YRITTÄJÄ, tule mukaan omiesi pariin! Liity Yrittäjiin.

JÄSEN, oletko jo ladannut Yrittäjät-sovelluksen puhelimeesi? Lataa sovellus Androidille tai Applelle.

Yritysten tietoturva kiteytyy usein perusasioiden ympärille. Kuva: Getty Images
5.5.2022 klo 09:03
Uutinen

Petteri Järvisen kahdeksan vinkkiä: Näin parannat yrityksesi tietoturvaa – Yksi tärkeä ohje kotitoimistoon

Tietokirjailijan mukaan nuoret eivät ole niin valveutuneita tietoturvasta, kuin usein luullaan. Hän painottaa, että moni isokin riski on toteutunut yksinkertaisten virheiden seurauksena.

Tietokirjailija Petteri Järvinen on koonnut äskettäin julkistettuun Yrityksen tietoturvaopas -kirjaan oleellista sisältöä vuosien varrella pitämistään tietoturvakoulutuksista. Tuloksena on yli 250-sivuinen teos, joka käsittelee monipuolisesti yrityksen tietoturvaa ja erilaisia riskejä.

Järvisen pitkän uran aikana tietoturva ja yritysten riskit ovat muuttuneet paljon. Suurin muutos on tapahtunut pilvipalveluiden yleistymisen myötä.

– Vuosituhannen vaihteessa yrityksissä tehtiin varmuuskopiot levykkeille. Nykyään on äärimmäisen harvinaista, että tiedot häviäisivät ulkoisten levyjen rikkoutumisen seurauksena, koska tiedot ovat pilvipalveluissa tai niiden ainakin pitäisi olla, Järvinen sanoo.

Petteri Järvisen uusin kirja käsittelee yrityksen tietoturvaa.

Siinä missä virukset eivät enää siirry juurikaan sähköpostien välityksellä, yrityksiä vaanii moni uusi uhka kuten erilaiset kansainväliset nettijuijaukset tai kiristysohjelmat.

“Nykyään on äärimmäisen harvinaista, että tiedot häviäisivät ulkoisten levyjen rikkoutumisen seurauksena.”

Petteri Järvinen

– Käyttäjien oma suojautuminen on muuttunut helpommaksi, mutta toisaalta kokonaisten yritysten tiedot voivat olla yhden tietokoneen tai tietoverkon varassa. Jos jotain ikävää tapahtuu, riskinä on yrityksen kirjanpidon, varastonhallinnan tai asiakasrekisterin tuhoutuminen. Riskit ovat siinä mielessä kasvaneet.

Megaluokan tietomurtojen taustalla usein yksinkertainen virhe

Kirjaa tehdessään ja kansainvälisiä tietomurtotapauksia peratessaan Järvinen yllättyi itsekin siitä, miten yksinkertaisista virheistä moni vakava tapaus on saanut alkunsa.

– Moni asia yksinkertaisesti unohtuu kiireessä ja joskus on kyse myös puhtaasta välinpitämättömyydestä. Loppujen lopuksi isojenkin tietomurtojen taustalla on jokin yksinkertainen asia kuten salasanojen vuotaminen tai auki jäänyt palomuuri.

– Toisaalta tämä on lohdullista, toisaalta ei. Kun samoja asioita on yrityksissä yritetty saada kuntoon jo parikymmentä vuotta, sitä miettii, saadaankohan niitä kuntoon koskaan.

”Nuoret ovat pihalla tietoturvasta”

Järvinen ei pidä nuoria kovinkaan valveutuneina, mitä tulee tietoturvaan ja esimerkiksi yritysten riskien tunnistamiseen.

– Nykyään kuvitellaan, että nuoret osaavat nämä jutut, eikä heitä tarvitse muistutella tietoturvasta. Se on puppua. Monesti nuoret, jotka tulevat työelämään, ovat ihan pihalla tietoturvasta.

Syynä on Järvisen mukaan se, että diginatiivit nuoret ovat tottuneet mobiililaitteiden helppoon ja sujuvaan käyttöön ja ”yksinkertaiseen” tietoturvaan, joka perustuu pitkälti kasvontunnistukseen.

– He eivät sen sijaan tiedä, miten hakukoneet tai pilvipalvelut toimivat ja missä tieto sijaitsee. Ollaan totuttu lapsesta lähtien siihen, että kaikki tapahtuu automaattisesti eikä mikään maksa mitään. Se on huono lähtökohta yrityksen tietoturvalle.

Kahdeksan vinkkiä parempaan tietoturvaan yrityksessä

  1. Varmista, ettei yrityksessäsi ole käytössä laitteita tai sovelluksia, jotka vain yksi ihminen tuntee. Tai osaamista, joka olisi tärkeää koko yritykselle.
  2. Jos yrityksesi joutuu kiristysohjelman hyökkäyksen kohteeksi, varmuuskopio saattaa olla ainoa keino palata takaisin normaaliin liiketoimintaan. Varmistusten pitää toimia write-only -periaatteella: Vain kirjoittaminen on sallittu, muutokset ja poistot estetään.
  3. Etätöitä varten työntekijällä olisi hyvä olla kaksi konetta, joista työkone on pyhitetty vain työasioille ja toisella koneella voidaan keskittyä muuhun kuten verkkoselailuun ja hupikäyttöön. Koneet eivät saisi olla edes samassa wifi-verkossa, jotta mahdolliset haittaohjelmat eivät leviäisi vapaa-ajan käytöstä yrityskoneen kautta työpaikan verkkoon.
  4. Kotitoimistossa olisi hyvä olla useampi verkko, joista yksi voidaan varata lasten laitteiden käyttöön. Myös älykodin verkkoyhteyttä käyttäville laitteille kannattaa luoda oma verkkonsa. Vaikka näihin laitteisiin murtauduttaisiin, niistä ei pääse käsiksi tärkeisiin tietoihin.
  5. Rajoita yrityksessäsi työntekijöiden oikeuksia niin, että vain yhdellä henkilöllä on oikeus vaihtaa asiakkaan tilinumero tai tehdä muutoksia laskutustietoihin. Tämä laskee merkittävästi sähköpostihuijausten riskiä.
  6. Suojaudu identiteettivarkauksilta ilmoittamalla PRH:lle sähköpostiosoite, johon PRH voi ilmoittaa rekisteriin tehdyn muutosilmoituksen. Tällöin yrityksen johto saa tiedon, jos rekisteritietoihin on tehty muutoksia väärin perustein.
  7. Ota levynsalaus käyttöön kannettavissa tietokoneissa ja mobiililaitteissa. Hyviä ohjelmia tähän tarkoitukseen ovat esimerkiksi Windows Bitlocker ja Mac-tietokoneissa Filevault.
  8. Vältä tärkeiden tiedostojen lähettämistä tai julkaisemista alkuperäisessä muodossa. Tiedostoihin voi jäädä piilotietoa (metadataa), jonka vastaanottaja voi halutessaan kaivaa esiin.

Lähde: Järvinen, Petteri: Yrityksen tietoturvaopas (Kauppakamari)

Pauli Reinikainen