Tietoturva Nyt!
Tällä viikolla kerromme mm. Internetin kauppapaikoilla leviävästä haittaohjelmasta ja siitä miten yhdistysten pitää panostaa myös tietoturvaan.
Tällä viikolla katsauksessa käsiteltäviä asioita
Internetin kauppapaikoilla leviää nyt haittaohjelma
Ainakin Tori.fi (Ulkoinen linkki) ja Facebookin Marketplace -alustoilla on liikkunut huijauksia, joissa tuotteen myyjä on houkuteltu asentamaan haittaohjelma. Saadakseen myyjän asentamaan haittaohjelman, vilpillinen ostajaehdokas on pyytänyt lataamaan tuotteen toimitukseen liittyvän sovelluksen virallista sovelluskauppaa muistuttavalta sivustolta, joka ei kuitenkaan ole ollut oikea sovelluskauppa.
Sovelluksen lataaminen valheellisesti sovelluskaupalta näytävältä sivustolta on johtanut haittaohjelman asentumiseen uhrin laitteelle. Haittaohjelman avulla huijarit voivat saada haltuunsa koko puhelimen. Haittaohjelma voi kerätä laitteelta esimerkiksi arkaluonteisia tietoja, salasanoja ja kirjautumistietoja. Kerättyjen tietojen avulla rikollinen voi päästä esimerkiksi uhrin verkkopankkiin.
Tämän hetkisten tietojen mukaan rikolliset ovat saaneet uhreilta haltuunsa jo noin 450 000 euroa.
Haitalliset sovellukset voivat jäljitellä oikeita ja virallisia pakettien toimitukseen liittyviä sovelluksia, kuten Matkahuollon ja Postin sovelluksia. Nyt havaituissa tapauksissa haittaohjelma on suunnattu erityisesti Android-laitteille ja sitä levittävät sivustot on naamioitu esimerkiksi Google Play-sovelluskauppaa muistuttaviksi.
Poliisi ja Kyberturvallisuuskeskus muistuttavat, että sovellukset tulisi aina ladata virallisista sovelluskaupoista. Älä luota viestissä tai sähköpostissa saatuun linkkiin, vaikka se näyttäisi ohjaavan viralliseen sovelluskauppaan. Siirry mieluummin sovelluskauppaan suoraan laitteesi oman sovellusvalikon kautta. Lue lisää vinkkejä TTN-artikkelistamme: Internetin kauppapaikoilla leviää nyt haittaohjelma - toimi näin (https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/internetin-kauppapaikoilla-leviaa-nyt-haittaohjelma-toimi-nain (Ulkoinen linkki))
Poliisin tiedote asiasta: Varo internetin kaupankäynnissä leviävää haittaohjelmaa - rahasi ovat vaarassa (https://poliisi.fi/-/varo-internetin-kaupankaynnissa-leviavaa-haittaohjelmaa-rahasi-ovat-vaarassa (Ulkoinen linkki))
Yhdistysten tietoturvaan on tärkeää panostaa
Suomessa on Patentti- ja rekisterihallituksen mukaan yli 100 000 yhdistystä (https://www.prh.fi/fi/yhdistysrekisteri/yhdistysrekisterintilastoja/lukumaaratyhdistysrekisterissajauskonnollistenyhdyskuntienrekisterissa.html (Ulkoinen linkki)). Monet ihmiset kuuluvat useisiin eri yhdistyksiin ja alaikäisten jäsenten tiedoissa on osana myös huoltajien henkilötietoja. Yhdistykset ovatkin yksi suurimpia henkilötietojen (https://tietosuoja.fi/mika-on-henkilotietorekisteröityä (Ulkoinen linkki)) käsittelijöitä.
Yhdistysten ja seurojen tulee panostaa jäsenrekistereidensä tekniseen suojaamiseen. Moni yhdistys myös hyödyntää erilaisia kaupallisia jäsenrekisterijärjestelmiä. Näissäkin tapauksissa tulee muistaa, että vastuu rekisterien tietoturvasta, käyttövaltuushallinnasta, ja tietosuojasta on yhdistyksillä.
Kyberturvallisuuskeskukselle on raportoitu esimerkiksi tapauksista, joissa jäsenrekisterijärjestelmää on kyetty käyttämään tietomurron jälkeen erilaisten kalasteluviestien lähettämiseen. Monissa tapauksissa monivaiheisen tunnistautumisen käyttäminen olisi todennäköisesti estänyt tietomurron ja sen välittömät seuraukset.
Mikäli käytössä oleva järjestelmä sen mahdollistaa, tulisi kaikille jäsenrekisterin käyttäjille pakottaa käyttöön monivaiheinen tunnistatuminen ja vaatia riittävän vahvaa salasanaa. Myös palvelun käyttäjät voivat vaatia palveluntarjoajalta tietoturvan parantamista, mikäli yksittäinen palveluntarjoaja ei esimerkiksi mahdollista järjestelmässä monivaiheisen tunnistautumisen käyttöönottoa.
Mikäli havaitset tietomurron tai sen yrityksen
- Tee rikosilmoitus (https://poliisi.fi/tee-rikosilmoitus (Ulkoinen linkki))
- Voit ilmoittaa asiasta myös Kyberturvallisuuskeskukselle
(https://www.kyberturvallisuuskeskus.fi/fi/ilmoita (Ulkoinen linkki)), - Jos hyökkäyksen yhteydessä on päästy henkilötietoihin, tee ilmoitus tietosuojavaltuutetun toimistolle (https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta (Ulkoinen linkki)).
https://www.kyberturvallisuuskeskus.fi/fi/julkaisut/toimintaohje-tietomurto (Ulkoinen linkki)
Nyt on oikea hetki varmistaa, että riskienhallinta on kunnossa
EU:n uusi sääntely tuo mukanaan tiukempia vaatimuksia organisaatioille. CRA, NIS2 ja GDPR edellyttävät riskienhallinnan sisällyttämistä liiketoimintaan. Tämä ei ole vain lakisääteinen velvoite, vaan myös merkittävä liiketoiminnallinen etu. Kun riskienhallinta on kunnossa, organisaatiosi on paremmin suojautunut kyberuhilta. Parempi toimintavarmuus puolestaan turvaa liiketoimintasi jatkuvuuden ja lisää asiakasluottamusta. Aloita kartoittamalla organisaatiosi nykyiset riskienhallintakäytännöt ja päivitä ne vastaamaan EU-säädöksiä.
Lue lisää: EU:n uusi sääntely ja riskienhallinta: varmista organisaatiosi valmius
https://kyberturvallisuuskeskus.fi/fi/toimintamme/hankkeet-ja-projektit/ohjelmistoturvallisuuden-kehittamishanke-2024-2027/eun-uusi (Ulkoinen linkki)
Tietoturva 2025 -seminaari jälleen maaliskuussa - teemana digitaalisen yhteiskunnan suojaaminen
Elämme aikakaudella, jossa digitaaliset teknologiat muovaavat elämäämme, työskentelytapojamme ja yhteiskunnallista vuorovaikutustamme. Miten hyvin olemme valmistautuneita suojelemaan tätä nopeasti kehittyvää digitaalista ympäristöä? Kuinka varmistamme, että yhteiskuntamme ja arkemme perustuvat kyberturvallisiin ratkaisuihin – aina maanpinnalta avaruuteen saakka? Millaisia uhkia kohtaamme lähivuosien aikana?
Muun muassa näitä kysymyksiä käsitellään Traficomin ja Huoltovarmuuskeskuksen järjestämässä maksuttomassa Tietoturva 2025 -seminaarissa 12. maaliskuuta klo 9-17.
Tutustu ohjelmaan ja ilmoittaudu mukaan tietoturvaseminaari.fi
Ajankohtaiset huijaukset
Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisista huijauksista.
Toimi näin, jos tulit huijatuksi
- Ota viipymättä yhteys pankkiisi, jos olet tehnyt huijauksen perusteella maksun, rikollinen on päässyt verkkopankkiisi tai saanut maksukorttitietosi käsiinsä.
- Tee rikosilmoitus poliisille. Voit tehdä sähköisen rikosilmoituksen verkossa. (Ulkoinen linkki)
- Voit ilmoittaa asiasta myös Kyberturvallisuuskeskukselle.
- Ohjeet tietovuodon uhrille (Ulkoinen linkki)
Tutustu keinoihin tunnistaa ja suojautua nettihuijauksilta
Tutustu Viikkokatsaukseen
Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso 24.01.-30.01.2025). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin.