Webbitaiturit .fi
Tietoturva

7 asiaa, joita paljastat verkossa — OPSEC-opas arkeen

Mitä ammattilaiset tietävät tietoturvasta? OPSEC-tarkistuslista kotikäyttäjälle: 7 asiaa, joita paljastat verkossa huomaamattasi.

Petri Rautio 4 min lukuaika
OPSEC opas aloittelijalle
Sisällys

Otit Instagram-kuvan kahvikupista keittiön pöydällä. Taustalla näkyy ikkunasta naapurin punainen vaja, lapsen reppu eteisen tuolilla ja hellan päällä kauppalappu. Tuosta yhdestä kuvasta vieras voi tunnistaa kotisi sijainnin, perheesi koon, lapsiesi iän ja sen, ettet ole juuri nyt kotona.

Sotilaiden maailmassa tätä kutsutaan OPSEC-virheeksi — operatiivisen turvallisuuden epäonnistumiseksi. Termi tarkoittaa, että harmittomilta vaikuttaneet tiedonpalaset paljastavat yhdessä jotain merkittävää. Idea ei kuulu vain sotilaille: samat periaatteet auttavat tavallista käyttäjää suojaamaan itseään verkossa.

Tässä seitsemän asiaa, joita useimmat suomalaiset paljastavat verkossa huomaamattaan — ja miten ne korjaa muutamassa minuutissa.

Mistä OPSEC tulee — ja miksi se koskee sinuakin

OPSEC eli operations security syntyi Yhdysvaltain armeijassa Vietnamin sodan aikana. Sotilaat havaitsivat, että viholliselle saattoi paljastua kriittisiä tietoja yksittäisistä, harmittomilta vaikuttaneista palasista: radiokuuntelusta, paikallisista lehdistä ja sotilaiden kirjeistä kotiin. Yksikään tiedonpalanen yksinään ei paljastanut mitään, mutta yhdistettynä ne piirsivät kuvan, jota ei pitänyt nähdä.

Sittemmin ajattelu on siirtynyt sotilasmaailmasta yritystoimintaan ja kyberturvaan. Sama logiikka näkyy edelleen toimijoissa, joiden asiakaskuntaa palvelee diskretio — kuten taktinen varustetalo Geardom, jonka asiakkaista moni elää OPSEC:in periaatteiden mukaan ihan luonnostaan. Sosiaalisen median aikakaudella sama oppi koskee jokaista nettikäyttäjää: julkaiset päivän aikana kymmeniä pieniä signaaleja, joista joku muu voi rakentaa kokonaisuuden.

7 asiaa, joita paljastat verkossa huomaamattasi

1. Sijaintitiedot ja taustat valokuvissa

Etualalla on lautanen ruokaa, taustalla työpaikan logo, ikkunasta tuttu maamerkki tai kotikadun nimikyltti. Yksittäinen kuva ei yleensä paljasta mitään dramaattista, mutta julkaisuhistoriaa selaamalla rakentuu kartta arjestasi: missä asut, missä työskentelet, missä lapsesi käyvät koulua, mihin lenkkeilet aamuisin.

Ennen kuin painat "julkaise", käy tausta läpi. Lapsen koulun logo, oma nimesi postilaatikossa tai työpaikan kulkukortti pöydällä ovat asioita, joita harva miettii erikseen.

2. Valokuvien metatieto

Jokainen puhelimella otettu kuva sisältää oletuksena metatietoa: GPS-koordinaatit, kuvauksen kellonajan, puhelimen mallin ja joskus jopa kameran sarjanumeron. Suuret sosiaalisen median palvelut poistavat metatiedon julkaistessasi kuvan, mutta sähköpostiliitteissä, viestisovelluksissa ja monissa pilvitallennuspalveluissa tieto kulkee mukana.

Tarkista puhelimen kamera-asetuksista, tallennetaanko sijaintitiedot, ja poista ne kuvista ennen jakamista, jos lähetät niitä sähköpostilla tai pikaviestillä.

3. Reaaliaikaiset loma- ja menoilmoitukset

"Lähdössä Kreikkaan kolmeksi viikoksi" postaus on yksi yleisimmistä OPSEC-virheistä. Kerrot samalla kahdesta asiasta: olet poissa kotoa ja palaat tiettynä päivänä. Jos lisäät vielä reaaliaikaisia lomakuvia, vahvistat juuri sen, ettet ole paikalla — etkä koskaan tiedä, kuinka pitkälle viesti kulkee.

"Aika moni meidän asiakas ei mainosta harrastustaan somessa eikä postaa uusimpia ostoksiaan Instagramiin. Ihan sama pätee monen suomalaisen arkeen: viattomalta tuntuvat lomakuvat reaaliajassa kertovat koko internetille, ettet ole kotona. Metatietoa kertyy aina, mutta sitä huomaa harvoin itse."

— Sam, Geardom, maanpuolustusaktiivi

Helpoin korjaus: jaa lomakuvat vasta kun olet palannut kotiin. Hetken viive ei vie kuvilta mitään, mutta mahdolliselta tunkeutujalta se vie aikaikkunan.

4. Tunnistautumiskysymyksiin sopivat henkilötiedot

"Äitisi tyttönimi", "ensimmäisen lemmikkisi nimi" ja "kadun nimi, jolla varttuit" ovat kysymyksiä, joita palveluntarjoajat käyttävät tunnistukseen. Sama tieto löytyy monesti Facebookin syntymäpäiväonnitteluista, lapsuuskuvien kuvateksteistä ja LinkedInin profiilihistoriasta. Hyökkääjälle riittää julkinen profiil, jossa tietoa on jaettu liian löysin rantein.

Jos palvelu pakottaa sinut vastaamaan turvakysymykseen, anna keksitty vastaus ja tallenna se salasanahallintaohjelmaan. Oikea vastaus on yhtä kuin julkinen tieto, eikä sen suojaan voi ikinä luottaa 100%.

5. Sama salasana useassa palvelussa

Yksi tietovuoto johonkin pieneen palveluun, ja tietomurtolista päätyy verkkoon. Sieltä rikolliset kokeilevat samaa sähköposti–salasana-yhdistelmää automaattisesti satoihin tunnetuimpiin palveluihin: pankkeihin, sähköposteihin, somekanaviin. Tätä kutsutaan credential stuffingiksi, ja se on yksi yleisimmistä syistä, miksi tavallisen käyttäjän tilejä kaapataan.

Yksi vahva salasana per palvelu on ainoa kestävä ratkaisu. Yksityiskohtaisempi opas löytyy Vahva salasana 2026 artikkelista, jossa käydään läpi salasanahallintaohjelmat ja kaksivaiheinen tunnistus.

6. Julkinen wifi ilman VPN:ää

Kahvilan, hotellin tai lentokentän avoin wifi-verkko on tilanne, jossa et tiedä, kuka verkkoa hallitsee tai kuka muu on siinä kiinni. Vaikka selain käyttää nykyään lähes aina salattua https-yhteyttä, kaikki liikenne ei ole salattua: vanhentuneet sovellukset, sähköpostiohjelmat ja jotkin pelialustat lähettävät tietoa edelleen avoimena.

Lyhyt nyrkkisääntö: jos asioit pankissa, lähetät arkaluonteisia sähköposteja tai kirjaudut sisään tärkeisiin palveluihin, käytä joko mobiilidatayhteyttä tai VPN-palvelua. Ilmaiset VPN-palvelut myyvät yleensä käyttäjätietoja eteenpäin, joten valitse maksullinen ja maineikas vaihtoehto.

7. Linkit ja liitteet ilman tarkistusta

Kalasteluviestit ovat nykyään huomattavasti vakuuttavampia kuin viisi vuotta sitten. Tekoälyllä tuotetut suomenkieliset viestit eivät enää sisällä kömpelöitä käännösvirheitä, ja huijaussivut näyttävät yhtä uskottavilta kuin oikeiden pankkien sivut. Sähköpostien, tekstiviestien ja jopa WhatsApp-viestien linkkien klikkaaminen ilman tarkistusta on yksi nopeimmista tavoista menettää tilinsä.

Tunnusmerkit kannattaa opetella. Lähettäjän koko sähköpostiosoite, linkin todellinen osoite ja viestin kieli paljastavat useimmat huijaukset. Kalasteluviestin tunnistaminen opas käy ne läpi yksitellen.

5 minuutin OPSEC-tarkistuslista

Tee nämä tällä viikolla, niin olet edellä useimpia suomalaisia:

  1. Käy läpi sosiaalisen median profiilisi. Mitä vieras näkee, joka ei tunne sinua? Onko siellä koulun nimi, kotikadun kuva tai lapsesi lukukauden alkupäivä?

  2. Vaihda kolme tärkeintä salasanaa — pankki, sähköposti, pääsosiaalinen media — jos käytät niissä samaa tai samankaltaista salasanaa.

  3. Ota kaksivaiheinen tunnistus käyttöön ainakin sähköpostissa ja pankissa.

  4. Tarkista puhelimen kamera-asetuksista sijaintitietojen tallennus.

  5. Käy läpi yksityisyysasetukset. Some-tilien näkyvyysrajat eivät päivity itse — säädä ne kerran vuodessa.

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus ylläpitää myös Arjen tietoturva sivustoa, johon kannattaa palata aika ajoin.

OPSEC ei tarkoita vainoharhaisuutta tai sosiaalisesta mediasta luopumista. Se tarkoittaa, että ymmärrät, mitkä palaset paljastavat mitä — ja päätät itse, mitä laitat näkyville.

Lue myös

AI-kameravalvonta — mitä koneoppiminen tuo yrityksen valvontaan?
Tietoturva

AI-kameravalvonta — mitä koneoppiminen tuo yrityksen valvontaan?

Perinteinen valvontakamera tallentaa kaiken, mutta ei ymmärrä mitään. Kun jotain tapahtuu, edessä on tuntikausia tallennetta selattavaksi – ja liiketunnistus hälyttää yhtä lailla m

W
Tietoturva

Vahva salasana 2026: miksi 'Kesa2026!' murtuu sekunneissa

Vahvan salasanan luominen on vuonna 2026 eri pelilauta kuin 2015. Näin teet salasanan joka kestää, ja miksi pituus voittaa monimutkaisuuden.

W
Tietoturva

Kalasteluviesti: 8 tunnusmerkkiä joilla paljastat huijauksen

Kalasteluviestit ovat yhä taidokkaampia, mutta lähes kaikista löytyy kaavaisia virheitä. Näin suojaat itsesi ja tilisi, tarkistuslista ja oikeita esimerkkejä.