Marskidata logo
Marskidata logo
Ota yhteyttä

Tietoturvahyökkäykset ovat yhä yleisempiä ja vakavampia uhkia yrityksille tänä päivänä.

Usein tietoturvaloukkaukset johtuvat henkilöstön inhimillisistä virheistä, kuten huolimattomuudesta, tietämättömyydestä tai huijatuksi tulemisesta.

Tyypillisimpiä kyberuhkia ovat:

Lue täältä kuinka luot turvallisen salasanan: Salasanojen historiaa ja nykypäivää: Näin luot tietoturvallisen salasanan - Marskidata

Lue täältä vinkit MFA:n käyttöönottoon: Monivaiheinen tunnistautuminen, eli MFA - Marskidata

Mutta onko henkilöstön tietoturvakoulutus taloudellisesti kannattavaa? Tässä kysymys, jonka pohtimiseen kannattaa käyttää hieman enemmänkin aikaa, joskus nimittäin saattaa tulla mieleen sellainenkin ajatus, että henkilöstön kouluttaminen on pelkästään kuluerä, joka ei juurikaan tuo rahaa kassaan. 

Todellisuudessa asia onkin nimittäin juuri päinvastoin, koulutuksen avulla voidaan vähentää tietoturvaloukkauksista aiheutuvia kustannuksia ja menetyksiä, joita ovat mm.

Tietoturvakoulutuksen tärkeyttä ei todellakaan pidä aliarvioida, sillä tietoturvariskit ovat jatkuvasti muuttuvia ja kehittyviä.

Koulutus auttaa henkilökuntaa myös ymmärtämään tietoturvan merkityksen ja sen vaikutukset yrityksen toimintaan, sekä tunnistamaan sosiaalisen manipulaation yrityksiä, kuten huijausviestejä ja tietojenkalastelusähköposteja.

Koulutus on siis investointi, joka tuo yritykselle säästöjä ja hyötyjä pitkällä aikavälillä.

Attack Simulation Training

Hyökkäyssimulaatiokoulutuksemme on yrityksille hyödyllinen ja helppo tapa parantaa henkilökunnan tietoturvaosaamista ja –suojautumista kyberhyökkäyksiä vastaan.

Koulutus suunnitellaan aina etukäteen yhdessä asiakkaan kanssa. Valitaan heidän tarpeisiinsa parhaiten sopivat menetelmät sekä sovitaan aikataulusta.

Koulutuksessa käyttäjille lähetetään sähköpostilla toden tuntuisia kalasteluviestejä, joita tänä päivänä muutoinkin saadaan lähes päivittäin. Viesteissä käyttäjää voidaan pyytää tilaamaan esim. seuraavan kuukauden virike- ja lounasetuudet tiettyyn päivämäärään mennessä mukana olevasta linkistä, kysellään osallistumista firman kesäjuhliin tai voidaan pyytää vaihtamaan vanhenevaa järjestelmän salasanaa

Kaikkiin viesteihin tehdään tarkoituksella pieniä virheitä, jolloin käyttäjillä on mahdollisuus havaita viestin olevan kalasteluviesti.

Päätöspalaverissa käydään läpi loppuraportti, josta selviää tarkemmin, miten viesteihin on reagoitu ja minkä verran kalastelulinkkejä on avattu, salasanoja syötetty sekä tunnuksia annettu kirjautumalla eri järjestelmiin.

Tämän jälkeen sovitaan mahdollisista jatkotoimenpiteistä ja lisäkoulutustarpeista.

Miten hyökkäyssimulaatiokoulutus tapahtuu?

Hyökkäyssimulaatiokoulutus on turvallinen ja helppo tapa selvittää henkilöstön valmiudet tietojenkalasteluhyökkäyksiä vastaan ja samalla saadaan lisätietoa mahdollisista lisäkoulutustarpeista sekä voidaan tarvittaessa tehdä tarkennuksia nykyiseen tietoturvaohjeistukseen ja tietoturvakäytäntöihin.   

Hyökkäyssimulaation menetelmiä ovat mm.

  1. Käyttäjätietojen kerääminen, jossa tavoitteena on, että käyttäjä antaa käyttäjänimen ja salasanan.  
  2. Haittaohjelmaliite, jossa tavoitteena on, että käyttäjä avaa haittaohjelman sisältävän liitteen
  3. Linkki haittaohjelmaan, jossa tavoitteena on, että käyttäjä avaa haittaohjelman sisältävän linkin
  4. URL-osoite, jossa tavoitteena on, että käyttäjä klikkaa väärennettyä URL-osoitetta ja lataamaan haittaohjelmia tai antamaan henkilökohtaisia tietoja.

Hyökkäyssimulaatiokoulutus voidaan tehdä kertaluonteisesti, jolloin saadaan tilannekuva yrityksen sen hetkisestä osaamistilanteesta.

Tietoturvan jatkuvuuden kannalta, suositeltavampi vaihtoehto olisi järjestää koulutus säännöllisesti 2–4 kertaa vuodessa, jolloin päästään seuraamaan pidemmällä aikavälillä henkilöstön tietoturvaosaamisen karttumista sekä taitojen kehittymistä tietoturvauhkien tunnistamisessa.

Mitä yritys hyötyy koulutuksesta?

Hyökkäyssimulaatiokoulutuksen hyödyt:

Attack simulation training auttaa siis suojaamaan yritystäsi paremmin kyberhyökkäyksiltä ja lisäämään henkilöstösi tietoturvaosaamista.

Kenelle palvelu sopii?

Palvelu sopii kaikille organisaatioille, jotka haluavat parantaa kyberturvallisuuttaan sekä kehittää henkilöstön taitoja ja osaamista kyberuhkien torjunnassa.

Tietoturvakoulutusta saa nyt helposti.

Tietoturva on tärkeä osa yritysten kokonaisturvallisuutta ja riskienhallintaa. Usein ihminen onkin tietoturvan heikoin lenkki. Kun käyttäjät tunnistavat potentiaaliset uhat, voivat he omilla toimenpiteillään vähentää riskiä joutua nettirikollisten uhriksi.

Voimme järjestää yrityksellenne räätälöidyn koulutuksen, jossa käymme tietoturva-asioita läpi käytännönläheisten esimerkkien kautta. Tämän jälkeen voimme tarvittaessa testata, miten oppi on mennyt organisaatiossanne perille.

Henkilöstön koulutuksen lisäksi tietoturvakartoitus teidän ympäristöönne? Lue lisää: Tietoturvakartoitus teidän ympäristöönne - MD M365 Health Check - Marskidata

Laita meille viestiä alla olevan lomakkeen kautta ja aloitetaan!

Moni on varmaankin kuullut viime aikoina yhä enenevissä määrin puhuttavan NIS2 -direktiivistä, joka astui alun perin voimaan 14.12.2022. NIS2-direktiivi on Euroopan unionin uusi kyberturvallisuusdirektiivi, joka koskee kaikkia kriittisten toimialojen toimijoita, jotka työllistävät vähintään 50 henkilöä ja joilla on yli 10 miljoonan euron liikevaihto. Yli 250 henkilön organisaatiot kuuluvat automaattisesti NIS2:n soveltamisalaan. Käytännössä NIS2-direktiivi ulottuu myös pienempiin yrityksiin, jos ne toimivat alihankintaketjussa NIS2:en kuuluvien yritysten kanssa. EU-maiden on saatettava NIS2-direktiivi osaksi kansallista lainsäädäntöä 17.10.2024 mennessä ja 18.10.2024 alkaa virallisesti NIS2-direktiivin soveltaminen jäsenmaissa.

NIS2 lyhenne tulee sanoista "The Directive on Security of Network and Information Systems"

NIS2:n tarkoituksena on vastata nykypäivän muuttuneeseen kybertoimintaympäristöön ja parantaa vaadittavilla toimilla koko EU:n turvallisuudentasoa. Samalla NIS2 korvaa aiemman NIS1-direktiivin laajentaen huomattavasti sen vaatimuksia ja soveltamisalaa. NIS1-direktiivi jäi valitettavasti uutisoinnissa (2016) GDPR-tietosuoja-asetuksen jalkoihin, koska ihmisiä kiinnosti selvästi enemmän, mitä tietoja heistä yksilöinä kerätään ja miten näitä tietoja käytetään. Lisäksi kyberturvahaasteet olivat vielä tuolloin moninkertaisesti nykyhetkeä pienemmät.

NIS2:n yksi tavoite on mm. selkiyttää ja resursoida entistä paremmin yritysten tietoturvastrategioita, ja tätä kautta direktiivi onkin enemmän mahdollisuus kuin uhka myös yrityksille itselleen.

NIS2 Good to Know:

Keitä NIS2 koskettaa?

Direktiivi koskee valtion toiminnan kannalta kriittisillä toimialoilla toimivia vähintään keskisuuria organisaatioita. Kriittiset toimialat on jaoteltu kahteen erilliseen ryhmään seuraavasti:

Erittäin kriittiset toimialat:

Kriittiset toimialat:

NIS2 velvoitteet ja -sanktiot

Koska NIS2-direktiivi velvoittaa entistä enemmän suoraan yritysjohtoa, on tavoitteissa mahdollistaa tätä kautta enemmän resursseja toteuttamaan velvoitteita.

NIS2 velvoitteet edellyttävät selkeiden roolien ja vastuiden määrittelyä kyberturvallisuuteen liittyen. Yrityksen ylin hallintoelin on pidettävä ajan tasalla tietoturvaan liittyvästä suorituskyvystä, tärkeistä kehitysaskeleista ja muutoksista organisaation kyberturvallisuusympäristössä. Tehokas hallinto voi esimerkiksi edellyttää riippumattomien arviointien tai kyberturvallisuustasoon liittyvien auditointien tilaamista.

Henkilösanktiot

Toisin kuin NIS1:ssa, NIS2:ssa yritysten hallintoelimet ovat henkilökohtaisesti vastuussa organisaation kyberturvallisuuden mahdollisista rikkomuksista. Tästä käytetään termiä ”management bodies”. Suomessa tämä tulee todennäköisesti tarkoittamaan yrityksen johtajia tai hallitusta, perustuen siihen, miten ja millä sanoilla se meillä kirjataan direktiiviin. Näin pyritään varmistamaan NIS2-direktiivin velvoitteiden noudattaminen. Tietyissä tilanteissa ”management bodies” -henkilöt voidaan väliaikaisesti kieltää hoitamasta johtotehtäviään.

Taloudelliset sanktiot

Sanktiot velvoitteiden laiminlyönnistä voivat olla kriittisillä toimijoilla jopa 10 miljoonaa euroa tai 2 % toimijan vuosittaisesta maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi edellisistä määristä on suurempi. Kriittisellä toimijalla samat sanktiot ovat 7 miljoonaa euroa tai 1,4 % liikevaihdosta. Kansallisesti maksimisanktio voidaan säätää myös tätä suuremmaksi.

Miten Marskidata voi auttaa?

Kuten jo blogissa sivuttiinkin, NIS2-direktiivi sisältää useita velvoitteita ja teknisiä vaatimuksia.  Lisäksi se vaatii asiaan perehtymistä niin teknisiltä henkilöiltä, kuin yritysjohdoltakin. Moniulotteisuutensa vuoksi NIS2:en haltuunotto saattaa olla haastavaa, esimerkkinä tekniset toimenpiteet, kuten haavoittuvuuksien hallinta ja kyberhyökkäyksien havaitseminen ajoissa. Nämä konkreettiset toimenpiteet kuitenkin palvelevat parhaiten NIS2:en vaatimuksia ja yritystä itseään tulevaisuudessa.

Suosittelemmekin aloittamaan riskienhallintalain vaikutusten selvittämisen ja tarvittavien toimenpiteiden toteuttamisen mahdollisimman nopeasti. Kevään tehtäviä voisi olla esimerkiksi nimetä roolit, aloittaa ympäristön nykytilan kartoitus sekä -peilaus direktiiviä vasten. Kesälle ja alkusyksylle jäisi tehtäväksi mm. puuttuvat hallintatoimenpiteet (hallinnolliset sekä tekniset), koulutukset ja raportointi. Katso kuvasta kuinka NIS2 kannattaa ottaa järjestelmällisesti haltuun.

NIS2 haltuunoton aikajana. Klikkaa kuva isommaksi.

Me Marskidatalla autamme mielellämme organisaatiotasi matkalla NIS2-direktiivin vaatimusten noudattamiseen. Autamme halutessanne selvittämään, kuuluuko organisaationne uuden sääntelyn soveltamisalaan, suunnittelemme tarvittaessa organisaatiollenne tietoturvapolun toimenpiteiden vaatimusten täyttämiseksi, tarjoamme yhdessä yhteistyökumppanimme kanssa tehokkaan työvälineen tietoturvan dokumentointiin ja –raportointiin, sekä annamme teidän liiketoiminnallenne lisäarvoa laajan tieto- ja kyberturvaosaamisen, sekä käytännön esimerkkien myötä. Ota yhteyttä niin aloitetaan!

Lähiviikkoina julkaisemme blogin, jossa kerromme tarkemmin riskienhallinnassa avustavista teknisistä ratkaisuista esimerkein. Olethan yhteydessä, mikäli tarvitset asiantuntemustamme. Alkutoimenpiteiden aika on viimeistään NYT.

Viime aikoina on ollut paljon uutisia tietomurroista ja kalasteluviestikampanjoista. Askarruttaako sinuakin, kuinka voit suojata tilisi paremmin näiltä? Tässä blogissa kerron MFA:sta, keinosta, jolla voit suojata tilisi tietovarkailta.

Internetpalveluihin kirjauduttaessa käyttäjän henkilöllisyys vahvistetaan perinteisesti käyttäjätunnuksen ja salasanan avulla. Tämä tarkoittaa sitä, että käyttäjän on osoitettava palvelulle olevansa se henkilö, joka hän väittää olevansa. Käyttäjätunnuksen ja salasanan käyttö ei kuitenkaan ole ihanteellinen tapa suorittaa todennus. Käyttäjätunnuksen (varsinkin työhön liittyvissä palveluissa) arvaaminen on helppoa, erityisesti kun käyttäjätunnus on usein henkilön sähköpostiosoite. Lisäksi käyttäjät voivat valita helposti muistettavan salasanan, jota käyttävät useilla eri palveluilla, kuten klassinen Salasana1 tai Salasana1!.

Salasanojen "kierrättäminen" ei ole suositeltavaa, koska jos salasana vuotaa yhdestä palvelusta, muut henkilöt kuin sinä voivat käyttää sitä yrittäessään kirjautua muihin palveluihin. He käyttävät yhdestä paikasta vuotanutta käyttäjätunnusta ja salasanaa, ja kokeilevat onneaan, josko ne avaisivat pääsyn myös muuallekin. Onneksi erilaiset salasanapalvelut, esimerkiksi Google, ilmoittaa vuotaneista salasanoista. Jos Google-tilille on tallennettu tai yritetään tallentaa vuotanutta salasanaa, Google pyytää vaihtamaan kyseisen salasanaa johonkin toiseen, vahvempaan salasanaan. Salasana on kuitenkin jo kerennyt pääsemään jonkun toisen käsiin, ja tilisi, joilla on ollut sama salasana käytössä, voivat olla vaarassa.

Voit lukea kollegani blogista lisätietoja salasanoista ja niiden historiasta täältä: Salasanojen historiaa ja nykypäivää: Näin luot tietoturvallisen salasanan - Marskidata

Mikä ihmeen kaksivaiheinen tunnistautuminen?

Kaksi tai monivaiheisella tunnistautumisella tarkoitetaan sitä, että käyttäjätunnuksen ja salasanan lisäksi tarvitaan kolmas tai vielä useampi todennuskeino, jotta sisäänkirjautuminen onnistuu. Sisään kirjauduttaessa palvelu lähettää esimerkiksi tekstiviestin määritettyyn puhelinnumeroon, joka pitää syöttää palveluun. Microsoft on ilmoittanut vuonna 2019, että monivaiheinen tunnistautuminen estää 99.9 % tilien kaappauksista (Microsoft). Monissa palveluissa kaksivaiheinen tunnistautuminen on jo välttämätöntä, ja tämä on saattanut tulla sinullekin vastaan esimerkiksi pankkiin kirjautuessa.

Tästä voit lukea meidän servicedeskin viisi vinkkiä tietoturvaan Servicedeskin viisi vinkkiä tietoturvaan - Marskidata

Kaksivaiheinen todennus ei vaadi ylimääräisten koodien tai tunnusten muistamista. Keinoja tunnistautua monivaiheisesti löytyy monia: Authenticator-sovellukset, tekstiviestit, fyysiset avaimet kuten Yubikey tai biometriset tunnisteet, kuten kasvot ja sormenjäljet. Yleisimpiä näistä kuitenkin on erilaiset Authenticator-sovellukset puhelimessa tai muussa mobiililaitteessa.

Tekstiviestikoodit ovat olleet myös suosittuja, mutta Microsoft on viime aikoina alkanut poistamaan käytöstä tätä metodia. “SIM-swappaaminen” on keino, jolla varkaat voivat saada teleoperaattorin siirtämään käyttäjän numeron omaan SIM-korttiinsa esittämällä käyttäjää. Käyttäjän henkilötiedot on voitu saada manipuloinnilla, kalasteluviestin yhteydessä tai julkisesti saatavilla olevan tiedon avulla, ja näitä tietoja hyödyntämällä varas vakuuttaa operaattorille, että kyseessä on oikeasti SIM-kortin omistaja. Tämä skenaario on toki harvinaista Suomessa ja vaatii varkaalta todella paljon omistautumista. Silti se on täysin mahdollista.

3 syytä, miksi monivaiheista tunnistautumista kannattaa käyttää.

Kaiken kaikkiaan monivaiheinen tunnistautuminen on välttämätön osa nykyaikaista tietoturvaa. Tulevaisuudessa voidaan odottaa entistä kehittyneempiä MFA-ratkaisuja, jotka integroivat entistä saumattomammin käyttäjän arkeen samalla tarjoten vahvaa suojaa tietoturvauhkilta. Organisaatioiden ja yksityishenkilöiden tulisi harkita MFA:n käyttöönottoa osana kokonaisvaltaista tietoturvastrategiaa, joka turvaa niiden digitaalisen läsnäolon.

Tarvitsetko apua monivaiheisen tunnistautumisen käyttöönotossa vai heräsikö kysymyksiä tietoturvaan liittyen? Laita ihmeessä viestiä osoitteeseen servicedesk@marskidata.fi tai myynti@marskidata.fi. Voit olla meihin myös yhteydessä alla olevan lomakkeen kautta!

Tietoturva-asiat ovat alati tarkemmassa syynissä alalla kuin alalla. Yritykset ympäri maailman painivat tähän liittyvien asioiden kera, ja usein yrityksissä huomioidaan palvelimet, työasemat, kannettavat, mobiililaitteet sekä verkkopuolen päätelaitteet jo hyvällä tasolla. Mutta entäpä perinteistä paperia ulos puskevat, sekä papereita maailmalle digitaaliseen muotoon lähettävät, tulostin- ja monitoimilaitteet?

Katsotaanpa hieman, mitä me Marskidatalla voimme tarjota teille tietoturvaan liittyen, Canonin laitteiden ja tulostuksenhallinnan kera. Pyritään pitämään tässä maanläheinen termistö, sekä joitakin miellyttävä, ja tässä aiheessa ehkä pakollinen tekninen jargon, sulassa sovussa.

Laitteiden tietoturva

Kuten mainittua, usein yrityksissä tietoturvan kannalta itsestään selvät laitteet, kuten työasemat ja kannettavat, on jo suojattu hyvällä tasolla uhilta. Mutta entäpä tulostuslaitteiden ja niiden käyttämisen tietoturva ja salaukset?

Laitteidemme turvasta ja salauksesta huolehtii TPM-turvapiiri, sekä AES-256-salauksella suojattu kiintolevy. Laitteissa on myös mahdollista laittaa käyttöön McAfeen suojattu käynnistys, jolloin laite tarkastaa jokaisella käynnistyksellä tietojen muuttumattomuuden ja laitteeseen asennettujen sovellusten ennallaan olon. Tällä varmistutaan siltä, että laitteen tietoihin ei ole puututtu tai haittaohjelmia sinne asennettu.

Perustoimintoihin kuuluu myös muun muassa laitteen käytön lokitietojen piilottaminen, jotta kuka tahansa laitteelle pääsevä ei pysty niitä katselemaan.

Voimme myös määritellä laitteille käyttöön IEEE802.1X-autentikoinnin, jonka avulla varmistetaan, että ainoastaan ennalta määritellyt autentikoidut laitteet voivat liittyä yrityksen verkkoon.

Marskidatalla laitteiden käsittelyssä huomioimme tietoturvan, myös esimerkiksi vaihtamalla laitteen pääkäyttäjän tunnukset aina pois oletusarvoistaan. Ja meille palautuvat laitteet tyhjennämme aina ensi tilassa tehdasasetuksille kaikista asiakasasetuksista. Halutessaan asiakkaalla on myös mahdollista lunastaa laitteen kiintolevy itselleen sopimuskauden lopuksi.

Tietoturvaa tulostamiseen

Yksi käytännönläheisimpiä esimerkkejä tietoturvan pettämisestä tulostuksia tehdessä, on tulostaminen yhteiselle tai yhteistilassa olevalle tulostimelle, kun et ole itse laitteen ääressä. Esimerkkinä yritysten aulat, käytävätilat, asiakkaiden odotustilat jne. Tällöin luottamukselliseen tietoon käsiksi pääseminen ei kummoisia hakkerin taitoja vaadi. Riittää, että satut laitteen vieressä seisomaan, kun siihen joku tulostaa, ja paperi on luettavissasi. Tapahtui tämä lukeminen sitten vahingossa, tai tarkoituksella pahantahtoisesti.

Voi olla myös, että yrityksessä on paljon tulostimia ja liikut paljon. Tällöin käyttäessäsi perinteistä tulostusta, sinun pitäisi tulostaessasi huomioida aina mille laitteelle olet tulostamassa. Aiemmissakin blogeissamme mainituilla uniFLOW- ja uniFLOW Online- tulostuksenhallintasovelluksilla voimme määritellä kaikille käyttäjille käyttöön ainoastaan yhden tulostimen, ja tähän tulostetut työt voidaan tietoturvallisesti hakea miltä vain yrityksen laitteelta. Oli laitteita sitten kaksi, tai vaikkapa sata kappaletta. Luonnollisesti tuloste ilmestyy paperille vasta kun sen omistaja on tunnistautumisen kautta laitteen äärellä sitä noutamassa. Tällöin puhutaan tietysti, jo mukavissa määrin yleistyvästä, turvatulostuksesta.

Sama uniFLOW / uniFLOW Online -järjestelmä myös huolehtii laitteen lukituksesta, joten kukaan ulkopuolinen ei pääse laitteeseen ja sen asetuksiin tai lokitietoihin käsiksi. Tämä on usein verrattavissa jo suurelta osin tietokoneisiin ja niissä itsestäänselvyytenä olevaan salasanalla lukitukseen.

Skannauksen tietoturva

Monitoimilaitteet tarjoavat monia eri tapoja ja protokollia dokumenttien skannaukseen sähköiseen muotoon. Perinteinen sähköpostiin skannaus on kuitenkin edelleen se ylivoimaisesti suosituin ja yleisin tapa skannata. Tässäkin on, etenkin nykyään, toki huomioitavia asioita tietoturvan kannalta, joten tässä niitä muutamia.

Monissa yrityksissä edelleen skannataan sähköpostiin suoraan oman operaattorin autentikoimattoman ja salaamattoman palvelimen kautta. Tämä on kuitenkin tietoturvan kannalta se varmasti turvattomin tapa asia tehdä. Palvelimen avoimen käytön vuoksi nämä sähköpostipalvelimet ovat myös roskapostittajien suosiossa. Tämä näkyy toisinaan skannauksen toimimattomuutena, kun maailmalla ko. palvelin suuresta spammin määrästä johtuen päätyy estettyjen palvelimien listoille. Operaattorit myös näitä palvelimia lakkauttavat kokonaan.

Vahva suositus tähän on nykypäivänä käyttää skannaamiseen jotain autentikoinnin vaativaa palvelua / palvelinta, yleisin tähän on Microsoftin M365. Yrityksen M365-portaaliin on siis vahva suositus tehdä yksi käyttäjätili näitä monitoimilaitteiden sähköpostilähetyksen autentikointeja varten. Kun tämän tilin määrittelemme monitoimilaitteelle, tulee sähköpostin lähetykseen käyttöön autentikointi, sekä TLS- salaus, joten tietoturva skannauksessa paranee heti. Laitteen asetuksiin on myös mahdollista asettaa sallituiksi vastaanottajiksi esimerkiksi ainoastaan yrityksen omat sähköpostit.

Myös Canonin ja uniFLOW:n sekä uniFLOW Online:n tarjoamat muut skannaustyönkulut auttavat suuresti asiassa, konfiguroidut työnkulut ennalta määriteltyihin sijainteihin (OneDrive for Business, SharePoint Online- kirjasto jne.) ohjaavat automaattisesti skannaukset oikeaan, lopulliseen, sijaintiinsa. Ja ennen kaikkea kaikki mahdolliset välitallennuspaikat jäävät pois, eikä tiedostoja tai näiden eri versioita ole useassa eri paikassa.

Yhteenveto

Mieti hetki, toteutuuko jokin näistä asioista yrityksessäsi, ja voisiko asialle jotain tehdä:

Yhteenvetona, kaikista mahdollisista tulostuksen ja skannauksen tietoturvauhista ja niiden ratkaisuista kirjoittaminen olisi useammankin blogitekstin mittainen tarina, mutta jos tämä herätti mitään arveluita tai mielenkiintoa oman yrityksen edellä mainittujen asioiden hoidossa, niin olettehan rohkeasti meihin yhteydessä.

Salasanoilla on ollut antiikin ajoista asti yksi tarkoitus: myöntää pääsy paikkaan, jonne vain tietyillä henkilöillä on lupa päästä. Ennen nykyaikaisia laitteita ja järjestelmiä, joihin kirjautumiseen tänä päivänä tarvitaan salasanoja, käytettiin salasanoja suullisesti. Jos antiikin Roomassa sotilas halusi päästä omaan yksikköönsä vartijoiden ohi menettämättä henkeään, oli tiedettävä oikeat sanat.

Tänä päivänä salasanojen kanssa vaarana ei ole niinkään hengenlähtö, vaan ennemminkin riski siitä, että liian heikko salasana myöntää väärälle henkilölle pääsyn toisen tietoihin. Tässä blogissa tutustutaan tarkemmin siihen, mistä tietokonemaailman salasanakäytännöt ovat saaneet alkunsa, ja mitkä ovat nykyiset suositukset oikeaoppisen salasanan luomiseen.

Lue myös Servicedeskin viisi vinkkiä tietoturvaan

Mistä salasanat on tulleet?

Salasanat ovat olleet osana tietokoneita lähes alusta alkaen. Ensimmäiset ohjelmoitavat tietokoneet julkaistiin 1940-luvulla, ja ensimmäiset käyttöjärjestelmät tulivat tietokoneisiin 1950- ja 1960- luvuilla. Vuonna 1961 julkaistiin Compatible Time-Sharing System (CTSS), joka oli ensimmäinen käyttöjärjestelmä, jossa oli salasanallinen sisäänkirjautuminen.

CTSS on toiminut edelläkävijänä monille nykypäiväisille tietojenkäsittelyn rakennuspalikoille, kuten sähköpostille, tiedostojen jakamiselle, sekä virtuaalikoneille.

CTSS käyttöjärjestelmästä huolimatta, salasanoja ei juurikaan käytetty ennen kuin internet tuli laajempaan käyttöön 1990-luvulla. Internetin ja salasanojen yleistymisen myötä, tuli ihmisille salasanaähky. Internetin käyttäjillä on helposti 100 eri sivustoa, ohjelmaa ja järjestelmää, joihin tarvitsee salasanan. Tämä on johtanut siihen, että käytetään samaa tai lähes samaa salasanaa useammassa paikassa, ja jaetaan salasanoja perheen ja ystävien kanssa (esim. suoratoistopalvelut).

Salasanoihin on kehitetty monia uusia ominaisuuksia helpottamaan ähkyn kanssa. Käyttöön on tullut muun muassa MFA (Multi-Factor Authentication) ja biometrinen tunnistautuminen (sormenjälki, kasvojen tunnistus).  Näiden avulla kirjautuminen laitteella kuin laitteella varmistetaan nopeasti ja turvallisesti – ilman satojen salasanojen muistamista.

Miten salasanat on kehittyneet?

Ensimmäiset salasanat tietokoneille kehitettiin siksi, että samaa järjestelmää (CTSS) pystyisi käyttämään useampi henkilö. Salasanan tehtävänä oli tunnistaa kuka käyttää tietokonetta, ja avata oikea näkymä oikealle henkilölle.

Internet-aikakaudella salasanoja ja käyttäjätunnuksia käytetään edelleen samalla periaatteella. Käyttäjät ovat suosineet yksinkertaisia helposti muistettavia salasanoja, sekä kirjoittaneet vähänkään hankalammat salasanat ylös muistilapuille. Yksinkertaisten ja helposti muistettavien salasanojen heikkous on siinä, että ne on myös hakkerille lähtökohtaisesti helppoja arvattavia. Muistilapuilla säilytettävien salasanojen turvallisuudesta ei varmaan tarvitse erikseen mainita: ollaan varmasti jo kaikki opittu, ettei salasanan kuulu olla muiden nähtävillä tai helposti taskuun napattavissa.

Turvallisuuden takaamiseksi salasanoja alettiin tallentamaan eri muotoihin salausalgoritmien avulla. Tarkoituksena oli tehdä salasanoista vaikeammin tulkittavia muuttamalla salasanat selvätekstisestä muodosta johonkin muuhun. Tällaiseen käytettiin suolaus- ja hajautusalgoritmeja. Hajautusalgoritmi kulkee myös nimellä hashing.

Salasanojen suosituspituudet ovat vaihdelleet vuosien varrella aina neljästä merkistä 12:sta saakka. Alussa vaatimuksia salasanan monimutkaisuuden osalta ei juurikaan ollut, ohjeistettiin vain suosimaan satunnaisia kirjaimia. Myöhemmin vaatimuksiin tuli mukaan isot ja pienet kirjaimet, sen jälkeen numerot ja erikoismerkit. Suosituksiin kuului myös säännölliset salasanan vaihdot ja eri salasanojen käyttö eri palveluissa.

Nykyiset ohjeet oikeaoppisen salasanan luomiseen

Yhdysvaltain standardisointi- ja teknologiainstituutti (NIST) julkaisee vuosittain uusia suosituksia hyviä salasanakäytäntöjä koskien. Uusimmat suositellut käytännöt näyttävät tällä hetkellä tältä:

  1. Salasanojen monimutkaisuusvaatimukset eivät saa olla liian tiukat. Suositaan mieluummin pitempiä ”avainfraaseja” kuin vaikeasti muistettavia symbolisotkuja.
    • Symboleiden ja numeroiden lisääminen valmiiksi huonoon salasanaan ei juurikaan lisää salasanan kompleksisuutta, koska käyttäjät suosivat tiettyjä merkkejä ja laittavat ne yleensä salasanan loppuun.
  2. Salasanan vaihtamista tulisi vaatia vain kerran vuodessa.
    • Jos vaaditaan salasanan vaihtamista liian usein se johtaa helposti siihen, että käyttäjät valitsevat heikomman salasanan ja käyttävät samaa salasanaa useassa palvelussa
  3. Monivaiheinen tunnistautuminen (MFA) tulisi ottaa käyttöön aina kun mahdollista.
    • Tämä lisää ylimääräisen turvakerroksen tilillesi.
  4. Älä käytä salasanoja, jotka ovat mahdollisesti voineet joutua tietovuodon myötä internettiin.
  5. Saman salasanan käyttö useassa palvelussa on edelleen hyvin epäsuositeltavaa
Marskidata_Alwayson VPN

Lopuksi

Verkkoturvallisuudella on väliä. Aloita hyvien salasanakäytäntöjen noudattaminen jo tänään, ja varmista että omasi ja yhtiösi tiedot pysyvät varmassa tallessa.

Valitettava tosiasia on se, että teknologian sijaan tänä päivänä tietoturvallisuuden heikkous on usein ihmiset. Lue lisää täältä, miten MD Tietoturvatestin avulla voimme kartoittaa teidän henkilöstönne tietoturvatietämyksen tason: MD Tietoturvatesti – mikä on yrityksenne tietoturvan heikoin lenkki? - Marskidata Testin tulosten perusteella voimme yhdessä pohtia miten juuri teidän yrityksenne tietoturvaa ja henkilöstön tietoturvatietämystä voitaisiin kehittää.

Tietoturvasta ja sen tärkeydestä tuskin tarvitsee tänä päivänä erikseen maalailla uhkakuvia. Hiljattain uutisissa olleet tapaukset ovat varmasti kaikkien muistissa, mutta millaisia ajatuksia sinulle tulee mieleen omassa työssä, kun puhutaan tietoturvasta?

Olet varmasti huomannut myös yksityiselämässä, että pankkisi saattaa varoittaa mahdollisista tietojenkalastelupyynnöistä. Saatat saada tekstiviestin, ettei postipakettiasi voitu toimittaa ja pyydetään kirjautumaan johonkin palveluun, jotta voit vaihtaa toimitusosoitteen tai sopia uuden ajan. Monenlaisia yrityksiä sinun henkilö- tai pankkitietojesi kalasteluun on liikkeellä. Näihin kaikkiin tietojenkalasteluyrityksiin on vain yksi motiivi. Saada rahaa.

Työelämässä tehdään hyvin saman tyyppisiä yrityksiä tietojen kalastelutarkoituksissa. Motiivi on aivan sama, mutta yrityksien arvokkain omaisuus on monesti tieto. Jos tietoihin päästään käsiksi, ne voidaan viedä, tuhota tai estää tietoihin pääseminen. Tietoa vastaan voidaan sitten vaatia lunnaita.

Tietojenkalastelua ja haitakkeita

Kyberturvallisuuskeskus julkaisi 20.10.2023 varoituksen, jonka mukaan Suomalaisten organisaatioiden sähköpostitilejä kaapataan laajalle levinneen tietojenkalastelukampanjan avulla. Rikolliset ovat kalastelleet yritysten työntekijöiden käyttäjätunnuksia ja salasanoja sähköpostitse ja huijaussivujen avulla, sekä kirjautuneet saamillaan tunnuksilla Microsoft 365 -sähköpostijärjestelmiin. Kaapattuja tilejä käytetään uusien tietojenkalasteluviestien lähettämiseen sekä sisäisesti että muihin organisaatioihin.

Lähde: https://www.kyberturvallisuuskeskus.fi/fi/tietomurtoaalto-leviaa-organisaatiosta-toiseen-katkaise-tietojenkalastelu

Check Point Research tutkii verkossa tapahtuvia hyökkäyksiä ja heidän tuoreen raporttinsa mukaan erilaisten haitakkeiden levittäminen on siirtynyt verkkosivustoilta sähköpostiin kovalla vauhdilla. Jos vuonna 2018 haitakkeista tuli 33% sähköpostin välityksellä ja 67% verkkosivuilla klikkaillessa, on 2023 kuluneen vuoden ajalta 92% saatu sähköpostin kautta ja 8% verkkosivuilta. Myös muun muassa QR koodin käyttö tietojen kalastelussa on noussut 2023 elokuun ja syyskuun välillä 587%. QR koodista avattava linkki voi viedä sinut väärälle sivustolle, joka pyytää käyttäjänimeäsi ja salasanaa.

Siihen, miten helposti yrityksesi tärkeimpään assettiin, eli tietoon päästään käsiksi, voidaan tehdä monenlaisia turvallisuutta parantavia toimenpiteitä. Ongelma monesti vain on, että ei tiedetä mistä aloittaa. Vahinkoja sattuu ja inhimillisiä arviointivirheitä tulee, kun kiireessä tehdään, sata asiaa on kesken, hommat seisoo, asiakas odottaa ja syömässäkin pitäisi jossakin välissä ehtiä käymään. Tulee kliksuteltua itsensä väärälle sivulle vaihtamaan sitä omaa salasanaa. Tapahtuu virhe.

Onneksi näistä asioista on sen verran jo opittu, että osataan olla viipymättä yhteydessä joko omaan IT osastoon tai kumppaniin, joka voi katso sattuiko mitään ja korjata asian.

Lue täältä Marskidatan ServiceDeskin vinkit tietoturvaan: Servicedeskin viisi vinkkiä tietoturvaan - Marskidata

MD M365 Health Check

Kuinka sitten näitä asioita voisi laittaa järjestykseen? Mistä olisi hyvä aloittaa? Me Marskidatalla olemme tehneet teille palvelun, jonka avulla voidaan kartoittaa M365 ympäristön nykytilanne. Homma starttaa siitä, että sovitaan aloituspalaveri. Aloituspalaverissa sovitaan aikataulusta ja katsotaan, että meillä on riittävät oikeudet ympäristöön. Tarvittavat oikeudet ovat Global Reader, sekä Security Administrator roolit. Näillä oikeuksilla ei tehdä muutoksia ympäristöön. Lopputulokset käydään läpi myöhemmin sovitussa päätöstapaamisessa. Itse kartoituksen aikana teiltä ei tarvita tähän henkilöresursseja.

Kartoituksessa keskitytään seuraaviin asioihin:

No mitäs tästä kaikesta nyt sitten jää käteen lopputulemana?

Lopputuloksena on selkeä ja konkreettinen lista tehdyistä havainnoista. Raportin laaditaan niin, että sen lukemiseen ja ymmärtämiseen ei tarvita erityistä osaamista IT alalta, vaan tulokset voidaan käsitellä sujuvasti johtoryhmän tai hallituksen kokouksessa. Teemme teille valmiin listan ja suositukset mahdollisten ongelmakohtien korjaamiseksi, sekä tarvittaessa kehityspolun jatkoa varten.

Kenelle tällainen palvelu nyt sitten sopii?

Palvelu sopii kaikille, jotka haluavat esimerkiksi varmistaa, että aikaisemmin tehdyt parannukset ympäristössä on saatu tehtyä oikein ja halutaan siitä todisteeksi dokumentti. Taikka niille, jotka eivät tiedä, missä kunnossa ympäristö nykyisin on ja mihin suuntaan kehitysaskeleita olisi syytä ottaa ensimmäiseksi. Palvelu ei edellytä Marskidatan asiakkuutta, eikä myöskään velvoita teitä mihinkään kartoituksen jälkeen.

Huonoin vaihtoehto on olla tekemättä mitään.

Mitä seuraavaksi?

Voit aloittaa tietoturvanne kehittämisen lataamalla PK-yrityksen tietoturvaoppaan.

Lataa PK-yrityksen tietoturvaopas

Voit myös olla suoraan yhteyksissä meihin MD M365 Health Checkin osalta, niin pistetään pyörät pyörimään. Voit olla minuun yhteyksissä puhelimitse taikka sähköpostilla, tai jättää yhteydenottopyynnön alla olevalla lomakkeella. Palataan pian asiaan!

Tietoturvaan liittyvät uutiset ovat lisääntyneet huomattavasti, ainakin kirjoittajan näytöllä, eikä syyttä. Tällä hetkellä tietoturva on uutisten keskiössä maailmanlaajuisesti monista syistä, esimerkiksi maailmanpoliittinen tilanne, laajat roskapostikampanjat ja erilaiset tietojenkalastelusähköpostiviestit. Uutisissa pyörii vähän väliä miten eri yritykset, organisaatiot ja yksityishenkilöt joutuvat tietomurtojen, -vuotojen ja haittaohjelmien uhreiksi.

Lataa PK-yrityksen tietoturvaopas täältä

Digitaalisuus on arkipäivää yrityksissä. Microsoftin palveluissa sähköpostit liikkuvat nopeasti, tiedostot sijaitsevat pilvipalveluissa ja tiedostoja jaetaan helposti muutamalla klikkauksella. Viime aikoina tuskin on kulunut päivääkään ilman, etteikö jokainen meistä olisi saanut erikoisia sähköpostiviestejä, joissa väitetään salasanojen vanhentuneen, tai epäilyttäviä tekstiviestejä, joissa luvataan voittoja tai ilmoitetaan erikoisista maksuista. Yhteistä näille viesteille on pyrkimys saada haltuunsa käyttäjän arkaluonteiset tiedot, kuten salasanat, pankkitunnukset tai jopa pankkikortin tiedot.

Lue blogi: Marskidata – Suomen tyytyväisimpien Microsoft-asiakkaiden koti

Huijausviestejä voi toisinaan olla tosi hankala tunnistaa aidoista viesteistä, ja siksi vahinkoja sattuu. Monissa tilanteissa saattaa herätä kysymys: minne voi ilmoittaa tietoturvaan liittyvistä poikkeamista? Ei nimittäin ole itsestään selvää, että jokaisella yrityksellä olisi omaa IT-palvelua, -tiimiä, tai muutoin asiantuntevaa henkilöstöä tätä varten.

Tässä blogissa perehdytään siihen, miten me marskilaiset voimme auttaa yrityksesi tietoturvassa, ja mikä rooli tarjoamallamme Servicedesk-palvelulla on tietoturvan kanssa.

Nopea reagointi tietoturvaongelmiin

Servicedesk ei ole pelkästään apu unohtuneille salasanoille. Olemme ajan tasalla uusimmista järjestelmien ja laitteiden haavoittuvuuksista, ja me myös saamme päivittäiset tiedotteet kyberturvallisuuskeskukselta. Servicedeskissä on laaja käsitys eri organisaatioiden päivittäisestä toiminnasta, joten osaamme huomata erilaiset poikkeamat ja huijausviestit.

Yhden yhteydenottopyynnön avulla voit helposti ilmoittaa, jos olet vahingossa klikannut epäilyttävää liitettä tai joutunut syöttämään salasanasi ulkopuoliselle hämäräsivustolle. Ongelmiin reagoidaan nopeasti, ja voimme tarvittaessa ottaa muiden tiimien apua käyttöön, jotta suuremmilta vahingoilta vältytään. Meidän tavoitteenamme on pitää organisaatiosi tietoturva huippuhyvänä!

Tietoturvan tason ylläpitoon ja parantamiseen meillä on myös apuna meidän oma MD Turva 365 palvelu, joka auttaa virittämään yrityksesi Microsoft 365 ympäristön turvalliseksi ja tehokkaaksi. Samalla meiltä löytyy M365 Health Check, jolla tarkastetaan Microsoft 365 ympäristön asetukset. Tämä sisältää myös Sharepoint, Teams, Onedrive ja Exchange palveluiden asetukset. M365 Health Checkin kautta saadaan kattava raportti työskentely-ympäristön tilasta ja korjaustoimenpiteet, joilla varmistetaan tietoturvallinen ympäristö.

Servicedeskin viisi vinkkiä tietoturvaan:

  1. Käytä kaksivaiheista tunnistautumista
    • Ota käyttöön kaksivaiheinen todennus (MFA) kaikille mahdollisille tileillesi. Tämä suojaa käyttäjätilisi, vaikka joku saisikin salasanasi käsiinsä.
  2. Käytä eri salasanoja eri palveluissa (ja monimutkaisia myös!)
    • Käytä vahvoja salasanoja eri palveluihin. Yleensä huijarit voivat kokeilla yleisiä salasanoja yrittääkseen murtautua käyttäjätileille. Salasanapankki-sovellukset auttavat pitämään myös monimutkaiset salasanat turvassa ja muistissa.
  3. Vaihda vanhat laitteet pois verkosta
    • Vanhoissa laitteissa voi olla sellaisia haavoittuvuuksia, joita ei enää laitevalmistaja korjaa. Varmista, että päivität ja vaihdat vanhentuneet laitteet ajoissa pitääksesi tietoturvan vahvana ja ajan tasalla.
  4. Henkilökunnalle sparrausta
    • Tsekkaa henkilöstön tietoturvan osaaminen ja varmista, että he tunnistavat yleiset huijaukset ja kalasteluyritykset. Meiltä voit kysyä lisää tietoturvakartoituksista ja testeistä!
  5. Tilaa meiltä MD M365 Health Check
    • Kattava kartoitus ja arviointi Microsoft 365-ympäristönne tietoturvan tilasta. Kätevää ja tehokasta!

Allekirjoittanutkin on kokeillut ja klikkaillut muutaman kerran tekstiviestejä, joissa luvattiin suuria palkintoja, harmikseni ne olivat liian hyvää ollakseen totta.

Lopuksi vielä: muista ilmoittaa tietoturvan poikkeamisista mahdollisimman nopeasti. Ensinnäkin nopea reagointi on olennaista, ja ilmoittaminen mahdollistaa toimenpiteet vahinkojen rajoittamiseen ja torjumiseen. Vaikka olisi klikkaillut linkkejä tai syöttänyt salasanoja epämääräisille sivustoille, ei siinä ole mitään hävettävää tai noloa, vaan nopealla ilmoituksella saadaan homma takaisin pelittämään ja korjattua.

Suomalaisten organisaatioiden sähköpostitilejä kaapataan laajalle levinneen tietojenkalastelukampanjan avulla. Rikolliset ovat kalastelleet yritysten työntekijöiden käyttäjätunnuksia ja salasanoja sähköpostitse ja huijaussivujen avulla, sekä kirjautuneet saamillaan tunnuksilla Microsoft 365 -sähköpostijärjestelmiin. Kaapattuja tilejä käytetään uusien tietojenkalasteluviestien lähettämiseen sekä sisäisesti että muihin organisaatioihin.

Kyberturvallisuuskeskus 2023

Lue lisää: Tietomurtoaalto leviää organisaatiosta toiseen – katkaise tietojenkalastelu | Kyberturvallisuuskeskus

Vuonna 2017 Redmondissa pääkonttoriaan pitävä softapaja julkaisi uuden yrityksille suunnatun pilvipalvelunsa Microsoft 365:n, tuttavallisesti M365. Tämä ei suinkaan ollut ensimmäinen Microsoftin markkinoille tuoma tilauspohjainen pilvipalvelu, ja kyse olikin pitkälti kokoelmasta jo ennestään tarjolla olleita sovelluksia paketoituna ja brändättynä uusiksi.

Toteutus oli kuitenkin hyvä, ja eri kokoisille asiakasorganisaatioille suunnitellut tuotepaketit yllättävän kattavia. Uusien tuotepakettien myötä myös pienemmät toimijat saivat käyttöönsä aiemmin vain suuryritysten käyttämiä ominaisuuksia. Viimeistään tuolloin heräsi myös monen Microsoft-tuotteita kauppaavan toimijan mielenkiinto. Tuotteet tarjosivat entistä paremmat työkalut toimia asiakkaan Microsoft-kumppanina.

Kumppani vai jälleenmyyjä?

Mikä tekee myyjästä kumppanin? Mikä on jälleenmyyjän ja kumppanin ero sinun, asiakkaan, näkökulmasta? Kiteytettynä jälleenmyyjän rooli on tarjota kanava, josta tuotteen voi tilata, toimittaa tuote asiakkaalle ja veloittaa se. Marskilla miellämme, että kumppanin tulee edellä mainitun lisäksi kyetä tuottamaan lisäarvoa toimintaanne.

Kumppani tuntee tavoitteenne, ympäristönne, sekä tapanne toimia. Näiden lisäksi kumppanin tehtävä on tunnistaa ja ehdottaa kuinka voi omalla osaamisellaan näitä tukea.  Marskilla kumppanisi voi olla projektin vaiheesta riippuen Account Managerisi, System Specialist, Contract Manager tai joku muu. Varmistamme että hankkimasi Microsoft-tuote vastaa juuri sinun ja yrityksesi tarvetta, ja että saat enemmän irti sen sisältämistä työkaluista.

Valmiit palvelut

Ylevien aatteiden ja tavoitteiden tueksi tarvitaan myös konkretiaa, eli valmiita käytettäviä palveluita. Digitalisaation luomat mahdollisuudet kasvulle tiedostetaan yrityksissä toimialasta riippumatta. Voi hyvinkin olla, että organisaationne omistaa jo timanttiset työkalut asian edistämiseksi, ja että ne sisältyvätkin jo hankittuun M365-tilaukseen. Tarve tulisi vain pystyä yhdistämään sopivaan ratkaisuun.

Voi myös olla, että teillä on jo tarve ja sen ratkaiseva sovelluskin tiedossa, mutta tarvitaan suunnitelma ja toteutus sen käyttöönottamiseksi. Yhteyshenkilösi Marskidatalla jeesaa näiden seikkojen tunnistamisessa. Teemme kehitystyötä, jonka tavoitteena on tuottaa valmiita palveluita Microsoft-teknologiaan perustuen. Tuloksena te saatte valmiin toteutuksen implementointiin, käytönaikaiseen tukeen tai vaikkapa koulutukseen.

Hyvänä esimerkkinä toimii pienten- ja keskisuurten yritysten suosima Microsoft 365 Business Premium ja sen ympärille rakentamamme MD-palvelut. Microsoftin paketti sisältää kattavat välineet tuottavuuden parantamiseen, kuten Teams, SharePoint ja OneDrive. Ilman suunnitelmallista käyttöönottoa, käyttäjien osallistamista ja osaamisen varmistamista, näiden palveluiden suurin hyöty jää usein kuitenkin saavuttamatta.

Kollegani Emma kertoo blogissaan ihmisen, sisällön ja tekniikan merkityksestä projektin eri vaiheissa: https://www.marskidata.fi/blogi/digitaalista-tyota-tekevat-ihmiset/ Meiltä saat palvelun vaikkapa intra viestintäsivuston toteutukseen SharePoint Onlinen avulla tai sisäistä viestintää kehittävän Teams-koulutuksen henkilöstöllesi.

Samainen Business Premium sisältää myös kattavasti välineitä tietoturvan parantamiseksi.

Modernin työn palveluiden ja MD Turva 365 lisäksi tarjoamme MD-tuotteina mm.

Jos kiinnostuit aiheesta ja haluat kuulla lisää siitä, kuinka saisitte jo käytössä olevista Microsoft 365 -palveluistanne enemmän irti, otappa yhteyttä myyntiimme tai omaan Account Manageriisi Marskidatalla.

Missä kaikessa törmää sanaan tietoturva, ihan peruskäyttäjän näkökulmasta? Ja pystyykö Marskidata pitelemään minua kädestä, ihan koko matkan ajan?

Suojaa laitteet

Et ole ehkä ajatellut jokaista vaihetta työkalujesi käytössä, esimerkiksi sitä, kuinka monta kertaa työnantajasi on määritellyt käyttöösi erinäisiä tietoturvaan liittyviä toimenpiteitä. Harva tietokone esimerkiksi aukeaa ilman salasanaa tai kasvojen/sormenjälkitunnistusta, jolla varmistetaan, että käyttäjä olet varmasti sinä.

Seuraavaksi ehkä avaat sähköpostin, johon saatat Single Sign Onin ansiosta päästä esimerkiksi Windowsin AD-tunnuksilla sisään. Viimeistään siinä vaiheessa, kun lähetät sähköpostin, joudut (toivottavasti) valitsemaan, lähteekö viesti salaamattomana, ja onko vaikka liitetiedosto jollain lailla suojattu? Tietokoneen kiintolevyt on puolestaan suojattu BitLockerilla ja ties millä.

Puhelimissakin on iät ja ajat ollut PIN-koodit, suojauskoodit, kasvojentunnistukset, sormenjälkitunnisteet ym.  Kaikissa fyysisissä laitteissa, on lisäksi äärimmäisen tärkeää, että ohjelmistoversiot ovat ajan tasalla. Vanhentuneisiin ohjelmistoversioihin tehdään moninkertaisesti enemmän hyökkäysyrityksiä ja niiden haavoittuvuus on myös suurin syy, miksi niitä päivitetään. Kannattaakin tsekata kollegani Heikin blogi yrityksen tietoturvan parantamisesta.

Suojaa data

Kuvitellaan, että yrityksesi käyttää Microsoft 365 -palveluita ja, että sähköpostiasi ja muita toimisto-ohjelmistojasi hallittaan niin sanotusti pilvessä. Tiedostot asuvat tällöin Microsoftin pilvessä, käyttäjätunnukset ovat Microsoftin pilvessä, samoin salasanat, asiakasdokumentit, tietosuojan piirissä olevat henkilötiedot ja niin edelleen.

Suojaa yhteydet ja verkko

Tietokoneesi on kaiketi yhdistetty internettiin ja kun avaat selaimen, pääset ainoastaan ’sallittuihin’ verkko-osoitteisiin. Selaimen ohella koneellasi on ainoastaan sallittuja ohjelmistoja.

Muistathan myös, että kaikki internetiä käyttävät laitteet, kulkevat verkossa, eli verkkokin on hyvä suojata. Etätyöskennellessäsi luultavasti yritys on ratkaissut ongelman turvallisella VPN-ohjelmistolla, mutta toimistossa kiinteä verkko on suojattu palomuurilla, jossa taas on määritelty hyvinkin monta suojausmekanismia, sallituista ohjelmistoista ja sivuostoista myös sisäänpäin, laitteisiin, kuten tulostimiin, fakseihin, langattomiin tukiasemiin ja niin edelleen.

Koko liikennettä yrityksen laitteissa, verkoissa, palvelimella ja pilvessä valvotaan ja näissä käytetään automatisoituja mekanismeja suojautumiseen. MDR-palvelu (Managed Detection and Response), tulee olemaan käytössä 50 % organisaatioita, vuoteen 2025 mennessä, sanoo kaikki tietävä Gartner (vuonna 2021). Eli kyberuhkilta suojaudutaan härmäläisittäin havaitsemalla ja palautumalla. Tähän liittyen on hyvä tutustua Mikan blogiin kyberpalautumisesta ja Villen blogiin kiristyshyökkäyksistä.

Käytä turvallisia sovelluksia

Tietokoneellasi on pääkäyttäjäoikeudet, ainoastaan järjestelmänvalvojalla, joten tarvitessasi ohjelmistoa, jota sinulla ei vielä ole, joudut pyytämään sovelluksen latauslupaa. Yritykselläsi on käytössä Company Portal tai vastaava, minne järjestelmänvalvojat julkaisevat yrityksen sallitut sovellukset. Työpuhelimessa ei ole WhatsAppia tai muita sovelluksia, joissa on tietoturva-aukkoja tai, jotka ovat kaapattavissa tai tuttavallisemmin ’korkattavissa’.

GDPR-asetus pakottaa yritykset noudattamaan tietosuojaan liittyviä määräyksiä, jottei sinun tai työkaverisi henkilötietoja vuoda vääriin paikkoihin. Kun haluat antaa anonyymia palautetta esimiehelle tai nimettömän kehitysehdotuksen, Whistleblower-direktiivi varmistaa nimettömyytesi.

Näistä aiheista voit lukea lisää aiemmin julkaistuista blogeistamme:

Tunnistaudu turvallisesti

Yksityishenkilönä olet varmasti tutustunut muun muassa mobiilivarmenteisiin, kaksivaiheisiin tunnistautumisiin, jossa joudut yhdistämään esimerkiksi pankkitunnuksesi, käyttäjätunnuksesi, sähköpostiin tai tekstiviesteihin. Yhtä lailla monivaiheinen tunnistus on hyvä suoja myös työympäristössäsi. Sähköpostit voi lähettää salatusti, tiedostot voidaan suojata salasanalla, turvatulostuksella tulostimesta ei saa mitään ulos ilman tunnistautumista.

Jaa viisaasti

Kaikkia yrityksen tietoja ei voi kopioida pikakomennolla, esimerkiksi puhelimella tekstiviestiin, WhatsAppiin tai hakukoneen kenttään. Tämä ei ole ’pelkästään’ kiusantekoa, vaan yrityksen tiedot halutaan suojata mahdolliselta väärinkäytöltä. Tämä on myös sinun etusi.

Tietoturvakäytännöt

Tehkää yrityksessänne pelisäännöt tai ohjeistus tietoturvan käytöstä ja toimenpiteistä, jottei kaikki, vaikka uudet työntekijänne jatkuvasti kuormita järjestelmävalvojianne ja tietoturvavastaavianne.

Ole rohkeasti meihin yhteydessä, mikäli tietoturva-asiat askarruttavat. Meiltä voit tilata muun muassa tietoturvakartoitukset, projektisuunnitelmat ja tietoturvan pelikirjat.

Jos tämä kirjoitus synnyttää minkäänlaista huolta teidän tilanteestanne, laita savumerkkejä, niin katsotaan teidänkin tietoturvanne tila ja laitetaan heti kuntoon kohdat, joissa on havaittavissa puutteita. Tarkistamme työasemat, palvelimet, verkko, palomuurit, pilvipalvelut ja tapanne toimia, niin että sinäkin voit keksittyä tuottavaan työhön, murehtimisen sijasta.

Tulossa

Kesän jälkeen olemme myös julkaisemassa uusia tuotteita, joista tässä muutama tiiseri, pysy kuulolla:

Koska et kuitenkaan halua olla uutisissa näistä syistä, kannattaa oikeasti miettiä, mitkä asiat olette jo nyt huomioineet?

Tässä 14 kohdan checklist jolla voit testata omaa ympäristöänne:

Marskidata logo

Marskidata Oy

SaapumisohjeetLaskutustiedot
SaapumisohjeetLaskutustiedot
SaapumisohjeetLaskutustiedot
chevron-down