan sivulle.

Verkkotunnusten hallintaohjeita

  • Dokumentoi organisaation hallussa olevat verkkotunnukset ja käytetyt verkkotunnusvälittäjät.
  • Käy luettelo verkkotunnuksista säännöllisesti läpi ja arvioi tarvetta säilyttää kukin verkkotunnus tai luopua siitä.
  • Verkkotunnuksesta luopumisen tulee aina olla tietoinen päätös.
  • Muista, että luopumisen jälkeen ei verkkotunnukseen enää voi vaikuttaa.
  • Verkkotunnuksesta luopumisessa on noudatettava määrämuotoista prosessia, jolla varmistetaan, että kaikki viittaukset verkkotunnukseen esimerkiksi palomuureista, salausvarmenteista sekä verkko- ja sähköpostipalvelimilta poistetaan.
  • Monessa tapauksessa helpoin tie voi olla se, että verkkotunnuksen käyttö ajetaan alas mutta sen rekisteröinnistä ei luovuta. Vähintään on järkevää laittaa käytöstä poistettava verkkotunnus jäähtymään riittävän pitkäksi aikaa (jopa vuosiksi) niin, että verkkotunnuksessa ei ole käytössä mitään palveluita.