Valikko Sulje

Yrityksen tietoturvan perusasiat kuntoon

Käsitteletkö työssäsi arkaluonteista materiaalia ja haluatko, että tietoturvasi on riittävän vahva suojaamaan arvokkaat tietosi? Psykoterapiakeskus Vastaamon tietovuodon takia monissa yrityksissä on oltu huolissaan siitä, riittääkö oman yrityksen tietoturva suojaamaan yrityksen keräämät asiakastietokannat, henkilörekisterit ja muut luottamukselliset tiedot.

Mitä arkaluonteisempaa materiaalia yrityksessä käsitellään, sitä enemmän tietoturvan yksityiskohtiin kannattaa kiinnittää huomiota. Kuitenkin jo perusasioiden kuntoon laittaminen auttaa nukkumaan yönsä paremmin.

Olemme keränneet muistilistan yrityksille asioista, jotka kannattaa hoitaa tietoturvassa kuntoon. Osan palveluista saat Solutosta, mutta osassa voit kääntyä ohjelmistopalvelutarjoajien puoleen. Lisäksi jokaisen tietokoneen käyttäjän omilla toimilla on iso vaikutus siihen, miten yrityksen tietoturvasta pidetään huolta.

Käytettyjen laitteiden tietoturva

Yritysten työntekijät käyttävät yrityksen järjestelmiin yhteydessä olevia laitteita niin toimistolta käsin kuin toimiston ulkopuoleltakin. Etenkin korona-aikaan etätyö on lisääntynyt. Kotona käytettävien laitteiden tietoturvaan on tärkeä kiinnittää yhtä paljon huomiota kuin toimistolla käytettävien laitteiden tietoturvaan.

Sekä toimistolla että kotona käytettävien laitteiden osalta on tärkeä huolehtia seuraavista asioista:

  • Käytetty laite on suojattu käyttäjätunnuksella ja salasanalla
  • Laitteen virustorjunta on ajan tasalla
  • Laitteen päivitykset ovat ajan tasalla
  • Ulkopuolisten pääsyä tietokoneelle kannattaa välttää. Eli työlaitteet kannattaa pitää vain omassa käytössä eikä antaa perheenjäsenten tai kavereiden käyttää yrityksen työvälineitä

Luonnollisesti on tärkeää pitää hyvää huolta laitteista, joita käyttää työssä. Jos laite varastetaan, sen suojaaminen pitkällä ja vaikeasti arvattavalla salasanalla on ensimmäinen este luottamuksellisen tiedon kimppuun pääsyssä.

Mikäli käsittelee työssään hyvin arkaluonteisia tietoja (esim. terveystiedot), tieto olisi suositeltavaa olla tietokoneella kryptattuna. Mikäli verkkorikollinen pääsee tietoon käsiksi, hän tarvitsee pitkän kryptausavaimen, jotta pystyy lukemaan tiedot. Toki kryptattukin tieto on mahdollista murtaa, mutta vaatii verkkorikolliselta huomattavan paljon enemmän vaivaa murtaa kryptaus kuin saada eteensä suoraan lukukelpoisia tiedostoja. Kryptaus ei myöskään auta silloin, jos rikollinen saa käsiinsä henkilön käyttäjätunnuksen ja salasanan.

Kirjautuminen järjestelmiin

Ensimmäinen vaihe, missä verkkorikollisen on mahdollista päästä käsiksi yrityksen luottamukselliseen tietoon, on kirjautumisvaihe. On tärkeää, että yrityksissä muistutetaan työntekijöitä siitä, että heidän eri järjestelmiin käyttämänsä salasanojen täytyy olla riittävän pitkiä ja vaikeasti arvattavia. Jos salasana sisältää erikoismerkkejä, numeroita, isoja ja pieniä kirjaimia eikä muodosta mitään helposti arvattavaa sanaa, salasana on riittävän vahva. On myös tärkeää, että työntekijä ei käytä samoja salasanoja esim. työssä käyttämäänsä järjestelmään ja vaikkapa sosiaalisen median tileihinsä.

Hyvän salasanan ominaisuuksia

  • Salasana on riittävän pitkä (ei alle 8 merkkiä)
  • Salasana sisältää isoja ja pieniä kirjaimia, numeroita sekä erikoismerkkejä
  • Samaa salasanaa ei käytetä monessa paikassa

Myös salasanan säilyttämiseen kannattaa kiinnittää huomiota. Jos järjestelmä on hyvin suojattu, mutta salasanoja säilytetään tekstidokumentissa omalla työasemalla, verkkorikollinen voi päästä käsiksi salasanoihin. Salasanojen hallintaan on olemassa erillisiä ohjelmistoja, jotka auttavat käyttäjiä salasanojen hallinnassa ja tietoturvan ylläpitämisessä.

Parhaimman suojan luottamuksellisille tiedoilleen saa ottamalla käyttöön kaksivaiheisen eli vahvan tunnistautumisen. Kaksivaiheisessa tunnistautumisessa järjestelmä pyytää ensin käyttäjätunnuksen ja salasanan, minkä jälkeen tunnistautumiseen käytetään vielä jotain muuta menetelmää (esim. pankkien omat aplikaatiot tai puhelimeen tuleva numerosarja).

On myös mahdollista esim. Microsoftin järjestelmän avulla kirjautua yhdellä kirjautumisella yrityksen muihinkin järjestelmiin (ns. Single Sign On). Microsoft 365:ssä on mahdollista ottaa käyttöön kaksivaiheinen tunnistautuminen, jolloin yhdellä kaksivaiheisella kirjautumisella työntekijät pääsevät käsiksi muihinkin yrityksen järjestelmiin. Tämä vaatii kuitenkin sen, että myös muut yrityksen käytössä olevat ohjelmistot mahdollistavat tällaisen kertakirjautumisen. Asia kannattaa tarkistaa itse suoraan ohjelmistotoimittajalta tai pyytää Solutoa tekemään tarkistus puolestanne.

Ohjelmistotaso

Yrityksissä on käytössä lukuisia erilaisia ohjelmistoja, joita käytetään erilaisiin tarkoituksiin. Ohjelmistoyritykset ovat vastuussa tarjoamansa ohjelmiston tietoturvasta. Yritykset voivat kuitenkin omilla toimillaan vaikuttaa käytössään olevien ohjelmistojen tietoturvaan esim. päivittämällä uusimmat ohjelmistoversiot viipymättä. Eli silloin, kun kone tai muu laite ilmoittaa tarjolla olevasta päivityksestä, se kannattaa asentaa viipymättä. Päivityksissä on usein korjattu havaittuja tietoturvauhkia, joten vanhan ohjelmistoversion käyttö voi antaa verkkorikolliselle mahdollisuuden päästä käsiksi yrityksen luottamuksellisiin tietoihin.

Verkko- ja palvelintaso

Verkon ja palvelinten suojaamiseen kannattaa käyttää asiantuntija-apua. Palvelinten ja verkon tietoturvasta pidetään huolta monin tavoin palveluntarjoajien toimesta. Solutosta saat niin lähiverkkopalvelut kuin palvelinratkaisutkin. Kuitenkin myös verkko- ja palvelinratkaisuihin liittyy asioita, joita yrityksessä on hyvä miettiä.

Monilla toimistoilla on käytössään lähiverkko, johon pääsee vain käyttäjätunnuksella ja salasanalla ja verkko on muutenkin suojattu tietoturvauhilta. Etätyö on kuitenkin lisääntynyt etenkin tämän vuoden aikana ja työtä tehdään muuallakin kuin toimistoilla. Etätyötä tehdessä kannattaa avata suojattu VPN-yhteys työntekijän käyttämien laitteiden ja yrityksen lähiverkon välille. Näin myös etätyötä tehdessä pystyy hyödyntämään tietoturvallisesti yrityksen järjestelmiä ja tiedostoja.

Avoimien langattomien verkkojen (WLAN) käyttöä kannattaa välttää. Vaikka suurin osa avoimista verkoista on täysin turvallisia, mukana voi olla haitallisia ja rikolliseen hyödyn saamiseen luotuja avoimia langattomia verkkoja (WLAN). On mm. mahdollista, että hakkeri pyrkii avoimen langattoman verkon kautta pääsemään tietokoneellasi oleviin tietoihin tai selvittämään käyttämiäsi salasanoja sillä aikaa kun käytät avointa langatonta verkkoa.

Internet-yhteyden jakaminen omasta puhelimesta on tietoturvallisempi vaihtoehto kuin avoimen langattoman verkon hyödyntäminen. Näin tietää, mitä verkkoyhteyttä käyttää.

Kuten muidenkin laitetunnusten säilyttämisessä on oltava tarkkana, palvelinhallinnan tunnusten säilyttämisessä on oltava erityisen tarkkana. Eli mikäli jollain yrityksen työntekijällä on pääsy palvelinhallintaan, näiden tunnusten säilyttämisessä on oltava erityisen tarkkana, että niitä ei säilytetä työaseman tekstitiedostossa. Salasanojen hallintaan käytettävä ohjelmisto on tässäkin hyödyksi.

Tunkeutumisenesto

Verkkorikolliset toimivat salassa ja heidän murtoyrityksiään järjestelmiin on mahdoton huomata oman arjen keskellä. On kuitenkin teknisiä tapoja estää tunkeutumisia järjestelmiin.

Esimerkiksi Windowsiin on mahdollista saada ominaisuus, että mikäli käyttöjärjestelmään yritetään kirjautua liian monta kertaa väärällä salasanalla, kirjautuminen ei enää onnistu. Tai Microsoftilla on mahdollista määritellä, mistä maasta tai millä laitteella järjestelmiin on mahdollista kirjautua. Poikkeamat näistä määrityksistä estävät kirjautumisen kokonaan.

Tietojen varmuuskopiointi

Tietoturvan kannalta yksi merkittävimmistä palveluista on varmuuskopiointi.  Mikäli verkkorikollinen pääsee käsiksi yrityksen tietoihin, hän yleensä salakirjoittaa eli kryptaa yrityksen tiedot ja vaatii rahaa siitä, että antaa yritykselle tietojen avaamiseen vaadittavan kryptausavaimen. Mikäli tiedot on varmuuskopioitu, tiedot ovat edelleen tallessa näissä varmuuskopioissa.  

Viestintäsovellusten tietoturva

Tietoturvan kannalta on olennaista myös käytettyjen sähköpostipalveluiden ja tiimityösovellusten/etäyhteyssovellusten tietoturva.

Etenkin luottamuksellisen tiedon käsittelyyn suosittelemme salatun sähköpostin käyttöönottoa. Tavallisen sähköpostin käyttö luottamuksellisen tiedon lähettämisessä on tietoturvariski, koska tavallinen sähköposti on tietoturvahyökkäyksille altis viestintäväline. Tavallista sähköpostia voi ajatella postikorttina, siinä olevan viestin pystyy lukemaan kuka tahansa, joka kortin saa käsiinsä. Sen sijaan salattu sähköposti toimii kirjatun kirjeen tavoin, sitä ei saa käsiinsä ilman asianmukaista tunnistautumista ja sen osoittamista, että viesti on tarkoitettu juuri sinulle.

Myös erilaisten etäyhteyssovellusten tietoturvaan kannattaa kiinnittää huomiota, etenkin jos hyödynnätte etäyhteyksiä luottamukselliseen keskusteluun. Kannattaa kysyä omalta palveluntarjoajalta, miten etäyhteyden tietoturva on hoidettu.

Soluto tarjoaa asiakkailleen Microsoftin etätyösovellus Teamsia. Teamsin tietoturvaan on panostettu paljon, kuten muidenkin Microsoftin tuotteiden tietoturvaan. Voit tutustua Teamsin tietoturvaan tarkemmin tästä:

https://docs.microsoft.com/en-us/microsoftteams/teams-security-guide

 Lopuksi

Mikään järjestelmä ei valitettavasti ole täysin varma ja taitavat verkkorikolliset hakevat koko ajan uusia tapoja löytää porsaanreikiä hyvistäkin järjestelmistä. Mutta kuten Vastaamon tapaus opetti, on myös paljon asioita, mitä yrityksissä voidaan tehdä hyvin ja näin pienentää todennäköisyyttä joutua verkkorikoksen uhriksi. Voit myös kääntyä Soluton puoleen tietoturvaan liittyvissä kysymyksissäsi, autamme kaikin mahdollisin tavoin.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *