Erilaiset huijaukset ovat olleet mediassa toistuvasti esillä. Huijauksia tehdään nykyään lähinnä verkossa, tekstiviesteillä ja osin myös puhelimitse. Tyypillisimpiä verkossa vastaan tulevia huijauksia ovat sähköposti- ja sosiaalisen median tunnusten, verkkoasiointitunnusten (=pankkitunnusten) ja luottokorttitietojen kalastelu sekä niin sanotut nigerialaishuijaukset.

Tietojenkalastelu tai verkkourkinta (eng. phishing) on tietoturvahyökkäys, jossa uhria erehdytetään luovuttamaan salasanansa tai käyttäjätunnuksensa palveluun. Verkkopalveluiden teknisten suojauskeinojen parantuessa tietojenkalastelun merkitys rikollisten luvattoman pääsyn mahdollistavana keinona on yleistynyt. Sivustot voivat olla suomenkielisiä ja ne muistuttavat ulkoasultaan uutissivustoja tai verkkopankkien kirjautumissivuja. Jos käyttäjä syöttää linkin takaa löytyvälle sivulle pankkitunnuksensa, joutuvat ne vääriin käsiin jolloin käyttäjän tililtä voidaan siirtää luvattomasti rahaa rikollisille. Sähköpostitunnusten päätyminen vääriin käsiin taas mahdollistaa hyökkääjän suorittamaan salasanapalautuksia muille tileille. Yksilöllisten salasanojen käyttö kaikissa palveluissa vähentää vuotaneesta salasanasta johtuvaa riskiä.

Viestintäviraston Kyberturvallisuuskeskus julkaisi kesällä 2014 loistavan Näin meitä huijataan –raportin. Raporttiin on koottu tyypillisimpiä verkossa liikkuvia huijausmenetelmiä ja yksinkertaisia ohjeita huijauksilta suojautumiseen.

Tässä tärkeimmät peruskeinot, joilla huijauksia vastaan voi suojautua:

1. Älä luota sokeasti sähköpostin lähettäjätietoihin, koska ne ovat kohtuullisen helposti väärennettävissä. Vaikka sähköposti näyttää tulevan esimerkiksi tutulta yritykseltä, saattaa lähettäjänä silti olla kyberrikollinen. Erityisesti sähköpostin sisältämiä linkkejä avatessa tulee olla varuillaan.

2. Älä luota kaikkiin verkkosivustoihin. Sivusto on saatettu luoda vain tietojenkalastelutarkoituksessa. Erityisen varovainen tulee olla, jos päätyy tuntemattomalta verkkosivustolta linkkiä klikkaamalla esimerkiksi verkkopankin tai jonkin muun palvelun sisäänkirjautumissivulle.

3. Tarkista selaimen kohdeosoite. Tietojenkalastelusivut on usein rekisteröity verkkotunnusten alle, jotka muistuttavat aitoja verkkosivuja. Väärennetyn sivuston erottaminen vaatii käyttäjältä tarkkaavaisuutta.

4. Tarkista, onko selaimen tietoliikenteen salaus päällä ja varmenne oikea. Esimerkiksi kaikki verkkopankit hyödyntävät salattua selainliikennettä. Salauksen puuttuminen on varma merkki väärennetystä verkkopankkisivusta.

Tutustu tarkempiin ohjeisiin ja huijaussivustojen esimerkkikuviin Kyberturvallisuuskeskuksen raportissa https://www.viestintavirasto.fi/attachments/tietoturva/Nain_meita_huijataan.pdf

Tietojärjestelmien käyttöä ja sitä kautta myös käyttöoikeuksien hallintaa ohjataan lainsäädännön sekä työorganisaation hyväksymien ohjeiden, määräyksien ja sopimuksien avulla. Toimintayksiköiden johdon ja henkilörekisterien rekisterinpitäjien vastuulla on toiminnassa tuotettavien ja käsiteltävien tietojen ajantasaisuuden, oikeellisuuden, käytettävyyden ja eheyden varmistaminen. Tähän kuuluu myös tietoihin liittyvien käyttöoikeuksien määrittely ja niiden valvonta.

Asiattomiin käyttöoikeuksiin liittyy useita riskejä:

  • tietoja voidaan tahattomasti tai tahallisesti poistaa, lisätä tai muuttaa
  • tietoja voi päästä käsittelemään liian laajasti tai vastaavasti liian suppeasti
  • asiattomat käyttöoikeudet avaavat myös reittejä tietomurtoihin, jotka voivat pahimmillaan aiheuttaa laajoja selvitystöitä ja taloudellisia vahinkoja sekä maineen menetyksen
  • tietojärjestelmien käyttö voi hidastua kaikilla johtuen tarpeettomista oikeuksista tietokannassa
  • lisenssimaksuja maksetaan turhaan käyttäjistä, jotka eivät tarvitse oikeuksia järjestelmään julkisuuskuvatappiot, jotka näkyvät kansalaisten luottamuspulana toimintaa kohtaan.

Toiminnassa tulee olla määriteltyinä asiaan liittyvät vastuut kuten; kuka, miten ja mistä käyttöoikeudet eri järjestelmiin anoo ja myöntää sekä ketkä vastaavat oikeuksien ajan tasalla pidosta. Kriittinen kohta on työtehtävien muuttuminen tai päättyminen, jolloin käyttöoikeuksia saattaa jäädä voimaan tai käyttöoikeudet eivät enää vastaa työtehtäviä.

Käyttöoikeuksien myöntämisen pitää olla sidoksissa myös palvelussuhteeseen ja siihen liittyvään tehtävänkuvaukseen. Käyttöoikeudet pitää olla henkilökohtaisia ja yksilöitävissä tiettyyn henkilöön. Tähän liittyy myös lakisääteinen käytönvalvonta, jolla pitää pystyä jälkikäteisesti todentamaan kuka on käsitellyt tietoja ja missä roolissa. Työ- tai palvelussuhteen päätyttyä käyttöoikeudet tulee poistaa viipymättä. Sama koskee esimerkiksi myös opiskelijoita, harjoittelijoita ja ostopalvelutyöntekijöitä, vaikka heillä ei olisikaan suoraan työsuhdetta organisaatioon.

Kenelläkään henkilöllä ei saa olla tarpeettomasti käyttöoikeuksia enää tietoihin sen jälkeen, kun työtehtävät eivät sitä edellytä. Varsinkaan salassa pidettäviä tietoja sisältäviin asiakastietojärjestelmiin ei saa olla oikeuksia enää sen jälkeen voimassa, kun työtehtävät eivät niitä edellytä. Sopimuksissa esimerkiksi ulkoisten palveluntuottajien kanssa tulee huomioida käyttöoikeusasiat ja erityisesti se, että he ovat velvollisia ilmoittamaan ”tilaavan organisaation” eli useimmiten toimeksiantajan käyttöoikeuksien ylläpitäjille siitä, kun heidän työntekijänsä ei enää käyttöoikeuksia toimeksiantajan tietojärjestelmiin ja tietoihin tarvitse. Toimeksiantajan sisäisessä toiminnassa tulee esimiesten valvoa, että käyttöoikeudet ovat tarpeellisiin järjestelmiin ja tietoihin alaisillaan.

Käyttöoikeuksien asianmukaisuus kannattaa ottaa esille kehityskeskusteluissa. Tietojärjestelmän käyttäjän on itse oman oikeusturvansakin kannalta oltava myös aktiivinen ja ilmoitettava esimiehelleen ja järjestelmien käyttöoikeuksien ylläpitäjille, mikäli huomaa, että itselle on jäänyt sellaisia käyttöoikeuksia voimaan, joita kyseisissä työtehtävissä ei enää tarvita. Yhtälailla on ilmoitettava, jos työtehtävien vaatimia käyttöoikeuksia puuttuu. Esimiesten tulee ottaa asia esille yksikkö- ja osastopalavereissa ja kartoittaa omaan vastuualueeseen liittyen alaisten käyttöoikeuksien ajantasaisuus. Yksiselitteistä tietopankkia ei useinkaan ole käytettävissä, josta yksittäisen työntekijän oikeudet kaikkiin eri järjestelmiin olisi tarkistettavissa. Tällaisen pitää kuitenkin olla pyrkimyksenä. Oikeuksien kuntoon laittamiseksi tarvitaan kuitenkin aina yhteistyötä, jossa mukana ovat tietojen omistajataho, tietojen käyttäjä ja hänen esimiehensä.

Hyvä käytännön tapa on ottaa asia ensin alaisten kanssa puheeksi ja selvittää onko heillä omasta mielestään sellaisia järjestelmiä itsellä tiedossa, joihin käyttöoikeudet ovat, mutta käytännössä käyttötarvetta ei järjestelmälle työtehtävissä ole. Tässä yhteydessä kannattaa muistuttaa, että osassa järjestelmistä on kalliita lisenssimaksuja, jotka ovat helposti useita satoja euroja vuositasolla per käyttäjä.