Yrityksen ja työntekijän valppaus on valttia tietojen turvaamisessa

Jokainen yritys on kyberuhille alttiina ja jokaisen työntekijän rooli on tärkeä uhkien torjunnassa. Riskien ja prosessien hallinta sekä tietoturvakoulutus ovat avainasemassa.

Tutulta kumppanilta on jälleen tullut viesti liitteen kera, klikkaanpa siis auki. Sitten alkaa tapahtua jotakin ennakoimatonta ja homma ei pysy enää käyttäjän hallinnassa. Tällaisen tilanteeseen meistä ei kukaan haluaisi joutua, mutta niin tapahtuu yhä useammalle.

– Yksikin väärä klikkaus voi lamauttaa koko yrityksen järjestelmät ja toiminnan. Siksi on tärkeää pysyä joka hetki valppaana.

Näin avaa digitaalisessa toimintaympäristössä alati vaanivia uhkia senior underwriter Jani Salonen Pohjola Vakuutuksesta. Hän tähdentää, että jokainen yritys on hyökkäykselle alttiina, sillä haittaohjelmien ja vastaavien levitys on globaalia ja rikollista toimintaa.

– Haittaohjelmia on helppo levittää automaattisesti laajalti verkkoon. Jokin niistä menee läpi sieltä, missä turva- tai huolellisuustaso ei riitä.

Salonen nimeää kyberuhkiksi kaikki ne asiat, jotka uhkaavat yrityksessä käsiteltävien tietojen luottamuksellisuutta tai tietojärjestelmien toimivuutta. Niitä ovat haittaohjelmien lisäksi esimerkiksi tietomurrot ja palvelunestohyökkäykset. Viime aikoina erityisesti isoihin yrityksiin ja muihin organisaatioihin kohdistetut lunnasrahoja vaativat kiristyshaittaohjelmat ovat lisääntyneet merkittävästi.

– Ulkoisten uhkien lisäksi yritykseen voi kohdistua myös sisäisiä uhkia ja esimerkiksi tietojen vuotaminen voi tapahtua inhimillisen erehdyksen seurauksena. Luottamuksellista tietoa sisältävä sähköposti lähtee väärään osoitteeseen tai tulee oma järjestelmähäiriö.

Kohta kohdalta kuntoon

Uhkiin suojautuminen alkaa yrityksessä inventaariolla, mikä koskee järjestelmiä ja tietoa. Mitä ne ovat, ketkä niitä käyttävät, miten ne on luokiteltu, mikä on julkista ja mikä salaista. Kuka vastaa järjestelmistä ja sovelluksista sekä tietoturvasta ja sen päivittämisestä.

– Ensiksi pitää tunnistaa riskit, priorisoida niiden hallinta ja suunnata toimenpiteet.

Palomuurit, virustorjunnat, päivitykset ja varmuuskopioinnit ovat teknisiä asioita. Sen lisäksi pitää varmistaa tietosuojaan liittyvät prosessit: mitä sopimuksissa on sovittu ja kuka vastaa mistäkin. Henkilökunnan koulutus on ensiarvoisen tärkeä toimenpide.

– Tietoturvaohjeiden läpikäynti eli käytännön toimintatavat arjen työssä. Miten tulee suhtautua esimerkiksi vähänkin epäilyttäviin sähköposteihin ja puheluihin.

Salonen muistuttaa, että yhteiskunnan digitalisoitumisen myötä myös rikollisuus digitalisoituu. Rikolliset levittävät uhkaa laajalle pinta-alalle ja etsivät helpointa reittiä päästä käsiksi tietoihin. Ketju on tässäkin tapauksessa yhtä vahva kuin sen heikoin lenkki.

Keskeytyksiä, tutkimuksia ja kustannuksia

On vaarallista kuvitella asioiden olevan kunnossa, kun yrityksellä on käytössä palomuuri ja virustorjunta. Salonen kuvailee pienten ja keskisuurten yritysten tietoturvatilaa vaihtelevaksi. Tekemistä riittää ja kaikki lähtee asiantilan ja riskien tiedostamisesta.

– Resurssit ja toimenpiteet ovat suhteessa yrityksen kokoon. Kannattaa käyttää kumppania, suomalaiset ovat tunnettuja tietoturvaosaamisesta ja palvelua on hyvin tarjolla.

Jos vahinko kuitenkin sattuu, siitä aiheutuvat kustannukset voivat vaihdella hyvinkin laajasti. Kiristyshaittaohjelmissa voi olla kyse miljoonista, mutta on summa mikä hyvänsä, kyseessä on aina isku yrityksen toimintaan.

– Kyberisku saattaa lamaannuttaa tietojärjestelmistä riippuvaisen yrityksen toiminnan päivistä viikkoihin. Vaurioiden tutkiminen ja korjaaminen maksaa, sillä se on usein asiantuntijoiden tekemää hälytystyötä.

Keskeytys-, tietosuojavahinkoja sekä asiantuntijapalveluiden käyttöä korvaamaan Pohjola Vakuutuksella on tarjolla kybervakuutus, joka yleistyy Salosen mukaan koko ajan. Mikäli vakuutusta ei ole, eikä yhteistyösopimuksistakaan löydy turvaa, jäävät vahingot kokonaisuudessaan yrityksen kontolle.

Stepit turvalliseen tietotyöhön

  • Käytä aina kun mahdollista monivaiheista tunnistautumista kaikilla tileillä
  • Käytä salalauseita salasanojen sijaan, eri lauseita eri tileillä, useasti vaihdellen
  • Ole koko ajan hereillä sähköpostissa. Tutulta näyttävä osoite voi olla uhka, sillä se voi olla murrettu. Älä klikkaa auki epävarmalta vaikuttavia liitteitä
  • Jokainen klikkaus on tärkeä ja vaikuttaa yrityksen tietoturvaan. Pidä siis taso omalta osaltasi korkealla

Lue lisää Pohjola Vakuutuksen Kybervakuutuksesta

Salasanojen kalastelu ja lunnastroijalainen – joko olet kuullut näistä tietoturvauhista?

OP sosiaalisessa mediassa