Pienikin yritys tarvitsee luotettavan ja helposti ylläpidettävän tietoturvan sekä suunnitelman pahan päivän varalle, sillä yhä taitavampien verkkorikollisten iskiessä on jo liian myöhäistä.
Pieni yritys ei kiinnosta verkkorikollisia. Se on uskomus, joka on osin totta, osin harhaa. Ja kyllä, tähän ajatusharhaan iskevät verkkorikolliset surutta kiinni.
”Pk-yritys on samalla tavalla kiinnostava verkkorikollisille kuin kuka tahansa yksityishenkilö. Tässä segmentissä heitä ei välttämättä kiinnosta suuret yrityssalaisuudet vaan raha. He ampuvat niin sanotusti isolla tykillä ja luottavat siihen, että joku haksahtaa”, tietoturva-asiantuntija Jussi Koskinen F-Securesta sanoo.
Verkkorikolliset toimivat globaalisti ja massaan perustuva kalastelu verkossa on halpaa. Verkkorikollisuus perustuu raa’alle laskelmalle: vaikka vain prosentti onnistuisi, se on isosta kakusta iso siivu.
Pienen yrityksen kannattaa huolehtia tietoturvastaan siksi, että lähtökohtaisesti huijaukset perustuvat rahan tavoitteluun, jota harvalla pienyrityksellä on liikaa.
”Samalla on hyvä muistaa sekin, että EU:n tietosuojadirektiivi vaatii yrityksiä suojaamaan asiakastietojaan. Jos asiakasrekisteri pääsee vääriin käsiin, se on kiusallista ja voi huolimattomuudesta seuraavien sanktioiden vuoksi käydä kalliiksi.”
Etätyö ja kiire altistavat uhalle
Koronavirusta seurannut etätyön määrän kasvu on lisännyt myös verkkorikollisuuden määrää. ”Pelkästään se määrä haittaohjelmia, jonka tietoturvaohjelmistomme blokkasivat, nousi keväällä 2020 jopa 50–100-kertaiseksi normaaliin nähden,” Koskinen huomauttaa.
Kotona työskentely tarjoaakin hyvän tilaisuuden iskeä. Verkot ovat huonommin suojattuja kuin isoissa yrityksissä. Lisäksi etenkin lapsiperheissä kotona on usein läsnä kiire ja hässäkkä, joka toimii verkkorikollisten eduksi, kun jokaista sähköpostia ei ehdi epäillä.
“Lähes jokaista sähköposti- tai tekstiviestiä pitäisikin epäillä, eikä avata linkkejä suin päin. Verottajan, Postin ja suoratoistopalvelujen nimissä lähestytään paljon. Hyvä vinkki on unohtaa sähköposti ja tarkastaa palveluun kirjautumalla, löytyykö sama viesti sieltä”, Koskinen sanoo.
Uudet laitteet ovat paras suoja
Paras keino suojautua tietoturvauhkia vastaan on pitää yrityksen laitteet, ohjelmistot ja käyttöjärjestelmät ajan tasalla. Kun päivitykset juoksevat ajallaan, tunnettuja tietoturvauhkia vastaan on suojauduttu hyvin.
”Tässä suomalaiset teleoperaattorit ovat tehneet hyvää työtä. Erityisesti palvelumallilla toimitettavat yrityslaitteet auttavat pitämään laitteita tehokkaasti uusina, mikä on jo osa ratkaisua.”
Vahva selkäranka ovat F-Securen tuotteisiin pohjautuvan Elisa Yritystietoturvan tapaiset, luotettujen tietoturvayhtiöiden suojauspaketit. Koskinen kehottaa välttämään ilmaisia tietoturvaohjelmia: ilmaisuuteen on aina jokin syy, joka harvemmin on käyttäjän kannalta mairitteleva.
Toimisto-ohjelmien hankkiminen kuukausipalveluna vähentää myös huolta.
”Tällöin palveluntarjoaja huolehtii siitä, että saatavilla on jatkuvasti uusin versio, jonka tietoturva pysyy kunnossa. Kertainvestoinnilla hankitut ohjelmistopaketit jäävät usein pyörimään koneille ja tarjoavat hyvän reitin rikollisille turvallisuuspäivitysten loputtua.”
Pienikin yritys tarvitsee tietoturvasuunnitelman
Usein verkkorikolliset ja heidän käyttämänsä haittaohjelmat tekevät työtään salaa, eikä esimerkiksi näppäimistön liikkeitä seuraavaa vakoiluohjelmaa luultavasti edes huomaa. Ikävimpiä pienyrityksille ovat niin sanotut kiristyshaittaohjelmat. Niissä rikollinen lukitsee laitteen tiedostot vahvaa salaustekniikkaa käyttäen. Lukituksen avaavan koodin saa maksamalla lunnaat.
”Lukitus on niin vahva, että sitä ei muuten saa auki millään. Emme suosittele maksamaan lunnaita, mutta ymmärrämme, jos joku niin tekee.”
Kiristys voi kohdata ketä tahansa tai mitä tahansa yritystä. Siksi pieni, itsensä mielenkiinnottomaksi kokeva yrityskin tarvitsee ennalta mietityn tietoturvasuunnitelman. Se lähtee riittävästä ja hajautetusta tärkeiden tietojen varmuuskopioinnista ja päättyy siihen, mitä tehdään, jos rikollinen iskee ja onnistuu lukitsemaan koneen. Kun koneen kaikki tieto on pilvessä varmuuskopioituna, tietojen menettämiseen ei ole pelkoa eikä rikollisten kiristykseen tarvitse suostua.
Verkkorikollisuus muuttuu yhä taitavammaksi
Vielä jokin aika sitten sähköpostissa saapuneet nigerialaiskirjeet olivat sen verran kömpelöitä, että niille oli helppo naureskella. Enää sen varaan ei voi tuudittautua.
”Huijaukset on tehty todella hyvin niin graafisten elementtien kuin kieliasunkin suhteen. Suomen kieli ei enää anna turvaa, sillä konekääntäminen kehittyy, ja tiedämme verkkorikollisten turvautuneen jopa käännöstoimistoihin.”
Paras ohje pienyritykselle onkin pitää laitteet, ohjelmistot ja oma digistrategia ajan tasalla. Kun riskit hajauttaa, on tehnyt sen minkä voi. Jos sen jälkeen joutuu verkkohyökkäyksen uhriksi, voi lohduttautua sillä, että ammattilaiset ovat tienneet mitä tekevät ja ovat onnistuneet luultavasti juuri siksi. Hävetä ei tarvitse, Koskinen sanoo.
”Ammattimaisuudesta kertoo se, että kun asetimme testikoneet alttiiksi lukitusohjelmille, löytyi neljältä kiristäjältä jopa puhelinpalvelu, joka vastasi todella nopeasti ja antoi neuvoja lunnaiden maksamiseen. Yhdestä tuli perään jopa asiakastyytyväisyyskysely.”
Lue myös
Ei enää etätöitä ilman mobiilitietoturvaa
5G-puhelin tuo tehoa, tietoturvaa ja vetovoimaa
Vinkit yrityksen tietoturvariskien hallintaan
Mobiilivarmenne yhä suositumpi henkilökohtainen tunnistusväline