Suositus pikaviestintäsovelluksien käytöstä Oulun yliopistossa

Pikaviestintäsovelluksia käytetään yhä enemmän kommunikointiin niin työ- kuin yksityiskäytössä. Pikaviestintäsovellukset helpottavat ja nopeuttavat henkilöiden keskinäistä kommunikointia ja tiedonsiirtoa, mutta niiden käytössä on kuitenkin olemassa uhkia, jotka tulee ottaa huomioon. Pikaviestintäsovelluksilla tarkoitetaan tässä yhteydessä sovelluksia kuten esimerkiksi Skype, ICQ, MSN Messenger ja IRC.

Pikaviestintäsovellusten käytön uhka on, että niiden kautta voi saada haittaohjelman. Käyttäjä voi esimerkiksi saada viestin, missä pyydetään avaamaan jokin web-sivu tai vastaanottamaan tiedosto. Viestin sisältämästä web-osoitteesta tai vastaanotetusta tiedostosta käyttäjä saakin haittaohjelman. Viestin lähettäjänä voi olla oikea henkilö tai verkkomato, joka on jo saastuttanut toisen käyttäjän tietokoneen. Tämän vuoksi ei koskaan tulisi vastaanottaa tiedostoja tai avata viesteissä esiintyviä web-osoitteita, jos viesti tulee tuntemattomalta henkilöltä.

Haittaohjelmatartunnan saaneelta koneelta yleensä etsitään tietoja (sähköpostiosoitteet, salasanat ja dokumentit) ja välitetään eteenpäin kolmannelle osapuolelle. Konetta voidaan käyttää myös roskapostiviestien lähettämiseen tai muuhun laittomaan toimintaan. Pikaviestimiä hyödyntäviä matoja ovat olleet mm. Bropia, yhoo32.explr ja BlackAngel.

Toinen pikaviestintäsovelluksiin liittyvä uhka on keskustelun salakuuntelu tai lähetettyjen tiedostojen kaappaus. Useissa pikaviestintäsovelluksissa liikenne välitetään selväkielisenä pikaviestinverkon välityspalvelimen tai välityspalvelimena toimivan asiakkaan kautta. Joissakin pikaviestintäsovelluksissa liikenne salakirjoitetaan, mutta tämä ei takaa sitä, etteikö liikennettä kyettäisi salakuuntelemaan välityspalvelimella tai välityspalvelimena toimivassa asiakaskoneessa. Liikenne voi kulkea myös sellaisten maiden kautta, joiden yksityisyydensuojaa käsittelevistä säädöksistä ei ole varmuutta.

Yllämainituista syistä tietohallinnon kanta on, että Skypeä tai muita samalla periaatteella toimivia pikaviestintäsovelluksia ei asenneta työasemiin, joilla käsitellään virkasalaisuuksia (esim. liike- ja tutkimussalaisuuksia) tai luottamuksellisia henkilötietoja. Pikaviestintäsovelluksia ei myöskään tulisi käyttää kyseisten tietojen välittämiseen.

Lue lisää pikaviestinsovelluksiin liittyvistä uhkista sekä suojautumiskeinoista alla olevista linkeistä.

Linkit:

• Mikä on Skype (Tietosuojavaltuutetun toimisto)
• Skypen tietosuojailmoitus (Skype)
• Instant Insecurity: Security Issues of Instant Messaging (SecurityFocus)
• Top 5 IM security risks (NETWORK WORLD)

09.11.06 / MR