Tiesitkö, että organisaatiosi tietoturvan heikoin lenkki istuu koneen takana – monesti itse edes ymmärtämättä, että näin on?
Kuten olemme aiemmin jo blogissa maininneet – kaksi kolmesta tietomurrosta voidaan laittaa suoraan ihmisten piikkiin. Ja tuossa on laskettuna mukaan vain ne tapaukset joiden jäljet voidaan selvittää – oma lukunsa ovat vielä ne tapaukset, joissa tieto päätyy vahingossa väärään osoitteeseen, vastaanottaja hyödyntää sen omiin tarpeisiinsa ja voittaa sillä vaikkapa jonkun kaupan.
Siitä saatat kuulla ehkä vahingossa.
Tässä siis käyttöösi (ihan varmuuden vuoksi) lista potentiaalisista ongelmakohdista, joista jokaisen yrityksesi työntekijän pitäisi olla selvillä.
Seurauksena olisi ollut vähintäänkin rikostutkinta, todennäköisesti myös syytteitä.
Käyttäjätunnusten ja salasanojen huolimaton säilyttely
Tyypillisesti kun jollekulle ehdottaa, että kaikkiin laitteisiin kännykkää myöten kannattaisi ladata sovellus joka huolehtii käyttäjätunnusten ja salasanojen saatavuudesta turvallisesti, vastaus on, ettei puhelimeen enää mahdu yhtään enempää sovelluksia kun muisti on niin täynnä mitä lienee huipputärkeää aineistoa, kuten 2500 kuvaa viiden vuoden takaiselta mökkireissulta.
Siispä salasanoja säilytellään keltaisella lapulla lompakon taskussa tai työpöydän yläpuolella olevalla ilmoitustaululla. Kun vielä työpaikan avaimiin ja kulkulätkiin suhtaudutaan yhtä huolettomasti (kun eihän niissä lue firman nimeä), saattaa edessä olla tilanne, josta ei selviä enää pelkällä ”se oli vahinko” -selityksellä.
Tietokoneen näyttö
Digitaalisuus mahdollistaa töiden tekemisen lähes missä tahansa. Jos työn alla on homma joka vaatii enemmän keskittymistä, kannattaa laittaa vielä luurit päähän, jotta ympäröivä häly ei häiritse. Samalla voi kyllä tulla sulkeneeksi itsensä kuplaan jossa ei huomaa myöskään tilanteita joissa joku ulkopuolinen kiinnostuu siitä mitä näytöllä näkyy.
HP:n uusimmista kannettavista löytyy nykyisin katkaisija, joka estää kurkkimisen. Jos koneessasi ei sellaista ole, kannattaa varmistaa asia näyttöön kiinnitettävällä suojalla tai valitsemalla aina ja poikkeuksetta nurkkapöytä. Jos sellaista ei ole vapaana, suosittelemme vaihtamaan kahvilaa.
Sähköpostit
Viestintävirasto ja päivälehtien verkkomediat varoittelevat sähköpostitse tapahtuvista tietojenkalasteluista ja haittaohjelmia levittävistä viesteistä harva se viikko, ja siltikin joku menee vipuun. 2017 kesällä kohteeksi otettiin organisaatioiden Office 365 -pilvisähköpostien kautta IT-ammattilaiset, joiden ainakin pitäisi tietää paremmin. Siltikin ongelma piinasi yrityksiä kuukausien ajan. Viestintävirasto kirjoitti blogissaan 2017 näin:
“Tietojenkalastelun avulla haltuunotetulla sähköpostitilillä voidaan vaikkapa lähettää toimitusjohtajan nimissä laskutusosastolle viesti, jossa kehotetaan maksamaan lasku heti ulkopuoliselle tilille. Kaapatun tilin avulla voidaan myös lähettää esimerkiksi yhteistyökumppaneille tekaistuja viestejä ja näin saada aikaan haittaa.”
Seuraavana vuonna varoiteltiin lisää:
”Sisään päästyään hyökkääjät ovat asettaneet päättävässä asemassa olevien tai rahaliikennettä tai laskuja käsittelevien ihmisten sähköpostitileille sääntöjä, joiden vuoksi yrityksen sähköpostijärjestelmä lähettää hyökkääjille automaattisesti kopiot kaikista kyseisten ihmisten sähköpostiviesteistä. Hyökkääjät ovat myös lähettäneet murtamiltaan käyttäjätileiltä uusia kohdennettuja kalastelu- ja huijausviestejä.”
Oma lukunsa ovat sitten viestit, jotka päätyvät väärien ihmisten sähköposteihin kun osoitetta ei tarkisteta vaan arvataan. Siinä ei ”viestin sisältö on luottamuksellista” -jälkikirjoituksista ole juuri iloa.
Tietokoneet ja tabletit
Antivirus- ja palomuuriohjelmistojen ajantasaisuus taitaa onneksi olla jo arkipäivää, mutta varsinkin selaimien kautta ui koneisiin silti edelleen jos jonkinlaista haittaohjelmaa. F-Secure on siksi tuonut markkinoille selauksen suojaamiseen tarkoitetun laajennusosan osana yritysten Computer Protection -ohjelmistopakettia. Se toimii toistaiseksi yleisimmissä selaimissa (Chrome, IE, Firefox, Safari) ja estää mm. virusten ja vakoiluohjelmien pääsyn koneeseesi.
Jos joudut käyttämään avoimia wifi-verkkoja työntekoon, VPN- eli virtual private network -yhteys kuten F-Securen Freedome VPN estää kaikkia ulkopuolisia tahoja – myös verkon järjestelmänvalvojia – seuraamasta mitä teet verkossa. Työmatkoilla mukana kulkevan koneen kovalevy on hyvä myös salata ja varmistaa kaikki tiedostot turvallisiin pilvipalveluihin mahdollisimman reaaliaikaisesti.
Seurauksena olisi ollut vähintäänkin rikostutkinta, todennäköisesti myös syytteitä.
Tulostimet ja monitoimilaitteet
Palataanpa alkuun, eli käyttäjän huolellisuuteen: eräässä tosielämän esimerkkitapauksessa yrityksen neuvottelutilojen wc:n oven vieressä olleessa tulostimessa lojui päällimmäisenä pörssitiedote, joka ei vielä ollut julkinen. Siinä se oli kenen tahansa talossa liikkuvan vieraan saatavilla – helppo napata mukaan ja käyttää tietoja vaikkapa sisäpiirikauppojen tekemiseen. Sellaisen seurauksena olisi ollut vähintäänkin rikostutkinta, todennäköisesti myös syytteitä.
Tulostimissa lojuvat paperit ovatkin yleisin paikka, josta arkaluontoista tietoa päätyy vääriin käsiin. Siksi on äärimmäisen tärkeää noutaa omat paperinsa yhteiskäytössä olevista verkkotulostimista – tai sitten päivittää laitteistonsa nykyaikaan.
Turvatulostus on tätä päivää ja tarkoittaa sitä, ettei vastaavassa tilanteessa paperitulosteita synny ennen kuin laitteeseen on syötetty salasana tai vilautettu sille henkilökohtaista tunnistuslaitetta.
Monitoimilaitteiden usb-portit ja protokollat ovat potentiaalisia hyökkäyskohteita, samoin laitteiden avoimeksi jätetyt verkot.
Tarkistathan myös, että laitteissasi on TPM (Trusted Platform Module) -siru käytössä ja aktivoituna siltä varalta, että laite katoaa. Tavallisen PC:n kiinto- tai SSD-levyn tietoihin pääsee vaivatta käsiksi esimerkiksi asentamalla kyseisen levyn toiseen koneeseen, TPM-sirun tuottama kryptaus estää sen.
Viidestoista ja viimeinen vinkkimme on, että kannattaa pohtia sekin, mihin skannatut asiakirjat ohjataan; haavoittuvaan sähköpostiin vaiko suoraan salattuihin pilvipalvelimiin.