Marskidata logo
Marskidata logo
Ota yhteyttä

Windows 11 julkaistiin 5.10.2021. Vanha viisaus kertoo, ettei uusia merkittävästi vanhasta muuttuneita ohjelmistoversioita eikä varsinkaan käyttöjärjestelmäversioita kannata asentaa heti. On olemassa riski, että kaikki hajoaa tai vähintään jotain sekoaa. Muinaisesta perimätiedosta vähät välittämättä eksyin päivittämään oman työvälineeni uuteen Windows 11 -käyttöjärjestelmään lokakuun puolivälin tienoilla, ensimmäisen uudelle käyttöjärjestelmälle julkaistun kuukausipäivityksen jälkeen. Nyt noin puoli vuotta päivityksen jälkeen… mikä kaikki meni metsään, vai menikö mikään? Minne tie vie?

Reissukokemuksia Windows 11 matkassa

Käyttöjärjestelmäpäivitys itsessään sujui sutjakkaasti. Täysin ongelmitta en ole selvinnyt, mutta loppujen lopuksi siirtymä on ollut yllättävän kivuton. Työnteon pysäyttäviä tai etenemistä merkittävästi hidastavia töyssyjä ei ole tullut eteen. Yhdessä laiteajurissa oli muistivuoto, mikä aiheutti ongelmia koneen ollessa pitkiä aikoja ilman uudelleenkäynnistystä tai sammutusta. Samoin resurssienhallinta kangerteli jonkin aikaa bugin takia, jolloin tiedostojen paikannus kesti pidempään kuin olisi toivottavaa. Nämä molemmat ongelmat ovat sittemmin korjaantuneet päivitysten myötä. Yhtenä Windows 11:n tuomana uutena ominaisuutena on ikkunoiden automaattinen siirto tutuille paikoilleen kytkettäessä laite takaisin telakkaan ja erillisiin näyttöihin. Eräs käyttämistäni sovelluksista ei toimi oikein tämän kanssa ja ikkunan sijainnin joutuu selvittämään käsipelissä, mikä vastaa normaalitilannetta aikaisemmissa Windowseissa. Melko vähällä päänvaivalla on siis selvitty.

Windows 11:n käyttöliittymä poikkeaa hieman totutusta, eikä se ole tehtäväpalkin tai aloitusvalikon osalta ainakaan toistaiseksi yhtä kattavasti muokattavissa kuin Windows 10:ssä. Se, koituuko tästä murhetta, riippuu käyttötarpeesta ja käyttäjän tottumuksista. Tehtäväpalkin kuvakkeet ovat oletusarvoisesti keskitettyjä eikä palkkia voi siirtää näytön laidoille tai yläosaan. Keskitetyt kuvakkeet vaativat hieman poisoppimista, koska varsinkin alussa kursori hakeutui vanhasta tottumuksesta vasempaan alakulmaan valikkoa hamuamaan. Kuvakkeet saa laitettua asetuksista takaisin palkin vasempaan laitaan, mutta päätin totutella uuteen oletusasetukseen. Mielestäni keskitetyt kuvakkeet ovat lopulta parempi vaihtoehto, koska ne ovat useimmiten lähempänä kursoria ja kohteeseen pääsy nopeutuu.

Aloitusvalikkoon mahtuu kerrallaan näkyviin 18 kpl kiinnitettyjä kuvakkeita, minkä olen kokenut riittäväksi. Suurempaa kuvakemäärää joutuu skrollaamaan. Harvemmin käynnistettävät sovellukset olen käynnistänyt haun kautta kuten ennenkin. Asetukset-sovellusta on myös uudistettu ja selkeytetty. Pääkategoriat ovat nyt allekkain vasemmassa laidassa ja tieto on aseteltu tiiviimmin, mutta silti kosketusnäyttöjä ajatellen toimivasti. Kaikki koneelle asennetut ohjelmistot ovat toimineet kuten kuuluu ja kaiken kaikkiaan töiden teko on sujunut siinä missä ennenkin.

Turvallista matkaa

Yhtenä merkittävistä Windows 11 eduista voidaan pitää sen tietoturvaominaisuuksia. Windows 10:n ”Secured-core PC” -konseptin viitoittama tie on otettu uudeksi pohjatasoksi Windows 11 suunnittelussa. Nämä uudet tietoturvaominaisuudet asettavat vaatimuksia laitteistolle. Kovimmat vaatimukset kohdistuvat tietokoneen prosessoriin, toisena yleisenä kompastuskivenä on ollut TPM 2.0 -turvapiiri (Trusted Platform Module).

TPM 2.0 -turvapiirin sisällyttäminen uusiin laitteisiin on ollut Microsoftin vaatimuksissa laitevalmistajille jo Windows 10:n julkaisusta alkaen. TPM:n kohdalla ongelmana onkin ollut yleensä se, että turvapiiri on ollut oletuksena pois käytöstä, jolloin W11-yhteensopivuus vaatii asetusmuutoksia laitteelle. Prosessorin suorituskyvyn osalta vaatimuksia nostavat virtualisointipohjaiset tietoturvaominaisuudet. Peukalosääntönä yli neljä vuotta vanhat laitteet Intel-prosessorilla tai yli kolme vuotta vanhat laitteet AMD-prosessorilla eivät ole yhteensopivia Windows 11:n kanssa.

Kyydistä tipahtaneet

Modernina digitaalisena työskentelytilana toimivan Microsoft Teamsin syvempi integraatio käyttöjärjestelmään ei valitettavasti ole vielä valmis. Nykyinen Electron-pohjainen Teams on korvautumassa Edge WebView2:n varaan rakennetulla Teams 2.0 -sovelluksella, mutta se ei vielä toimi yrityksen tai oppilaitoksen 365-tileillä. Samasta syystä Windows 11:n tehtäväpalkista löytyvään Teams Chat -sovellukseen kirjautuminen on toistaiseksi mahdollista vain kuluttaja-asiakkaille tarkoitettua Microsoft-tiliä käyttäen. Uudistuneen Teamsin julkaisu yrityskäyttäjille tapahtuu näillä näkymin kuluvan vuoden aikana. Sen julkaisuun asti on käytettävä nykyistä versiota.

Toinen odotettu mutta vielä julkaisematon ominaisuus on mahdollisuus suorittaa Amazon Appstoren kautta saatavilla olevia Android-sovelluksia Windowsin virtualisointiominaisuuksien avulla (Windows Subsystem for Android). Tämä uusi ominaisuus on tällä hetkellä julkisessa testivaiheessa Yhdysvalloissa. Tarkemmasta julkaisuajankohdasta ei vielä ole tietoa. Android-sovellusten käyttöä Windowsissa odottavien kannattaa myös huomioida se, että ominaisuuden hyödyntäminen vaatii laitteistolta enemmän kuin mitä Windows 11:n minimivaatimukset ovat.

Minne mennään?

Tie vie kohti pilveä. Jo Windows 11:n asennusvaihe on muuttumassa niin, että kone liitetään heti alkuunsa yrityksen domainiin, oli se sitten paikallisella palvelimella, palvelukumppanin konesalissa tai Microsoftin pilvessä. Tämä edellyttää, että laitteessa on oltava vähintään Windows 11 Pro -käyttöjärjestelmä. Useimmilla tämä on kunnossa, mutta ei kaikilla. Mikä tahansa ”Giganttikone” ei yksinkertaisesti sovellu.

Etenkin pienemmissä yrityksissä saatetaan edelleen käyttää paikallisia käyttäjätilejä koneelle kirjautumiseen, mutta paikallisista tileistä on tulossa uhanalainen laji. Niiden luonti on edelleen mahdollista, mutta näillä näkymin se on jatkossa työläämpää. Paikallisia tilejä käyttäessä myös ongelmat ja muutostarpeet tulevaisuudessa ovat todennäköisempiä, joten niistä luopumista päivittäisessä käytössä on alettava harkitsemaan. Jos omaa tai vuokrattua palvelinympäristöä ei ole, tulee Microsoft 365 -yrityslisensseistä lähes välttämättömiä jo pelkän laitteille kirjautumisen kannalta.

Useimmilla yrityksillä ja organisaatioilla on jo käytössään Microsoft 365 -palveluita, mutta niitä ei välttämättä vielä hyödynnetä täysimääräisesti. Tähän kannattaisi kuitenkin nyt kiinnittää huomiota, koska Windowsista sovelluksineen on tulossa yhä enemmän kurkistusikkuna pilveen: siellä pyörii niin yrityksen sisäinen kuin ulkoinen viestintä, pilvi on oletusarvoinen tietojen tallennuspaikka yrityksen datalle ja tärkeimmät päivittäiset työkalut ovat pilvipohjaisia. Tästä syystä perusteellisempi Microsoft 365 -tilien suojaus on oleellinen rakennuspalikka. Pilvitilin varjeleminen suojelee päivittäisen työnteon ydintä.

Opasta vailla?

Windows 10:n tuki loppuu 14.10.2025. Varsinaisia isoja päivitysprojekteja emme ole vielä tehneet, mutta Windows 11:sta on jo asennettu tuotantokäyttöön ja tullaan asentamaan yhä enemmän. Ilmaiselle Windows 11 -päivitykselle ei ole ilmoitettu takarajaa, mutta sellainen voi vielä tulla. Jos käytössänne on tuoreita Windows 10 -laitteita ja haluaisitte päivittää ne uuteen käyttöjärjestelmään, voimme kartoittaa tilanteen ja auttaa projektissa. Voimme myös olla tukena pilvisiirtymän suunnittelussa ja toteutuksessa niiltä osin kuin se on yrityksellänne vielä edessä. Kysyvä ei tieltä eksy.

Vaikka nyt käytössä olevia laitteita ei aikoisikaan päivittää uuteen Windowsiin, seuraavat laitehankinnat saattavat hyvinkin tuoda uuden käyttöjärjestelmän taloon ja sitä kautta tiukemman nivoutumisen Microsoftin pilvipalveluihin. Huolellisella suunnitellulla ja toteutuksella vältetään käyttäjätili- ja lisenssikaaos, turhat katkokset sekä yrityksen tietoturvan ajautuminen umpikujaan.

Pikaviestinten käyttö on helppoa, mutta niissä piilee myös riskejä. Pikaviestinsovelluksia käytetään laajasti monissa eri tilanteissa, niiden helppouden ja monesti maksuttomuuden takia. Asia on kuitenkin kaksiteräinen miekka ja taustalla piileekin ongelmia, joita moni ei ole tiedostanut. Vuoden 2019 alusta voimaan astunut kansallinen tietosuojalaki (1050/2018), monelle ehkä tuttavallisemmin GDPR-asetus, on asettanut aiempaa tiukempia vaatimuksia tietosuojaan.

Ja mitäs ne henkilötiedot olivatkaan? Tietosuojavaltuutetun toimisto tarjoaa oheisen listaa suuntaa antavaksi. Lista ei ole täydellinen, mutta siitä saa hyvän kuvan asiasta:

Henkilötiedoiksi luokitellaan mm:

Anonymisoiduilla tiedoilla tarkoitetaan sitä, että tiedot esimerkiksi muutettu tilastolliseen muotoon, josta henkilöitä tai yksittäisiä tietoja ei voida enää tunnistaa. Tiedot on myös mahdollista koodata, niin ettei tietoja saada auki ilman erillistä koodiavainta. Koodiavain tulee tällöin olla hallussa vain niillä henkilöillä, joilla on lupa tietojen salaus purkaa.

WhatsApp pikaviestinsovelluksen ongelmat

Tässä blogissa käsittelen erityisesti WhatsApp-pikaviestisovellukseen liittyviä ongelmia henkilötietoja käsiteltäessä, koska WhatsAppiin löytyy parikin varsin tuoretta tietosuojavaltuutetun käsittelemään tapausta. Vastaavia ongelmia liittyy varmasti useimpiin vastaaviin sovelluksiin, joiden käsittelystä saisi jo kirjan aikaiseksi.

Hyvä esimerkki WhatsAppiin liittyvistä ongelmista on tietosuojavaltuutetun päätös (Dnro 9024/181/19) 29.10.2021 koskien asiakkaiden henkilötietojen käsittelyä WhatsApp-pikaviestinsovelluksessa.

Tapauksessa siivousalan yritys oli käyttänyt vuotena 2019 ja aiemmin WhatsAppia asiakastietojen välittämiseen yrityksen työntekijöille. Välitettyihin tietoihin oli kuulunut esim. asiakkaiden nimet, osoitteet, puhelinnumerot, ovikoodit ja avainboksien numerot.

 Mikä siinä sitten on ongelmana?

WhatsAppin kaltaisia pikaviestinsovelluksia käytettäessä yritys ei pysty varmistamaan, että työntekijät työsuhteen päättyessä poistavat henkilötiedot hallussaan olevista puhelimista tai, että tietoja ei ole jäänyt sovelluksen varmuuskopioihin talteen. Sama koskee luonnollisesti myös yhdistyksiä ja julkishallintoa. Vääriin käsiin päätyessään osoitteiden, avainboksien ja ovikoodien tiedot voivat aiheuttaa sivulliselle selkeää haittaa.

Siivousalan yritys ei ollut informoitu asiakkaitaan WhatsApp-sovelluksen käytöstä. Yleinen tietosuoja-asetus asettaa vaatimuksen, jonka mukaan henkilötietojen rekisterinpitäjän (tässä tapauksessa siivousalan yritys) on informoitava, missä ja miten tietoja käsitellään. Tuohon henkilötietojen sijaintiin liittyen törmätään heti uuteen ongelmaan.

WhatsApp sovelluksen käyttö johtaa asiakkaan henkilötietojen siirtoon kolmansiin maihin, ml. Yhdysvaltoihin. Yhdysvaltojen sisäinen säännöstö mahdollistaa Yhdysvaltojen viranomaisten pääsyn EU:sta Yhdysvaltoihin siirrettyihin henkilötietoihin, mikä vaarantaa kansalliseen tietosuojalakiin perustuvaa henkilötietojen suojan tasoa.

WhatsApp-palvelun sovellusta käytettäessä sopimussuhde on yksityishenkilön ja Facebookin välillä. Yksityishenkilön kanssa tehtävään sopimukseen sisältyvät vastuunrajoituslausekkeet eivät ole lähtökohtaisesti yhteensopivia yrityskäytön kanssa.

WhatsApp-sovellusta hyödynnettäessä rekisterinpitäjällä ei ole myöskään keinoja valvoa, miten henkilötietoja palvelussa käytetään, tai asettaa muutoinkaan käytölle rajoituksia. Puhelimen katoamistilanteessa, puhelimeen pääsy mahdollistaa käytännössä myös WhatsApp-sovellukseen pääsyn.

Tässä kyseisessä tapauksessa siivousalan yritys selvisi tähän mennessä huomautuksella. Kuluksi jäi vain kaikki se ylimääräinen selvitystyö, jota yritys joutui tekemään välttyäkseen seuraamusmaksulta ja toki yrityksen oli muutettava omia toimintatapojaan, jotta se ei enää rikkoisi tietosuojalakia.

Tietosuoja-asiat on hyvä ottaa vakavasti, koska seuraamusmaksu tietosuojalain vaatimusten rikkomuksista voi olla pahimmillaan 4 % liikevaihdosta tai 20 miljoonaa euroa. Tapaus ei ole ainut laatuaan ja valitettavasti uskon vastaavia tapauksia ilmaantuvan jatkossa varmasti lisääkin.

Pari täsmävinkkiä tietosuojan kohentamiseen

MD Turva 365

Hyviä ratkaisuja näiden edellä mainittujen ongelmien taklaamiseen löytyy meiltä Marskidatalta useita. Kaikille ei samat toimi ja ratkaisut pyrimmekin määrittämään yhdessä asiakkaan kanssa niin, että ne tukevat nykyistä tekemistä. Henkilötietojen dokumenttien suojaamiseen löytyy meiltä mm. MD Turva 365 -palvelu, jonka avulla dokumentit voidaan luokitella dokumenttien sisällön mukaan. On mahdollista määrittää, ettei henkilötietoja sisältäviä dokumentteja pysty avaamaan kuin vain henkilöt, joilla on siihen lupa. MD Turva 365:sta voit lukea lisää Jounin kirjoittamasta blogista tai sitten ihan vaan kysymällä meiltä.

Microsoft Intune

Toinen toimivaksi havaittu ratkaisu on Microsoftin Intune-lisäpalvelu, jonka avulla käytettävät mobiililaitteet saadaan keskitettyyn hallintaan. Keskitetyn hallinnan kautta järjestelmänvalvoja voi varmistaa, että mobiililaitteet täyttävät yrityksen tietoturvavaatimukset ja tarvittaessa poistaa yrityksen data laitteesta, mahdollisen häviämis- tai varkaustapauksen sattuessa. Intunesta on Tomas kirjoitellut loistavan blogin, joka kannattaa myös lukea.

Monessa organisaatiossa on nimetty tietosuojavastaava, joka vastuulle kuuluu seurata, että organisaatio noudattaa tietosuojalakia sekä siihen liittyviä asetuksia. Jos toimit tietosuojavastaavana tai muuten vastaat samoista asioista olisi sinun hyvä:

Pöytä täynnä muistilappuja, eikä mitään hajua mihin asiaan ne liittyvät. Kuulostaako tutulta?

Tätä näkee paljon. Joillekin tapa voi olla tuttu ja turvallinen, ja toiset taas pysyvät tässä, kun paremmasta ei ole tietoa. Lapuilla saattaa olla salaista tietoa, salasanoja ja niin edelleen. Tässä piilee tietoturvariski, kun yksinkin henkilö, joka on liian kiinnostunut tai haittaa haluava, niin tämä tekee asian hänelle helpoksi. Nykyään, kun miltei kaikki asiat tehdään digitaalisesti, niin on hyvä tiedostaa, miten asiat kannattaa hoitaa.

Unohda muistilaput

Muistilaput siis pois viestintäkäytöstä ja organisaation sisäinen viestintä esimerkiksi Microsoft Teamsin kautta. Näin kaikesta jää varmasti jälki, ja myöskin nähdään, onko viestit luettu vastaanottajan toimesta. Tällöin saadaan jätettyä viesti välittömästi, vaikka vastaanottaja ei olisikaan kyseisellä hetkellä tavoitettavissa. Asia ei pääse silloin unohtumaan ja kaikesta jää jälki, mistä asian etenemistä voi seurata.

Microsoft Teams ei ole ainoa pikaviestintäsovellus maailmassa, mutta ainakin WhatsApp kannattaa unohtaa yrityksien viestinnässä.  Tästä enemmän tietoa seuraavaksi ilmestyvässä Henri Kurvisen blogissa.

Avokonttorit ovat nykyään yleisiä ja niissä kannattaa muistaa, että suullisesti kerrotuille asioille on paljon kuulevia korvia. Tämä voi olla etu, mutta myös haitta. Tietyt asiat on parempi käsitellä suljetussa tilassa tai sitten sähköisesti. Vaikka monesti olisi kiusaus mennä vain sanomaan kollegalle asia, niin kannattaa muistaa, että tästä ei jää jälkeä, ja asia saattaa unohtua vastaanottajalta. Kaikkia asioita ei saa edes kertoa niin, että asian ulkopuoliset kuulevat. Käsiteltävä asia voi olla salassapitosopimuksen alaista tietoa ja tällöin on oltava erittäin tarkka siitä, kuka sen kuulee. Tämä kannattaa myös pitää mielessä sähköpostiviestinnässä, kun järjestelmissä voi olla käytössä ryhmäosoitteita, mutta tällöin kannattaa miettiä, onhan kaikki ryhmän jäsenet oikeutettuja näkemään viestin sisältö. Tai muutenkin, onko niin sanottu tiedoksi viesti luottamuksellisista asioista aina tarpeen mukainen.

Tietoturvallinen viestintä_blogi1

Materiaalien oikeudet kohdilleen

Miten sitten yhteinen materiaaliarkisto, onhan sen oikeudet kohdillaan? Pääseekö joku käsiksi materiaaliin, mihin ei pitäisi olla oikeuksia ja vaikka olisi oikeudet, niin voi olla hyvä sulkea tietty materiaali uteliailta silmiltä. Ihmisiä on erilaisia, jotkin puhuvat hyvinkin luottamuksellisista asioista vapaasti ja toiset taas ovat todella tarkkoja näiden asioiden suhteen.

On tietenkin totta, että liika salailu ja ”korvaan kuiskiminen” pilaa työympäristöä. Eli tietyissä rajoissa oleva, avoin viestintä on kuitenkin suositeltua.

Suurin osa tietomurroista johtuu käyttäjistä

Ennen kaikkea on muistettava henkilöstön koulutus tietoturva-asioista. Mikäli käytössä on jonkinlainen tervetulokansio tai perehdytysopas intranetissä, niin siihen on hyvä liittää osio tietoturva-asioista. Tässä voidaan käsitellä esimerkiksi sitä, miten yrityksessä hoidetaan tietoturva-asiat ja miten toimitaan. Asiat on helpoin sisäistää alkuun, ennen kuin väärät työtavat pinttyvät käyttöön ja kukaan ei voi ainakaan vedota ”kukaan ei kertonut, että täällä toimitaan näin”. Suurin osa tietomurroista johtuu käyttäjän tekemästä virheestä.

Dokumenttien luokittelu ja salatut sähköpostit

Nykyään on mahdollista myös pakottaa tietyt käytännöt tietokoneille/mobiililaitteille keskitetysti. Tällä saadaan esim. vaatimusten mukainen pääsykoodi laitteelle. Tämänkin pitäisi nykypäivänä olla oletuksena kaikilla päällä, kun puhelimissa on pankkisovelluksista lähtien kaikenlaista, mutta näin ei kuitenkaan aina ole. Microsoft 365 palvelut mahdollistavat myös dokumenttien luokittelun sekä tietojen vuotamisen estämiskäytännöt. Mikäli dokumentit on luokiteltu esimerkiksi sisäiseksi, niin silloin yrityksen ulkopuoliset eivät voi avata niitä. Tämä lisää dokumenteille tunnisteen, mikä vaatii niiden avaamiseen yrityksen sisäisen Microsoft 365-tilin. Luokittelu olisi varsin hyvä tehdä niille dokumenteille, mitkä ovat salassapitosopimuksen alaisia. Tällä varmistetaan, ettei luvattomat pääse avaamaan niitä. Käytännön voi tehdä myös niin, että dokumentin voi avata vain tietyt henkilöt, esimerkiksi vain sähköpostin vastaanottaja. Tietojen vuotamisen estämiskäytännöt taas tarttuvat tiettyihin muotoihin tekstissä. Mikäli tekstissä on esimerkiksi Suomen sosiaaliturvatunnuksen muotoinen teksti xxxxxx-xxxx niin tähän voidaan tarttua halutulla tavalla. Voidaan joko tiedottaa henkilökuntaa, että laitoit tämänlaista tietoa, ja oliko tämä tarkoituksellista tai sitten voidaan kokonaan estää toiminto.

Tietyt asiat pitäisi muistaa laittaa salattuna sähköpostina. Mikäli sähköposti sisältää arkaluontoista tietoa kuten henkilötietoja, palkkatietoja, pankkitietoja ja niin edelleen niin tällöin viesti tulisi lähettää salattuna. Kannattaa muistaa, että tätä edellyttää myös lainsäädäntö.

Uusi sähköposti – Epäile aina vähän

Sähköpostiin tuleviin viesteihin kannattaa suhtautua aina vähän epäillen. Mikäli yhtään epäilyttää, niin kannattaa kysyä lähettäjältä varmennus ”onhan varmasti näin?. Lähettäjänä saattaa näkyä tuttu henkilö, mutta viesti ei kuitenkaan ole tullut häneltä. Varsinkin väärennetyt laskut ja SharePointin niin sanottu jaettu materiaali ovat yleisiä esimerkkejä tästä. Syötät tunnukset sähköpostissa saapuneeseen linkkiin ja ihmettelet, että auenneella sivulla ei ole mitään järkevää ja asia unohtuu saman tien. Rikolliset saavat sitten käyttäjän tunnukset haltuun ja lähettävät huijausviestin seuraavalle käyttäjän nimissä. Näin sama rutiini jatkuu ja jatkuu.

Myös kyseenalaisen tiedoston lataus saattaa päästää haittaohjelman tekemään tuhoja koneelle ja tämän poistamisesta saadaan 100 % varmuus vain koneen täydellä tyhjennyksellä, mikä ei ole ihan pieni operaatio. Tätä voidaan kyllä lieventää, mikäli käyttäjällä ei ole järjestelmänvalvojan oikeuksia koneeseen ja vaikka olisi, niin voi olla hyvä käyttää konetta pienemmillä oikeuksilla ja vain tarpeen mukaan syöttää järjestelmänvalvojan tunnukset asennuksien yhteydessä. Tällöin tunnuskysely pistää miettimään, että onko varmasti tekemässä jotain, mitä tarvitsee, vai voiko kyseessä ollakin haittaohjelma.

Uusien käytäntöjen käyttöönotto aiheuttaa varmasti muutosvastarintaa osassa työntekijöistä, mutta näin käy yleensä kaikessa pinttyneiden työtapojen muutoksessa. Hetki menee ja uudet työtavat on sisäistetty ja asiat ovat taas paljon paremmin. Marskidata pystyy auttamaan teitä näiden asioiden käyttöönotossa ja koulutuksessa, mutta tahto näiden läpivientiin on tultava yritysten omalta henkilöstöltä.

Tulevalle vuodelle 2022 on povattu, että kyberhyökkäykset jatkavat kasvuaan. Rikolliset tekevät kohdennettuja hyökkäyksiä yrityksien tärkeimpiin yksiköihin horjuttamalla konsernien toimitusketjua ja tällä tavalla saavat suuriakin vahinkoja aikaiseksi. Monesti kyberhyökkäykset on kohdennettu organisaatioiden ylimpään johtoon, mutta lisääntyvässä määrin hyökkäysketjua on nyt laajennettu usein koko yrityksen laajuiseksi. Tällä tavalla saadaan isommalla otolla, se heikoin linkki organisaation sisältä, esimerkiksi klikkaamaan haitallista kalasteluviestiä.

Etätyöskentelijät ja varsinkin tietoteknisesti kokemattomammat henkilöt ovat päivittäin helpommin alttiina kaikenlaiselle kyberrikollisuudelle ja he ovat näin ollen myös helposti lähestyttäviä uhreja. Onkin erittäin tärkeää, että työskentelyvälineet ovat ajan tasalla sekä virtuaaliuhkia ja fyysisiä hyökkäyksiä vastaan.

Lisäksi lunnasvaatimusten määrät ovat koko ajan nousussa ja näin ollen niihin liittyy vahvasti kovassa kasvussa olevat kryptovaluutat. Kryptovaluuttaliikennettä on käytännössä mahdoton jäljittää ja tästä johtuen se onkin rikollisten suosima valuutta.

Koronapandemian varjolla on myös luotu valeuutisia ja -kampanjoita, joiden avulla on päästy kalastelemaan loppukäyttäjältä arkaluontoista tietoa. Tämän kaltainen rikollinen toiminta on tilastollisesti katsottu olevan seuraavien vuosien ajan kovemmassa nosteessa. Onkin erittäin tärkeää olla tietoinen siitä, minkälaiselle sivustolle tietoja itsestään kirjoittelee.

Vastaisku rikollisuutta vastaan

Turvallisen työskentelyn takaamiseksi olen kasannut muutamia ajatuksia siitä, miten kyberrikollisuutta vastaan voidaan varautua ja miten organisaation kannattaisi sisäisesti tietoturvalliseen työskentely-ympäristöön riittävällä vakavuudella suhtautua.

Työkoneissa on pidettävä viimeisimmät tietoturvapäivitykset ajantasaisina

Oli työkoneen käyttöjärjestelmä sitten Windows, Linux tai MacOS niin tietoturvauhkien torppaamiseksi se on pidettävänä ajan tasalla. Käyttöjärjestelmäpäivitykset tai tietoturvapäivitykset on suunniteltu tai tehty korjaamaan tietoturva-aukkoja. Päivitykset voidaan automatisoida taustaprosessiksi niin, että loppukäyttäjä ei huomaa koneensa päivittyvän, eikä näin ollen päivitykset myöskään haittaa työarkea. Päivityskäytänteiden automatisointiin voidaan käyttää esimerkiksi Microsoft Intunea tai Solarwinds N-Central -valvontakomponenttia.

Laitteet on suojattava asianmukaisilla virustorjuntasovelluksilla

Nykyaikaiset haittaohjelmat ovat toinen toistaan monimutkaisempia toteutuksia ja näin ollen myös hankalampia pitää loitolla. Työkoneisiin on hyvä ottaa perinteisen virustorjuntaohjelmiston lisäksi käyttöön ”uuden sukupolven” tietoturvaominaisuuksia, kuten ransomware ja kryptologger hyökkäyksien esto. Näillä hyökkäysmetodeilla käytännössä kyberrikolliset pääsevät lukitsemaan eli kryptaamaan ohjelmallisesti käyttäjän kiintolevyn ja yleensä maksamalla kryptovaluuttoja lunnaina koneen saa auki.

Myös Internetselaimen käyttö pystytään suojaamaan tietoturvaohjelmistojen avulla

Tämä tuo suojaa selaimen istunnon (mm. pankkiyhteyksien) ajan tai ohjelmisto jo itsessään estää haitallisille sivustoille pääsyn. Suojattu selainistunto tarkastetaan niin, että käyttö on sallittua ja turvallista peilaten tietoturvapolitiikoihin ja suojausasetuksiin.

Suojattujen VPN-yhteyksien avulla etäkonttorityöskentelijät saadaan yhdistettyä turvallisesti yrityksen tiedosto- ja palvelinresursseihin

VPN-yhteyksiin voidaan tuoda lisäsuojaa esimerkiksi erillisillä sertifikaateilla ja tiukoilla tunnuskäytänteillä. Etätyöskentelijöille etäyhteyksien käyttö ja tarkoitus tulee kouluttaa, jotta pelisäännöt ovat kaikille selvät ja näin ollen turvallinen työskentely-ympäristö on varmistettu koko organisaation laajuisesti.

Salattua sekä suojattua sähköpostiliikennettä tulisi myös suosia ja ottaa mahdollisimman nopeasti asetukset käyttöön

Riskejä on huomattavissa silloin, kun käyttäjän sähköpostissa käsitellään henkilöille kohdennettua tai arkaluontoista sisältöä. Sähköpostia lähetettäessä on hyvä pitää mielessä, ettei sisällytä viestiin esimerkiksi henkilöturvatunnuksia tai pankkitietoja. Sähköpostiviestin sisältöön pystytään ottamaan kantaa, esimerkiksi usealla organisaatiolla käytössä olevan Microsoft 365 -sähköpostijärjestelmän tietoturvapolitiikkojen avulla, ja huomauttaa käyttäjää arkaluontoisesta viestisisällöstä tai vastaavasti estää viestin lähetys.

Tietokoneet ja mobiililaitteet on hyvä pitää laitehallinnan piirissä

Laitehallinnalla yrityksen työlaitteisiin määritellään kohdennetusti yrityksen tietoturvapolitiikat sekä sallitut sovellukset, joita loppukäyttäjät voivat turvallisesti laitteisiinsa asentaa. Yrityksen laitteiksi voidaan luokitella perinteiset kannettavat tietokoneet kuin mobiililaitteetkin. Mobiililaitteissa hoidetaan tänä päivänä lähes yhtä paljon henkilökohtaisia asioita kuten pankkiasiat ja maksaminen, joten näiden laitteiden suojausta ei pidä missään nimessä unohtaa.

Laitehallinnan kaltaisessa suojauskerroksessa työlaitteen saastuessa tai tietoturvapolitiikan havaitessa poikkeuksia työkone estetään pois yrityksen resursseista. Esimerkiksi tilanteessa, jossa työkone saastuu, estetään samalla hetkellä pääsy sähköpostijärjestelmiin ja yrityksen verkkoresursseihin.

Tietoturvapolitiikkaa on työstettävä ja pidettävä ajantasaisena

Politiikat on mietitty yrityksen käyttöön sopivaksi sekä tietoturvakäytänteiden ja niiden koulutukset on hyvä järjestää säännöllisin väliajoin yrityksessä sisäisesti, jolloin toimintamallit ja pelisäännöt ovat kaikille selvät. Asetukset ja politiikat olisi hyvä miettiä organisaation sisällä eri osastojen välillä, että saavutetaan mahdollisimman paras kattavuus tietoturvan ehdoilla.

Tietoturvatietous yrityksessä

Nykypäivänä on mahdollista rakentaa asianmukaisilla tietoturva-asetuksilla ja ohjelmistoilla usean kerroksen suojausta loppukäyttäjän turvaksi niin konttorille kuin etätyöpisteisiin. Tilanne, jossa loppukäyttäjän ymmärrys saadaan aukottomaksi esimerkiksi kalasteluviestistä ja siihen vastaamisesta on varmasti haasteellista, koska tänä päivänä nuo kalasteluviestit on tehty hankalaksi jopa asiantuntijoiden havaita. Koulutukset ja organisaation sisäinen viestintä on näistä syistä isossa roolissa tietoturvatietouden säilyttämiseksi.

Tietoturvaa on siis hyvä miettiä ja pitää se mukana koko ajan yrityksen arjessa ja kehitysprojekteissa. Tällä tavalla päästään varmasti parhaaseen mahdolliseen tietoturvalliseen työskentely-ympäristöön organisaation laajuisesti.

Tässä blogissa jaan pähkinänkuoressa perusneuvoja tietoturvalliseen touhuiluun maalla, merellä ja pilvessä.

Salasanat

Hyvä salasana on riittävän pitkä (yli 12 merkkiä) ja monimutkainen. Paremminkin voisi puhua jopa salalauseesta, kuin sanasta. Salalause on vaikeampi arvata, jos siinä käytetään yksittäisten sanojen sijaan kokonaista lausetta, erikokoisia kirjaimia sekä erikoismerkkejä ja numeroita. Samaa salalausetta ei pidä missään nimessä käyttää useissa eri palveluissa, eikä sitä tule ottaa tunnetusta sanonnasta tai esimerkiksi musiikkikappaleesta. Käytä aina yhtä salasanaa tai salalausetta vain yhdessä palvelussa. Kunnollisten salasanojen muistaminen eri palveluihin on mahdotonta, joten ota siis käyttöösi salasanojen hallintaohjelma.

Monivaiheinen tunnistautuminen

Sähköinen tunnistaminen perustuu kolmeen asiaan:

  1. Jotain, mitä tiedän (esim. salasana)
  2. Jotakin mitä omistan (esim. matkapuhelimeen lähetettävä muuttuva koodi, kuten mobiilivarmenne-pyyntö)
  3. Jotakin mitä olen (esim. sormenjälki tai muu käyttäjän yksilöivä ominaisuus)

Näistä kahden kolmesta todennustavasta on toteuduttava, jotta tunnistus on riittävä. Ottamalla käyttöön kaksi- tai monivaiheisen tunnistautumisen (MFA, multi-factor authentication/monimenetelmätunnistautuminen) sähköpostissasi ja sosiaalisen median tileissäsi teet tiliesi varastamisesta huomattavasti vaikeampaa. Selvitä myös, kuinka saat tilit taas käyttöösi, jos ne onnistutaan varastamaan suojaustoimista huolimatta.

Tietojenkalastelu ja haittaohjelmat

Sähköposti voi sisältää haittaohjelmia ja haitallisia linkkejä. Haitallisia linkkejä liikkuu myös sosiaalisessa mediassa ja tavallisilla internetsivustoilla. Niitä levitetään myös tekstiviesteillä. Lisäksi verkkosivujen selaajia yritetään saada klikkaamaan erilaisia ponnahdusikkunoita, joiden kautta omalle tietokoneelle tai mobiililaitteelle voi saada haittaohjelman. Hakukoneiden käyttäminen esimerkiksi pankkipalveluihin kirjautumiseen ei kannata, tuloksissa voi olla ostettuja huijaussivustoja. Varminta on kirjoittaa suoraan osoiteriville esimerkiksi https://pankinnimi.fi.

Jos et ole varma vastaanottamasi viestin lähettäjästä tai sen sisällöstä, varmista asia vaikkapa soittamalla viestin lähettäjälle. Tietojenkalasteluviestit näyttävät tulevan yleensä henkilöltä tai organisaatiolta, jonka tiedät tai tunnet. Viestit jäljittelevät oikeiden organisaatioiden ulkoasua, esimerkiksi logoa, jotta viesti olisi mahdollisimman todentuntuinen.

Rikollisen on myös mahdollista käyttää murtamansa toisen käyttäjän tiliä. Tällöin viestit saattavat tulla suoraan tuntemasi henkilön tai organisaation sähköpostista. Haitallisia linkkejä liikkuu sähköpostin lisäksi myös sosiaalisessa mediassa ja internetsivustoilla. Niitä saatetaan levittää myös tekstiviesteillä ja erilaisten pikaviestimien kautta. Jos epäilet linkin aitoutta, älä klikkaa, äläkä kirjaudu linkin osoittamaan palveluun.

Jos jokin tarjous kuulostaa liian hyvältä ollakseen totta, se on todennäköisesti huijaus. Yksikään vastuullinen henkilö, yritys tai viranomainen ei kysy esimerkiksi salasanojasi tai pankkitunnuksiasi puhelimitse tai sähköpostilla. Terve epäluulo on vain hyvästä.

Varmuuskopiointi

Varmuuskopioi tärkeimmät tietosi ja valokuvasi esimerkiksi fyysisesti verkosta irti olevalle kiintolevylle, ettei mahdollinen kiristyshaittaohjelma tee myös varmuuskopioistasi käyttökelvottomia. Sopivaan pilvivarmistuspalveluun kannattaa myös satsata. Tällöin tietosi eivät häviä täysin, vaikka alkuperäisille tallenteille kävisi huonosti. Varmuuskopioista palauttamisen testaaminen kannattaa tehdä säännöllisesti, esimerkiksi neljännesvuosittain. Näin varmistut, että varmuuskopioiden palauttaminen onnistuu.

Huolehdi, että kannettava tietokoneesi ja mobiililaitteesi eivät katoa matkalla. Jos käytät USB-muisteja tallentamiseen, laita niihin Bitlocker-salaus päälle. Tikun kadotessa se ei paljasta tietojaan ilman salasanaa. Älä silti jätä laitteitasi valvomatta. Vieraista USB-tikuista ja muista muistilaitteista voit saada haittaohjelmia laitteisiin tai niistä voidaan kopioida tiedostoja.

Verkkoturvallisuus

Hotellien ja julkisten paikkojen langattomat internetyhteydet (WLAN-verkot) voivat aiheuttaa tietoturvariskejä. Avoimia langattomia verkkoja on helppo salakuunnella, ja erilaiset väliintulohyökkäykset (esimerkiksi valetukiasema, joka näyttäytyy hotellin vierasverkkona) paljastavat internetselailun hyökkääjälle.

Kaikista varminta on käyttää mobiililaajakaistaa, joko matkapuhelimesta jaettuna wifi-hotspottina tai suoraan kannettavan sisäänrakennettua mobiililaajakaistaa käyttäen. Jos tähän ei ole mahdollisuutta, voit käyttää VPN-sovellusta (esimerkiksi F-Securen Freedome), joka luo suojatun yhteyden palveluntarjoajan liittymään, olit sitten kotimaassa tai ulkomailla.

Laiteturvallisuus

Päivitykset tulee asentaa viipymättä laitteisiin, järjestelmiin ja ohjelmistoihin, haavoittuvuuksien hyväksikäyttö on todella nopeaa. Esimerkiksi kodin internetreititin jää helposti päivittämättä oman onnensa nojaan, laitteissa olevia haavoittuvuuksia on usein hyödynnetty palvelunestohyökkäyksiin.

Jos tarvitset apua tietoturvahaasteisiin, me marskilaiset olemme apunasi!

Marskidata logo

Marskidata Oy

Laskutustiedot
Laskutustiedot
Laskutustiedot
Laskutustiedot
chevron-down