Kyberrikollisten keinot ja tietoturvan vaatimukset kehittyvät niin nopeasti, että pk-yritysten tietoturva ei tahdo pysyä vauhdissa mukana. Varmista siis, että yrityksessäsi ainakin nämä 5 asiaa ovat kunnossa.
Teksti: Matti Lintulahti
1. Päätelaitteiden tietoturva kuntoon
Modernissa liikkuvassa työssä työntekijät ja heidän päätelaitteensa, niin tietokoneet kuin älypuhelimet, ovat oman yrityksen turvallisen verkon ulkopuolella. Siksi yrityksen kannattaa varmistaa, että jokaisessa päätelaitteessa on uudenaikaiset palomuurit ja virustorjuntaohjelmat. Lisäksi kannettavien päätelaitteiden sisällä oleva tieto kannattaa salata ja päätelaitteen ohjelmistot pitäisi päivittää aina uusimmilla turvallisimmilla versioilla.
Nykyisin kuka tahansa voi perustaa luotettavan tuntuisen langattoman verkon ja nähdä kaiken sen kautta kulkevan tietoliikenteen. Vältä julkisia avoimia langattomia verkkoja ja pyri käyttämään yrityksen omaa nettitikkua, jolloin liikkuvan työntekijän tieto siirtyy suoraan operaattorin runkoverkkoon. Vähintäänkin salaa kaikki tietoliikenne käyttämällä turvallista vpn-yhteyttä työpaikan verkon ulkopuolella.
2. Oman verkon palomuurit uudenaikaisiksi
Perinteinen palomuuri ei enää riitä uusimpia tietoturvauhkia vastaan. Niitä vastaan tarvitaan uudenaikainen palomuuri, joka perinteisen palomuurin toimintojen lisäksi kontrolloi myös käyttäjiä ja sovelluksia.
Modernit palomuurit suodattavat haittaohjelmia jo yrityksen verkon reunalla, sallivat vain sovitut sovellukset oikeille käyttäjille ja estävät muita tunnettuja uhat. Päivitä siis verkkosi palomuuri uudenaikaiseksi.
3. Pilvipalveluihin vahva tunnistus
Yhä useampi yritys on siirtynyt kokonaan tai osittain pilvipalvelujen käyttöön helppouden ja kustannustehokkuuden vuoksi. Muutoksessa tietoturva yrityksen omiin konesaleihin verrattuna on saattanut kärsiä.
Pilvipalveluissa kannattaa käyttää vain luotettavia palveluntarjoajia. Mieti vaatiiko oma toimialasi sitä, että pilvipalvelun sisältämien tietojen tulisi olla fyysisesti Suomessa. Lisäksi pilvipalveluissa kannattaa ottaa käyttöön kaksivaiheinen vahva tunnistus, jolloin pelkällä tunnuksella ja salasanalla ei pääse käsiksi tietoihin. Myös työntekijöitä kannattaa opastaa käyttämään henkilökohtaisissa palveluissa, ja vähintäänkin omassa sähköpostissa, vahvaa kaksivaiheista tunnistusta sisäänkirjautumisissa.
4. Varo erityisesti kiristyshaittaohjelmia
Kiristyshaittaohjelmat ovat tämän hetken suurin ongelma yrityksissä. Kun kiristyshaittaohjelma saastuttaa koneen, se salaa koneessa olevan kaiken tiedon ja käyttäjä pääsee tietoihin käsiksi vasta kun on maksanut kiristäjälle halutun summan. Esimerkiksi Viestintäviraston kyselyyn vastanneista suomalaisyrityksistä 36 prosenttia kertoo joutuneensa joskus kiristyksen uhriksi. Ajan tasalla olevat varmuuskopiot pelastavat tällaisessa tilanteessa.
Kiristyshaittaohjelmia voi tulla niinkin harmittomista läheistä kuin iltapäivälehden sivuston mainosbannerista, jonka toimittaneeseen mainosverkkoon on murtauduttu. Haittakoodi hyödyntää nettiselaimen haavoittuvuutta. Tällöin käyttäjän tietokone saastuu automaattisesti ilman, että käyttäjä tekee yhtään mitään toimia. Uusimmat virustorjuntaohjelmat pystyvät tunnistamaan osan kirityshaittaohjelmista. Lisäksi kaikkien työntekijöiden tulisi osata varoa niitä.
5. Kouluta kaikki työntekijät
Mikään tietoturvan tekninen keino ei ole koskaan ehdottoman täydellinen. Esimerkiksi toimitusjohtajahuijauksessa yrityksen talousosastolle tulee toimitusjohtajan nimissä sähköposti, jossa pyydetään kiireisesti siirtämään tietty summa rahaa tietylle tilille.
Todellisuudessa sähköposti tulee kyberrikolliselta, joka käyttää hyväksi ihmisten hyväuskoisuutta ja arjen kiireitä.
Tietoturvan heikoin lenkki on edelleen inhimillinen ihminen.
Tämän vuoksi yrityksen kannattaa kouluttaa jokainen yrityksen työntekijä säännöllisesti tunnistamaan ja havaitsemaan erilaisia tietoturvauhkia kuten kiristyshaittaohjelmia ja torjumaan niitä omalla toiminnallaan.
Kirjoittaja on pk-yrittäjä, joka katsoo tämän artikkelin kirjoittamisen jälkeen tietoturvauhkia aivan uusin silmin. Vinkkejä varten haastateltiin Elisan tietoturvan asiantuntijaa Jani Sammalmaata (Business Manager, Security Services).
Lue myös
Miten suojautua tietoturvauhkilta? Lue F-Securen asiantuntijan vinkit
Azuren tietoturva on omaa konesalia vankemmalla perustalla
Miksi SASE on ylivoimainen tietoturvassa?