Digiturva yliopistolla nyt - digiturvakatsaus 1/2025

Digiturva yliopistolla nyt on ajankohtaiskatsaus yliopiston tietoturvaan ja digitaaliseen turvallisuuteen liittyvistä asioista. Katsaus ilmestyy jatkossa 4 kertaa vuodessa Flammassa ja Opiskelupalvelussa. Nostamme katsaukseen mukaan ajankohtaisia poimintoja Kyberturvallisuuskeskuksen julkaisuista sekä yliopiston digiturvakuulumisia.

Infograafi Tietoturva lukuina 1/2025, info löytyy tekstinä kuvan alla — Yliopiston tietoturvalukuina 1.12.2024 - 31.1.2025:
Saapuneet kalasteluviestit: 671672.
17600 tietoturvatiimille saapunutta automaattista hälytystä (Microsoft Sentinel).
Yliopistolaisten Outlook-ilmoitukset kalasteluviesteistä ja roskaposteista: 7002.
25 tietoturvatiimille saapunutta uutta tikettiä.
Tietoturvatestin suoritukset: 5885.

Tässä katsauksessa:

Kyberturvallisuuskeskus tiedottaa
Tietoturvapäällikön tilinpäätös tietoturvavuodesta 2024
Mitä on monivaiheinen tunnistautuminen (MFA) ja miksi se on tärkeä osa yliopiston tietoturvaa?

1. Kyberturvallisuuskeskus tiedottaa

Tähän osioon poimimme erilaisia ajankohtaisia sisältöjä Kyberturvallisuuskeskuksen viimeisimmistä julkaisuista ja tiedotteista.

Ajankohtaiset huijaukset:

Tekstiviesteillä tulevia Suomi.fi -kalasteluviestejä (Kyberturvallisuuskeskuksen viikkotiedote, Kyberturvallisuuskeskus.fi)
Katso muita Kyberturvallisuuskeskuksen uutisia Kyberturvallisuuskeskuksen sivuilta osiosta Tietoturva nyt.

2. Tietoturvapäällikön tilinpäätös tietoturvavuodesta 2024

Digiturvamielessä vuosi 2024 oli yliopistolla varsin rauhallinen. Tämä ei kuitenkaan tarkoita sitä, että hyökkäyksiä olisi ollut yhtään sen vähempää. Kalastelua, haittaohjelmahyökkäyksiä ja salasanojen arvausyrityksiä on jatkuvasti, mutta onneksemme lähes kaikki niistä saatiin torjuttua.

Positiivista oli erityisesti vääriin käsiin joutuneiden kirjautumistietojen määrän väheneminen jo toista vuotta peräkkäin. Suuri ansio tästä kuuluu kaikille yliopistoyhteisön jäsenille: teidän henkilökohtainen taitonne niin tunnistaa huijaukset kuin välttää niitä on hyvin tärkeä asia.

Hyökkääjien taitotason noustessa jatkuvasti on yliopistonkin kehitettävä omaa torjuntakykyään ja sen vuoksi 2025 tullaan toteuttamaan useampia turvallisuustasoa nostavia projekteja, päällimmäisinä niistä monivaiheisen tunnistautumisen käytön laajentaminen maaliskuussa. Seuratkaa Flamman uutisointia, jotta pysytte ajan tasalla siitä mitä tapahtuu!

3. Mitä on monivaiheinen tunnistautuminen (MFA) ja miksi se on tärkeä osa yliopiston tietoturvaa?

Tavallisin kirjautumistapa erilaisiin palveluihin ja järjestelmiin on käyttäjätunnus ja siihen liitetty salasana. Tämä on kuitenkin varsin kevyt tapa suojautua ja siksi myös helposti murrettavissa. Monivaiheinen tunnistautuminen (MFA, Multi-factor Authentication) tarkoittaa nimensä mukaisesti sitä, että henkilön identiteetti varmistetaan useampaa eri tunnistautumistapaa käyttämällä.

Monivaiheisen tunnistautumisen yleisin muoto on kaksivaiheinen tunnistautuminen (Two-factor Authentication, 2FA). Kaksivaiheisessa tunnistautumisessa käytetään kirjautumisen yhteydessä kahta erilaista tunnistamistietoa. Kaksivaiheisen tunnistuksen avulla käyttäjän on mahdollista todistaa luotettavasti olevansa se henkilö, joka väittääkin olevansa. Jo kaksivaiheisella todennuksella on mahdollista estää lähes kaikki tunnusten murto- ja kaappausyritykset. Lisävarmenne estää tehokkaasti kenenkään muun kuin sallitun käyttäjän pääsyn jopa niissä tapauksissa, joissa salasana olisi murrettu tai varastettu. MFA estää osaltaan myös salasanojen murtamisen yhdessä järjestelmässä ja väärinkäytön toisessa järjestelmässä.

Helsingin yliopistolla suositeltavin tapa MFA:n käyttöön on Microsoft Authenticator-sovellus älypuhelimessa, jolloin kirjautumiset hyväksytään puhelimen push-ilmoituksilla. Myös muita tapoja MFA:n käyttöön on ja löydät ne IT-Helpdeskin ohjesivustolta. MFA:n käyttöönotto ja käyttö ovat helppoja eikä erillisiä tunnuksia tarvitse muistaa. MFA:n käyttö mahdollisimman monessa palvelussa lisää tietoturvan kattavuutta ja pienentää käyttäjätunnuksen väärinkäytön mahdollisuuksia muissa yliopiston palveluissa. MFA:n avulla pidät siis omien henkilökohtaisten tietojen lisäksi myös koko muun yhteisön tiedot suojattuna.

Yliopiston palveluiden lisäksi MFA kannattaa ottaa käyttöön myös muissa käytettävissä sovelluksissa ja palveluissa. Erityisen tärkeää on suojata tilit, joiden takana on henkilö- ja maksutietoja. Ohjeita MFA:n käyttöönotosta eri sovelluksissa löydät Kyberturvallisuuskeskuksen ohjeista.