Kyberrikollisuus muuttuu rajummaksi

Tietoturva on liiketoiminnan edellytys. Jokaisella menestyvällä yrityksellä on jokin kilpailuetu, johon menestys perustuu. Nykyään kilpailuetu on yhä useammin olemassa ennen kaikkea digitaalisessa muodossa: digitaalinen palvelu, tietomalli, asiakasrekisteri tai verkkokauppa. Jokaiselle pitäisi siis olla selvää, miten kilpailuedun tuottava asia on suojattava vahingoilta.

Haluatko oppaan sähköpostiisi?

Mikäli haluat palata oppaan pariin myöhemmin, voit ladata sen kätevästi myös sähköpostiisi.
 

Lataa opas

1. Kyberrikollisuuden kasvu koettelee yrityksiä

Jokaisella menestyvällä yrityksellä on jokin kilpailuetu, johon menestys perustuu – ja joka olisi arvokasta myös kilpailijoille. Se voi olla tuotteet, hiottu valmistusprosessi, tietoa, osaamista, palvelumalleja tai verkostoja.

Nykyään kilpailuetu on yhä useammin olemassa ennen kaikkea digitaalisessa muodossa: digitaalinen palvelu, tietomalli, asiakasrekisteri tai verkkokauppa.

Jokaiselle pitäisi myös olla selvää, että kilpailuedun tuottava asia kannattaa vahinkojen varalta suojata ja vakuuttaa. Tietoturva on tärkein yksittäinen keino suojella digitaalista omaisuutta.

Hyvissä ajoin suunniteltu tietoturva suojaa parhaiten liiketoiminnan elintärkeitä osia ja mainetta.

 

 

Suomi ei ole saari

Suomi ei ole turvassa kyberkonflikteilta eikä kyberrikollisuudelta. Tietoliikenneverkkomme ovat kansainvälisesti verrattuna hyvin suojattuja, mutta suomalaiset yritykset eivät ole liian pieniä ollakseen kiinnostavia. Turvallisuusharhaa ruokkii myös julkisuus, sillä vain noin prosentti kaikista hyökkäyksistä tulee laajemmin tietoon.

Suomalainen Algol-konserni joutui kesällä 2018 laskutushuijauksen uhriksi ja maksoi 140 000 euroa tekaistulle kiinalaistilille. Suuremman taloudellisen vahingon esti vain pankin onnistunut valvonta.

Kybertaistelun tekee haastavaksi se, että hyökkääjinä voi olla mitä erilaisimpia tahoja. Jotkut tekevät kiusaa tullakseen oman avaruutensa sankareiksi. Yhdet haluavat tehdä vahinkoa tai anastaa tietoa, toiset ovat osa laajaa, valtioiden välistä vakoilua.

Lisäksi kannattaa muistaa, että monet tietoturvahyökkäykset tulevat edelleen organisaation sisältä. Esimerkiksi Edward Snowden oli Yhdysvaltain turvallisuusviranomaisten alihankkijayrityksen työntekijä. Panama-paperit taas vuoti julkisuuteen oletettavasti verojärjestelyitä tehneen asianajotoimiston työntekijä.

Kyberuhkan tuhannet kasvot

Jos motiivi on riittävän hyvä, kyberrikollinen voi ohittaa lähes minkä tahansa perustason suojauksen. Puutteellisesti suojatut, verkkoon kytketyt laitteet ovat kyberrikollisille eräänlainen taivas. Niistä näppärät hakkerit saavat hetkessä väylän yritysverkkoon, mikä mahdollistaa tietomurrot.

Rikolliset skannaavat jatkuvasti verkkoon kytkettyjä laitteita haavoittuvuuksien tai väärien asetusten varalta, ja pahimmillaan laite on vallattu jo muutamassa minuutissa. Hakkereille aukeaa nopealla vauhdilla uusia väyliä, kun esineiden internet yleistyy.

Verkkoon kytkettyjen laitteiden määrä kasvaa muutamassa vuodessa jopa sataan miljardiin. Siksi saamme todennäköisesti lukea jatkossa yhä enemmän uutisia hakkeroinnin kohteeksi joutuneista jääkaapeista, televisioista ja erilaisista tuotantolaitteista.

Kaapattujen laitteiden bottiverkkoihin perustuvat DDoS (Distributed Denial of Service) -hyökkäykset aiheuttavat noin kolmasosan järjestelmien toimintakatkoista. Esimerkiksi DNA torjuu omassa verkossaan useita vakavia palvelunestohyökkäystä joka päivä.

DDoS-hyökkäykset ovat niin halpoja ja helppoja, että niitä voi kuka tahansa ostaa verkosta viidessä minuutissa ihan vain kiusanteon vuoksi. Kiusanteon lisäksi palvelunestohyökkäyksillä kiristetään yrityksiä.

Hankaluuksia aiheuttaa myös, jos hyökätään laajalti käytössä oleviin taustapalveluihin, kuten Suomi.fi-tunnistautumispalvelu sai kokea syyskuussa 2018. Valtorin ylläpitämän palvelun tunteja kestänyt häiriö esti pääsyn muun muassa Kelan, Trafin ja Verohallinnon palveluihin.

Kasvava uhka on henkilöihin kohdistuvat tietojenkalastelu- ja huijausyritykset, joilta on teknisesti vaikea suojautua. Tietoja kalastellaan yhä hienostuneemmin uskottavan näköisillä viesteillä tunnetuista osoitteista. Esimerkiksi Suomessa rikolliset ovat onnistuneet murtautumaan monen yrityksen Office 365 -sähköpostitileille.

Kyberrikolliset käyttävät haltuun saamiaan sähköpostitilejä tietojen vakoiluun, uusien kalasteluviestien lähettämiseen tai huijauksiin.

Kyberrikolliset käyttävät haltuun saamiaan sähköpostitilejä tietojen vakoiluun, uusien kalasteluviestien lähettämiseen tai huijauksiin.

Askeleet parempaan tietoturvaan

  • Suunnittele myös tietoturvaa heti digitaalisen hankkeen alkuvaiheessa.
  • Vaadi operaattorikumppaniltasi suunnitelma tietoturvariskien hallinnasta.
  • Tekniset perusratkaisut kuntoon. Muista ainakin julkisen internetin ja sisäverkon väliset tietoturvaratkaisut, sovellusten tunnistaminen, hyökkäysten estäminen ja haittaohjelmien suodattaminen.
  • Varmista henkilöstön kaikkien päätelaitteiden tietoturva ja hallinta.
  • Luokittele data sen kriittisyyden perusteella. Määrittele kullekin tärkeysluokalle sopiva datan säilytyspaikka.
  • Toimeenpane identiteetin ja käyttöoikeuksien hallinta.
  • Huolehdi henkilöstön jatkuvasta tietoturvakoulutuksesta.

2. Tietoturvallisia askelia

Kun kyberrikollisuus kehittyy, myös tietoturvaratkaisut onneksi paranevat. Tärkeintä on aloittaa tietoturvan suunnittelu mahdollisimman varhain.

”Tietoturvaa tulee ehdottomasti miettiä heti kun digitaalisia palveluita aletaan suunnitella. Suojaaminen voi olla selvästi työläämpää ja voi jopa vaarantaa käyttöönoton, jos se aloitetaan myöhässä”, sanoo DNA:n tietoturvapalveluista vastaava Juho Saarinen.

Tietoturva koostuu niin monista asioista, että yrityksen kannattaa tehdä oma kyberturvastrategia tai ainakin tiivis suunnitelma. Tämän pitäisi sisältää keskeiset askeleet ja vastuuhenkilöt samalla tavalla kuin muissakin toiminnoissa.

Tiedon arvon ja luottamuksellisuuden arviointi on yksi keskeinen askel tietoturvan järjestämisessä. Organisaation täytyy tunnistaa kriittinen data ja kilpailuedun kannalta kaikkein arvokkain tieto. Sen jälkeen on määriteltävä, miten dataa säilytetään ja käsitellään. Organisaatiot käyttävät lähes poikkeuksetta useita keinoja datan tallennukseen. Osa datasta voi sijaita omilla servereillä, osa julkisissa pilvipalveluissa ja osa suljetuissa datapalveluissa.

Sekä yritysten että julkisten organisaatioiden on välttämätöntä luoda periaatteet, jotka ohjaavat datan tallentamista ja käsittelyä. Näiden periaatteiden on oltava yksinkertaisia, jotta ne ovat helposti viestittävissä ja noudatettavissa.

Myös yrityksen käyttämät pilvipalvelut on tärkeää arvioida tietoturvan kannalta. Moni pilvialusta tarjoaa työkaluja tietoturvaan, mutta ne eivät välttämättä ole automaattisesti käytössä. Pilvi, siellä käsitellyn tiedon arvo ja sen verkkoratkaisut tulee huomioida osana yrityksen tietoturvan kokonaisuutta.

Identiteetin tunnistaminen ja käyttöoikeuksien hallinta ovat yhä tärkeämpiä tietoturvan elementtejä. Ennen tilanne oli selkeä, kun työntekijät työskentelivät yrityksen sisäverkossa ja palvelut pyörivät konesaleissa. Nykyään yleinen etätyö ja pilvipalveluiden käyttäminen ovat vaikeuttaneet kokonaistilanteen ja mahdollisten uhkakuvien hahmottamista.

Tunnistamisen tärkeys korostuu elintärkeissä palveluissa. Vain elokuvassa voi olla hauskaa, jos virtuaalisesti leikkausta konsultoiva kirurgi onkin oikeasti Mr Bean.

Tunnistaminen on kunnossa, kun organisaatio pystyy sekä reaaliajassa että jälkeenpäin selvittämään miltä koneelta ja kuka käyttää palveluita ja käsittelee dataa.

Etätyössä tietoturvaa parantaa käyttäjän vahva todentaminen, joka perustuu yrityksen käyttäjätunnukseen, salasanaan ja kertakäyttösalasanaan, joka saadaan tekstiviestillä, todennuslaitteesta tai mobiilisovelluksesta.

Käyttöoikeuksien hallinta liittyy läheisesti tunnistamiseen. Organisaatiossa pitää olla selkeät pelisäännöt siitä, kuka pääsee ja miltä laitteelta mihinkin palveluun ja tietoon käsiksi. Käyttöoikeuksien hallinta voi tuntua yksinkertaiselta, mutta todellisuudessa kyseessä voi olla mutkikas asia – etenkin suuremmissa organisaatioissa.

Teknisesti hallinta on kuitenkin helppoa. Esimerkiksi DNA tarjoaa pääsynhallintapalvelua, joka ei edellytä asiakkaalta edes laiteinvestointeja eikä ylläpitoresursseja.

Käyttöoikeuksien hallinta vaatii kuitenkin teknisten valmiuksien lisäksi selkeitä määrittelyjä tarkoituksenmukaisista käyttöoikeuksista, jotka ottavat huomioon myös erilaiset käyttötilanteet ja -laitteet. Tässä työssä tarvitaan hyvää yhteistyötä tietotekniikan ja HR-ammattilaisten välillä sekä selkeää tietoturvastrategiaa, joka ohjaa määrittelyä.

Käyttöoikeudet muuttuvat suuressa organisaatiossa tiuhaan, kun tehtävät ja ihmiset vaihtuvat. Haastetta lisää lyhytaikaisten työsuhteiden ja vuokratyövoiman hyödyntäminen.

Kattava tekninen tietoturvaratkaisu edustaa perusturvaa kyberrikollisuuden torjunnassa. Sen avulla organisaatio suojaa muun muassa verkkonsa, palvelimensa, tietokantansa ja erilaiset sovellukset.

Verkossa liikkuvaa sisältöä täytyy kyetä hallitsemaan. Jos organisaatio ei näe verkon liikennettä, se ei tiedä, millä tasolla tietoturva on. Silloin sitä on myös vaikea kehittää. Siksi internetin ja organisaation sisäverkon välillä pitää olla älykkyyttä, jonka avulla organisaatio voi pienentää hyökkäyspinta-alaa.

Salaus tekee verkon sisällön hallitsemisen haastavaksi. Nykyisin lähes kaikki liikenne on salattua. Tietoturvaratkaisuiden tulee purkaa salaus, tarkastaa liikenne ja salata se uudelleen – kasvattamatta merkittävästi verkon viiveitä.

Tekniseen peruspakettiin pitäisi kuulua älykäs palomuuripalvelu, sovellusten tunnistaminen ja etäyhteyspalvelut. Palvelunestohyökkäysten estämispalvelut ja päätelaitteiden tietoturvaratkaisut ovat jo välttämättömiä tietoturvan rakennuspalikoita.

Tietoturvaa tulee ehdottomasti miettiä heti kun digitaalisia palveluita aletaan suunnitella. Suojaaminen voi olla selvästi työläämpää ja voi jopa vaarantaa käyttöönoton, jos se aloitetaan myöhässä.

Kestävä salasana pitää kyberrikollisen loitolla

Salasana on tietoturvan akilleen kantapää: yrityksen työntekijät kun useimmiten kokevat
vaihtamisen työlääksi ja muistamisen hankalaksi. Nykyinen laskentateho murtaa kuitenkin
heikot salasanat nopeasti. Hyviä tapoja suojautua ovat kaksivaiheinen tunnistautuminen ja
vahvat salasanat.
 

Hyvän ja kestävän salasanan anatomia:

  • Älä käytä yrityspalveluissa samoja salasanoja kuin henkilökohtaisissa kuluttajapalveluissa, joiden tietoturvataso ei ole samaa luokkaa.
  • Lisää pituutta. 8 tai 12 merkkiä on nopeampi murtaa kuin 30 merkkiä – salasana voi olla vaikkapa kokonainen virke.
  • Vaihda usein. Muistamista helpottaa, jos jokin osa salasanasta säilyy samana palvelusta toiseen.
  • Lisää sattumanvaraisuutta. Poimi esimerkiksi lähin kirja ja valitse sana neljältä satunnaiselta sivulta.
  • Ei ole ainoa varmennuskeino. Kaksivaiheinen tunnistautuminen kannattaa
    ottaa kaveriksi aina kun se on tarjolla.

IoT-tietoturvan varmistaminen. Yritysten käyttämien laitteiden ja sovellusten turvallisuutta on hankala varmistaa, jolloin tietoturva täytyy rakentaa useammalla tasolla. Riskejä voidaan rajata eriyttämällä IoT-laitteet omaan verkkoon sekä varmistaa näkyvyys verkon liikenteeseen, jolloin voidaan tunnistaa poikkeamat ja reagoida niihin.

Yritysten valmistamien IoT-laitteiden tietoturvaa voidaan parantaa hyödyntämällä mobiiliverkon parempaa tietoturvaa: SIM-kortit ovat vähemmän haavoittuva yhteystapa kuin wifi tai bluetooth.

Ohjelmistojen päivitykset. Tämä perusasia on tärkeä muistaa, sillä mitä pidempään ohjelmistot ja laitteet ovat päivittämättä, sitä suuremmaksi tietoturva-aukko kasvaa. Myös verkossa olevien laitteiden päivitysten osalta on tärkeää muistaa pitää yllä kokonaiskuvaa siitä, ovatko kaikki tärkeät laitteet päivitetty ajantasaisiksi – tai tukeeko valmistaja vielä laitteiden versioita.

Tilannekuvan muodostaminen. Uhkien muuttuessa jatkuvasti ja verkkoliikenteen monimuotoistuessa ajantasaisen tilannekuvan muodostaminen on tietoturvan kannalta elintärkeää. Tilannetta on vaikea parantaa, jos yritys ei edes tiedä, minkälaisten murtautumisyritysten kohteena se on tai miten usein sen verkkoliikenteessä havaitaan erikoisia poikkeuksia. Myös tilannekuva käytetyistä palveluista, laitteista sekä niiden päivityksistä on tärkeä työkalu, kun yritys arvioi liiketoiminnan jatkuvuuteen tai maineeseen liittyviä uhkia ja riskejä.

Henkilöstön tietoturvakoulutus on usein laiminlyöty asia, joka kostautuu helposti. Parhaissakin tietoturvaratkaisuissa on ihmisen kokoinen aukko, jos henkilöstö ei ymmärrä, miten ja miksi tietoturvasta pitää huolehtia.

Tietoturvariski ei edellytä aina rikollisuutta, vaan kyse voi olla myös ajattelemattomuudesta. Siksi henkilöstön kanssa on syytä keskustella säännöllisesti siitä, millaisia periaatteita ja käytäntöjä organisaatiossa on.

Lisää tietoa

Viestintäviraston salasanageneraattori
pidempiparempi.fi

Kyberturvallisuuskeskuksen kybersää
kyberturvallisuuskeskus.fi/fi/ajankohtaista/kybersaa

Katso onko käyttäjätunnuksesi murrettu
haveibeenpwned.com

Kansainvälisesti sovitut IoT-tietoturvan ohjeet GSMA IoT Security Guidelines
gsma.com/iot/iot-security/iot-security-guidelines

Tietoturvapalvelut yritykselle, tietoturvaa kaikkeen verkossa toimimiseen
dna.fi/yrityksille/tietoturva

Haluatko oppaan sähköpostiisi?

Mikäli haluat palata oppaan pariin myöhemmin, voit ladata sen kätevästi myös sähköpostiisi.
 

Lataa opas