Pitääkö myös pk-yritysten varautua kyberhyökkäyksiin?

pk_yrittajan_tietoturva.jpg

Tähän on lyhyt ja yksiselitteinen vastaus: Kyllä.

PK-yritykselle kyberhyökkäykset voivat olla eri tyyppisiä ja geneerisempiä kuin isoille yrityksille, mutta silti ne ovat täyttä totta ja arkipäivää. Onnistuessaan hyökkäykset aiheuttavat liiketoiminnalle kuluja ja tappioita ihan samoin mekanismein kuin isommillekin yrityksille. Rikolliset ovat kehittyneet työssään entistä ammattimaisemmiksi ja nyt myös pk-yritykset ovat joutuneet kohteiksi osittain siitä syystä että ne ovat vielä toistaiseksi helpompia kohteita.

Pk-yritysten IT-budjetista menee koko ajan isompi osa kyberturvallisuuden parantamiseen mutta siitä huolimatta yritykset tuntevat olonsa edelleen haavoittuviksi. Seuraavaksi käyn läpi muutaman asian, mihin pk-yritysten käytettävissä olevat eurot ja aika kannattaa sijoittaa kyberturvariskien minimoimiseksi.

Henkilöstön tietoisuus eli koulutukset

Henkilöstö on valitettavan usein kyberturvallisuuden heikoin lenkki. Paraskaan suojaus ei välttämättä auta jos työntekijä antaa käyttäjätietonsa ja salasanansa esim. huijaussivustolle tai maksaa perättömän huijauslaskun. Kouluta siis henkilöstösi tunnistamaan huijaukset ja opasta turvallinen tapa toimia sähköpostin käsittelyssä, laskujen maksattamisessa, yrityksen tietojen luovuttamisessa jne.

Esimerkkejä: 1) Sähköpostilla tulee avoin työhakemus, jossa on mukana liite. Liite on oikeasti haittaohjelma. Yrityksen työntekijä avaa tämän ja hyväksyy vielä pop-up-ikkunan kysymyksen. Tämän jälkeen koko yrityksen laitteet voivatkin lukittua ja avaamiseen vaaditaan lunnasrahoja bittivaluuttana.

2) Huijauslasku tulee sähköpostilla ja se näyttää olevan toimitusjohtajan itsensä lähettämä pyyntö. Tämä maksetaan kyseenalaistamatta ja tämän seurauksena saatetaan menettää jopa kymmeniä tuhansia euroja.

Varmistukset

Yksi tärkeimmistä ja myös nykyään kohtuullisen helposta ja edullisesta tavasta minimoida kyberturvariskejä on huolehtia tiedon varmistuksista. Kun tiedot ovat varmistettuna esimerkiksi pilvipalveluun, pelastavat ne kyberrikollisten lisäksi myös laiterikkojen ja muiden fyysisten vahinkojen varalta tai käyttäjien virheiltä. Varmistusten säilytyksen pituus, niiden tiheys, sijainti ja tapa (=hinta) suhteutetaan datan tärkeyteen.

Esimerkkejä: 1) Voro käy yrityksen tiloissa ja varastaa paikallisen palvelimen ja sen päällä olevan varmistuslevyn. -> Menetetään sekä tiedot ja varmistukset. Pilvipalveluun varmistettaessa, tiedot olisivat tallella.

2) Kiristyshaittaohjelma salaa kaiken datan yrityksen työasemilta ja verkkolevyltä (palvelimet) -> Kaikki laitteet voidaan tyhjentää ja tiedot palauttaa varmistuksista.

Suojaukset

Yrityksen verkossa palomuuri ja päätelaitteiden (tietokoneiden, puhelimien, tablettien…) suojausohjelmisto on kyberuhkilta suojautumisen vähimmäisvaatimus. Erityisesti mobiililaitteet usein vieläkin unohdetaan, vaikka ne ovat riskialttiimpia tietokoneeseen verrattuna.

Lisäksi mahdollinen vierailijaverkko pitää eristää yrityksen omasta sisäverkosta, tuotantoverkko pitää erillään toimiston verkosta, palvelimet erillään jne. Palomuurin uhkatietokannan pitää päivittyä jatkuvasti ja tutkia myös salattu liikenne ym. Tässä en mene tämän syvemmälle tähän laajaan ja todella tekniseen aiheeseen.

Esimerkki: Yrityksessä ei ole vierailijaverkkoa vaan vierailija kytkee tietokoneensa yrityksen omaan sisäverkkoon, tämän lopputuloksena vähintään langattoman verkon salasana päätyy yrityksen ulkopuolelle ja pahimmassa tapauksessa saastunut vieraskone voi levittää haittaohjelmaa yrityksen sisäverkossa muihin laitteisiin.

Ohjelmistojen ja laitteiden päivityksistä huolehtiminen

Jokaisessa ohjelmistossa ja laitteessa on vaihteleva määrä bugeja, joista osa on haavoittuvuuksia eli tietoturva-aukkoja. Usein onnistunut kyberhyökkäys tapahtuukin (yhdessä tai ilman sähköpostia) jonkin ohjelmisto- ja/tai laitevalmistajan jo julkisesti tiedossa olevan ja myös valmistajan korjaaman haavoittuvuuden kautta, jota ei kuitenkaan jostain syystä ole päivitetty yrityksen laitteisiin. Päivittämättömät ohjelmistot nostavat siten tarpeettomasti yrityksen kyberriskejä.

Esimerkki: Maerskille miljoonavahingot aiheuttanut haittaohjelma NotPetya hyödynsi Microsoftin korjaamaa Windowsin haavoittuvuutta leviämiseen ja toimintaansa.

Salaus ja laitteiden lukitukset

Salattu data on rikollisille hyödytöntä, hyödynnä siis tätä. Jokainen kannettava laite kannattaa suojata esim. Bitlocker-salauksella. Salaamatonta sähköpostia ei pidä käyttää vähänkään arkaluonteisemman tiedon siirtoon. Lisäksi kaikki mobiililaitteet pitää automaattilukita ja suojata mielellään nelinumeroista PIN-koodia vahvemmin.

Esimerkki: Yrityksen hävinnyt ja suojaamaton kännykkä mahdollistaa pääsyn yleensä vähintään kyseisen käyttäjän sähköposteihin ja kalenteriin, usein myös paljon muuhun.

Yhteenveto

Jos olet jaksanut lukea koko kirjoituksen ajatuksella läpi tähän asti niin taputa itseäsi selkään, hyvin tehty!  Uskon, että jo niistä ajatuksista mitä tätä lukiessasi tullut mieleesi on jatkossa apua liiketoimintasi kyberriskien minimoimisessa.

Tässä käsitellyistä asioista osa on helppoja, osa monimutkaisia, osa haasteellisia, osa aikaa vieviä jne. Uskallan kuitenkin väittää, että yhtäkään yllä mainituista asioista ei yritysten kannata suoraan sivuuttaa tai unohtaa, näistä jokainen riski kannattaa minimoida järkevälle tasolle.

Yrityksen ei kannata kaikkea yrittää tehdä itse vaan hankkia apua luotettavalta kumppanilta ja keskittyä itse siihen mitä osaa parhaiten eli hoitamaan yrityksen liiketoimintaa ja palvelemaan asiakkaita.  Me Lounealla autamme mielellämme!

 

Lue myös blogisarjan aiemmat osat:

Mitä on kyberturvallisuus vuonna 2018?

Kyberturvallisuus on riskienhallintaa

Vahva salasana on avain turvalliseen netin käyttöön

 

 

Jaa artikkeli:
Ville Isotalo
Ville Isotalo
Kyberturvaliiketoiminnan päällikkö
Puhelinnumero
044 7733280
Sähköposti
ville.isotalo@lounea.fi
Tagit:
kyberturvallisuus
tietoturva