Blogi

Yrityksen tietoturvan perustukset kuntoon: näillä vinkeillä onnistut

Sanna Ylivainio / Frendy

Käsitteletkö työssäsi arkaluonteista materiaalia, ja haluat säilyttää ne ulkopuolisten ulottumattomissa? Monissa yrityksissä on viime aikoina kannettu huolta tietoturvan riittävyydestä: pystyykö yrityksen nykyinen tietoturva suojaamaan asiakastietokannat, henkilörekisterit ja muut luottamukselliset tiedot?

Mitä arkaluonteisempaa materiaalia yrityksessä käsitellään, sitä enemmän tietoturvan yksityiskohtiin kannattaa kiinnittää huomiota. Onneksi kuitenkin jo ihan perusasioiden kuntoon laittaminen auttaa nukkumaan yöt huolettomammin.

Tähän blogitekstiin olemme keränneet yrityksille muistilistan asioista, jotka kannattaa hoitaa tietoturvassa kuntoon. Osan palveluista saat meiltä Frendyltä, osassa voit kääntyä ohjelmistopalvelutarjoajien puoleen. Lisäksi voit itse tietokoneen käyttäjänä omilla toimillasi vaikuttaa siihen, että yrityksen tietoturva pysyy hyvällä tasolla.

Työvälineiden tietoturvallisuus

Työntekijät käyttävät yrityksen järjestelmiin yhteydessä olevia laitteita niin toimistolla kuin toimiston ulkopuolellakin. Etenkin korona-aikana etätyö on lisääntynyt, ja on hyvä pitää mielessä, että koti ei ympäristönä ole yhtään sen tietoturvallisempi kuin toimistokaan. Etätyössä käytettävien laitteiden suojausta ei siis sovi unohtaa.

Käytettiin laitteita sitten toimistolla tai kotoa käsin,  on tärkeä huolehtia seuraavista asioista:

  • Käytetty laite on suojattu käyttäjätunnuksella ja salasanalla
  • Laitteen virustorjunta on ajan tasalla
  • Laitteen päivitykset ovat ajan tasalla
  • Ulkopuolisten pääsyä tietokoneelle kannattaa välttää. Työlaitteet kannattaa siis pitää vain omassa käytössä eikä antaa perheenjäsenten tai kavereiden käyttää niitä.

Luonnollisesti on tärkeää pitää hyvää huolta työn tekoon käytettävästä laitteista. Jos laite varastetaan, sen suojaaminen pitkällä ja vaikeasti arvattavalla salasanalla toimii ensimmäisenä esteenä luottamuksellisen tiedon kimppuun pääsylle.

Mikäli yrityksessä käsitellään hyvin arkaluonteisia tietoja (esim. terveystiedot), tiedon kryptaaminen on suositeltavaa. Mikäli verkkorikollinen pääsee järjestelmiin käsiksi, hän tarvitsee pitkän kryptausavaimen pystyäkseen lukemaan kryptatut tiedot. Toki kryptattu tietokin on mahdollista murtaa, mutta sen murtaminen vaatii verkkorikolliselta huomattavasti enemmän vaivaa verrattuna suoraan lukukelpoisiin tiedostoihin. Tilanteissa, joissa rikollinen saa käsiinsä työntekijän käyttäjätunnuksen ja salasanan ei kryptauksestakaan ole apua.

Kirjautuminen järjestelmiin

Kirjautuminen on ensimmäinen vaihe, missä verkkorikollisen on mahdollista päästä käsiksi yrityksen luottamukselliseen tietoon. On tärkeää muistuttaa työntekijöitä siitä, että heidän eri järjestelmiin käyttämiensä salasanojen täytyy olla riittävän pitkiä ja vaikeasti arvattavia. Jos salasana sisältää erikoismerkkejä, numeroita sekä isoja ja pieniä kirjaimia eikä se muodosta mitään helposti arvattavaa sanaa, salasana on riittävän vahva. On myös hyvä pitää mielessä, että samoja salasanoja ei kannata käyttää työnteossa käytettäviin järjestelmiin ja vaikkapa sosiaalisen median tileihin.

Hyvän salasanan ominaisuuksia

  • Salasana on riittävän pitkä (ei alle 8 merkkiä)
  • Salasana sisältää isoja ja pieniä kirjaimia, numeroita sekä erikoismerkkejä
  • Samaa salasanaa ei käytetä useissa paikoissa

Myös salasanan säilyttämiseen kannattaa kiinnittää huomiota. Jos järjestelmä on hyvin suojattu, mutta salasanoja säilytetään tekstidokumentissa omalla työasemalla, verkkorikollinen voi päästä niihin käsiksi. Salasanojen hallintaan on olemassa erillisiä ohjelmistoja, jotka auttavat salasanojen hallinnassa ja tietoturvan ylläpitämisessä.

Parhaimman suojan luottamuksellisille tiedoilleen saa ottamalla käyttöön kaksivaiheisen eli vahvan tunnistautumisen. Kaksivaiheisessa tunnistautumisessa järjestelmä pyytää ensin käyttäjätunnuksen ja salasanan, minkä jälkeen tunnistautumiseen käytetään vielä jotain muuta menetelmää (esim. pankkien omat aplikaatiot tai puhelimeen tuleva numerosarja).

Microsoftilla on tarjolla järjestelmä, jonka avulla on mahdollista kirjautua yhdellä kirjautumisella yrityksen muihinkin järjestelmiin (ns. Single Sign On). Microsoft 365:ssä on mahdollista ottaa käyttöön kaksivaiheinen tunnistautuminen, jolloin yhdellä kaksivaiheisella kirjautumisella työntekijät pääsevät käsiksi muihinkin yrityksen järjestelmiin. Tämä vaatii kuitenkin sen, että myös muut yrityksen käytössä olevat ohjelmistot mahdollistavat tällaisen kertakirjautumisen.

Ohjelmistotaso

Yrityksissä on käytössä lukuisia ohjelmistoja, joita käytetään erilaisiin tarkoituksiin. Ohjelmistoyritykset ovat vastuussa tarjoamansa ohjelmiston tietoturvasta. Yritykset voivat kuitenkin omilla toimillaan vaikuttaa käytössään olevien ohjelmistojen tietoturvaan esim. päivittämällä uusimmat ohjelmistoversiot viipymättä. Kun tietokone tai muu laite ilmoittaa tarjolla olevasta päivityksestä, se kannattaa asentaa viipymättä. Päivityksissä on usein korjattu havaittuja tietoturvauhkia, joten vanhan ohjelmistoversion käyttö voi antaa verkkorikolliselle mahdollisuuden päästä käsiksi luottamuksellisiin tietoihin.

Verkko- ja palvelintaso

Verkon ja palvelinten suojaamiseen kannattaa käyttää asiantuntija-apua. Frendyn kautta saat niin tietoturvalliset lähiverkkopalvelut kuin palvelinratkaisutkin. Kuitenkin myös verkko- ja palvelinmaailmaan liittyy asioita, joihin yrityksen työntekijöiden on verkkoja käyttäessään hyvä kiinnittää huomiota:

Monilla toimistoilla on käytössään lähiverkko, johon pääsee vain käyttäjätunnuksella ja salasanalla. Lähiverkko on muutenkin suojattu tietoturvauhilta. Etätyö on kuitenkin viime aikoina lisääntynyt ja työtä tehdään muuallakin kuin toimistoilla. Etätyötä tehdessään työntekijän kannattaa avata suojattu VPN-yhteys käyttämiensä laitteiden ja yrityksen lähiverkon välille. Näin työntekijä pystyy hyödyntämään tietoturvallisesti yrityksen järjestelmiä ja tiedostoja myös etätyötä tehdessään.

Avoimien langattomien verkkojen (WLAN) käyttöä kannattaa välttää. Vaikka suurin osa niistä on täysin turvallisia, mukana voi olla haitallisia ja rikolliseen hyödyn tavoitteluun luotuja avoimia langattomia verkkoja (WLAN). On mm. mahdollista, että hakkeri pyrkii avoimen langattoman verkon kautta pääsemään käsiksi käyttäjän tietokoneen tiedostoihin tai selvittämään hänen käyttämiään salasanoja. Internet-yhteyden jakaminen omasta puhelimesta on tietoturvallisempi vaihtoehto kuin avoimen langattoman verkon hyödyntäminen.

Laitetunnusten säilyttämisessä on oltava aina tarkkana, mutta erityisen tarkkana kannattaa olla palvelinhallinnan tunnusten säilyttämisessä. Mikäli jollain yrityksen työntekijällä on palvelinhallinnan tunnukset, on tärkeää varmistaa, että hän ei säilytä niitä työaseman tekstitiedostossa. Salasanojen hallintaan käytettävä ohjelmisto on hyvä ratkaisu tunnusten säilyttämiseen.

Tunkeutumisenesto

Verkkorikolliset toimivat salassa, ja heidän järjestelmiin tekemiään murtoyrityksiä on mahdoton huomata oman arjen keskellä. On kuitenkin olemassa teknisiä tapoja, joilla voidaan estää tunkeutumisia järjestelmiin.

Esimerkiksi Windowsiin on mahdollista saada ominaisuus, joka huomaa, mikäli käyttöjärjestelmään yritetään kirjautua liian monta kertaa väärällä salasanalla. Liian monen väärän kirjautumisyrityksen jälkeen järjestelmä estää kirjautumisen. Microsoftilla taas on mahdollista määritellä, mistä maasta tai millä laitteella järjestelmiin on mahdollista kirjautua. Näistä määrityksistä poikkeavat sisäänpääsy-yritykset estävät kirjautumisen kokonaan.

Tietojen varmuuskopioinnin merkitys

Tietoturvan kannalta yksi merkittävimmistä palveluista on varmuuskopiointi.  Mikäli verkkorikollinen pääsee käsiksi yrityksen tietoihin, hän yleensä salakirjoittaa eli kryptaa yrityksen tiedot ja vaatii rahaa siitä, että antaa yritykselle tietojen avaamiseen vaadittavan kryptausavaimen. Mikäli tiedot on varmuuskopioitu, tiedot ovat edelleen tallessa ja palautettavissa näistä kopioista.  

Viestintäsovellusten tietoturva

Tietoturvan kannalta olennaista on myös käytettyjen sähköpostipalveluiden ja tiimityösovellusten/etäyhteyssovellusten tietoturva.

Etenkin luottamuksellisen tiedon lähettämiseen suosittelemme salattua sähköpostia. Tavallisen sähköpostin käyttö luottamuksellisen tiedon lähettämisessä on tietoturvariski, koska tavallinen sähköposti on tietoturvahyökkäyksille altis viestintäväline. Tavallista sähköpostia voi ajatella postikorttina, sillä siinä olevan viestin pystyy lukemaan kuka tahansa, joka “kortin” saa käsiinsä. Sen sijaan salattu sähköposti toimii kirjatun kirjeen tavoin. Sitä ei voi avata ilman asianmukaista tunnistautumista ja sen osoittamista, että viesti on tarkoitettu juuri vastaanottajalle.

Myös erilaisten etäyhteys- ja tiimityösovellusten tietoturvaan kannattaa kiinnittää huomiota, etenkin jos etäyhteyksiä hyödynnetään luottamukselliseen keskusteluun. Kannattaa kysyä omalta palveluntarjoajalta, miten etäyhteyden tietoturva on hoidettu.

Lopuksi

Mikään järjestelmä ei valitettavasti ole täysin varma, ja taitavat verkkorikolliset hakevat koko ajan uusia tapoja löytää porsaanreikiä kehittyneistäkin järjestelmistä. Mutta kuten edellä saimme lukea, on myös paljon asioita, mitä yrityksissä voidaan tehdä hyvin, ja pienentää näin todennäköisyyttä joutua verkkorikoksen uhriksi.

Me Frendyn joukot seisomme rinnallasi taistelussa tietoturvan puolesta. Tukimme aukot siellä, minne yrityksen omat toimet eivät yllä, ja autamme rakentamaan vankan suojauksen verkkohyökkäyksiä vastaan.