Vastaamon surullinen ja järkyttävä tietomurtotapaus on nostanut tietoturva-asiat yleiseen keskusteluun. Usein ne jäävät ikään kuin taka-alalle. Periaatteessa me tiedämme kaikki, että tietoturvasta huolehtiminen on tärkeää, mutta käytännössä saatamme toimia eri tavalla. Käytämme liian helppoja salasanoja, jätämme lukematta uusien palveluiden käyttö- ja tietoturva-asiat ennen hyväksymistä, annamme puhelimen sovelluksille kaikki pyydetyt oikeudet ja niin edelleen.
Uhkakuvat eivät tunnu todellisilta, tai ainakaan kovin merkittäviltä. Olemme ehkä myös tottuneet ja turtuneet paljolti siihen, mikä määrä tietoa meistä koko ajan kerätään ja tarjoamme itsekin yhä lisää tietoa itsestämme ja siinä sivussa muistakin esimerkiksi sosiaalisessa mediassa. Helposti voimme ajatella, että ei minulla ole mitään salattavaa tai ketäpä minun asiani kiinnostaisivat.
Ne kiinnostavat ainakin sosiaalisen median jättejä, jotka pyrkivät tarjoamaan juuri meitä eniten kiinnostavaa ja koukuttavaa sisältöä. Ne kiinnostavat mainostajia, jotka tietojamme yhdistelemällä voivat saada yhä parempia arvioita siitä, millaiset mainokset vaikuttavat tehokkaimmin ostopäätöksiimme. Ne kiinnostavat myös vihamielisiä tahoja, jotka pyrkivät tavoittelemaan taloudellista tai muuta hyötyä esimerkiksi kiristämällä tai etsimällä käsiinsä luottokorttien tietoja. Ne voivat kiinnostaa uteliasta naapuriakin, jos jotakin yksityistä vuotaa julki.
Kaikki, mitä verkossa teemme, voidaan kerätä ja yhdistellä lukemattomin tavoin. Varovaisemmastakin käyttäjästä löytyy esimerkiksi terveystietoja, asiakastietoja, kuvia ja videoita sekä yksityisiä keskusteluita muun muassa Facebookin tai Whatsappin kautta. Näihin tietoihin kuuluu myös työpaikka, ja koska monella on tapana käyttää samoja salasanoja useassa paikassa, yksityisen henkilön sometilille murtautuminen saattaa avata pääsyn työpaikan tietoverkkoon. Kyse ei siis ole vain siitä, kiinnostavatko juuri minun tietoni jotakuta tarpeeksi, jotta hän viitsisi erikseen nähdä vaivaa niiden vuoksi, vaan myös siitä, voiko minun tiedoistani hyötyä niihin käsiksi päästessään. Dataa onkin nykypäivänä monessa yhteydessä kutsuttu uudeksi öljyksi; jos sitä on saatavilla, se kaivetaan esiin.
Kun uudet teknologiat vielä laajalti tuntemattomine vaikutuksineen tulevat mukaan elämäämme, yksityisyyden ja tietoturvan merkitys korostuu entisestään. Väitöskirjatutkimukseni koskee laajennetun todellisuuden (extended reality, XR) merkitystä teknisten ohjeiden välittämisessä. Laajennettu todellisuus pitää sisällään virtuaalitodellisuuden (Virtual Reality, VR) ja yhdistetyn todellisuuden (Mixed Reality, MR). Tunnetuin ja tutkituin yhdistetyn todellisuuden osa-alue on kiistatta lisätty todellisuus (Augmented Reality, AR), joka tuli suuren yleisön tietoisuuteen viimeistään Pokémon Go! -pelin myötä vuonna 2016.
Laajennettu todellisuus on ollut jo vuosia käytössä työelämässä monilla aloilla, kuten teollisuudessa ja lääketieteessä. Sen avulla esimerkiksi koneen korjaajalle voidaan tarjota tilannekohtaiset ohjeet näyttämällä XR-lasien avulla työvaihe kerrallaan, mitä seuraavaksi pitää tehdä, jolloin korjaajan kädet vapautuvat suorittamaan tehtävää. Näyttäminen voi yksinkertaisimmillaan tapahtua esimerkiksi siten, että ohjelmisto tunnistaa ja osoittaa virtuaalisen nuolen avulla käyttäjälle sen osan, joka seuraavaksi tulee valita, ja kohdan, johon se tulee koneeseen kiinnittää.
Laajennettu todellisuus vaatii toimiakseen jatkuvaa käyttäjän ja ympäristön havainnointia muun muassa siksi, että virtuaaliset elementit saadaan sijoitettua oikeille paikoilleen oikeaan aikaan ja toimimaan interaktiivisesti. Tämä tarjoaa huikeita mahdollisuuksia, mutta myös uhkia. Kun jokainen liike, ele, asento, sijainti, kaikki ympäristön objektit ja äänet ja joissakin tapauksissa jopa syke ja tunnetila rekisteröidään dataksi, jota sitten prosessoidaan, mahdollisesti siirrellään ja tallennetaan, valtava määrä hyvin arkaluontoista dataa jää haavoittuvaksi. Tämä data voi sisältää yksityisiä keskusteluita, salasanoja tai pankkitunnuksia, suihkuun juoksevan perheen jäsenen tai mitä hyvänsä, mitä emme todellakaan tahtoisi kenenkään nähtäville.
Valitettavasti laajennettua todellisuutta koskeva tietoturva ja siihen liittyvä tutkimus ovat vielä lapsenkengissään, vaikka teknologia on ollut yleistymässä viime vuosina voimakkaasti. Monenlaisia ratkaisuja erilaisiin riskitilanteisiin on silti kehitelty ja kehitetään edelleen. Laajennettu todellisuus itsessään tarjoaa myös ratkaisuja aiempiin tietoturvaongelmiin. Esimerkiksi olanylikurkkijat eivät pääse katsomaan tietoja, jotka ovat vain käyttäjän nähtävillä XR-lasien välityksellä. Laitteiden avulla voisi esimerkiksi myös tunnistaa ympäristössä vaanivia riskitekijöitä, kuten korttien kopiointilaitteen pankkiautomaatilla tai käyttäjää kohti suunnatun kameran.
Laajennettu todellisuus tuo tullessaan siis sekä mahdollisuuksia että uhkia. On hyvä toisaalta tiedostaa, että meillä jokaisella on tietoja, joiden päätyminen vääriin käsiin tuo ongelmia, mutta toisaalta myös se, että järkevällä toiminnalla ja ennakoinnilla riskit voidaan minimoida. Kun mietimme tietoturva-asiat etukäteen kuntoon ja teemme valinnat ja toimintaohjeet suunnitellusti, on käyttö turvallisempaa. Suunnitelmissa on hyvä huomioida sekin, että kaikkia riskejä ei välttämättä pystytä ennakoimaan ja siksi on hyvä olla toimintamalleja myös tilanteen ratkaisemiseksi, jos tietoja päätyy väärille tahoille. Näin voimme hyötyä laajennetun todellisuuden mahdollisuuksista ilman, että sen tuomat uhkakuvat konkretisoituvat.
Satu Rantakokko
Tohtoriopiskelija
Markkinoinnin ja viestinnän yksikkö
Kiehtova aihe! Tutkin parhaillani virkavastuun laajuutta ja ulottuvuutta ja jäin pohtimaan tuota, mitä sanoit ihmisten käyttämistä samoista salasanoista niin työpaikoilla kuin henkilökohtaisilla sometileillä. Voitaisiinko virkavastuu ulottaa myös tilanteeseen, jossa yksittäinen virkamies käyttää huolimattomasti salasanoja, jolloin esim. hänen sometililleen murtautuminen avaisi samalla pääsyn työpaikan tietoverkkoon? Täytyykin tutkia aihetta hieman tarkemmin.
Vastuuasiat ovatkin mielenkiintoisia: Onko vastuu tuollaisessa tapauksessa enemmän sillä, joka käyttää samaa salasanaa useammassa paikassa vai työpaikalla, joka sen mahdollistaa. Salasanoissa on tietysti lisäksi ongelma sen kanssa, että kyllin turvallinen salasana on vaikea muistaa. Jos se on asianmukaisesti vielä eri joka paikassa ja säännöllisin väliajoin vaihdettu, johtaa se usein käytännössä siihen, että salasana on kirjattu muistiin jonnekin, missä se on kätevästi käyttäjän saatavilla ja siten myös mahdollisesti asiaankuulumattomien ulottuvilla.
Vaasan yliopistossa julkaistiin muutama vuosi sitten väitös tietoturvaohjeiden noudattamisen motivaatiosta. Tietoturvaohjeistusten noudattamisen motivaatio ja sen muuttuminen
Kinnunen, Niina (2015)
Väitöstiedote: https://www.uwasa.fi/fi/news/kinnunenvaitos/
Linkki väitöskirjaan: http://urn.fi/URN:ISBN:978-952-476-637-1:
t. Riikka K
Kiitos vinkistä, täytyypä tutustua!
Kiinnostava ja ajankohtainen aihe, joka koskettaa varmasti meitä kaikki. On totta, että Vastaamon tietomurron yhteydessä data nousi kaikki huulille yhteiseksi huolen aiheeksi: mitä kaikkea minusta onkaan tallessa ja missä kaikissa paikoissa? Tämä on aiheellinen kysymys, mutta huolen suhteen arviointia pitäisi pikemminkin laajentaa yksittäisten tietojen ulkopuolelle ja tarkastella kokonaiskuvaa. Olkootkin, että Valvomon tapauksessa ne sisälsivät kaikken arkaluontoisimpia ihmisten terveystietoja. Kuitenkin suurin uhka vuodetuille taitaa olla heidän henkilötunnuksensa (SOTU) vuotamisen suhteen sillä sen avulla voidaan aikaan saada paljon ikävää sähköisessä maailmassa. Kuten Rantakokko toteaa, niin kaikkia tietoja ei pysty suojaamaan, mutta on hyvä olla käsitys siitä, että mitä kaikkea tietoa missäkin on ja mitä niillä voi tehdä. Sillä pääsee jo pitkälle.
Hyvä näkökulma. Yksittäisiin tietoihin pääsyn lisäksi kokonaisuudella on merkitystä, ja se kokonaisuus taitaa meistä kaikista olla yllättävän suuri. Esimerkiksi puhelimissa monella on päällä paikannustiedot ja muun muassa ravintolassa käynnin jälkeen voi hyvin saada pyynnön arvioida kokemustaan, oli siellä ostanut mitään tai ei.
Luin hiljattain kiinnostavan artikkelin tietojen yhdistämiseen liittyen. Siinä oli yhdistelty kasvojentunnistusta ja sosiaalisen median tarjoamaa dataa ihmisistä onnistuen esimerkiksi tunnistamaan deittisivuston profiileja tai satunnaisia kampuksella kulkijoita Facebookin profiilien avulla. Tunnistamisen jälkeen tietoa oli yhdisteltävissä monista julkisista lähteistä. Artikkelin ovat kirjoittaneet Acquisti ja kumppanit, ja siihen voi halutessaan tutustua täällä: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3305312
Kiitos Satu, tuo oli hyvä tutkimus ja kiinnostava artikkeli, kiitos linkistä!
Aiheesi on hyvin ajankohtainen ja puhuttava. Tarkastelemasi laajennetun todellisuuden tietoturva ja -suojaongelmat ovat hyvin samankaltaisia kuin viime aikana nopeasti kasvaneen ja suuren suosion saaneen IoT:n (eng. Internet of Things): tietoturva ei pysy teknologian nopean kehityksen mukana.
Huomionarvoista on kuitenkin myös ihmisten/kuluttajien oma vastuu, josta mainitsemasi suojauskeinot, kuten salasanat, ovat yksi osa-alue. Ihmisten kiinnostus oman datan käyttöön tulisi johtaa siihen, että he vaatisivat tuotteiden/palveluiden kehittäjiltä enemmän myös tietoturvan –ja sen jatkuvan kehittämisen –saralla.
Ihmisillä/kuluttajilla on siten mahdollisuus vaikuttaa valinnoillaan. Mutta vaikka mitä suojauskeinoja käytettäisiin, ihminen on aina tietoturvan heikoin lenkki. Keskeinen vaatimus onkin ihmisten kiinnostus oman datan arvoon – sen suojaukseen ja käyttöön.
Tuot esiin tärkeän ja positiivisenkin näkökulman. Meillä on tosiaan mahdollisuus vaikuttaa asiaan valintojen ja vaatimusten kautta. Se tuo painetta nopeuttaa ja parantaa tietoturvan kehittämistä myös uusien teknologioiden suhteen. Julki tulleet epäonnistumiset tietojen suojaamisessa myös varmasti lisäävät käyttäjien kiinnostusta tietoturvaansa ja sitä kautta ehkä johtavat myös oman toiminnan parantamiseen.
Mielenkiintoinen aihe ja laajennettuun todellisuuteen on löydettävissä varmasti todella paljon käyttötapauksia eri toimialoilta. Laajennettu todellisuus on saavuttanut myös kiinteistöalan ja tiedän, että sen avulla voidaan nykyään jo esimerkiksi tabletin avulla nähdä ”rakenteiden sisään” ja havainnoida missä erilaiset tekniset järjestelmät kulkevat. Tietenkin tämä vaatii erilaista valmistelua taustalla (tietomallit yms.), mutta varmasti tämänkaltainen toiminta tulee jatkossa yleistymään kiihtyvää vauhtia. Kolikon kääntöpuolena tulee tietysti entistä tärkeämmäksi tietoturva-asiat ja väärinkäytösten ehkäiseminen.
Kiinnostava esimerkki kiinteistöalalta. Laajennettu todellisuus tarjoaa tosiaan valtavasti mahdollisuuksia eri aloille, ja on osoittanut kiistattomia hyötyjä monissa työtehtävissä parantaen mm. tehoa ja tarkkuutta esimerkiksi kokoonpanotehtävissä. Vaikka haasteita onkin, on silti mielenkiintoista nähdä, mitä kaikkea sillä lähitulevaisuudessa voidaankaan tehdä laitteiden pienentyessä ja tehokkuuden kasvaessa.
On kyllä mielenkiintoinen aihe. En usko, että kovinkaan moni näiden teknologioiden käyttäjistä tiedostaa kovin tarkkaan sitä, minkälaista tietoa ja kuinka paljon tietoa niillä kerätään. Toki näitä tietoja voidaan myös kaupata eteenpäin tahoille, joten viimeistään tämä vaihe tiputtaa meidät peruskäyttäjät tietovirtakartalta. Kuinkahan pitkälle yritysten asiantuntijat hahmottavat nämä asiat ja millä tavoin he voivat työntekijöiden käyttäytymiseen vaikuttaa?
Tiedostamisen ja suojatoimien käyttö vaihtelee paljon sekä yksityisten käyttäjien että yritysten taholta. Olen kanssasi samaa mieltä siitä, että moni ei varmasti tiedosta kovin hyvin mahdollisia uhkia. Ja tietysti sitten on se ongelma, että yksityiset käyttäjät usein myös työskentelevät yrityksissä ja siten pääsy yksityisen käyttäjän tietoihin voi avata pääsyn yrityksen tietoihin. Ns. social engineering onkin varsin suosittu keino valmistella hyökkäystä yritystä kohtaan. Siinä, missä yritys voi suojautua hyvinkin laajasti hyökkäyksiä vastaan, social engineeringiltä on vaikeampi puolustautua. Siinä kun käytetään hyväksi ihmisen luotaisia ominaisuuksia, kuten esimerkiksi myötätuntoa, taipumusta totella auktoriteetteja ja luottamista ystäviin.
Onpa mielenkiintoinen ja ajankohtainen aihe! On kyllä pelottavaa ajatella miten paljon nykyinen teknologia kerää dataa kaikenlaisista asioista, myös arkaluontoisia tietoja. Tänä päivänä moni ei varmaan ymmärrä arvostaa, kunnioittaa ja suojata yksityisyyttä riittävin määrin, mutta tulevaisuudessa yksityisyys ei tosiaan tule olemaan mikään itsestäänselvyys. Tsemppiä tutkimukseen!
Yksityisyyttä on vaikea saavuttaa tälläkin hetkellä, mutta varmasti uusien teknologioiden yleistyessä haasteet lisääntyvät valtavasti lähitulevaisuudessa. Esimerkiksi Pekka Hiippala tuo esiin Väitöskuiskaaja-blogissaan Perutaan IoT! (https://blogs.uwasa.fi/thesis/perutaan-iot/) esineiden internetin tuomia haasteita tietoturvaankin liittyen.
Siinä, missä aiemmin ehkä oli tavallaan enemmän varaa olla huolimaton tietoturvan suhteen, nyt siihen viimeistään kannattaa ihan jokaisen perehtyä ja ottaa suojatoimia käyttöön.
Kiitos tsempeistä!
Erittäin mielenkiintoinen blogikirjoitus, Satu! ”Minulla ei ole mitään salattavaa!” Näinhän me (kaikki) ajattelemme niin pitkään kun omat tietomme ovat turvassa tai ainakin luulemme niiden olevan turvassa.
Teknologia kehittyy huikealla vauhdilla, mutta tietoturva ei pysy teknologian nopean kehityksen mukana. Ihmisten omaa vastuuta omien tietojen suojaamisessa painotetaan kuten mainitsemasi vahvat salasanat ja eri salasanat eri palvelimille.
Meidän ihmisten pitäisi olla kiinnostuneita oman datamme arvosta. Meidän pitäisi myös osata vaatia tuotteiden ja palveluiden kehittäjiltä enemmän tietoturvan saralla. Kysymys kuitenkin on, kuinka moni meistä osaa tätä vaatia?
Kiitos Taina! Tämä on niin totta. Pitäisi kiinnostua, huolehtia ja vaatia, ja sitä kautta saada muutosta. Onneksi tietysti tietoturvaa kehitellään jatkuvasti, mutta tavallinen käyttäjä on usein se ’heikoin lenkki’. Niin sanottu social engineering onkin jatkuvasti toimiva ja suosittu keino kyberhyökkäyksissä. Siinä siis pyritään iskemään ihmisen luontaisiin ominaisuuksiin, kuten esimerkiksi empaattisuuteen, taipumukseen totella auktoriteetteja, näyttämisenhaluun tai luottamukseen. Etenkin nyt joulun alla varmaan hyvinkin moni on saanut vaihtelevanlaatuisia kalasteluyrityksiä sillä varjolla, että vastaanottajalle olisi saapumassa jokin paketti, mutta pientä yhteydenottoa tarvitaan. Näissäkin on joukossa jo aika ovelia versioita perinteisten kömpelöiden lisäksi.
Avain kiinnostuksen heräämiseen on varmaan se mainitsemasi oman datan arvon tiedostaminen. Arvon vähättely tuntuu usein olevan se syy, miksi peruskäyttäjä ei tee suuria toimenpiteitä tietoturvansa eteen. Käyttäjien tiedot ovat kuitenkin käypää valuuttaa, ja toisinaan tosiaan tarjoavat pääsyn moneen muuhunkin kohteeseen. Pienilläkin toimenpiteillä voi parantaa omaa tietoturvaansa merkittävästi, sillä hyökkääjät usein etsivät helppoja kohteita. Kannattaa siis pyrkiä tekemään itsestään edes pikkuisen vaikeampi kohde, vaikka ei ehtisi perehtyä tietoturvaan kovin syvällisesti. Pienikin askel on parempi kuin ei mitään.
Moni saattaa tosiaan ajatella, ettei minulla ole mitään salattavaa, vaikka samaan aikaan voi olla vaikeaa hahmottaa miksi minun tiedoillani edes olisi arvoa. Hienoa Satu, että tuot myös tätä näkökulmaa esiin. Valitettavasti tiedämme tällä hetkellä vain vähän siitä, mitä kaikkea meistä kerätyllä tiedolla voidaan tehdä ja voimme vain arvailla mitä sillä vielä tullaan tekemään.