IT-turvallisuus

Tietoturva on ensisijaisesti ennaltaehkäisyä

Kyberrikollisista tulee yhä ammattimaisempia, joten tietoturvauhat lisääntyvät. Enää kyse ei ole siitä, voiko hyökkäys osua kohdalle, vaan siitä, milloin se osuu kohdalle. Samaan aikaan edulliset pilvipalvelut tuovat hyvän tietoturvan yhä useampien saataville. Onnistunut tietoturva vaatii sekä oikeat toimintatavat että oikeanlaisen teknologian. Tämän oppaan avulla otat haltuun molemmat.

Kukaan ei tietenkään halua kokea tietomurtoa. Siitä huolimatta kaikki eivät ymmärrä, mitä kaikkea tietomurto pitää sisällään ja millaiset seuraukset sillä voi olla. Ilmeisin seuraus on se, että murtautumisyritys onnistuu ja yrityksen dataan päästään käsiksi. Varastettu data voidaan myydä kilpailijoille, sitä voidaan käyttää kiristystarkoituksiin, se voidaan vuotaa tiedotusvälineille tai levittää internetiin. Tiedot voidaan myös kryptata tai poistaa yrityksen palvelimilta. Tällainen toiminta vahingoittaa yritystä monin tavoin, ei ainoastaan taloudellisesti.

Tietomurron kohteeksi joutunut yritys on vaarassa menettää maineensa asiakkaiden ja yhteistyökumppaneiden silmissä, ja uusien työntekijöiden palkkaaminen tulevaisuudessa voi olla haastavampaa. Siitä huolimatta tapahtunutta tietomurtoa ei pidä salata. Uudet GDPR-säädökset edellyttävät, että yritykset ilmoittavat henkilötietojen tietoturvaloukkauksista sekä asiakkailleen että valvontaviranomaiselle, jos niistä voi olettaa aiheutuvan riskejä.

Tietoturva ei kuitenkaan koske ainoastaan tietomurtoja. Myös muut asiat kuin tietomurrot voivat aiheuttaa sen, että yritys menettää työtunteja ja dataa. Tällaisia asioita voivat olla muun muassa sähkökatkokset, tulipalot, vesivahingot, luonnonkatastrofit, varkaudet ja laitteiden katoaminen. Hyvin toimiva tietoturvapolitiikka ja siihen liittyvä infrastruktuuri helpottavat näitä ja monia muitakin tilanteita. Esimerkiksi tehokas varmuuskopiointi- ja palautusjärjestelmä on erinomainen apu myös silloin kun yrityksen dataa pitää siirtää uuteen järjestelmään tai datakeskus pilveen.

Valmistelut

Datan luokittelu

Tietoturvatyön tärkein osa on inventaario, jossa selvitetään mitä tietoturvajärjestelmän on tarkoitus suojata. Inventaariossa käydään läpi yrityksen data. Kuinka paljon dataa yrityksellä on? Kuinka suuri osa tästä on liiketoiminnan kannalta kriittistä dataa? Mitä seuraamuksia tietojen päätymisellä vääriin käsiin olisi? Mitä eri suojaustasoja ja käyttöoikeuksia tarvitaan? Todennäköisesti kaikkien ei tarvitse päästä käsiksi kaikkiin tietoihin, ja joihinkin tietoihin käsiksi pääsemiseksi voidaan tarvita kaksivaiheinen todennus.

On hyvä muistaa, että yrityksen laitteilla ei hallita vain yrityksen tietoja, vaan satoja tai jopa tuhansia yksityisiä valokuvia, tiedostoja, asiakirjoja ja videoita, silloinkin kun yrityksen säännöt kieltävät laitteiden käyttämisen henkilökohtaisiin tarkoituksiin.

Uhkien analysointi

Seuraava askel on analysoida uhat. Kuinka todennäköisesti mikäkin uhka toteutuu? Eri yrityksillä on erilaiset tietoturvatarpeet. Kannattaa keskittyä toiminnan kannalta kriittisimpiin seikkoihin. Esimerkiksi jos suurin osa työntekijöistä tekee työnsä toimiston ulkopuolella, on tärkeintä keskittyä turvaamaan työntekijöiden mobiililaitteet sen sijaan, että panostettaisiin voimakkaasti vain toimiston palomuuriin.

Tunnista ja toimi

Kun tietomurrosta puhutaan, ajatellaan yleensä tilannetta, jossa yrityksen kiintolevy on kryptattu ja yritystä kiristetään maksamaan tietty summa Bitcoin-tilille. Vaikka tämän tyyppiset niin sanotut ransomware-hyökkäykset ovatkin lisääntyneet, monet tietoturvahyökkäykset ovat paljon hienovaraisempia.

Itse asiassa monet yritykset eivät huomaa tietomurtoa, vaan havaitsevat sen vasta silloin, kun yrityksen dataa huomataan olevan ladattavissa internetissä. Siksi tietomurtojen havaitseminen on yksi tietoturvatyön tärkeimmistä osista.

Epäilyttävän toiminnan tunnistaminen

Tietoturvarikkomukset ovat tyypillisesti sellaisia, että työntekijän käyttäjätili on jollain keinoin saatu haltuun, ja tiliä käytetään esimerkiksi tietojen luvattomaan kopiointiin. Tarjolla on kuitenkin järjestelmiä, jotka havaitsevat poikkeavan toiminnan tilillä, ja joko tekevät hälytyksen tai tarvittavia toimenpiteitä. Jotta tällainen järjestelmä toimisi, on oltava perillä siitä, mikä on kyseisen käyttäjän normaalia toimintaa, ja millaista liikennettä yrityksen verkossa tavallisesti on. Tämä on erittäin haastava tehtävä tehdä manuaalisesti, varsinkin kun enenevä määrä verkkoliikenteestä on kryptattua. Nykyiset tietoturvajärjestelmät käyttävät tekoälyä apuna tässä.

Tekoälyn avulla voidaan luoda näkemys siitä, mikä on normaalia toimintaa ja liikennettä, ja epäilyttävää toimintaa havaittaessa tehdään hälytys.

Toiminta hyökkäystilanteessa

Yrityksissä ei voida enää miettiä, mitä tehdään, jos tietoturvarikos sattuu kohdalle, vaan mitä tehdään, kun se sattuu kohdalle. Siksi hyökkäystä varten täytyy olla selkeät toimintaohjeet. Tärkeintä on yrittää rajoittaa hyökkäyksen laajuutta ja eristää se. Tämä tehdään katkaisemalla yhteys tartunnan saaneen yksikön ja yrityksen muun verkon väliltä. Jos näkyy merkkejä siitä, että käyttäjä käyttäytyy oudolla tavalla, käyttäjätilin käyttö on estettävä siihen asti, että syy oudolle käytökselle on selvinnyt.

Valitse oikea infrastruktuuri

Pilvipohjainen ratkaisu vai oma ratkaisu?

Tietoturvaan liittyvät kysymykset koskevat nykyään kaikenkokoisia yrityksiä. Pienille ja keskisuurille yrityksille oma tietoturvaosasto asiantuntijoineen ja ylläpidettävine infrastruktuureineen tulee kuitenkin tarpeettoman kalliiksi. Valtaosalle onkin edullisinta hankkia tietoturva palveluna. Samalla tavalla kuin yrityksellä voi olla kiinteällä kuukausimaksulla hankittuna pilvitallennustilaa sekä sovelluksia, voi myös palomuurin, virustorjunnan, tunkeutumissuojauksen ja turvallisen yritysverkon tilata as a service -palveluna. Tällöin ne ovat myös skaalattavissa tarpeen mukaan.

Turvallista työskentelyä tien päällä

Työstä on tullut liikkuvaa, ja sitä tehdään yhä enenevissä määrin toimiston ulkopuolella. Koska töitä tehdään kahviloissa, junissa ja lentokentillä, nopea ja varma nettiyhteys on välttämättömyys. Siitä huolimatta turvallisuudesta ei pidä tinkiä. Vaikka yhä useammat sovellukset ja sivustot käyttävät nykyään kryptattua https-liikenneprotokollaa, wifi-verkkoja ei tulisi käyttää mobiililaitteilla työskennellessä. Sen sijaan tulisi käyttää mobiilidatayhteyttä, ja mieluiten täydentää sitä VPN-palvelulla.

Toiminta varkaus- ja katoamistapauksissa

On tärkeää, että yrityksellä on tehokas toimintatapa puhelinten rikkoutumisen ja varkauden varalle. Jos kadotat tietokoneesi, puhelimesi tai tablettisi, tai laitteesi varastetaan, ulkopuolisen käyttäjän ei pitäisi saada sitä auki. Tämän takia salasanasuojauksen ja kiintolevyn kryptauksen tulee olla käytössä. Laitetta pitäisi myös voida seurata etäyhteyden avulla sekä poistaa siitä tietoja etänä, jotta arkaluontoiset tiedot eivät päädy vääriin käsiin.

Nykyisissä älypuhelimissa on sisäänrakennettu ominaisuus tätä varten, ja se onnistuu myös kaikissa nykyaikaisissa Mobile Device Management (MDM) -työkaluissa. Sen avulla on helppo päivittää käyttöjärjestelmiä, paikantaa laitteita, asentaa sovelluksia ja määrittää erilaisia oikeuksia. Jos puhelin varastetaan, sisältö voidaan nopeasti poistaa ja kiintolevy kryptata etänä MDM-työkalun avulla. MDM-työkalun avulla voidaan myös varmistaa, että laite varmuuskopioidaan usein, jotta työntekijä voi palauttaa tiedot uuteen laitteeseen ja jatkaa työskentelyä.

Älä unohda IoT-laitteita!

Tietokoneet, puhelimet ja tabletit eivät ole hyökkääjien ainoita kohteita. Myös Internet of Things (IoT) -laitteet ovat yhteydessä yrityksen verkkoon, ja näin ollen ne ovat potentiaalisia hyökkäyskohteita. Siksi verkkoon kytkettyjen tulostimien, lamppujen, kahvinkeittimien, ilmoitusnäyttöjen ja muiden vastaavien laitteiden tulee olla yrityksen turvallisuusvaatimusten mukaisia. Niihin täytyy voida tehdä tietoturvapäivityksiä, eikä niiden pidä tallentaa tai lähettää salasanoja salaamattomassa muodossa.

Työntekijöiden toimintatavat

Työntekijät ovat heikoin lenkki

Nykyiset IT-tietoturvajärjestelmät ovat niin pitkälle kehittyneitä, että jos yrityksellä on käytössään standardien mukainen järjestelmä, eivät esimerkiksi hyökkäykset palomuureja vastaan juuri kannata. Heikoin lenkki onkin yleensä yksittäinen työntekijä. Valtaosa kaikista nykyisistä järjestelmään tunkeutumisista alkaa tietojenkalastelulla joko sähköpostitse tai sosiaalisen median kautta.

Työntekijä huijataan vierailemaan verkkosivustolla tai napsauttamaan huijauslinkkiä sähköpostiviestissä. Erityisen herkästi näin käy puhelinta käytettäessä, sillä emme yleensä lue tekstejä kännykältä kovin tarkasti, mutta napsauttelemme nopeasti sivulta toiselle tai sovelluksessa eteenpäin. Tämän takia on erittäin tärkeää pitää työntekijät ajan tasalla tietoturva-asioihin liittyen. Heidän tulee myös tietää, miten hyökkäykset tyypillisesti tapahtuvat. Mitä tietoisempia työntekijät ovat, sitä todennäköisemmin he myös hyväksyvät yrityksen tietoturvaohjeet ja noudattavat niitä.

Salasanakäytännöt

Turvallisista salasanakäytännöistä puhutaan paljon, mutta vaatimus jatkuvasti uusittavien, pitkien ja merkeiltään vaihtelevien salasanojen käyttöön voi kääntyä itseään vastaan.

Pitkät salasanat ovat haastavia muistaa, joten käyttäjät säilövät niitä riskialttiilla tavoilla: tietokoneelleen ja muistilapuilla työpöydälleen. Kunhan käyttäjät eivät käytä samaa salasanaa useassa paikassa, ei salasanojen tiheä vaihtaminen lisää tietoturvaa kovinkaan merkittävästi.

Pitkien salasanojen sijaan voidaan käyttää kaksivaiheista tunnistautumista mobiililaitteen tai USB-avaimen avulla. Se on sekä käyttäjäystävällistä että yrityksen kannalta turvallista.

Vältä varjo-it

Yritys voi hankkia vaikka mitä älykkäitä ja turvallisia palveluja, mutta niistä ei ole hyötyä, jos työntekijät eivät käytä niitä. Jos esimerkiksi yrityksen virallinen palvelu tiedostojen jakoa varten koetaan vaikeaksi käyttää, siirtyvät työntekijät käyttämään vaihtoehtoisia palveluja. Tällaisessa tilanteessa muodostuu niin kutsuttu varjo-it, joka on monella tavalla riskialtis asia. Ilmeisin riski on se, että vaihtoehtoinen palvelu ei täytä yrityksen tietoturvavaatimuksia.

Toista ongelmaa monet eivät edes tule ajatelleeksi: Jotkut palvelut edellyttävät sitä, että ladatut tiedostot siirtyvät palvelun omistukseen. Olivatpa siirretyt tiedot arkaluontoisia tai eivät, niiden siirtyminen yrityksen ulkopuoliseen omistukseen on tietenkin ongelmallista. Kolmas riski on se, että tietoja tallennetaan tavalla, joka rikkoo yrityksen ja asiakkaiden välistä sopimusta. Näin voi käydä esimerkiksi silloin, kun tietynlaista dataa ei saisi säilöä maan rajojen ulkopuolella, mutta se päätyy palvelimiin ympäri maailmaa siksi, että työntekijät käyttävät kaupallisia pilvitallennuspalveluja.