Tietoturvan tarkastuslista

Tietoturvan tarkastuslista. Olemme keskustelleet pk-sektorin yrittäjien kanssa modernista tietoturvasta, olemme näin omassa tuotekehityksessämme pyrkineet rakentamaan palvelua, joka todella täyttää asiakkaiden toiveet. Samat pari aihetta on esiintynyt keskusteluissa usein, siksi päätin kirjoittaa aiheesta myös kotisivuillemme.

Pähkinänkuoreen puristettuna, tietoturva-asiat kiinnostavat, jokseenkin myös huolestuttavat myös pienempien yritysten johtajia ja työntekijöitä. Asiat halutaan hoitaa asianmukaisesti, ei kuitenkaan ”hinnalla millä hyvänsä”. Kaksi asiaa esiintyy useimmissa keskusteluissa:

1. Olen nähnyt uutisointia tietoturvaloukkauksista, mutta millaiset tietoturvauhat meitä (pk-sektorin toimijoita) todella uhkaavat? Meillä ei ole sellaista infraa, joka vaikuttaa esimerkiksi valtiomme polttoaineen jakelukanaviin.
2. Miten voisin itse tarkastaa ympäristömme tilanteen, jotta saan paremman käsityksen nykyisestä tilanteesta?

Kysymysten asettelu on yksinkertainen. Vaikuttaa kuitenkin siltä että vastaukset ovat liian usein hyvin abstrakteja. Keskustelu viedään tekniikkaan, vastataan eri kysymykseen kuin esitettyyn, kierrellään, kaarrellaan, tehdään kartoituksia, eikä vastauksissa pystytä huomioimaan asiakkaan kokoluokkaa.

Suomalaiset pk-yritykset tietoturvaloukkausten kohteena

Suomessa pk-yritykset ovat kohteena hieman yli 40%:ssa kaikista ilmi tulleista tapauksista. Loukkaukset eivät usein ylitä uutiskynnystä, eikä maineen menetyksen pelossa yrittäjät halua että näistä uutisoidaan. Tärkeää on ymmärtää että tietomurtoja tapahtuu, ja niitä tapahtuu paljon myös pk-sektorissa. Vakuutusyhtiö IF:n mukaan, jopa joka kolmas yritys on nykyisin rikollisten kohteena.

Suuntaa määristä saa esimerkiksi Kyberturvallisuuskeskuksen kybersää-raportista, jonka mukaan kesällä 2022 pelkästään erilaisia raportoituja huijauksia tapahtui noin 500-600 kappaletta kuukaudessa. Tämä luku ei sisällä vielä erilaisia haittaohjelmia tai viruksia. Tietomurtojen tarkoitus on lopulta varastaa tai kiristää rahaa.

Jopa 81% pk-yritysten tietomurroista alkaa samalla tavalla

Valtaosa näistä tietomurroista, jopa 81% toteutetaan varastettujen käyttäjätunnusten kautta. Käyttäjätunnukset taas onnistutaan viemään nykyisin pääosin kolmella tekniikalla:

Huijataan käyttäjä antamaan salasana ja käyttäjätunnus

Huijausyritykset tulevat sähköpostin ja tekstiviestin välityksellä. Saat viestin jossa on liitteenä esimerkiksi lasku, kuitenkin viestin avaamiseen sinun tarvitsee syöttää käyttäjätunnus ja salasana.

Salasanasi arvataan

Nykyisin käyttäjätunnukset ovat muotoa , samoin käytetty tietotyöympäristö on hyvin usein joko Googlea tai Microsoftia. Hyökkääjä siis tietää jo minne pitää kirjautua ja millä käyttäjätunnuksella kirjaudutaan. Ainoa ”sinetti”, joka täytyy murtaa, on salasana. Automaattisen ohjelman luominen, joka kokeilee vaikka kerran tunnissa tyypillisiä salasanoja, (kuten sukunimisElokuu22!) ei ole vaikeaa tehdä. Tällaista hyökkäystä on myös hyvin hankalaa havaita. Loppu on matematiikkaa: kokeillaan arvata 1000 hengen salasanaa 24 kertaa vuorokaudessa = 24 000 arvausta päivässä = 168 000 arvausta viikossa jne. Jonkun käyttäjän salasana arvataan 100% varmuudella, se on vain ajan kysymys.

Saastutetaan kone haittaohjelmalla

Käyttäjän koneelle saadaan asennettua haittaohjelma, joka kerää kirjautumistiedot ja lähettää ne edelleen hyökkääjän tietoon. Haittaohjelma voidaan saada käyttäjän päätelaitteelle pahimmillaan jopa täysin huomaamatta, mikäli käytetty selain ei ole päivitetty.

Loput 19% tietomurroista

Loput 19% tietomurroista onkin jo erilaisempaa silppua. Näissä käytännössä usein tilaisuus tekee varkaan: Useamman yksinään sinänsä merkityksettömän tapahtuman ketju aiheuttaa lopulta vakavan riskin, kuten se että käytöstä poistunut laite löytyy kierrätyksestä tyhjentämättömänä. Ulkomailla yleisiä ovat myös mm. avoimen WLAN verkon väärentämisen tapaukset.

Huomioitavaa juuri pk-sektorissa on, että hyökkäykset on erittäin harvoin kohdennettu suoraan kyseiseen yritykseen tai organisaatioon. Hyökkäys toteutetaan kuten markkinointikampanja. Valitaan sopiva kohderyhmä, hankintaan osoitteisto ja pistetään kampanja rullaamaan. Heikoimmin suojatut ympäristöt murtuvat ja kiristäminen / huijaaminen voi alkaa.

Tietoturvan tarkastuslista

Sähköpostin suojaus

Sähköpostin sisältö suodatetaan lähettäjän maineen perusteella

Sähköpostissa on lisäsuojaus haitallisten liitteiden ja linkkien tunnistamiseen

Sähköpostissa on lisäsuojaus, joka tunnistaa salasanojen kalastelun tai huijausyrityksen

Microsoft 365 -ympäristö

Käyttäjät ovat suojattu kaksivaiheisella kirjautumisella (esim. kännykkään tulee tekstarilla lisäkoodi, jota kirjautumiseen tarvitsee)

Hallintatunnukset ovat eri tunnukset, kun päivittäisessä työssä käytetyt tunnukset

Kolmannen osapuolen liitännäisohjelmistojen asennus ilman ylläpitäjän tunnuksia on estetty

Hallintapaneelin viestikeskuksessa ei ole kriittisiä ilmoituksia

Lisää vinkkejä Microsoft 365 ympäristön suojaamisesta voit lukea täältä.

Verkkolaitteet

Verkon aktiivilaitteet ovat valvonnan ja ylläpidon piirissä.

Laitteiden sisältämä ohjelmisto (firmware) on päivitetty.

Päätelaitteet

Päätelaite vaatii käyttäjää kirjautumaan yrityksen tunnuksia käyttäen

Tiedot ovat salattu ja ilman kirjautumista tietoihin ei pääse käsiksi

Kaikissa käytetyissä päätelaitteissa on antivirusohjelmisto ja palomuuri päällä

Käyttöjärjestelmän ja käytettyjen ohjelmistojen (erityisesti selainten) päivitykset ovat ajan tasalla

Laitteet ovat fyysisesti ehjä, eikä laite anna hälytyksiä laitteen kuntoon liittyen

Lisää päätelaitteiden hallinnasta voit lukea täältä.

Koulutukset ja osaaminen

Onko henkilöstön käytössä yrityksen tietoturvaohjeistus

Onko henkilöstöänne koulutettu tietoturvaan liittyen

Pystyykö käyttäjänne tunnistamaan vaarallisen tilanteen

Koulutuspalveluista voit lukea täällä.

Vaihtoehtona Jalo IT:n asiantuntijapalvelut tai Terävä Premium

Jos tietoturvan tarkastuslista ja sen läpikäynti ei sovi sinun kalenteriisi, voit käyttää asiantuntijapalveluitamme kartoittamaan nykytilanteenne ja tarvittaessa hoitamaan havaitut puutteet.

Valmiiksi tuotteistamassamme Terävä Premium -kokonaisuudessa tietoturvan perusasiat on mietitty puolestanne ainakin osittain valmiiksi. Palvelua käyttöönottaessa mm. Microsoft 365 -ympäristöön, päätelaitteiden hallintaan ja käytettyjen ohjelmistojen päivitykseen liittyvät asiat tulevat kerralla kuntoon.

Käyttöönoton yhteydessä, autamme teitä tietenkin mielellämme myös verkkolaitteiden ja henkilöstön osaamiseen, tai tietoturvaohjeeseen liittyvissä asioissa.

Lue lisää tukisopimuksistamme täältä.

Kirjoittaja:

Ville Soikkola

Toimitusjohtaja

Ville on kokenut tietotyön tehostaja ja Microsoft-tuottavuustyökalujen osaaja.