Viisi viisasta vinkkiä tietoturvaohjeen luontiin

Viisi viisasta vinkkiä tietoturvaohjeen luontiin

Olen työssäni huomannut, että monen pienen ja keskikokoisen yrityksen johto ei ole jalkauttanut pelisääntöjä tietoturvasta henkilöstölle tai kumppaneille tietoturvaohjeen muodossa. Joskus tietoturvaohje puolestaan on hyvin vanhentunutta tai geneeristä eikä näin ollen anna henkilöstölle ohjeita siitä kuinka omalla toiminnallaan varmistetaan yrityksen tietoturvallisuus.

Tietoturvaohjeen kirjoittaminen ja sen lanseeraus vaatii tietoa yritykseen kohdistuvista tietoturvauhista. Moni yritys on jättänyt tietoturvaohjeen tekemättä, koska yrityksessä ei tiedetä mitä kaikkea henkilöstölle tulisi ohjeistaa. Tässä alla muutama vinkki, josta työ kannattaa aloittaa!

1. Ennaltaehkäise tietojenkalastelu selkeillä ohjeilla

Yrityksen pilvipalveluiden käyttäjätileihin kohdistuva tietojenkalastelu on valitettavasti kasvanut valtavasti. Viime vuosina yritysten suosimat pilvipalvelut kuten Microsoft 365, Google G-Suite ja Dropbox ovat olleet jatkuvasti kohdennetun tietojenkalastelun kohteena sähköpostitse. Tietojenkalastelijat ovat siirtyneet kalastelemaan tietoja viimeisen vuoden aikana kiihtyvään tahtiin myös puhelimitse.

Tavoitteena rikollisilla on tietojenkalastelussa saada käyttäjätunnuksia käyttöönsä ja hyödyntää näitä tunnuksia rikollisiin tarkoituksiin. Kalastellut käyttäjätunnukset mahdollistavat niin yrityksen kiristämisen (esimerkiksi salaamalla yhteiset tiedostot) kuin myös valelaskujen lähettämisen kaapatulla sähköpostitilillä yrityksen nimissä asiakkaille rikollisten pankkitilille.

Tietoturvaohjeessa kannattaa ohjeistaa henkilöstö tunnistamaan tietojenkalastelu ja olla menemättä lankaan. Hyvänä ohjenuorana on, että omia tunnuksia ei koskaan pidä luovuttaa kenellekään eikä sähköpostissa tuleviin kirjautumislinkkeihin luottaa.

Kuvassa sähköposti-ilmoitus epäilyttävästä kirjautumisyrityksestä käyttäjätilille ulkomailta, jotka usein jäävät huomioimatta ilman loppukäyttäjäohjeistusta.

Henkilöstön tulisi myös tietää kenen puoleen heidän tulee kääntyä epäselvissä tapauksissa. Tämän tahon puoleen voi sitten kääntyä, jos käyttäjä havaitsee muita tietoturvapoikkeamia kuten ilmoituksia epäilyttävistä kirjautumisista tai virusilmoituksia tietoturvaohjelmista. Osa näistä ilmoituksista saattaa myös olla tietojenkalasteluviestejä.

2. Ohjaa käyttäjät monivaiheiseen todennukseen

Jos kuitenkin kävisi niin, että tunnukset olisivat päätyneet vääriin käsiin suojaisi vahva monivaiheinen todennus käyttäjätiliä internetin yli kirjautuvilta rikollisilta.

Ohjeista aina käyttäjiä aktivoimaan palveluihin monivaiheinen todennus silloin, kun se on käyttäjän omalla vastuulla.

Kuvassa monivaiheinen todennus toteutettu niin, että käyttäjä hyödyntää jotain mitä käyttäjä tietää (salasana) ja jotain mitä käyttäjällä on (käyttäjän puhelimeen tuleva kertakäyttöinen salasana)

Monivaiheinen todennus (engl. Multi Factor Authentication, MFA) mahdollistaa perinteisen käyttäjätunnus-salasanayhdistelmän lisäksi tehtävän lisätarkistuksen. Lisätarkistuksen vaihtoehdot ovat esimerkiksi:

  • kertakäyttöinen numerokoodi puhelulla
  • kertakäyttöinen numerokoodi tekstiviestillä
  • hyväksyntä mobiilisovelluksella (esim. Microsoft Authenticator / Google Authenticator)
  • kertakäyttöinen numerokoodi mobiilisovelluksella

3. Varmista, että tietojen salausta osataan käyttää

Mieti onko organisaationne käytössä keskitetty hallinta salausratkaisuihin kuten lähtevien sähköpostien ja kiintolevyjen hallintaan. Lähtevien sähköpostien osalta ratkaisut edellyttävät usein loppukäyttäjien toimenpiteitä kuten lähettäjän valintaa sen osalta salataanko sähköposti.

Tietääkö henkilöstönne mitkä sähköpostit ja liitetiedostot tulisi salata? Entä tietävätkö käyttäjät miten salatun sähköpostin vastaanottajan tulee toimia, jos heillä on ongelmia avata salattu sähköposti liitetiedostoineen?

Toinen yleinen tietoturvapoikkeama mihin kannattaa varautua tietoturvaohjeessa on se, että päätelaitteita, kuten sähköposteja ja tiedostoja sisältäviä puhelimia ja kannettavia tietokoneita, saattaa päätyä vääriin käsiin.

Tällöin organisaation kannalta on tärkeää, että kiintolevyn salausratkaisut on hoidettu ja käyttäjä osaa tunnistaa salaamattomat päätelaitteet. Windows-koneelta salauksen toiminnan voi varmistaa Ohjauspaneeli à BitLocker polusta. 

Kuvassa Windows 10 koneen kiintolevyn salauksen hallintakuvake.

4. Vanhojen laitteiden poisto käytöstä ja tietojen tuhoaminen

Monessa pienessä ja keskikokoisessa organisaatiossa annetaan työkäyttöön hankittuja ja sittemmin yrityskäytöstä poistuneita työasemia käyttäjien henkilökohtaiseen käyttöön. Usein tilanne on myös se, että työsuhteen päättyessä työntekijä voi lunastaa vanhan työasemansa omaan henkilökohtaiseen käyttöönsä.

Joskus taas yrityksessä on luultu, että viallisten tai käytöstä poistuneiden työasemien luottamukselliset tiedot on hävitetty tietoturvallisesti ja käytäntöjen tarkempi tarkastelu on osoittanut, että pelkästään käyttäjäprofiili on poistettu käyttöjärjestelmästä tai käyttöjärjestelmän sisältämä levyosio olisi vain formatoitu ja tiedot ovat tällöin olleet kovalevyltä vielä luettavissa.

Näissä tapauksissa on yrityksessä hyvä olla yhteiset pelisäännöt, jolla yritys voi varmistaa, että missään tapauksessa yrityksen tieto-omaisuutta ei päädy vääriin käsiin vaan työasemalla olleet tiedot puhdistetaan tietoturvallisesti ennen työaseman käyttöjärjestelmän uudelleenasennusta. Tällöin käyttäjille on ohjeistettu, että työasemien ja puhelimien tiedot poistetaan niin ettei niitä pysty palauttamaan ohjelmallisesti.

5. Älä unohda koulutusta tietoturvasta ja tietosuojasta

Kun tietoturvaohje on luotu ja päivitetty vastaamaan tämän päivän tietoturvauhkia, kannattaa ohje lanseerata koulutuksen kautta henkilöstölle. Koulutuksessa kouluttaja pystyy kertomaan tosielämän tarinoiden avulla, miksi käyttäjiltä vaaditaan tietoturvallista toimintaa. Saamani palautteen perusteella tämä toimii huomattavasti paremmin kuin pelkkä tietoturvaohjeen lanseeraus ilman koulutusta.

Koulutus voidaan järjestää niin, että se nauhoitetaan. Tällöin yritykselle jää tallenne hyödynnettäväksi, kun uusia henkilöjä aloittaa työsuhteessa.

Älä unohda koulutusta tietoturvasta ja tietosuojasta

Tietoturvakoulutus kannattaa räätälöidä niin, että siinä on käsitelty organisaation kannalta olennaiset asia. Jollekin organisaatiolle sähköpostin tietoturvallinen käyttö saattaa olla kaikki kaikessa. Toiselle organisaatiolle saattaa tärkeää olla se, kuinka asiakkailta kerättyjä henkilötietoja käsitellään internet-selaimella ja kolmannelle organisaatiolle tärkeää saattaa olla se, miten kiinteistön turvajärjestelmien tallentamia tietoja turvataan.