PYSY KÄRRYILLÄ DIGITURVA-ASIOISTA
PYSY KÄRRYILLÄ DIGITURVA-ASIOISTA
Akatemia

Digiturvavahti 2/2019

Digiturvavahti on kuukausittain julkaisemamme, helppokäyttöinen kooste oleellisimmista tietoturva- ja tietosuojauutisista. Jaa tietoa vapaasti eteenpäin ja hyödynnä vahtia digiturvatietoisuuden levittämiseen omassa organisaatiossanne.

Data breaches exposed 5 billion records in 2018

Vuonna 2018 tietoturvaloukkauksissa vuoti 5 miljardia tietotallennetta

  • Julkisesti tiedetyt loukkaukset
  • Osa valtavia (mm. Aadhaar), pienemmät usein varmaan pimennossa

Syyt pääosin ulkoisia (n. 80%), mutta määrällisesti isoimmissa sisäisiä

  • 2,6 miljardia tietoa vuoti sisäisten syiden takia
  • Konfigurointivirheet, muut tietojen käsittelymokat, tahallisesti väärin toimivat työntekijät…
Tietoa vuotaa. Iso osa estettävissä sisäistä toimintaa kehittämällä.

Lue koko artikkeli >>

You've been breached: Hackers stole nearly half a billion personal records in 2018

Yhdysvalloissa varastetun tiedon määrä 447M tallennetta

  • Julkisesti tiedetyt loukkaukset
  • Loukkaukset ovat “PR-painajainen”, joten niistä viestitään hyvin epäselvästi

Ilmoitettujen loukkausten määrä pieneni (-23%), mutta tietomäärä kasvoi (+126%)

  • Loukkaukset keskimäärin selvästi aiempaa isompia, kun organisaatiot haalivat lisää tietoa
  • Kehitys ”helpompi” haitantekoa varten
  • Integroitu verkko (esim. FB-tunnuksen vuoto) mahdollistaa isot vaikutukset
Oleta, että tietosi ovat jo vuotaneet, ja toimi sen mukaisesti.

Lue koko artikkeli >>

Mitä oikeasti tapahtuu, kun salasanoja vuotaa?

”Vuoto ei sisältänyt salaamattomia salasanoja” – pitääkö huolestua?

  • Kun tiedot ovat vuotaneet, salasanojen murtamista voidaan tehdä vapaasti offline-hyökkäyksenä
  • Kun 8-merkkinen salasana (MD5-salattu) murrettavissa minuuteissa, 15-merkkisen murto kestää 50 vuotta
  • Heikoimpia salasanoja päästään hyödyntämään ensimmäisinä
Kiinnitä huomiota salasanakäytäntöihin. Pohdi, kannattaisiko organisaationne käyttää salasanahallintaa.

Lue koko artikkeli >>

Yesterday’s mass-login attack on Basecamp is another reminder to protect yourself

Basecamp-projektinhallintapalveluun 30 000 login-yritystä tunnissa

  • 124 tilille päästiin luvatta, vaikka palveluntarjoaja reagoi nopeasti (block + CAPTCHA)
  • Salasanat murrettu aiemmin ja saatu jostain isosta vuodosta
  • Hyökkääjillä ensin tarkoitus “testata”, mitkä tunnukset toimivat ja tilit ovat suojatta

Kuinka suojautua itse?

  • Laadukkaat salasanat
  • Ole kuulolla vuodoista (esim. haveibeenpwned.com)
  • Käytä kaksivaiheista tunnistautumista
Muista laadukkaat salasanat, seuraa vuotoja, käytä kaksivaiheista tunnistautumista.

Lue koko artikkeli >>

This phishing campaign almost perfectly mimics the Facebook Login page to trap users

Phishing-huijaukset kehittyvät jatkuvasti

  • Tämä popup-ikkuna matki täydellisesti FB:n kirjautumissivua
  • Perinteinen https-yhteyden katsominen tai URLin tuojottaminen ei auta tunnistamaan huijausta
  • Popupin huomaa huijaukseksi, kun sen yrittää raahata ”sivun ulkopuolelle”
  • Pohdi, miksi minun pitää tässä kirjautua?
Phishing-huijaukset kehittyvät jatkuvasti ja niistä kannattaa opastaa omassa organisaatiossa.

Lue koko artikkeli >>

Tietovuoto: Ruotsissa 2,7M terveysneuvonnan puhelutallennetta avoimella palvelimella

Kaikki 1177-numeroon soitetut puhelut 2013 jälkeen saatavissa avoimella palvelimella

  • Osassa tiedostonimessä puhelinnumero “helpottamassa tunnistamista”

”Kävin IT-osaston kanssa läpi, ei ole mahdollista”

  • Tiedotus välinpitämätöntä ja huonoa
  • Negatiiviset vaikutukset todennäköisesti aika isot
Vastuut oltava selvät, kun monta organisaatiota pelaa yhdessä arkaluonteisten tietojen kanssa. Tietovuodon sattuessa tiedotus oltava suunniteltua ennalta.

Lue koko artikkeli >>

Tietosuojaneuvoston kokouksesta ei tyrmäystä Privacy Shield -järjestelmälle

Yhdysvaltojen viranomaiset saivat kiitosta toimien käynnistämisestä

  • Prosessin käynnistävä sertifiointi
  • Viralliset valvonta ja pakkokeinot
  • Nimitykset (mm. Privacy Shield -asiamies)

Myös puutteita edelleen löytyy

  • Ovatko esim. jatkuvat vaatimustenmukaisuuden tarkastelut tarpeeksi toimivia?

Positiivinen merkki Privacy Shield -järjestelmän toiminnalle jatkossa

Lue koko artikkeli >>

Survey uncovers a growing disconnect between consumers and businesses as companies capitalize on customer data

“There is a growing disconnect between how companies capitalize on customer data and how consumers expect their data to be used”

  • 17% personoidut mainokset eettisiä
  • 24% personoidut ”newsfeedit” eettisiä
  • GDPR muuttanut asenteita tiukemmiksi EU-maissa

Kasvava määrä ihmisistä haluaa tietää selvästi, kuinka heidän tietojaan tullaan keräämään, käyttämään, siirtämään ja luovuttamaan

Lue koko artikkeli >>

Google Parent Alphabet Adds New Warnings About Data Privacy…

Google varoittaa sijoittajiaan tietosuojaan ja -turvaan liittyvistä riskeistä

  • Kuluttajien ja lainsäätäjien odotukset ja toimet tiukkenemassa
  • Liikevaihdosta 83% mainosbisneksestä, jonka toimintatapoihin saatetaan joutua tekemään muutoksia

Lue koko artikkeli >>

German Regulators Just Outlawed Facebook's Whole Ad Business

FB:n mainosbisnes perustuu käyttäjien seuraamiseen ympäri verkkoa

  • ”Jotta voidaan näyttää relevantimpia mainoksia ja palvella paremmin”
  • Suurin osa käyttäjistä ymmärtää käsittelyn laajuutta

Päätös: ”Käyttäjiä ei voi pakottaa suostumaan tällaiseen datan keräykseen 3. osapuolen sivustoilta avatakseen FB-tilin”

  • Dominoiva asema markkinassa vaikeuttaa ”todellisen” suostumuksen saamista

Facebook tietosuojauutisissa myös muissa negatiivisissa merkeissä:

Nyt rytisee - Facebookille tuliossa miljardien sakot (Tivi)

Nyt on Facebook pahoissa vaikeuksissa - petoksen mittakaava on henkeäsalpaava (Tivi)

Kannattaa seurata, miten kehittyvä ilmapiiri vaikuttaa ensin isoihin, myöhemmin pienenmpiinkin.

Lue koko artikkeli >>