Estä tietomurto yritykseesi – 10 askelta yrityksen tietoturvaan (osa 1/3)
Mitä sinulle tulee mieleen sanasta “tietomurto”? Monet ovat varmasti säännöllisin väliajoin törmänneet uutisointeihin Suomessa ja maailmalla tapahtuneista tietomurroista, joissa jonkun organisaation järjestelmiin on päästy murtautumaan ja mahdollisesti varastettu tietoja. Uskon, että monissa organisaatioissa ajatellaan yhä, että “eihän tuollaista meille voi käydä” ja “kuka nyt meidän tietoja haluaisi”.
F-Securen mukaan pk-yritykset ovat yhä useammin kyberhyökkäysten kohteena ja syinä tähän ovat muun muassa pienten yritysten keskimääräisesti pienemmät resurssit järjestelmien suojaamiseen sekä pk-yritysten rooli suurempien yritysten alihankkijoina, jolloin pienemmät yritykset voivat tarjota rikollisille otollisen väylän suurempaan yritykseen.
Julkaisemme Netvisor-blogissa kolmen blogikirjoituksen sarjan, jossa käydään läpi niitä toimenpiteitä, jotka pk-yritysten tulisi käydä läpi oman yrityksensä sekä asiakkaidensa ja kumppaneidensa suojaamiseksi.
Tässä ensimmäisessä osassa käydään läpi miten yritysten kannattaa lähteä liikkeelle oman tietoturvan parantamisessa. Seuraavassa osassa aiheena on varautuminen poikkeustilanteisiin ja blogisarjan viimeisessä osassa käsitellään sitä, miten omaa henkilökuntaa kannattaa kouluttaa tietoturvaan ja tietosuojaan liittyen.
Yrityksen tietoturvan kehittämistä voi lähteä edistämään seuraavien vaiheiden kautta:
Osa 1: Perusasiat kuntoon
1. Varmista, että tunnet oman ympäristösi
2. Hyödynnä valmiita malleja ja luo tietoturvasuunnitelma
3. Varmista, että organisaation järjestelmien perusasetukset ovat kunnossa
Osa 2: Miten yrityksen tulisi varautua poikkeustilanteisiin?
4. Opi ymmärtämään, mitä et tiedä
5. Varmista, että organisaatio tietää kuinka toimia poikkeustilanteessa
6. Hanki kontaktit ja yhteistyökumppanit valmiiksi
7. Varmista, että tietoturvasuunnitelmaa päivitetään säännöllisesti
Osa 3: Henkilöstön kouluttaminen on oleellinen osa yrityksen tietoturvaa
8. Pidä huoli oman henkilökunnan tietoturvaosaamisesta
9. Tee oikein toimimisesta väärin tekemistä helpompaa
1. Varmista, että tunnet oman ympäristösi
Kun pk-yritys ryhtyy kartoittamaan omaa tietoturvatilannettaan, hyvä lähtökohta on varmistaa, että ymmärtää oman ympäristönsä. Mitä järjestelmiä yrityksellä on käytössä, minkälaista tietoa näissä käsitellään ja miten järjestelmien tietoturva on järjestetty? Missä määrin yrityksen tietoturva pohjautuu sähköisiin järjestelmiin ja toisaalta miten merkittävässä roolissa on fyysinen tietoturva?
Yrityksen toiminnan kannalta kriittiset järjestelmät sekä ne järjestelmät, joissa käsitellään asiakastietoja on syytä käydä läpi ensin. Oleellista on muistaa myös näihin järjestelmiin liitetyt järjestelmät, jotka voivat mahdollistaa tietoihin pääsyn, vaikka pääjärjestelmään ei pääsisikään käsiksi.
Yrityksen ydinjärjestelmiin usein kuuluvat toiminnanohjauksen, asiakkuudenhallinnan ja taloushallinnon järjestelmät sekä kommunikaatiotyökalut. Kaikissa näissä käsitellään yritykselle kriittisiä tietoja, joiden turvallisuus on hyvin tärkeää. Nykyään pääosa edellä mainituista järjestelmistä on mahdollista saada pilvipalveluina, joka on erityisesti pk-yrityksille erittäin suositeltava tapa järjestää itselleen toimivat ja turvalliset järjestelmät.
Pilvipalveluiden tuottajia toki on maailmassa paljon ja kannattaakin käyttää hieman aikaa palveluntarjoajien vertailuun myös turvallisuuden näkökulmasta. On suositeltavaa tutustua järjestelmätoimittajien tietoturvadokumentaatioihin, joihin on yleensä koottu oleellisimmat tiedot järjestelmän tietoturvasta, kuten esimerkiksi Netvisorin teknologia- ja tietoturvaselosteessa on tehty.
2. Hyödynnä valmiita malleja ja luo tietoturvasuunnitelma
Yrityksen tietoturvasuunnitelman luomiseen on lukuisia eri malleja, joita voidaan hyödyntää organisaation turvallisuuden kartoitukseen ja toiminnan turvallisuuden varmistamiseen. Osa malleista on laajoja tietoturvastandardeja (ISO27001, NIST), joita voidaan hyödyntää yrityksen koosta riippumatta pienistä yrityksistä globaaleihin konserneihin. Näiden käyttöönotto voi kuitenkin olla hyvin työlästä ja pk-yrityksille on usein helpompi lähteä liikkeelle kevyemmistä malleista.
Suurilla yrityksillä voi olla myös omia tietoturvaohjelmia, jotka pohjautuvat olemassa oleviin standardeihin ja suosituksiin. Hyvä esimerkki tästä on Visma-konsernin tietoturvaohjelma, johon kaikki Visma-yhtiöt ovat sitoutuneet.
Useat suomalaiset tahot ovat julkaisseet tietoturvaoppaita, joiden avulla pääsee hyvin alkuun. Esimerkiksi Kyberturvallisuuskeskuksen Pienyritysten kyberturvallisuusopas ja Suomen Yrittäjät-järjestön lukuisat oppaat auttavat oman organisaation tietoturvatason selvittämisessä.
3. Varmista, että organisaation järjestelmien perusasetukset ovat kunnossa
Organisaatio vastaa työntekijöiden käyttämien järjestelmien turvallisuudesta ja tämän vuoksi näiden järjestelmien tietoturvan oletusasetukset kannattaa miettiä huolella ja asettaa kuntoon. Laitteistojen ja ohjelmistojen automaattiset päivitykset kannattaa ottaa käyttöön, jotta käyttäjien ei tarvitse itse miettiä päivityksiä ja organisaation laitteet ja ohjelmistot pysyvät paremmin turvassa ilman erillisiä päivitystoimenpiteitä.
Kannattaa myös kertoa käyttäjille, miten päivitykset toimivat, jotta mahdollisissa päivitysten ongelmatilanteissa käyttäjät ymmärtävät pyytää apua yrityksen IT-tuesta.
Yksi merkittävimmistä yksittäisistä tietoturvatoimenpiteistä on monivaiheisen tunnistautumisen käyttö. Salasanojen vaikeuttaminen on perinteinen keino estää liian helppojen salasanojen käyttöä, mutta tämä usein myös hankaloittaa käyttäjän arkea.
Hyvä käytäntö on käyttää salalauseita, eli sanasanoja, joiden minimimerkkimäärä on esim. 15 merkkiä ja hyödyntää tämän lisäksi monivaiheista tunnistautumista, joka onneksi on tänä päivänä suurimmassa osassa järjestelmistä tuettu.
Organisaation kannattaa myös miettiä, kenellä tulisi olla pääsy mihinkin yrityksen tietoon. Pienissä organisaatioissa on hyvin yleistä, että melkein kaikki työntekijät pääsevät käsiksi käytännössä kaikkeen tietoon, mutta viimeistään yrityksen kasvaessa kannattaa kiinnittää huomiota tähän.
Mahdollisen ongelmatilanteen edessä on helpompi toimia, kun pystytään rajaamaan tarkemmin, kenen tunnuksilla on esimerkiksi käyty tarkastelemassa mitäkin tietoja. Tämän vuoksi myös jaettujen käyttäjätunnusten käyttö on erityisen huono käytäntö, koska järjestelmien lokit eivät pysty kertomaan, kuka järjestelmään itse asiassa on kirjautunut.
Blogi-sarjan toisessa osassa Riku antaa neuvoja tietoturvan poikkeustilanteisiin varautumisesta varten. Ja kolmannessa osassa puhutaan henkilökunnan kouluttamisen tärkeydestä.
Riku Tarkiainen on Visma Solutionsin Director of Information Security and Data Privacy. Tietoturvasta ja tekniikasta innostuva Riku pitää yhdessä tiimiemme kanssa huolen, että yrityksemme asiakkaat, tuotteet ja työntekijät pysyvät turvassa.
