27.10.2020 klo 16:12
Uutinen

Miten suojata yrityksen arkaluontoiset tiedot? Mitä tietoturva maksaa? Lue asiantuntijoiden neuvot – ”Tärkeintä olla kiinnostunut”

Asiantuntijat korostavat muun muassa kaksivaiheisen tunnistautumisen, henkilöstön kouluttamisen ja aktiivisen varmuuskopioinnin merkitystä.

Vastaamon tietomurto on herättänyt yrittäjät pohtimaan tietoturvan tasoa ja varautumista pahimpaan. Suomen Yrittäjiin on otettu yhteyttä tietoturva-asioista normaalia aktiivisemmin.

– Yhteydenottoja on tullut myös siksi, että osa tietovuodon kohteeksi joutuneista on yrittäjiä. Heitä mietityttää, miten tämä kaikki vaikuttaa yritystoimintaan ja onko mahdollista, että rikollinen menettely ja tietojen mahdolliset väärinkäytökset eivät kohdistu ainoastaan yksityishenkilöön vaan myös yritystoimintaan, Suomen Yrittäjien asiantuntija Karoliina Katila sanoo.

Tässä vaiheessa on Katilan mukaan mahdotonta arvioida, käytetäänkö vuotaneita tietoja myös muuhun tarkoitukseen kuin lunnasrahojen kalasteluun.

– Voi olla, että tietoja käytetään myös esimerkiksi valeostoihin verkkokaupoista. Tietovuoto lisää riskiä petosten, huijausten ja identiteettivarkauksien kohteeksi joutumisesta.

Lue vinkkejä tietoturvan parantamiseen täältä.

Elisan tietoturvajohtaja Teemu Mäkelän mielestä Vastaamon tapaus on erittäin ikävä, mutta toimii samalla herätyksenä monessa yrityksessä.

– Pienyrittäjän kannalta tärkeintä on ymmärtää oma liiketoiminta. Mitkä prosessit ja sitä kautta järjestelmät liiketoimintaan liittyvät ja miten riippuvaisia ne ovat toisistaan. Sen jälkeen on helpompaa miettiä uhkia ja kohdistaa toimenpiteitä.

Mäkelä pitää pilvipalvelua usein helpoimpana ratkaisuna tietojen tallentamiseen yrityksessä.

– Pilvestä saa usein myös hyvää tietoturvaa. Lisäksi pilvipalvelujen tarjoajat takaavat hyvän käytettävyyden ja hallinnan. Data ei katoa heidän palvelimiltaan.

Hän kannustaa yrityksiä kouluttamaan henkilöstöään.

– Ilmaista koulutusta on tullut koronapandemian aikana runsaasti verkkoon. Sen kohdistaminen omaan henkilöstöön on tehokasta ja edullista.

Muista tietoturvaluokitus

Turvallisuusasiantuntija Hannu Huttunen HPH Consulting Oy:stä kannustaa yrityksiä tekemään turvaluokituksen, joka helpottaa yrityksen tietoturvan tarpeen selvittämistä. Yleisimmin käytetyt turvaluokat ovat Julkinen, Sisäinen, Luottamuksellinen ja Salainen.

Huttunen painottaa turvaluokituksen merkitystä kustannusten ja ajan säästämiseksi.

– Kun tiedot on turvaluokitettu oikein, tietojen käytönhallinnasta ja suojaamisesta tulee tehokasta, eikä tule käytettyä resursseja (aikaa ja rahaa) sellaisen tiedon suojaamiseen, mihin ei ole tarvetta.

Tietojen käsittelyssä on otettava huomioon EU:n tietosuoja-asetus (gdpr). Asetus määrää muun muassa tietojen oikeasta säilyttämisestä, niiden luovuttamisesta ja tuhoamisesta.

Huttusen mukaan liian moni yritys ei ole edelleenkään tietoinen gdpr:n vaatimuksista.

– Vaikka EU:n tietosuoja-asetus on ollut jo voimassa vuodesta 2018, niin siitä huolimatta se ei ole kaikille tuttu eikä sen asettamia vaatimuksia tietojen käsittelystä ole otettu käyttöön.

Lataa Suomen Yrittäjien laatima Yrittäjän tietosuojaopas täältä.

Kaksivaiheinen tunnistautuminen eliminoi uhkia

Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen erityisasiantuntija Perttu Halonen näkee, että monessa yrityksessä voidaan tehdä paljon jo olemassa olevilla järjestelmillä.

– Tärkeintä on ylipäätään olla kiinnostunut tietoturvasta. Moni yrittäjä käyttää Microsoftin Office365-pilvipalvelua, siinä on sisäänrakennettuna paljon tietoturvaominaisuuksia. Täytyy vain osata ottaa ne käyttöön. Siinä moni saattaa tarvita asiantuntijan apua.

Halonen korostaa kaksivaiheisen tunnistautumisen (tai monivaiheinen tunnistautuminen) merkitystä tietoturvatason parantamisessa. Halosen mukaan se auttaa estämään kalastelluilla salasanoilla tehtäviä tietomurtoja.

– Monivaiheisen kirjautumisen käyttäminen torppaa kaikki tietomurrot, joita yritetään tehdä käyttämällä rikollisille paljastunutta tai rikollisten arvaamaa salasanaa. Muita hyökkäyksiä, kuten ohjelmistohaavoittuvuuksien hyväksikäyttöä suojausten ohittamiseksi, monivaiheinen tunnistautuminen ei estä.

Kyseinen teknologia edellyttää yleensä esimerkiksi Googlen tai Microsoftin tunnistautumissovelluksen asentamisen älypuhelimeen. Kyseessä on yleensä maksuton ominaisuus.

– Ominaisuus yleistyy jatkuvasti. Kaksivaiheinen tunnistautuminen on eduksi myös palveluntarjoajille, koska se vähentää palveluihin suuntautuvaa asiakaspainetta. Kun asiakkaat ovat turvassa, tietomurtoja estetään etupainotteisesti.

Halonen korostaa, että yrityksen koko ei vaikuta yrittäjän vastuuseen.

– Yrityksen hallitus vastaa viime kädessä siitä, onko tietojen käsittelyn suojaus riittävällä tasolla riskeihin nähden. Riskien suuruutta voi mitata rahalla. Millaisia menetyksiä tai vastuita syntyisi, jos vaikkapa yrityksen tuotanto seisoisi viikon ajan kiristyshaittaohjelman takia? Jos tätä pienemmällä rahalla saa suojauksen, joka vähentää tietoturvaloukkauksen riskejä, siihen kannattaa investoida.

Kyberturvallisuuskeskus on laatinut maksuttoman Pienyritysten kyberturvallisuusoppaan, jonka voi ladata täältä.

Älä luota ohjelmistoon, jota ei voi päivittää

Perustason toimenpiteinä yrityksen tietoturvan parantamiseksi Hannu Huttunen pitää virustorjunnan ja palomuurin käyttöönottoa. Oleellista on myös ohjelmistojen asetusten muokkaaminen yrityksen tarpeisiin sopiviksi.

– Koskaan ei pitäisi kuvitella, että valmiina olevat oletusasetukset riittävät yrityksen käyttöön. Oleellista on myös henkilöstön koulutus siihen, miten tietoja käsitellään turvallisesti. Yritykselle tulisi myös laatia kirjalliset tietoturvaohjeet tietojen käsittelylle koko tiedon elinkaaren ajalle. Tietoturvaohjeet tulisi perehdyttää työntekijöille ja huolehtia siitä, että ne tulevat ymmärretyksi ja niihin sitoudutaan.

Perustoimenpiteisiin kuuluvat lisäksi ohjelmistojen säännöllinen päivittäminen. Jos johonkin ohjelmistoon ei enää ole saatavana päivityksiä, ohjelmisto on Huttusen mukaan syytä vaihtaa.

Sama salasana vain yhteen palveluun

Salasanojen käyttäminen tulee tehdä yrityksessä itsestään selväksi. Samaa salasanaa ei saa koskaan käyttää useammassa kuin yhdessä paikassa kerrallaan.

– Kun salasanojen määrä kasvaa, haasteeksi voi tulla, miten salasanat muistetaan ja missä niitä voi säilyttää turvallisesti. Tähän ovaty ratkaisuna salasanojen hallintaohjelmat, jolloin kaikki käytössä olevat salasanat voidaan tallentaa yhden salasanan taakse. Tällöin riittää yhden salasanan muistaminen.

Työntekijöiden sitouttaminen vaatii Huttusen mukaan yrityksen johdolta sitoutumista sovittuihin käytäntöihin ja ohjeisiin.

– Ilman johdon sitoutumista työntekijätkään eivät suhtaudu asiaan riittävällä vakavuudella. Johdon sitoutumista tarvitaan myös tietoturvan jatkuvaan kehittämiseen ja riittävien panostuksen tekemiseen. Jos yrityksen johto ei ymmärrä tietoturvallisuuden tärkeyttä ja se toiminnalle tuomaa lisäarvoa, he eivät viitsi panostaa siihen riittävästi.

Varmuuskopioi tiedot talteen – jopa päivittäin

Huttunen korostaa varmuuskopioinnin merkitystä.

– Varmuuskopiointi kaikista tärkeistä tiedoista on ehdottoman tärkeää. Jos käy niin, että tietokoneelle pääsee haittaohjelma, tiedot voidaan palauttaa varmuuskopioista ja yrityksen toiminta voi jatkua. Muussa tapauksessa riskinä voi olla pitkäaikainen toiminnan keskeytys tai ikävimmillään koko toiminnan loppuminen. Varmuuskopiot tulisi ottaa päivittäin, jopa useamman kerran, mikäli päivän aikana käsiteltävä tieto muuttuu useita kertoja.

Varmuuskopiointi voidaan tehdä joko automaattisesti tai manuaalisesti. Varmuuskopiot tulee säilyttää erillään suojattavista järjestelemistä ja tiedoista. Kopiot voidaan tehdä joko ulkoiselle tiedontallennusvälineelle tai pilvipalveluun. Jos yrityksessä käytetään ulkoisia tallennusvälineitä, ne tulisi säilyttää murto- ja paloturvallisessa paikassa.

– Pelkkä kassa- tai arkistokaappi ei tarjoa riittävää suojaa, Huttunen huomauttaa.

Miten valitsen pilvipalvelun?

Pilvitallennuksen saa ilmaiseksi peruskäyttöön. Tällöin tallennustila on rajallinen. Jos tiedostojen määrä on suuri, Huttunen suosittelee maksullisen palvelun hankkimista.

Pilvitallennuspalveluiden tarjoajia on useita, suurimpina Google, Apple ja Microsoft. Valinnassa tulee huomioida paitsi yrityksen tarpeet esimerkiksi tallennustilan määrästä myös se, miten tiedot ovat saatavilla ja miten palvelun tuottaja on huolehtinut tietoturvasta.

– Kannattaa muistaa, että vaikka pilvipalveluiden tuottaja on huolehtinut tietoturvasta, se ei tarkoita, että yrittäjän oma tietoturva on kunnossa. Tästä syystä tietoturvan täytyy olla myös yrittäjän päässä kunnossa, Huttunen jatkaa.

Pilvipalveluiden valinnassa kannattaa käyttää hyödyksi Kyberturvallisuuskeskuksen laatimaa ilmaista opasta pilvipalvelun valitsemisen helpottamiseksi. Oppaassa käydään tarkkaan läpi mitä pilvipalvelun valinnassa kannattaa huomioida.

Tietojen salaaminen on noussut otsikoihin muun muassa Vastaamon tapauksessa. Salaaminen on Huttusen mukaan suositeltavaa etenkin silloin, kun kyseessä on yritystoiminnan kannalta erityisen tärkeä data. Tieto voidaan salata paikallisesti tietokoneella ja ulkoisilla tallennusvälineillä. Useimmat muistitikut ja ulkoiset kovalevyt mahdollistavat tiedon salaamisen ja yleensä kaikkiin pilvipalveluihin kuuluu tiedon salaamisen mahdollisuus.

– Tällaiset muistitikut ja ulkoiset kovalevyt mahdollistavat tietojen turvallisen mukana kuljettamisen. Jos kävisi niin, että muistiväline katoaisi, tiedot eivät päätyisi ulkopuolisten käsiin.

Mitä tietoturva maksaa?

Yksinyrittäjän voi olla vaikeaa tai jopa mahdotonta investoida tietoturvaan riittävästi, etenkin jos alalla vaaditaan erityisen korkeaa tietoturvan tasoa. Toisaalta esimerkiksi pilvipalvelun saa käyttöön verrattain edullisesti etenkin, jos työntekijöitä ei ole paljon. Jos kyseessä on pieni yritys ja käytössä on Microsoftin Office365 -pilvipalvelu, kustannus käyttäjää kohden alkaa muutamasta eurosta.

– Tietoturvaratkaisun hintaan vaikuttavat muun muassa yrityksen koko, sen toimintaympäristö, suojattavan tiedon laatu ja määrä, henkilöstön osaamisen lähtötaso ja yrityksen käytössä oleva laitteisto. Suurimmat kustannukset syntyvät tietoturvallisuuden käyttöönotosta, kun asioita lähdetään rakentamaan nollasta. Kun toiminta on saatu pyörimään, kulut ovat huomattavasti pienemmät kuin aloituskustannukset, Huttunen selvittää.

Asiantuntijan valinnassa yrittäjän ei välttämättä kannata luottaa omiin kykyihin tai parhaan kaverin tietokoneosaamiseen.

– Ajatus ”tein itse ja säästin” ei päde yrityksen turvallisuuteen liittyviin ratkaisuihin. Harvoin yritykseltä löytyy tarvittavaa osaamista oikeiden ratkaisuiden tekemiseen. Asiantuntijaa valitessa kannattaa pitää mielessä, että pelkkä perustason tietokoneosaaja ja harrastaja ei ole riittävän osaava antamaan parhaita neuvoja yrittäjälle. Yritysympäristön suojaaminen on huomattavasti vaativampaa kuin kotiympäristön suojaaminen. Asiantuntijalla täytyy olla ymmärrys yritysverkon toiminnasta ja tietoturvallisuusvaatimuksista, joita yritystoiminta vaatii.

Kuva: Getty Images

Pauli Reinikainen

pauli.reinikainen (at) yrittajat.fi