Tiesitkö, että organisaatiosi tietoturvan heikoin lenkki istuu koneen takana – monesti itse edes ymmärtämättä, että näin on?

Kuten olemme aiemmin jo blogissa maininneet – kaksi kolmesta tietomurrosta voidaan laittaa suoraan ihmisten piikkiin. Ja tuossa on laskettuna mukaan vain ne tapaukset joiden jäljet voidaan selvittää – oma lukunsa ovat vielä ne tapaukset, joissa tieto päätyy vahingossa väärään osoitteeseen, vastaanottaja hyödyntää sen omiin tarpeisiinsa ja voittaa sillä vaikkapa jonkun kaupan.

Siitä saatat kuulla ehkä vahingossa.

Tässä siis käyttöösi (ihan varmuuden vuoksi) lista potentiaalisista ongelmakohdista, joista jokaisen yrityksesi työntekijän pitäisi olla selvillä.

Seurauksena olisi ollut vähintäänkin rikostutkinta, todennäköisesti myös syytteitä.

~

Käyttäjätunnusten ja salasanojen huolimaton säilyttely

Tyypillisesti kun jollekulle ehdottaa, että kaikkiin laitteisiin kännykkää myöten kannattaisi ladata sovellus joka huolehtii käyttäjätunnusten ja salasanojen saatavuudesta turvallisesti, vastaus on, ettei puhelimeen enää mahdu yhtään enempää sovelluksia kun muisti on niin täynnä mitä lienee huipputärkeää aineistoa, kuten 2500 kuvaa viiden vuoden takaiselta mökkireissulta.

Siispä salasanoja säilytellään keltaisella lapulla lompakon taskussa tai työpöydän yläpuolella olevalla ilmoitustaululla. Kun vielä työpaikan avaimiin ja kulkulätkiin suhtaudutaan yhtä huolettomasti (kun eihän niissä lue firman nimeä), saattaa edessä olla tilanne, josta ei selviä enää pelkällä ”se oli vahinko” -selityksellä.

Tietokoneen näyttö

Digitaalisuus mahdollistaa töiden tekemisen lähes missä tahansa. Jos työn alla on homma joka vaatii enemmän keskittymistä, kannattaa laittaa vielä luurit päähän, jotta ympäröivä häly ei häiritse. Samalla voi kyllä tulla sulkeneeksi itsensä kuplaan jossa ei huomaa myöskään tilanteita joissa joku ulkopuolinen kiinnostuu siitä mitä näytöllä näkyy.

HP:n uusimmista kannettavista löytyy nykyisin katkaisija, joka estää kurkkimisen. Jos koneessasi ei sellaista ole, kannattaa varmistaa asia näyttöön kiinnitettävällä suojalla tai valitsemalla aina ja poikkeuksetta nurkkapöytä. Jos sellaista ei ole vapaana, suosittelemme vaihtamaan kahvilaa.

Sähköpostit

Viestintävirasto ja päivälehtien verkkomediat varoittelevat sähköpostitse tapahtuvista tietojenkalasteluista ja haittaohjelmia levittävistä viesteistä harva se viikko, ja siltikin joku menee vipuun. 2017 kesällä kohteeksi otettiin organisaatioiden Office 365 -pilvisähköpostien kautta IT-ammattilaiset, joiden ainakin pitäisi tietää paremmin. Siltikin ongelma piinasi yrityksiä kuukausien ajan. Viestintävirasto kirjoitti blogissaan 2017 näin:

“Tietojenkalastelun avulla haltuunotetulla sähköpostitilillä voidaan vaikkapa lähettää toimitusjohtajan nimissä laskutusosastolle viesti, jossa kehotetaan maksamaan lasku heti ulkopuoliselle tilille. Kaapatun tilin avulla voidaan myös lähettää esimerkiksi yhteistyökumppaneille tekaistuja viestejä ja näin saada aikaan haittaa.”

Seuraavana vuonna varoiteltiin lisää:

”Sisään päästyään hyökkääjät ovat asettaneet päättävässä asemassa olevien tai rahaliikennettä tai laskuja käsittelevien ihmisten sähköpostitileille sääntöjä, joiden vuoksi yrityksen sähköpostijärjestelmä lähettää hyökkääjille automaattisesti kopiot kaikista kyseisten ihmisten sähköpostiviesteistä. Hyökkääjät ovat myös lähettäneet murtamiltaan käyttäjätileiltä uusia kohdennettuja kalastelu- ja huijausviestejä.”

Oma lukunsa ovat sitten viestit, jotka päätyvät väärien ihmisten sähköposteihin kun osoitetta ei tarkisteta vaan arvataan. Siinä ei ”viestin sisältö on luottamuksellista” -jälkikirjoituksista ole juuri iloa.

Kiristyshaittaohjelma teki tuhojaan Irlannin terveydenhuollon it-järjestelmissä toukokuussa. Haitake ujuttautui sisään yhden haitallisen Excel-tiedoston avulla.

Tietokoneet ja tabletit

Antivirus- ja palomuuriohjelmistojen ajantasaisuus taitaa onneksi olla jo arkipäivää, mutta varsinkin selaimien kautta ui koneisiin silti edelleen jos jonkinlaista haittaohjelmaa. F-Secure on siksi tuonut markkinoille selauksen suojaamiseen tarkoitetun laajennusosan osana yritysten Computer Protection -ohjelmistopakettia. Se toimii toistaiseksi yleisimmissä selaimissa (Chrome, IE, Firefox, Safari) ja estää mm. virusten ja vakoiluohjelmien pääsyn koneeseesi.

Jos joudut käyttämään avoimia wifi-verkkoja työntekoon, VPN- eli virtual private network -yhteys kuten F-Securen Freedome VPN estää kaikkia ulkopuolisia tahoja – myös verkon järjestelmänvalvojia – seuraamasta mitä teet verkossa. Työmatkoilla mukana kulkevan koneen kovalevy on hyvä myös salata ja varmistaa kaikki tiedostot turvallisiin pilvipalveluihin mahdollisimman reaaliaikaisesti.

Seurauksena olisi ollut vähintäänkin rikostutkinta, todennäköisesti myös syytteitä.

Tulostimet ja monitoimilaitteet

Palataanpa alkuun, eli käyttäjän huolellisuuteen: eräässä tosielämän esimerkkitapauksessa yrityksen neuvottelutilojen wc:n oven vieressä olleessa tulostimessa lojui päällimmäisenä pörssitiedote, joka ei vielä ollut julkinen. Siinä se oli kenen tahansa talossa liikkuvan vieraan saatavilla – helppo napata mukaan ja käyttää tietoja vaikkapa sisäpiirikauppojen tekemiseen. Sellaisen seurauksena olisi ollut vähintäänkin rikostutkinta, todennäköisesti myös syytteitä.

Tulostimissa lojuvat paperit ovatkin yleisin paikka, josta arkaluontoista tietoa päätyy vääriin käsiin. Siksi on äärimmäisen tärkeää noutaa omat paperinsa yhteiskäytössä olevista verkkotulostimista – tai sitten päivittää laitteistonsa nykyaikaan.

Turvatulostus on tätä päivää ja tarkoittaa sitä, ettei vastaavassa tilanteessa paperitulosteita synny ennen kuin laitteeseen on syötetty salasana tai vilautettu sille henkilökohtaista tunnistuslaitetta.

Monitoimilaitteiden usb-portit ja protokollat ovat potentiaalisia hyökkäyskohteita, samoin laitteiden avoimeksi jätetyt verkot.

Tarkistathan myös, että laitteissasi on TPM (Trusted Platform Module) -siru käytössä ja aktivoituna siltä varalta, että laite katoaa. Tavallisen PC:n kiinto- tai SSD-levyn tietoihin pääsee vaivatta käsiksi esimerkiksi asentamalla kyseisen levyn toiseen koneeseen, TPM-sirun tuottama kryptaus estää sen.

Viidestoista ja viimeinen vinkkimme on, että kannattaa pohtia sekin, mihin skannatut asiakirjat ohjataan; haavoittuvaan sähköpostiin vaiko suoraan salattuihin pilvipalvelimiin.

Jos yrityksen sisältä ei löydy näihin kaikkiin kohtiin riittävää osaamista, asiantuntijamme auttavat mielellään. Aloita vaikka tilaamalla ilmainen tietoturvakartoitus omasta laitekannastanne tällä lomakkeella:

Fill out my online form.