5 minute read
Yrityksen tietoturva huomioi nämä
Teksti: Mika Baggström
Kyberuhat ovat yleistyneet. Silti edelleen moni käyttäjä tai yritys ei piittaa yrityksen tietoturvasta ja kyberuhista. Kannattaisi, koska uhat ovat todellisuutta.
Advertisement
Verkkourkinta, joka tunnetaan myös termeillä phishing tai tietojenkalastelu, sekä haittaohjelmien hyökkäykset ovat tätä päivää. Myös palvelujenestohyökkäykset ovat kasvava ongelma.
Tässä artikkelissa kerron, mitä sinun tulee ottaa huomioon yrityksen tietoturvassa ja miten parantaa yrityksen tietoturvaa.
Miksi tämä on tärkeää?
Olet varmaan huomannut saman kuin minäkin. Mediassa on näkynyt uutisia yrityksistä, jotka ovat joutuneet kiristyshaittaohjelmahyökkäyksen tai tietomurron kohteiksi.
Eräässä tietomurrossa kymmenien tuhansien ihmisten luottamuksellisia tietoja joutui vääriin käsiin ja osaa heistä kiristettiin.
Yritys ryhtyi toimeen ulkopuolisten, riippumattomien tietoturvaasiantuntijoiden kanssa heti, kun tietomurto huomattiin. Se teki tapahtumasta ilmoitukset myös Suomen kyberturvallisuuskeskukselle, Valviralle ja tietoturvavaltuutetulle. Tällaisista kyberhyökkäyksistä tulee yrityksille huomattavan paljon haittaa. Pahimmillaan se voi johtaa jopa liiketoiminnan keskeytymiseen.
Tässä esimerkkitapauksessa tietomurron ja kiristyksen kohteeksi joutuneen yrityksen talous rasittui huomattavasti.
Tietomurron selvitystyö, yrityksen tietoturvan vahvistaminen sekä tuen ja hyvitysten tarjoaminen uhreille johtivat yrityksen taloudelliseen ahdinkoon, vaikka muuten asiakastyö ja liiketoiminta jatkuivat normaalisti.
Ja tämä on vain yksi esimerkki monista.
Sanomattakin on selvää, että kyseessä on iso maineriski. Luottamus on tärkein asia yrityksen asiakassuhteissa. Jos luottamus menetetään, sitä on vaikea saada takaisin.
Helsingin seudun kauppakamari teki vuonna 2019 tutkimuksen kyberturvallisuudesta. Sen mukaan yritysten mielestä kolme suurinta uhkaa ovat yksityisyyden, joko henkilökunnan tai asiakkaiden tietojen, loukkaus tuoton menetys (suora tai epäsuora) aineettoman omaisuuden menetys. Kuten huomaat, kyse ei ole mistään höpöhöpö-jutusta, vaan todellisesta, suuresta uhasta, joka on otettava vakavasti.
Myyntijohtaja Mika Baggström.
Mitä yrityksen tietoturva on?
Suomen Kyberturvallisuuskeskuksen mukaan tietoturva kattaa hallinnolliset ja tekniset toimet, joilla varmistetaan tiedon olevan luottamuksellista, eheää ja käytettävissä. Vain käyttöön oikeutetut henkilöt voivat siis käyttää, muokata ja hyödyntää tietoa.
Tiesitkö, että suomalaisista verkoista löytyy myös suojaamattomia automaatiolaitteita? Tällaisia automaatiolaitteita ovat automaation hallintajärjestelmät, erilaiset näyttöpaneelit ja kiinteistöjen hallintaan käytettävät järjestelmät.
Vuotuisessa kartoituksessa havaittiin myös verkkoon liitettyjä suojaamattomia IoT-laitteita, kuten kotireitittimet, laajakaistamodeemit, tulostimet ja verkkokamerat.
Etätyöpöytä- ja verkkoyhteyspalvelujen määrä kasvoi Suomessa etätyön yleistyessä koronapandemian vuoksi.
Kyberturvallisuustutkimuksessa paljastui suurimmat esteet tehokkaan tietoturvan toteuttamiselle.
Suurin syy oli piittaamattomuus tietoturvallisuudesta ja kyberuhista. Seuraavaksi suurin syy oli kyberuhkiin liittyvän tiedon riittämättömyys ja kolmanneksi nykyisen henkilökunnan tieto-taitojen ylläpitäminen kyberuhkien suhteen.
Mitä hyötyä hyvä yrityksen tietoturva tuo?
Hyvällä yrityksen tietoturvalla suojaat liiketoimintaasi. Ennaltaehkäiset tietojen kalastelua, jonka päämääränä voi olla tietojen käyttäminen rikollisten oman edun tavoitteluun esimerkiksi kiristyksiin.
Sillä suojaat yrityksesi aineetonta omaisuutta sekä henkilökuntasi, alihankkijoidesi ja asiakkaidesi tietoja sekä yrityksesi mainetta.
Näin ollen, jos et vielä ole ottanut yrityksen tietoturva-asioita vakavasti, nyt on sen aika. Herätys ja valot päälle!
Mistä tietoturva koostuu?
Yrityksen tietoturva koostuu kerroksista, jotka jakautuvat seuraavasti.
n 1. Palomuuri ja
Internet-yhteys
Palomuurin tehtävänä on tarkkailla verkkoliikennettä ja tarvittaessa suojata yrityksen verkkoyhteyttä ulkopuolisilta hyökkäyksiltä. Se on tietoturvan ensimmäinen kerros. suuteen tulee kiinnittää myös huomiota.
Aggressiiviset palvelunestohyökkäykset on yhä suurempi ongelma. Siinä yritetään tukkia yhteyden käyttö muilta. Liikenne voi olla peräisin bottiverkoista, joissa saastuneet tietokoneet on valjastettu luomaan suuria liikennevirtoja.
Tällaista hyökkäystä vastaan on vaikea puolustautua, joten siksi se on torjuttava Internet-palveluntarjoajan sisäverkossa ennen kuin hyökkäys saavuttaa kohteensa, joka voi olla vaikka yrityksen nettisivut.
Palvelunestohyökkäyssuoja kuuluu vakiona kaikkiin S1 Networksin Internet-yhteyksiimme, ainoana koko Suomessa.
n 2. Päätelaitteet ja niiden
suojaus
Tietoturvaa ei voi laskea käyttäjien varaan.
Käyttäjät, esimerkiksi yrityksen työntekijät ovat verkkouhkien mahdollistajia – tietämättään. He voivat tehdä esimerkiksi inhimillisen virheen tai joutua huomaamattaan verkkohyökkäyksen kohteeksi.
Nämä uhat ovat nopeasti muuttuvia ja kyberturvallisuuteen liittyviä riskejä tulee eteen jatkuvasti. Etätyö on yleistynyt, jolloin työntekijöillä ei ole yrityksen sisäverkon tuomaa turvaa.
Yritysten on ollut haastavaa varmistaa etätyöläisten turvallisuus nopealla aikataululla. Onkin tärkeää luoda päivittäisessä tekemisessä kyberturvallisuutta painottavaa yrityskulttuuria.
Päätelaitteet eli kannettavat tietokoneet, tabletit, puhelimet ja muut laitteet on suojattava asianmukaisilla virustorjuntaohjelmilla.
n 3. Tietojen varmistus ja
varmuuskopiointi
Varmuuskopioinnilla nimensä mukaisesti kopioit tiedot. Mikäli alkuperäinen tieto häviää, saat varmuuskopioinnin avulla palautettua tiedot itsellesi. Jos sinulla on arvokasta tietoa, jota tarvitset vaikkapa työssäsi, suorita varmuuskopiointi.
Näin parannat yrityksen tietoturvaa
Kun yrityksen tietoturvaa halutaan parantaa, voidaan se ajatella kolmena osa-alueena: tietoturvallisuuden johtaminen, uhkien tunnistaminen ja havainnointi sekä torjunta.
Onko yrityksessäsi kyberturvallisuussuunnitelmaa? Tiedätkö, miten tulee toimia, jos huomaatte tunkeutumisen järjestelmään?
49 % kyberturvallisuustutkimukseen vastanneilla yrityksillä ei ole tällaista suunnitelmaa.
Yrityksillä, joilla on kyberturvallisuussuunnitelma, ovat huomioineet siinä seuraavat asiat:
l tieto siitä, keneen olla yhteydessä, jos epäilee tunkeutumista l ohjeet, mitä pitää tehdä ensimmäisenä, jos epäilee tunkeutumista l päätelaite (esim. kannettava tie-
tokone) otetaan irti verkosta (otetaan yhteyskaapeli irti tai katkaistaan langaton yhteys) l tilanteen kuvaus l koneen jättäminen koskemattomaksi, jotta sitä voidaan tutkia l Print screen (näytön näkymä myöhempää selvittelyä varten)
Jos sinulla on automaatiolaitteita, etkä ole varma onko sitä suojattu, voit testata ensin mitä tietoja löydät järjestelmästä. Tarvittaessa ota yhteys laitteen myyjään tai valmistajaan, ohjeistaa Kyberturvallisuuskeskus.
n 1. Tee kyberturvallisuus-
suunnitelma – turvaudu asiantuntija-apuun
Kyberturvallisuus on aiheena laaja. Jos yrityksessänne ei ole tietoturva-asiantuntijaa, kannattaa kääntyä asiantuntija-apuun. Kyberuhat on syytä ottaa vakavasti.
EU:n tietosuoja-asetuksen myötä rekisterienpitäjien on suojattava aiempaa paremmin henkilökuntansa ja asiakkaidensa henkilötietoja.
Tietosuojan pitäisi olla jo kun-
nossa kaikissa organisaatioissa. Jos se ei jostain syystä ole, nyt on viimeistään aika laittaa se kuntoon yhdessä tietoturvan kanssa.
n 2. Monivaiheinen tunnistautuminen (MFA) Hakkereiden tavoitteena on saada käyttäjätilien tiedot haltuunsa. Siksi kannattaa siirtyä monivaiheiseen tunnistautumiseen käyttäjän varmentamiseksi.
n 3. VPN-yhteyden käyttö VPN-yhteys varmistaa yksityisen ja julkisen verkon turvallisuuden. Sen avulla henkilöt voivat lähettää ja vastaanottaa tietoa turvallisesti.
n 4. Työntekijöiden laitteiden suojaus Laitteissa oleva viruksentorjuntaohjelma torjuu useimmat uhat, mutta se ei ole täysin riittävä. EDRratkaisu havaitsee ja poistaa uhat hyödyntäen useita havaitsemismenetelmiä, automaatiota ja tekoälyä.
n 5. Langaton verkko eli wifi Avoimeen verkkoon eli wifiin voit yhdistää oman laitteesi ja sitten päästä sillä surffailemaan netissä. Etätyössä se voi kuitenkin olla turvallisuusriski.
Mikäli sitä kuitenkin täytyy käyttää, muista aina tarkistaa langattoman verkon oikea osoite ja käyttöehdot verkonhaltijan kuten kahvilan tai hotellin henkilökunnalta.
Käytä mieluummin sellaista avointa verkkoa, jonka käyttö edellyttää käyttäjätunnusta. Paras keino suojautua on olla käyttämättä avoimia verkkoja lainkaan.
Älä koskaan mene verkkopankkiin, mobiilipankkiin tai muulle sivustolle, jolla joudut käyttämään henkilötietojasi.
Käytä VPN-yhteyttä tai ohjelmistoa, joka salaa tiedonsiirron. Varmista, että palomuurisi on käytössä ja että sinulla on virustorjuntaohjelma.
Muista suojata myös kotiverkkosi salasanalla. Muuten se on yhtä haavoittuva kuin mikä tahansa avoin verkko. Opettele tunnistamaan avoimet verkot suojatuista.
Lopuksi
Tänä päivänä on järkevää panostaa yrityksen tietoturvaan, varsinkin etätyöskentelyn yleistyessä.
ME Group ME Group Leilikaari 1
ME Group
Vahdontie Leilikaari 1
HELSINKI 168 km
KUNINKOJA Ohikulkutie / Turun kehätie TURKU 7 km 11
SAKA Raisio Kamux Turku IKEA Raisio
DSV Road Oy Peltonen Trucks Yamaha Center Betonilaatta
Vahdontie
HELSINKI 168 km
KUNINKOJA Ohikulkutie / Turun kehätie TURKU 7 km
DSV Road Oy Kamux Turku SAKA Raisio Peltonen Trucks Yamaha Center Betonilaatta
Vahdontie Ohikulkutie / Turun kehätie
Leilikaari 1
HELSINKI 168 km
KUNINKOJA TURKU 7 km
DSV Road Oy Kamux Turku SAKA Raisio Peltonen Trucks Yamaha Center
