Evästeasetukset

Käytämme evästeitä tarjotaksemme paremman käyttökokemuksen ja henkilökohtaista palvelua. Suostumalla evästeiden käyttöön voimme kehittää entistä parempaa palvelua ja tarjota sinulle kiinnostavaa sisältöä. Sinulla on hallinta evästeasetuksistasi, ja voit muuttaa niitä milloin tahansa. Lue lisää evästeistämme.

Kyberturvallisuus – näin minimoit kyberriskit

Työturvallisuus

13.09.2021

Kyberturvallisuus kunnossa? Pohjoissavolaisella maatilalla kauhistuttiin, kun posti toi tuhannen euron puhelinlaskun. Kävi ilmi, että hakkerit olivat rohkaisseet lypsyrobottia soittamaan aikuisviihdelinjoille.

Toiminnanjohtaja Mika Susi kyberalan etujärjestö FISC:istä kertoo, että verkkolaitteiden yleistyminen lisää tietoturvariskejä. Esineiden internetissä verkkoon liitetään melkeinpä kaikki, mitä sinne vain voidaan kytkeä.

Kyberturvallisuus pohdituttaa nyt myös sellaisissa ympäristöissä, missä se ei ole ennen ollut tarpeen. Hakkerit ovat murtautuneet viime vuosina niin taloyhtiöiden lämpökeskuksiin kuin jäähallien jäähdytys- ja ilmanvaihtojärjestelmiin. Pitkälle listalle kuuluu jopa sydämentahdistin. Susi muistuttaa, että kun työpaikalle – tai kotiin – hankitaan elektroniikkaa, sen tietoturvallisuuteen kannattaa kiinnittää erityistä huomiota.

– Halpa hinta tarkoittaa yleensä sitä, että laitteen tietoturva ei ole kunnossa.

Käytännössä laitetta, jonka ohjelmistoja tai salasanoja ei voi päivittää, ei tulisi kytkeä nettiin. Haavoittuvuuksien poistamiseksi laitteisiin pitäisi myös aina asentaa uusimmat ohjelmistot ja päivitykset. Liikenne- ja viestintäviraston Traficomin myöntämä Tietoturvamerkki kertoo, että merkillä varustettu tuote tai palvelu on suunniteltu tietoturvalliseksi. Merkki ei ole kuitenkaan vielä laajasti käytössä.

Kyberturvallisuus on kilpajuoksua

Tiedonkalastelu, tietomurrot, haittaohjelmat ja palvelunestohyökkäykset ovat esimerkkejä organisaatioiden keskeisistä kyberturvallisuusriskeistä. Hyökkäyksiin voi liittyä myös kiristyksiä. Mikäli rikollisille maksetaan näiden vaatima rahasumma, nämä voivat luvata, että lopettavat esimerkiksi palvelun kaataneen hyökkäyksen tai jättävät tietomurron avulla saamansa arkaluontoiset tiedot julkaisematta.

Aina taustalla ei ole kuitenkaan taloudellisen edun tavoittelu. Hakkeria voi motivoida myös esimerkiksi aate, ideologia tai yksinkertaisesti vain halu kokeilla, mihin kaikkeen omat kyvyt riittävät. Myös eräät valtiot tekevät kyberhyökkäyksiä ja -vakoilua, mikä kohdistuu tavallisimmin toisen valtion kriittisiin kohteisiin.

Suden mielestä suomalaisyritykset ovat varautuneet riskeihin vaihtelevasti.

Finanssialalla ollaan pitkällä, pk-yrityksissä töitä on enemmän.

– Suomessa on jo pitkät it-perinteet. Mutta meilläkin on aika paljon eroja sektoreittain. Finanssialalla ollaan pitkällä, kun taas jossakin toisaalla, vaikkapa pk-yrityksissä, töitä on enemmän.

Kyberturvallisuus tähtää sähköisen ja verkotetun yhteiskunnan turvallisuuteen. Siinä on kyse kilpajuoksusta, jossa ei taideta päästä koskaan maaliin asti.

– Maailmalla tehtaillaan koko ajan esimerkiksi uusia haittaohjelmia. Toisella puolella kehitetään sitten niihin suojautumiskeinoja.

Kyberturvallisuus edellyttää toimintamalleja

Jokaisella työpaikalla kannattaisi Suden mielestä suunnitella, miten työntekoon liittyvät kyberriskit minimoidaan.

– Ihan aluksi organisaatiossa olisi hyvä miettiä, missä piilee riskejä. Tällöin kannattaa selvittää esimerkiksi se, miten yrityksen kriittiset tiedot on suojattu, onko ne varmuuskopioitu ja kenelle yrityksessä on annettu pääsy mihinkin tietoihin.

Tämän jälkeen varmistetaan kyberturvallisuus luomalla sitä ylläpitävät toimintamallit ja vastuualueet.

– Sitten tarvitaan tietenkin koulutusta, yksityiskohtaisia neuvoja koko henkilökunnalle sekä asioiden säännöllistä kertaamista ja harjoittelua. Kun työntekijät tietävät, miten toimia ja miten laitteita käytetään oikein, heidän vastuullaan on myös noudattaa ohjeita.
Tietoturvan tärkeimpiä teknisiä ratkaisuja ovat tietokoneiden ajantasaiset päivitykset, nokkelat virusohjelmat sekä jykevät palomuurit, jotka estävät asiattoman liikenteen verkosta toiseen – erityisesti internetistä lähiverkkoon.

– Tietoturvaongelma voi kuitenkin johtua myös siitä, että työntekijä on yksinkertaisesti tietämätön oikeasta toimintatavasta. Syynä voi olla myös inhimillinen erehdys tai unohdus.

Tyypilliset kyberkömmähdykset

Kenties tavallisin kömmähdys on se, että työsähköpostissa lähtee vahingossa luottamuksellisia tietoja väärälle henkilölle. Tietoja saatetaan myös tallentaa omaan julkiseen tallennuspalveluun, missä ulkopuolinen voi päästä niihin käsiksi.

– Mikäli luottamuksellisia henkilötietoja leviää ulkopuolisille, siitä on tehtävä EU:n GDPR-tietoturva-asetuksen perusteella ilmoitus niin Tietosuojavaltuutetun toimistoon kuin kohteelle itselleenkin, Susi muistuttaa.

Kovin harvinaista ei ole sekään, että joku klikkaa linkkiä, johon ei olisi kannattanut koskea.

– Jos työntekijä avaa linkin, joka voi sisältää haittaohjelman, hänen pitää ilmoittaa tapahtumasta välittömästi muille. Mikäli ongelmasta ei tiedetä ja kaikki jatkavat työtään normaalisti, haitat saattavat moninkertaistua.

Organisaatioiden olisikin hyvä miettiä jo etukäteen myös se, miten toimitaan, jos jotain sattuu.

– Akuutteihin ongelmiin voi kysyä neuvoa Kyberturvallisuuskeskuksesta. Sinne kannattaa ilmoittaa myös, jos havaitsee verkossa vaikkapa jonkin uudenlaisen uhan. Tietomurroista pitää tietenkin ilmoittaa poliisille, samoin myös esimerkiksi erilaisista kiristyksistä.

Mika Suden mielestä yrityksen kannattaa selvittää, mitä velvoitteita sille kuuluu ja olla tarvittaessa yhteydessä tietoturva-alan yritykseen.

– Nykyisin löytyy esimerkiksi hyviä pk-yrityksille soveltuvia palveluita. Ne helpottavat huomattavasti kokonaisuuden hallinnassa.

Terve järki ja harkinta kantavat pitkälle

Alan ammattilaiset pystyvät myös testaamaan järjestelmien turvallisuutta.

– Niin sanotut valkohattuhakkerit, hyvää tarkoittavat hakkerit, voivat etsiä järjestelmistä puutteita, jotka sitten paikataan.

Kun yrityksen toimintakulttuuri ja tekniset järjestelmät ovat kunnossa, kyberturvallisuus on jo pitkällä. Lisäksi tarvitaan lähinnä tervettä järkeä sekä harkintaa.

– Tärkeää olisi, että työntekijät ilmoittavat aina, jos huomaavat jotain tavallisuudesta poikkeavaa.

Jos vaikkapa laskutusohjelmaan ilmestyy uudenlaisia laskuja, joissa kaikki ei ihan täsmää. Tai esimerkiksi LinkedIn:in kautta tulee tuntemattomilta ihmisiltä verkottumispyyntöjä, jotka voivat olla tiedonkalasteluyrityksiä.

Työpaikoilla tietoturvallisuutta varten voi olla myös omia kannustinjärjestelmiä.

– Useissa yrityksissä tietoturvallisuus on viety jo henkilökohtaisiin tulostavoitteisiin sekä oman osaamisen kehittämissuunnitelmiin. Niissä voidaan myös kilpailla tunnistettujen ja tietoturvaosastolle raportoitujen kalasteluyritysten määrällä sekä palkita aktiivisimmat raportoijat.

Kyberturvallisuus Q &A – entä jos?

Teen töitä kotona. Saako Valtteri, 6 v, pelata illalla työkoneellani ”ihan vähän” muumipeliä?

Työkonetta ei saa luovuttaa kenenkään muun käyttöön. Riskinä on aina, että tietoja vaikka katoaa vahingossa tai niitä joutuu väärään paikkaan. Valtterin pitää käyttää kotikonetta. Myös sen tietoturvasta pitää huolehtia. Hyvä lähtökohta on, että työkone ja kotikone ovat erikseen. Tällöin ongelmatilanteissa vastuuasiat ovat selvempiä.

Pitääkö kotona työskennellessä olla suojattu nettiyhteys?

Mikäli työntekijä tekee etätöitä, eikä hänellä ole suojattua nettiyhteyttä, työnantajan kannattaa se hankkia. Matkoilla tai kahvilassa työskennellessäkin pitää käyttää suojattua yhteyttä. Työntekijän tulee käyttää turvallisia laitteita, joissa on luotettava teknologia. VPN-yhteydellä voidaan luoda suojattu ’putki’ dataliikenteelle laitteelta organisaation sisäverkkoon. Työhön liittyviä tietoja ei saa tallentaa omiin muussa käytössä oleviin laitteisiin tai palveluihin, joihin ulkopuoliset voivat päästä.

Käytän yksinkertaisuuden vuoksi samaa salasanaa joka paikassa, kannattaisiko?

Ei kannata. Joka paikassa pitää olla eri salasana, joka on vahva eli vaikeasti murrettava. Myös käyttöön otettavien uusien laitteiden oletussalasanat kannattaa vaihtaa. Salasanojen kanssa taiteilu voi olla joskus haastavaa. Käytännön apua siihen tarjoavat tietoturvayhtiöiden salasanojen hallintaohjelmat, joissa salasanoja voi säilyttää turvatusti.

Miten huolehdin työpuhelimeni tietoturvallisuudesta?

On tärkeää, että matkapuhelimissa on uusimmat päivitykset, ja lisäksi niihin on saatavissa erillisiä tietoturvasovelluksia. Matkapuhelimen pitää olla lukittava. Katoamisen varalta puhelimessa kannattaa olla käytössä automaattinen tietojen varmuuskopiointi. Jos työpuhelimessa ei ole lukitusta ja se katoaa, tästä pitää kertoa heti esimiehelle.

Klikkasin vahingossa epäilyttävää linkkiä, voinko joutua taloudel­liseen vastuuseen?

Yksittäisessä kömmähdyksessä työntekijä voidaan tulkita rikoksen uhriksi eikä tekijäksi. Virhe ei välttämättä vaikuta hänen työsuhteeseensa tai aiheuta korvausvaatimuksia. Tilanne on monimutkaisempi, jos virheen tekeekin johtaja tai henkilö, jonka tulisi varmuudella tuntea käytännöt. Selittelyille ei ole mitään sijaa, jos kyse on esimerkiksi siitä, että yritys ei ole suojannut kunnolla asiakkaidensa tietoja. Psykoterapiakeskus Vastaamon tapauksessa tämä aiheutti kärsimystä laajalle ihmisjoukolle. Se johti lopulta myös yrityksen konkurssiin.

 

Mika Susi on toiminut FISC Ry:n ensimmäisenä kokoaikaisena toiminnanjohtajana marraskuusta 2019 lähtien. Hän vastaa kyberturvallisuusalan yhteisestä edunvalvonnasta sekä Suomessa että kansainvälisissä yhteyksissä.

Kommentoi