[Teema] "Ei koske meitä" -strategia ei toimi

Tietoturvauhkat koskevat PK-yrityksiä siinä missä suuria monikansallisia yrityksiäkin. Vaikka yrityksen tavallinen arki vie mehuja työntekijöistä, “ei koske meitä" -strategia ei kannata. Yksinkertaisista perusasioista huolehtimalla pääsee jo yllättävän pitkälle.

Lokakuun teema on osa Euroopan kyberturvallisuuskuukautta, European Cyber Security Monthia. Teemassa keskitytään erityisesti yritysten ja organisaatioiden kyberturvallisuuteen.

Uhkia sisältä, uhkia ulkoa

Yritykseen kohdistuu uhkia sekä sisältä että ulkoa. Sisäinen uhka ei välttämättä tarkoita kilpailijan agenttia tai närkästynyttä työntekijää, joka varastaa tietoja. Uhkatekijä voi olla yksittäinenkin työntekijä, joka poistaa vahingossa väärän tiedoston, sammuttaa väärän palvelimen tai lähettää tietoja väärälle asiakkaalle.

Ulkoiset uhkat näkyvät selkeimmin sähköpostilaatikossa, jonne voi tipahtaa haittaohjelmia, tietojenkalasteluviestejä ja jopa yrityksen nimellä ja logolla varustettuja laskuja tai kiireellisiä maksupyyntöjä.

Uhkista tulee astetta teknisempiä, kun huomioon otetaan räjähdysmäisesti lisääntyneet kirityshaittaohjelmat, ransomwaret. Yleensä sähköpostien liitetiedostojen mukana yritykseen saapuvat "ransut" salakirjoittavat yritykselle oleelliset ja merkittävät tiedostot ja vaativat lunnaiden maksamista tiedostojen palauttamiseksi.

Miten suojautua?

Perusasioiden hoitamisella pääsee jo pitkälle.

Varmuuskopiot ovat olennaisen tärkeitä. Jos työntekijä poistaa tärkeitä tietoja tai kiristyshaittaohjelma iskee, tiedot voidaan palauttaa ja jatkaa toimintaa tavalliseen tapaan. Tietojen palauttamista pitää kuitenkin harjoitella, sillä on mahdollista että varmuuskopiot ovat syystä tai toisesta palautuskelvottomia. Pelkkä tietojen synkronoiminen toiseen paikkaan ei täytä kunnollisen varmuuskopioinnin kriteerejä. Jos joku sattuisi poistamaan tiedoston vahingossa, synkronointiohjelmakin voi poistaa sen salamannopeasti myös oletetuista varmuuskopioista.

Tietoturvapäivitykset tulisi asentaa heti niiden julkaisun jälkeen. Pahimmillaan järjestelmistä löytyy aukkoja, joiden avulla ulkopuolinen voi ottaa yrityksen tietokoneen haltuun, ilman että käyttäjä tekee mitään. Jos päivitykset ovat asentamatta, kaikki yrityksen tietokoneet voivat saastua jo muutamassa tunnissa.

Yrityksessä kannattaa yhteisesti sopia tavat, joilla luottamuksellisia tietoja käsitellään turvallisesti. Erityisesti sähköpostitse lähetettyihin maksumääräyksiin kannattaa suhtautua varauksella ja varmistaa ne esimerkiksi puhelimitse omalta esimieheltä tai yrityksen toimitusjohtajalta.

Yrityksen pitää myös tunnistaa tärkeät tietonsa ja järjestelmät, joilla se tietojaan käsittelee. Jokaisen tunnistetun kohteen suojaus tulisi suunnitella ja toteuttaa tapauskohtaisesti. Jos yrityksessä on tietoja, jotka eivät saa vuotaa tai palveluita, joiden on aina oltava käytettävissä, niiden suojaamiseen on kiinnitettävä erityistä huomiota - tarvittavine lisävarmistuksineen. Niin kutsuttujen kriittisten kohteiden tunnistamisessa ja suojausten mitoituksissa auttaa, jos vahinkojen ja menetysten määrää arvioi rahallisesti.

Kun jotain kuitenkin käy...

Kun kyse on tietoturvasta, on parempi varautua tilanteeseen, jossa jotain kuitenkin sattuu. Kevyt tapa on esimerkiksi käydä toimintatapoja läpi juttelemalla kollegoiden kanssa kahvihuoneessa.

Vakuutusyhtiöt myyvät myös tietoturva- ja kybervakuutuksia. Ne eivät suojaa hyökkäykseltä, mutta niistä on apua, kun vahinko on jo tapahtunut. Tällöin voi saada nopeasti tietoturva-asiantuntijan selvittämään tilannetta vakuutusyhtiön laskuun. Vakuutusyhtiöiltä voit saada myös apua yrityksen tietoturvatason parantamiseksi; onhan myös vakuutusyhtiön etu, että asiakkaille ei satu tietomurtoja. Huomiothan kuitenkin, että vakuutukset eivät yleensä korvaa tietojen menetyksestä johtuvia vahinkoja.

Menisinkö sittenkin pilveen?

Pilvipalvelut ovat houkutteleva ja nykyaikainen ratkaisu moneen. Jos asiaa tarkastelee tietoturvan kannalta, ratkaisut vaativat hieman uudenlaista ajattelua.

Suurten palveluntarjoajien pakettiratkaisut voivat olla jopa turvallisempia vaihtoehtoja kuin oman infrastruktuurin ylläpitäminen. Palveluntarjoajat käyttävät jatkuvasti paljon resursseja palvelunsa hyvän turvatason ylläpitämiseksi. Jos joku onnistuisi murtautumaan tällaiseen palveluun, vuodettu tietomäärä olisi niin valtava että pienen yrityksen tiedot hukkuisivat helposti joukkoon. Myös mainemielessä vahinko olisi pienempi, jos mediahuomiota saa suuri tietovuotomassa kuin yksittäinen yritys, jonka palvelut on murrettu.

Pilvipalveluissa on hyvä tiedostaa, että käytännössä omat tiedot sijaitsevat toisen tietokoneella, joten erittäin luottamuksellisia tietoja ei pilveen kannata tallentaa.

… ja ne salasanat

Vahvojen ja uniikkien salasanojen tai salalauseiden käyttö on tärkeää. Jos järjestelmän kirjautumistunnukset ovat helposti murrettavissa, hyökkääjän ei tarvitse lähetellä kalasteluposteja tai hyödyntää haavoittuvuuksia, vaan hän voi kirjautua järjestelmään aidoilla tunnuksilla.

Pilvipalveluissa salasanojen merkitys korostuu entisestään. Jos hyökkääjä saa korkeimman tason tunnukset haltuunsa, hän pystyy pyyhkimään koko yrityksen maailmankartalta. Kaksivaiheinen tunnistautuminen (multifactor authentication / 2FA) kannattaa ottaa käyttöön aina, jos vaihtoehto on tarjolla.

Myös pilvipalveluita käytettäessä on tärkeää, että varmuuskopiot ovat kunnossa ja niitä säilytetään sellaisessa paikassa, ettei niitä pysty tuhoamaan pilvipalvelun kautta.


Lokakuu on Euroopan kyberturvallisuuskuukausi, joka alkoi jo 2. - 6.10. Julkishallinnon digitaalisen turvallisuuden teemaviikolla, johon myös Viestintävirasto osallistui. Materiaalit ja videot saat täältä.

Lisätietoja

Päivityshistoria

Asiasanat: Tietoturva , Kyberturvallisuus , Riskienhallinta , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248