Kyberturvallisuuskeskuksen viikkokatsaus - 15/2024

Tällä viikolla katsauksessa käsiteltäviä asioita

1. Yli 6000 kotimaista televisiota alttiina kyberuhkille
2. Tietoturvaseminaarin tallenne katsottavissa
3. Miten valmistautua NIS2-direktiivin kyberturvallisuuden riskienhallinnan vaatimuksiin?
4. Anna palautetta verkkosivuistamme!
5. Huijausviestikokoelma
6. Kyberturvallisuuskeskuksen haavoittuvuustiedotteen ulkoasu on uudistunut

Yli 6000 kotimaista televisiota alttiina kyberuhille

Suosittelemme, että päivitätte kaikki internetiin kytketyt laitteet aina uusimpiin tarjolla oleviin ohjelmistoversioihin, ja kytkette automaattiset päivitykset päälle. Laitevalmistajat julkaisevat päivityksiä, jotka samalla parantavat tuotteiden toiminnallisuuksia ja usein parantavat myös tietoturvaa. Vuosien varrella koteihimme on kertynyt suuret määrät internetiin kytkettyjä laitteita, mutta säännöllinen päivittäminen on saattanut unohtua arjessa.

Tietoturvayhtiö Bitdefender julkaisi artikkelin (Ulkoinen linkki) LG-televisioissa käytettävän WebOS-ohjelmiston haavoittuvuuksista. Haavoittuvuuksien avulla organisaatio kertoo saaneensa pääkäyttäjäoikeudet testattuihin LG-televisioihin. Vaikka televisiot on yleensä tarkoitettu ainoastaan organisaation tai kodin sisäverkkoon, on niitä havaittu internetistä yli 90 000 kappaletta pelkästään LG:ltä. Näistä yli 6000 on Suomessa. Kyberturvallisuuskeskus suosittelee kaikkia LG-televisioiden omistajia päivittämään laitteensa uusimpiin versioihin, jotka korjaavat kyseiset haavoittuvuudet. Löydät päivitykset yleensä laitteen asetusten valikosta. Kaikki 6000 laitetta eivät ole alla oleville haavoittuvuuksille alttiina, mutta tapaus korostaa internetiin kytkettyjen laitteiden tietoturvan tärkeyttä.

Lista haavoittuvista LG-televisioversioista on seuraava:

• webOS 4.9.7 - 5.30.40 versiot LG43UM7000PLA-televisiossa
• webOS 5.5.0 - 04.50.51 versiot OLED55CXPUA-televisiossa
• webOS 6.3.3-442 (kisscurl-kinglake) - 03.36.50 versio OLED48C1PUB-televisiossa
• webOS 7.3.1-43 (mullet-mebin) - 03.33.85 versio OLED55A23LA-televisiossa

Ostaessasi uuden laitteen päivitä se uusimpaan versioon heti käyttöönoton yhteydessä. Laitteen julkaisun ja ostoajankohdan välillä valmistaja on voinut julkaista ohjelmistopäivityksiä. Ne eivät asennu laitteisiin varastoissa pahvilaatikon lävitse, vaan ne tulee käyttäjän itse asentaa.

Kyberturvallisuuskeskus on julkaissut ohjeen kodin reitittimien tietoturvan parantamiseksi. Ohjeen neuvojen avulla voit varmistaa, ettei laitteessasi ole etäyhteys avoinna ja että laitteen palomuuri on päällä. Laitteiden näkymistä internetiin voit estää ottamalla käyttöön NAT-tekniikan (Network Address Translation) ja tehdä IoT-laitteille (Internet of Things, esineiden internet) oman verkon. Tällöin esimerkiksi etätyöhön käytetyt laitteet ja kodin älylaitteet sijaitsevat eri verkoissa ja mahdollisesti haavoittuva älylaite ei sijaitse samassa verkossa.

Muistathan myös, että jokainen laitevalmistaja julkaisee erilaisia korjauksia ja päivityksiä laitteisiinsa eikä LG suinkaan ole ainoa valmistaja, jonka tuotteista löytyy haavoittuvuuksia. Maailmanlaajuisesti julkaistaan yli 20 000 haavoittuvuutta vuositasolla, joille myönnetään haavoittuvuuden yksilöivä CVE-tunniste. Kaikki haavoittuvuudet eivät koskaan päädy julkiseksi, vaan osa havaituista puutteista tuotteiden ja palveluiden tietoturvassa paikataan ilman tiedon julkistamista.

Tietoturva 2024 -seminaarin tallenne on nyt katsottavissa 

Traficomin Kyberturvallisuuskeskuksen ja Huoltovarmuuskeskuksen järjestämä Tietoturva 2024 -seminaari kokosi maaliskuun puolivälissä yhteen yli 3000 kuulijaa. Tänä vuonna seminaarissa pohdittiin erityisesti tekoälyn ja kvanttiteknologian vaikutuksia tietoturvaan. Seminaarissa jaettiin myös Tietoturvan suunnannäyttäjä -tunnustus, joka myönnettiin tänä vuonna huijauspuhelujen ja -viestien estämiseen tähtäävälle yhteistyölle.

Miten valmistautua NIS2-direktiivin kyberturvallisuuden riskienhallinnan vaatimuksiin?

Julkaisimme lausuntopyynnön Traficomin suositusluonnoksesta valvoville viranomaisille NIS2-direktiivin mukaisista kyberturvallisuuden riskienhallinnan toimenpiteistä. Se tukee myös toimijoiden omaa kyberturvallisuuden riskienhallinnan suunnittelua. Suositusluonnokseen on koottu tietoa ja käytännön esimerkkejä siitä, millaisia toimenpiteitä laissa säädettäviin vaatimuksiin voi kuulua.

Suositusluonnoksessa esitellään perustason tietoturvakäytännöt, jotka kuvaavat millaisilla toimilla organisaatio voi suojautua yleisimmiltä kyberuhilta. Perustason tietoturvakäytäntöjä seuraamalla toimijat – myös sellaiset, jotka eivät kuulu NIS-sääntelyn soveltamisalaan – voivat arvioida organisaationsa kyberturvallisuuden kypsyystasoa ja parantaa kyberturvallisuuden tilaa. 

Kirjallisia lausuntoja voi jättää Lausuntopalvelun kautta 31. toukokuuta 2024 saakka.

Siirry Lausuntopalveluun (Ulkoinen linkki)

Osallistu verkkosivujemme kehittämiseen

Kehitämme verkkosivujamme ja haluaisimme kuulla, miten voisimme entistä paremmin tiedottaa ja opastaa arjen tietoturvaan liittyvissä aiheissa. Voit vastata lyhyeen kyselyyn tai ilmoittautua mukaan käytettävyystutkimukseen.

Lue lisää ja vastaa kyselyyn!

Ajankohtaiset huijaukset

Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisia huijauksista.

Kyberturvallisuuskeskus on muuttanut haavoittuvuustiedotteen ulkoasua

Kyberturvallisuuskeskuksen julkaisemien haavoittuvuustiedotteiden ulkoasua on muutettu joustavampaan suuntaan. Muutos koskee 11.4. alkaen julkaistavia uusia haavoittuvuustiedotteita.