Mediassa uutisoidaan jatkuvasti tietomurron kohteiksi joutuneista yrityksistä. Tietomurrot kehittyvät koko ajan ja niitä tehdään yhä taitavammin. Pahimmassa tapauksessa tietomurto keskeyttää koko liiketoiminnan. Vääriin käsiin voi tietomurron seurauksena joutua esimerkiksi käyttäjätunnuksia, salasanoja, henkilötietoja ja salaisiksi määriteltyjä tiedostoja.
Tietomurto aiheuttaa taloudellisia menetyksiä ja vaikuttaa yrityksen maineeseen ja luotettavuuteen. Se johtaa kilpailukyvyn heikkenemiseen ja asiakasmenetyksiin. Tietoturvasta onkin huolehdittava riippumatta yrityksen koosta tai toimialasta. Väärässä paikassa säästäminen voi tulla todella kalliiksi.
Tähän artikkeliin olemme koonneet tietoja, vinkkejä ja kysymyksiä siitä, kuinka sinä voit parantaa yrityksesi tietoturvatasoa välttääksesi tietomurrot. Kerromme, mitä sinä voit tehdä hallitaksesi paremmin yrityksesi tietoturvaa
Haavoittuvuudet
Paras tapa vastata tietomurtoihin on kartoittaa ja ennaltaehkäistä niitä jatkuvasti. Tärkeää on tietää, millainen on yrityksen tietoturvatilanne. Tietomurtojen perimmäiset mahdollistajat ovat haavoittuvuudet ja niiden hyväksikäyttö. Hoitamatta jääneiden haavoittuvuuksien hyväksikäyttö on yleisin tapa tehdä tietomurto.
Tässä on hyvä pohtia seuraavia kysymyksiä: Onko yrityksessänne tietotaitoa hallita haavoittuvuuksia? Puuttuko yrityksestänne aikaa hallita haavoittuvuuksia? Onko yritykseesi tehty haavoittuvuuksien kartoitus? Ovatko havaitut haavoittuvuudet jääneet hoitamatta?
Me MPY:llä autamme yritystäsi tunnistamaan, havaitsemaan ja suojautumaan haavoittuvuuksilta.
Tietoturvauhat
Tietoturvauhkia on useita erilaisia, mutta kaikilla niillä on sama tavoite: saada yrityksen toiminta pois raiteilta. Yrityksen liiketoimintaa uhkaavat esimerkiksi:
- erilaiset haittaohjelmat, kuten virukset, troijalaiset, vakoiluohjelmat ja madot
- verkkohuijaukset
- mainos-, kiritys- ja pelotteluohjelmat
- varkaudet ja tiedon häviäminen
- tietojen kalastelu
- tietosuojarikkomukset
- tietomurrot ja kyberhyökkäykset
- tietoturva-aukot
- yritysvakoilu
Tietoturvauhkia mietittäessä on hyvä vastata seuraaviin kysymyksiin: Oletko kouluttanut henkilöstösi tunnistamaan tietoturvauhkia? Milloin viimeksi olet kouluttanut henkilöstösi tunnistamaan tietoturvauhkia?
MPY tarjoaa tietoturvauhkiin liittyen konsultointia, koulutuksia ja ohjeistuksia, mitkä ovat juuri sinun yrityksesi tarpeisiin räätälöityjä.
Laitteet, ohjelmistot ja nettiselain
Tärkeää on, että käytössä olevat laitteet ovat yrityskäyttöön tarkoitettuja ja ratkaisut ovat oikeanlaiset. Laitteet on tarkoitettu vain työntekoon työajalla. Niitä ei saisi käyttää vapaa-ajalla nettisurffailuun tai laskujen maksamiseen.
Tärkeää on pitää laitteissa käytetyt ohjelmistot ja käyttöjärjestelmät ajan tasalla. Suurin osa päivityksistä sisältää haavoittuvuuksien korjauksia. Hyvä tapa on automatisoida päivitykset. Mikäli jokin ohjelmisto tai käyttöjärjestelmä jätetään päivittämättä, se voi saastua jo muutamassa päivässä. Siksi päivitykset on hyvä asentaa heti niiden julkaisemisen jälkeen. Osa haavoittuvuuksista voi olla pitkäänkin korjaamatta. Tämän vuoksi on tärkeää olla tietoturvaohjelma suojaamassa haavoittuvuuksilta.
Ohjelmistojen ja käyttöjärjestelmien päivityksen lisäksi on tärkeää pitää käytettyä nettiselainta ajan tasalla. Nettiselaimen lisäksi ajan tasalla on hyvä pitää nettiselaimen lisäosat. Jos lisäosa ei ole käytössä, on se hyvä poistaa kokonaan. Päivittämätön nettiselain ja lisäosat ovat suuri uhka tietoturvalle.
Tärkeää on miettiä, mitä kaikkea netistä lataa laitteeseen. Kaikkea ei kannata ladata, vaan on syytä harkita mitä lataa ja onko ladattava tiedosto tai ohjelma luotettavalta ja lailliselta sivustolta. Voit vahingossa päätyä sivustolle, joka näyttää viralliselta, mutta onkin hakkeroitu valesivustoksi.
Tässä kohtaa on hyvä pohtia seuraavia kysymyksiä: Onko laitteissasi tietoturvaratkaisu? Ovatko laitteissasi ohjelmistot ja käyttöjärjestelmät ajan tasalla? Milloin olet viimeksi päivittänyt nettiselaimen? Milloin olet viimeksi päivittänyt nettiselaimen lisäosat?
MPY:ltä saat yrityskäyttöön tarkoitetut laitteet ja niihin tietoturvaratkaisut valmiiksi asennettuina. Kauttamme hoituvat tarvittavat ohjelmisto- ja käyttöjärjestelmäpäivitykset.
Nettiyhteys
Yrityksessä käytettävän nettiyhteyden on oltava salasanalla suojattu. Näin se on turvallinen. Asiakkaille ja vierailijoille on hyvä luoda oma omalla salasanalla suojattu vierailijaverkko. Salaamattomassa nettiyhteydessä ei ole turvallista työskennellä. Siksi esimerkiksi ravintolan vierailijaverkkoon ei ole hyvä liittyä tekemään töitä.
Nettiyhteydessä on tärkeää olla palomuuri. Palomuurit ovat ohjelmistoja tai laitteistoja, jotka suodattavat ja tutkivat tietoja, joita nettiyhteyden kautta liikkuu. Sen tarkoituksena on estää asiaton pääsy yrityksesi nettiyhteyteen ja suojata ulkoapäin tulevilta tietoturvauhkilta.
Nettiyhteyden kohdalta on hyvä pohtia seuraavia kysymyksiä: Onko yrityksesi nettiyhteys salasanalla suojattu? Onko asiakkaille ja vierailijoille oma vierailijaverkko? Onko vierailijaverkko salasanalla suojattu? Onko nettiyhteydessäsi palomuuri? Onko nettiyhteytesi valvottu ja hallittu?
MPY:n yrityskäyttöön suunniteltu nettiliittymä eli Yritysnetti on tietoturvallinen. Se sisältää aina palomuurin ja nettiyhteyden aktiivisen valvonnan ja hallinnan. Näitä ei ole kuluttajille tarkoitetuissa nettiliittymissä. Katso lisää täältä.
Salasanat
On tietoturvariski kirjoittaa eri palveluiden salasanat ylös ja säilyttää niitä paperilla näppäimistön alla tai muistikirjassa. Jos haluaa säilyttää salasanoja jossain, on olemassa salasanojen hallintaan tarkoitettuja sovelluksia. Niihin pääsee kirjautumaan sisään pääsalasanalla. Niissä on turvallista säilyttää eri palveluiden salasanat. Tällaisia salasanapalveluita ovat esimerkiksi LastPass ja KeePass.
Käytetyt salasanat on hyvä vaihtaa säännöllisin väliajoin. Samaa salasanaa ei tule käyttää muissa palveluissa. Jokaisessa palvelussa tulisi olla omat salasanat. Jos käyttäjätieto ja salasana yhdestä paikasta vuodetaan, on todennäköistä, että hakkerit yrittävät samoilla tunnuksilla muualle kirjautumista.
Hyvistä salasanoista kannattaa muistuttaa henkilöstöä säännöllisesti. Hyvä ja turvallinen salasana on pituudeltaan vähintään 12 merkkiä ja sisältää isoja ja pieniä kirjaimia, numeroita sekä välimerkkejä. Mitä pidempi salasana on, sitä vaikeampi se on murtaa. Myös salasanalauseet ovat hyviä salasanoja. Niitä on helpompi muistaa, jos sen taustalle kehittää helposti muistettavan systeemin.
Jos jostain palvelusta tulee ilmoitus, että salasana olisi vaihdettava, kannattaa se tehdä. Ensin on vain varmistuttava, että kyse on palveluntarjoajan viestistä eikä tietojenkalastelusta.
Salasanojen kohdalla on hyvä miettiä vastauksia seuraaviin kysymyksiin: Milloin olet viimeksi vaihtanut salasanat eri palveluihin? Vaihdatko salasanat säännöllisin väliajoin? Käytätkö samaa salasanaa eri palveluissa? Käytätkö turvallista salasanaa?
Sähköposti ja salattu sähköposti
Työsähköpostista ei saa lähettää omaan henkilökohtaiseen sähköpostiin tietoja tai tiedostoja. Tämä on tietoturvariski. Tietoturvariski on tehdä sosiaaliseen mediaan työsähköpostilla tili. Se voi päätyä vääriin käsiin esimerkiksi tietojenkalastelun seurauksena.
Harkintaa tulee käyttää saapuvien sähköpostin linkkien ja liitetiedostojen avaamisessa. Ole varovainen tuntemattomasta osoitteesta tulevien sähköpostien kanssa. Ne voivat olla tietojenkalasteluviestejä, sisältää kiristyshaittaohjelman tai linkin valesivulle. Myös tutusta sähköpostiosoitteesta tullut sähköposti voi olla tietojenkalasteluviesti tai sen mukana voi tulla kiristyshaittaohjelma tai linkki valesivulle.
Salattu sähköposti tarkoittaa kryptattua sähköpostia. Tavallisella sähköpostilla ei saa lähettää arkaluonteisia tietoja, kuten henkilötietoja, pankkitietoja, työsopimuksia, verokortteja, salasanoja tai käyttäjätunnuksia. Näiden arkaluonteisten tietojen lähettäminen vaati salatun sähköpostin, jota katsotaan selaimella. Tähän on lähetetyssä sähköpostissa linkki.
MPY:ltä saat ratkaisut salatun sähköpostin lähettämiseen.
Varmuuskopiointi
Monessa yrityksessä erilaiset dokumentit ja tietovarastot ovat yrityksen tärkein pääoma. Siksi on tärkeää huolehtia näiden riittävästä suojaamisesta ja säännöllisestä varmistuksesta ulkoiseen ympäristöön, kuten OneDriveen tai muuhun pilvipalveluun. Pilvitallennustila on saatavilla missä vain ja millä tahansa laitteella. Varmuuskopioiden on syytä olla ajan tasalla, jos tietomurto sattuu. Siksi aktiivinen varmuuskopiointi on tärkeää.
Milloin olet viimeksi varmuuskopioinut tiedostot? Onko käyttämäsi varmuuskopiointi automaattinen?
MPY:ltä saat ratkaisut moderniin varmuuskopiointiin.
Tietomurron jälkihoito
Tietomurron uhriksi joutuminen on vakava paikka jokaiselle yritykselle. Yrityksen hallitus voi joutua vastuuseen, jos se ei reagoi saatuaan tietää tietomurrosta. Yrityksen tulee selvittää, mitä vahinkoja tietomurrolla on saatu aikaan sekä tiedottaa tietomurrosta yritysjohtoa, henkilökuntaa ja asiakkaita. Jos yrityksesi joutuu tietomurron kohteeksi, me MPY:llä selvitämme haavoittuvuuden yhdessä asiakkaan kanssa. Teemme kaikki tarvittavat selvitykset ja autamme, mitä esimerkiksi kiristysviestin kanssa voi tehdä.
Tietoturvan parantaminen
Yrityksen tulee tarkastaa liiketoimintaansa tietoturvan valossa. Sen tulee koosta riippumatta olla tietoinen omasta tietoturvastaan. Monet tietomurrot johtuvat työntekijöiden välinpitämättömyydestä. Saamattomuus ja laiskuus tietoturva-asioissa kasvattavat riskejä.
Tietoturvan parantaminen ja kehittäminen on suurimmalta osalta toimintatapojen muutoksia. Nämä muutokset toimintatapoihin eivät tarvitse loppupeleissä paljoa aikaa tai rahaa. Monilla pienillä teoilla omasta toiminnastaan voi tehdä turvallisempaa ja näin välttyä yleisimmiltä tietoturvauhilta. Sen lisäksi, että huolehdit omasta tietoturvallisuudestasi, vaikuttavat tekemäsi toimenpiteet positiivisesti asiakkaiden ja sidosryhmien tietoturvallisuuteen.
MPY:n asiantuntijat auttavat yritystäsi löytämään juuri oikeat tietoturvapalvelut ja -ratkaisut turvaamaan liiketoimintaasi nyt ja tulevaisuudessa!
Loistavaa!
Olet nyt vastannut yrityksesi tietoturvan nykytilaa kuvaaviin kysymyksiin sekä lukenut vinkkejä, kuinka voit parantaa yrityksesi tietoturvaa. Tunnistitko kohteita, jotka kaipaavat kehittämistä? Jäikö jokin asia mietityttämään? Etsitään yhdessä asiantuntijoidemme kanssa parhaat tietoturvapalvelut ja -ratkaisut yrityksellesi varmasti ja nopeasti. Ota yhteyttä.
Kirjoittaja Merja Väisänen
Merja työskentelee MPY:n Tuote- ja järjestelmäkehitystiimissä palvelukehittäjänä pienyrityksille. Työssään hän kehittää ja tuotteistaa pienyritysten ja yrittäjien palveluita asiakaslähtöisesti ja ratkaisukeskeisesti. Kehitystyössään Merja hyödyntää erityisesti palvelumuotoilun keinoja.
