Missä kaikessa törmää sanaan tietoturva, ihan peruskäyttäjän näkökulmasta? Ja pystyykö Marskidata pitelemään minua kädestä, ihan koko matkan ajan?
Et ole ehkä ajatellut jokaista vaihetta työkalujesi käytössä, esimerkiksi sitä, kuinka monta kertaa työnantajasi on määritellyt käyttöösi erinäisiä tietoturvaan liittyviä toimenpiteitä. Harva tietokone esimerkiksi aukeaa ilman salasanaa tai kasvojen/sormenjälkitunnistusta, jolla varmistetaan, että käyttäjä olet varmasti sinä.
Seuraavaksi ehkä avaat sähköpostin, johon saatat Single Sign Onin ansiosta päästä esimerkiksi Windowsin AD-tunnuksilla sisään. Viimeistään siinä vaiheessa, kun lähetät sähköpostin, joudut (toivottavasti) valitsemaan, lähteekö viesti salaamattomana, ja onko vaikka liitetiedosto jollain lailla suojattu? Tietokoneen kiintolevyt on puolestaan suojattu BitLockerilla ja ties millä.
Puhelimissakin on iät ja ajat ollut PIN-koodit, suojauskoodit, kasvojentunnistukset, sormenjälkitunnisteet ym. Kaikissa fyysisissä laitteissa, on lisäksi äärimmäisen tärkeää, että ohjelmistoversiot ovat ajan tasalla. Vanhentuneisiin ohjelmistoversioihin tehdään moninkertaisesti enemmän hyökkäysyrityksiä ja niiden haavoittuvuus on myös suurin syy, miksi niitä päivitetään. Kannattaakin tsekata kollegani Heikin blogi yrityksen tietoturvan parantamisesta.
Kuvitellaan, että yrityksesi käyttää Microsoft 365 -palveluita ja, että sähköpostiasi ja muita toimisto-ohjelmistojasi hallittaan niin sanotusti pilvessä. Tiedostot asuvat tällöin Microsoftin pilvessä, käyttäjätunnukset ovat Microsoftin pilvessä, samoin salasanat, asiakasdokumentit, tietosuojan piirissä olevat henkilötiedot ja niin edelleen.
Tietokoneesi on kaiketi yhdistetty internettiin ja kun avaat selaimen, pääset ainoastaan ’sallittuihin’ verkko-osoitteisiin. Selaimen ohella koneellasi on ainoastaan sallittuja ohjelmistoja.
Muistathan myös, että kaikki internetiä käyttävät laitteet, kulkevat verkossa, eli verkkokin on hyvä suojata. Etätyöskennellessäsi luultavasti yritys on ratkaissut ongelman turvallisella VPN-ohjelmistolla, mutta toimistossa kiinteä verkko on suojattu palomuurilla, jossa taas on määritelty hyvinkin monta suojausmekanismia, sallituista ohjelmistoista ja sivuostoista myös sisäänpäin, laitteisiin, kuten tulostimiin, fakseihin, langattomiin tukiasemiin ja niin edelleen.
Koko liikennettä yrityksen laitteissa, verkoissa, palvelimella ja pilvessä valvotaan ja näissä käytetään automatisoituja mekanismeja suojautumiseen. MDR-palvelu (Managed Detection and Response), tulee olemaan käytössä 50 % organisaatioita, vuoteen 2025 mennessä, sanoo kaikki tietävä Gartner (vuonna 2021). Eli kyberuhkilta suojaudutaan härmäläisittäin havaitsemalla ja palautumalla. Tähän liittyen on hyvä tutustua Mikan blogiin kyberpalautumisesta ja Villen blogiin kiristyshyökkäyksistä.
Tietokoneellasi on pääkäyttäjäoikeudet, ainoastaan järjestelmänvalvojalla, joten tarvitessasi ohjelmistoa, jota sinulla ei vielä ole, joudut pyytämään sovelluksen latauslupaa. Yritykselläsi on käytössä Company Portal tai vastaava, minne järjestelmänvalvojat julkaisevat yrityksen sallitut sovellukset. Työpuhelimessa ei ole WhatsAppia tai muita sovelluksia, joissa on tietoturva-aukkoja tai, jotka ovat kaapattavissa tai tuttavallisemmin ’korkattavissa’.
GDPR-asetus pakottaa yritykset noudattamaan tietosuojaan liittyviä määräyksiä, jottei sinun tai työkaverisi henkilötietoja vuoda vääriin paikkoihin. Kun haluat antaa anonyymia palautetta esimiehelle tai nimettömän kehitysehdotuksen, Whistleblower-direktiivi varmistaa nimettömyytesi.
Näistä aiheista voit lukea lisää aiemmin julkaistuista blogeistamme:
Yksityishenkilönä olet varmasti tutustunut muun muassa mobiilivarmenteisiin, kaksivaiheisiin tunnistautumisiin, jossa joudut yhdistämään esimerkiksi pankkitunnuksesi, käyttäjätunnuksesi, sähköpostiin tai tekstiviesteihin. Yhtä lailla monivaiheinen tunnistus on hyvä suoja myös työympäristössäsi. Sähköpostit voi lähettää salatusti, tiedostot voidaan suojata salasanalla, turvatulostuksella tulostimesta ei saa mitään ulos ilman tunnistautumista.
Kaikkia yrityksen tietoja ei voi kopioida pikakomennolla, esimerkiksi puhelimella tekstiviestiin, WhatsAppiin tai hakukoneen kenttään. Tämä ei ole ’pelkästään’ kiusantekoa, vaan yrityksen tiedot halutaan suojata mahdolliselta väärinkäytöltä. Tämä on myös sinun etusi.
Tehkää yrityksessänne pelisäännöt tai ohjeistus tietoturvan käytöstä ja toimenpiteistä, jottei kaikki, vaikka uudet työntekijänne jatkuvasti kuormita järjestelmävalvojianne ja tietoturvavastaavianne.
Ole rohkeasti meihin yhteydessä, mikäli tietoturva-asiat askarruttavat. Meiltä voit tilata muun muassa tietoturvakartoitukset, projektisuunnitelmat ja tietoturvan pelikirjat.
Jos tämä kirjoitus synnyttää minkäänlaista huolta teidän tilanteestanne, laita savumerkkejä, niin katsotaan teidänkin tietoturvanne tila ja laitetaan heti kuntoon kohdat, joissa on havaittavissa puutteita. Tarkistamme työasemat, palvelimet, verkko, palomuurit, pilvipalvelut ja tapanne toimia, niin että sinäkin voit keksittyä tuottavaan työhön, murehtimisen sijasta.
Kesän jälkeen olemme myös julkaisemassa uusia tuotteita, joista tässä muutama tiiseri, pysy kuulolla:
Koska et kuitenkaan halua olla uutisissa näistä syistä, kannattaa oikeasti miettiä, mitkä asiat olette jo nyt huomioineet?