Valikko Sulje

Käsitteletkö työssäsi arkaluonteista materiaalia ja haluatko, että tietoturvasi on riittävän vahva suojaamaan arvokkaat tietosi? Psykoterapiakeskus Vastaamon tietovuodon takia monissa yrityksissä on oltu huolissaan siitä, riittääkö oman yrityksen tietoturva suojaamaan yrityksen keräämät asiakastietokannat, henkilörekisterit ja muut luottamukselliset tiedot.

Mitä arkaluonteisempaa materiaalia yrityksessä käsitellään, sitä enemmän tietoturvan yksityiskohtiin kannattaa kiinnittää huomiota. Kuitenkin jo perusasioiden kuntoon laittaminen auttaa nukkumaan yönsä paremmin.

Olemme keränneet yrityksille muistilistan asioista, jotka kannattaa hoitaa tietoturvassa kuntoon. Osan palveluista saat Solutosta, osassa voit kääntyä ohjelmistopalvelutarjoajien puoleen. Lisäksi jokaisen tietokoneen käyttäjän omilla toimilla on iso vaikutus siihen, että yrityksen tietoturva pysyy hyvällä tasolla.

Käytettävien laitteiden tietoturva

Työntekijät käyttävät yrityksen järjestelmiin yhteydessä olevia laitteita niin toimistolla kuin toimiston ulkopuolellakin. Etenkin korona-aikaan etätyö on lisääntynyt. Kotona käytettävien laitteiden tietoturvaan on tärkeä kiinnittää yhtä paljon huomiota kuin toimistolla käytettävien laitteiden tietoturvaan.

Käytettiin laitteita sitten toimistolla tai kotoa käsin,  on tärkeä huolehtia seuraavista asioista:

  • Käytetty laite on suojattu käyttäjätunnuksella ja salasanalla
  • Laitteen virustorjunta on ajan tasalla
  • Laitteen päivitykset ovat ajan tasalla
  • Ulkopuolisten pääsyä tietokoneelle kannattaa välttää. Eli työlaitteet kannattaa pitää vain omassa käytössä eikä antaa perheenjäsenten tai kavereiden käyttää yrityksen työvälineitä

Luonnollisesti on tärkeää pitää hyvää huolta laitteista, joita käyttää työssä. Jos laite varastetaan, sen suojaaminen pitkällä ja vaikeasti arvattavalla salasanalla on ensimmäinen este luottamuksellisen tiedon kimppuun pääsyssä.

Mikäli yrityksessä käsitellään hyvin arkaluonteisia tietoja (esim. terveystiedot), tiedon kryptaaminen on suositeltavaa. Mikäli verkkorikollinen pääsee järjestelmiin käsiksi, hän tarvitsee pitkän kryptausavaimen, jotta pystyy lukemaan kryptatut tiedot. Toki kryptattukin tieto on mahdollista murtaa, mutta kryptattujen tietojen murtaminen vaatii verkkorikolliselta huomattavasti enemmän vaivaa kuin jos hän saa eteensä suoraan lukukelpoisia tiedostoja. Kryptaus ei kuitenkaan auta silloin, jos rikollinen saa käsiinsä työntekijän käyttäjätunnuksen ja salasanan.

Kirjautuminen järjestelmiin

Ensimmäinen vaihe, missä verkkorikollisen on mahdollista päästä käsiksi yrityksen luottamukselliseen tietoon, on kirjautumisvaihe. On tärkeää, että työntekijöitä muistutetaan siitä, että heidän eri järjestelmiin käyttämiensä salasanojen täytyy olla riittävän pitkiä ja vaikeasti arvattavia. Jos salasana sisältää erikoismerkkejä, numeroita sekä isoja ja pieniä kirjaimia eikä salasana muodosta mitään helposti arvattavaa sanaa, salasana on riittävän vahva. On myös tärkeää, että työntekijä ei käytä samoja salasanoja työssä käyttämiinsä järjestelmiin ja vaikkapa sosiaalisen median tileihinsä.

Hyvän salasanan ominaisuuksia

  • Salasana on riittävän pitkä (ei alle 8 merkkiä)
  • Salasana sisältää isoja ja pieniä kirjaimia, numeroita sekä erikoismerkkejä
  • Samaa salasanaa ei käytetä monessa paikassa

Myös salasanan säilyttämiseen kannattaa kiinnittää huomiota. Jos järjestelmä on hyvin suojattu, mutta salasanoja säilytetään tekstidokumentissa omalla työasemalla, verkkorikollinen voi päästä käsiksi salasanoihin. Salasanojen hallintaan on olemassa erillisiä ohjelmistoja, jotka auttavat käyttäjiä salasanojen hallinnassa ja tietoturvan ylläpitämisessä.

Parhaimman suojan luottamuksellisille tiedoilleen saa ottamalla käyttöön kaksivaiheisen eli vahvan tunnistautumisen. Kaksivaiheisessa tunnistautumisessa järjestelmä pyytää ensin käyttäjätunnuksen ja salasanan, minkä jälkeen tunnistautumiseen käytetään vielä jotain muuta menetelmää (esim. pankkien omat aplikaatiot tai puhelimeen tuleva numerosarja).

Microsoftilla on tarjolla järjestelmä, jonka avulla on mahdollista kirjautua yhdellä kirjautumisella yrityksen muihinkin järjestelmiin (ns. Single Sign On). Microsoft 365:ssä on mahdollista ottaa käyttöön kaksivaiheinen tunnistautuminen, jolloin yhdellä kaksivaiheisella kirjautumisella työntekijät pääsevät käsiksi muihinkin yrityksen järjestelmiin. Tämä vaatii kuitenkin sen, että myös muut yrityksen käytössä olevat ohjelmistot mahdollistavat tällaisen kertakirjautumisen. Asia kannattaa tarkistaa itse suoraan ohjelmistotoimittajalta tai pyytää Solutoa tekemään tarkistus puolestanne.

Ohjelmistotaso

Yrityksissä on käytössä lukuisia ohjelmistoja, joita käytetään erilaisiin tarkoituksiin. Ohjelmistoyritykset ovat vastuussa tarjoamansa ohjelmiston tietoturvasta. Yritykset voivat kuitenkin omilla toimillaan vaikuttaa käytössään olevien ohjelmistojen tietoturvaan esim. päivittämällä uusimmat ohjelmistoversiot viipymättä. Kun tietokone tai muu laite ilmoittaa tarjolla olevasta päivityksestä, se kannattaa asentaa viipymättä. Päivityksissä on usein korjattu havaittuja tietoturvauhkia, joten vanhan ohjelmistoversion käyttö voi antaa verkkorikolliselle mahdollisuuden päästä käsiksi yrityksen luottamuksellisiin tietoihin.

Verkko- ja palvelintaso

Verkon ja palvelinten suojaamiseen kannattaa käyttää asiantuntija-apua. Solutosta saat niin tietoturvalliset lähiverkkopalvelut kuin palvelinratkaisutkin. Kuitenkin myös verkko- ja palvelinratkaisuihin liittyy asioita, joihin yrityksen työntekijöiden on hyvä kiinnittää huomiota.

Monilla toimistoilla on käytössään lähiverkko, johon pääsee vain käyttäjätunnuksella ja salasanalla. Lähiverkko on muutenkin suojattu tietoturvauhilta. Etätyö on kuitenkin viime aikoina lisääntynyt ja työtä tehdään muuallakin kuin toimistoilla. Etätyötä tehdessään työntekijän kannattaa avata suojattu VPN-yhteys käyttämiensä laitteiden ja yrityksen lähiverkon välille. Näin työntekijä pystyy hyödyntämään tietoturvallisesti yrityksen järjestelmiä ja tiedostoja myös etätyötä tehdessään.

Avoimien langattomien verkkojen (WLAN) käyttöä kannattaa välttää. Vaikka suurin osa avoimista verkoista on täysin turvallisia, mukana voi olla haitallisia ja rikolliseen hyödyn tavoitteluun luotuja avoimia langattomia verkkoja (WLAN). On mm. mahdollista, että hakkeri pyrkii avoimen langattoman verkon kautta pääsemään käsiksi käyttäjän tietokoneella oleviin tietoihin tai selvittämään hänen käyttämiään salasanoja. Internet-yhteyden jakaminen omasta puhelimesta on tietoturvallisempi vaihtoehto kuin avoimen langattoman verkon hyödyntäminen. Näin käyttäjä tietää, millaista verkkoyhteyttä käyttää. Laitetunnusten säilyttämisessä on oltava aina tarkkana, mutta erityisen tarkkana kannattaa olla palvelinhallinnan tunnusten säilyttämisessä. Mikäli jollain yrityksen työntekijällä on palvelinhallinnan tunnukset, on varmistettava, että hän ei säilytä niitä työaseman tekstitiedostossa. Salasanojen hallintaan käytettävä ohjelmisto on hyvä ratkaisu palvelinhallinnan tunnusten säilyttämiseen.

Tunkeutumisenesto

Verkkorikolliset toimivat salassa ja heidän järjestelmiin tekemiään murtoyrityksiä on mahdoton huomata oman arjen keskellä. On kuitenkin olemassa teknisiä tapoja, joilla voidaan estää tunkeutumisia järjestelmiin.

Esimerkiksi Windowsiin on mahdollista saada ominaisuus, joka huomaa, mikäli käyttöjärjestelmään yritetään kirjautua liian monta kertaa väärällä salasanalla. Liian monen väärän kirjautumisyrityksen jälkeen järjestelmä estää kirjautumisen. Microsoftilla taas on mahdollista määritellä, mistä maasta tai millä laitteella järjestelmiin on mahdollista kirjautua. Poikkeamat näistä määrityksistä estävät kirjautumisen kokonaan.

Tietojen varmuuskopiointi

Tietoturvan kannalta yksi merkittävimmistä palveluista on varmuuskopiointi.  Mikäli verkkorikollinen pääsee käsiksi yrityksen tietoihin, hän yleensä salakirjoittaa eli kryptaa yrityksen tiedot ja vaatii rahaa siitä, että antaa yritykselle tietojen avaamiseen vaadittavan kryptausavaimen. Mikäli tiedot on varmuuskopioitu, tiedot ovat edelleen tallessa näissä varmuuskopioissa.  

Viestintäsovellusten tietoturva

Tietoturvan kannalta olennaista on myös käytettyjen sähköpostipalveluiden ja tiimityösovellusten/etäyhteyssovellusten tietoturva.

Etenkin luottamuksellisen tiedon lähettämiseen suosittelemme salattua sähköpostia. Tavallisen sähköpostin käyttö luottamuksellisen tiedon lähettämisessä on tietoturvariski, koska tavallinen sähköposti on tietoturvahyökkäyksille altis viestintäväline. Tavallista sähköpostia voi ajatella postikorttina, sillä siinä olevan viestin pystyy lukemaan kuka tahansa, joka “kortin” saa käsiinsä. Sen sijaan salattu sähköposti toimii kirjatun kirjeen tavoin. Salattua sähköpostia ei saa avattua ilman asianmukaista tunnistautumista ja sen osoittamista, että viesti on tarkoitettu juuri sinulle.

Myös erilaisten etäyhteys- ja tiimityösovellusten tietoturvaan kannattaa kiinnittää huomiota, etenkin jos hyödynnätte etäyhteyksiä luottamukselliseen keskusteluun. Kannattaa kysyä omalta palveluntarjoajalta, miten etäyhteyden tietoturva on hoidettu.

Soluto tarjoaa asiakkailleen Microsoftin etätyösovellus Teamsia. Teamsin tietoturvaan on panostettu paljon, kuten muidenkin Microsoftin tuotteiden tietoturvaan. Teamsin tietoturvaan voit tutustua tarkemmin tästä:

https://docs.microsoft.com/en-us/microsoftteams/teams-security-guide

 Lopuksi

Mikään järjestelmä ei valitettavasti ole täysin varma ja taitavat verkkorikolliset hakevat koko ajan uusia tapoja löytää porsaanreikiä hyvistäkin järjestelmistä. Mutta kuten Vastaamon tapaus opetti, on myös paljon asioita, mitä yrityksissä voidaan tehdä hyvin ja näin pienentää todennäköisyyttä joutua verkkorikoksen uhriksi. Voit myös kääntyä Soluton puoleen tietoturvaan liittyvissä kysymyksissäsi, autamme kaikin mahdollisin tavoin.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *