Salasanat on pakkopullaa – ja arjen digiturvan perusta

Salasanat ovat varmasti yksi IT- ja tietoturvamaailman puuduttavimmista puheenaiheista. Ne on aiheena tietoturvakoulutusten pakkopullaa pahimmillaan! Ja varma tapa nukuttaa koko yleisö kerralla!

Salasanoista on kuitenkin puhuttava. Perusjuttujen lisäksi kerron ohessa muitakin näkökulmia, esim. mitä rikolliset tekevät salasanoilla ja mitä hyötyä unohtuneesta salasanasta on.

Salasanoilla on merkittävä rooli meidän kaikkien digiturvallisuudessa. Salasana-asioista puhutaan paljon, mutta tälle on hyvä syy: verkkorikolliset haluavat sinun salasanasi. Paluu työpaikalle on hyvä tilaisuus tarkastella omia ja työpaikan salasanakäytäntöjä. Hyödynnä näitä näkökulmia oman yrityksesi tietoturvakoulutuksissa!

Miksi rikolliset haluavat salasanoja?

Rikollinen haluaa muuttaa sinun käyttäjätunnuksesi rahaksi. Rikollinen hyödyntää kaapattuja käyttäjätunnuksia ja salasanoja rikosten valmistelussa ja toteuttamisessa. Rikollinen testaa:

  • Voiko kaapatulla salasanalla kirjautua esimerkiksi sähköpostiin?
  • Pääseekö samalla salasanalla muihinkin palveluihin?
  • Käyttääkö joku muu yrityksessä samaa salasanaa?

Rikollinen käyttää kaapattua tunnusta esimerkiksi huijauksiin ja tiedon keräämiseen. Hän voi myydä tunnukset toisille rikollisille, jotka esimerkiksi pyrkivät saamaan kiristyshaittaohjelman yrityksen järjestelmiin. On helpompi kirjautua sisään kuin hakkeroitua sisään.

Salasanat suojaavat sinua, muita työntekijöitä ja yrityksesi tietojärjestelmiä rikollisilta.

Millaiset salasanakäytännöt sinulla on?

Mieti seuraavaksi näitä asioita omasta näkökulmastasi. Onko salasanasi:

  • helppo muistaa,
  • vaikea arvata, ja
  • eri joka paikassa?

Vielä kun se sisältää erilaisia merkkejä eikä löydy sanakirjasta sellaisenaan, niin ollaan erittäin turvallisen salasanan äärellä!

Salasanan vaihtaminen esim. 6kk välein vaikuttaa siihen, että kerran varastettu tunnus ei toimi loputtomasti. Yksi varastettu salasana ei vaaranna muita palveluita, kun salasana on eri joka paikassa. Toiselta varastettu salasana ei vaaranna sinua, kun salasanasi on vaikea arvata.

Pitkä salasana – salalause – vaikeuttaa salasanan arvaamista ja teknistä murtamista. ”Pidempi parempi”, toteaa Kyberturvallisuuskeskus. Et kuitenkaan tarvitse monimutkaista salasanaa!

Millaiset salasanakäytännöt yrityksellänne on?

Unohditko salasanasi? Hyvä! Nyt sinulla on mahdollisuus testata yrityksenne käytäntöjä salasanoihin ja käyttäjätunnuksiin liittyen!

Pohdi:

  • Keneltä pyydän apua, jos salasanojen kanssa on ongelmia?
  • Onko minulla tarvittavien henkilöiden yhteystiedot saatavilla?
  • Millä välineellä otan yhteyttä, jos en pääse kirjautumaan?
  • Mistä tiedän, onko salasanan vaihtajat töissä tai lomalla?

Havaitsitko kehitettävää? Kerro havaintosi ja kehittämisideasi yrityksesi tietoturvasta vastaavalle.

Jos epäilet rikollisten saaneen salasanasi, vaihda salasana heti. Ilmoita asiasta sen jälkeen välittömästi yrityksen IT-tukeen.

Käyttäjätunnusta ja salasanaa on helpompi suojata, kun ottaa käyttöön monivaiheisen tunnistautumisen. Sitä kannattaa hyödyntää niin työpaikan kuin vapaa-ajankin palveluissa. Monivaiheisesta tunnistautumisesta käytetään myös nimitystä MFA (Multi-Factor Authentication) tai 2FA (Two-Factor Authentication).

Salasanat ovat arjen digiturvan perusta!

(Luitko tänne asti nukahtamatta? Jes!)

Mikä on toimitusjohtajahuijaus?

Toimitusjohtajahuijauksessa – tai pomohuijauksessa – rikollinen esiintyy yrityksessä johtavassa asemassa olevana henkilönä ja pyytää työntekijää tekemään jonkin toimenpiteen hänen puolestaan. Pyyntö voi liittyä esimerkiksi laskun maksamiseen tai tilisiirron tekemiseen.

Rikollisen tarkoituksena on saada rahaa liikkeelle. Verkkorikollinen luottaa siihen, että alainen tottelee pomon pyyntöjä, etenkin jos pyyntö tulee toimitusjohtajalta, talousjohtajalta tms. korkeassa asemassa olevalta henkilöltä.

Toimitusjohtajahuijauksiin liittyy usein seuraavia asioita:

  • Pomo edellyttää sinulta nopeaa rahansiirtoa tai laskun maksua.
  • Pyyntö saapuu sähköpostilla, pomon nimissä.
  • Pomo vaatii, että asiaa käsitellään luottamuksellisena.
  • Pomo ei voi antaa lisätietoja, hän vetoaa omaan kiireeseen.

Tiedän tapauksen, jossa yksi firman ”talousjohtaja” pyysi yhtäkkiä työntekijää tekemään 73000e ulkomaan tilisiirron. Saman firman ”toimitusjohtajalle” olisi onneksi riittänyt ihan vain 50e lahjakortti Steam-pelipalveluun. Kohtuus kaikessa! 😉

Esimerkki toimitusjohtajahuijauksesta

Ohessa on todelliseen tapaukseen perustuva esimerkki toimitusjohtajahuijauksesta.

esimerkki toimitusjohtajahuijauksesta

Kuvan huijauksessa rikollinen yrittää olla tuttavallinen ja herättää luottamusta. Lähettäjän nimi vaikuttaa tutulta ja viestissä puhutellaan juuri sinua. Rikollinen aloittaa viestinnän helpolla kysymyksellä ja yrittää näin muodostaa keskusteluyhteyttä kanssasi. Jos vastaat tähän jotain, niin todennäköisesti seuraavissa viesteissä rikollinen kertoo, paljonko euroja tarvitaan.

Sähköpostiosoitetta ei ole väärennetty, se paljastaa huijarin. Viestissä oleva linkki saattaa myös viedä haitalliselle sivustolle.

Näin suojaudut toimitusjohtajahuijauksilta

Huomioi alla olevat asiat, etenkin loma-aikoina:

  • Suhtaudu tilisiirtoihin ja laskuihin liittyviin pyyntöihin erityisellä huolellisuudella.
  • Odotatko laskua? Kerro tämä etukäteen varahenkilöllesi.
  • Unohda kiire, vaikka laskun väitetään olevan myöhässä.
  • Keskustele tiimin kesken, mitä asioita toimitusjohtaja tai muu esihenkilö ei pyydä sähköpostilla.
  • Muista arjen tietoturva: ole tarkkana liitteiden ja linkkien kanssa.
  • Soita työkaverille varmistuspuhelu, jos jokin hänen pyyntönsä epäilyttää.
  • Noudata organisaatiossa sovittua tapaa laskujen vastaanottamisesta ja maksamisesta.
  • Ota yhteyttä organisaatiosi IT-asiantuntijaan, jos saat epäilyttäviä viestejä.

Muista: Kiireeseen vetoaminen ja yksittäisen henkilön painostus ovat merkittäviä tekijöitä toimitusjohtajahuijausten onnistumisessa!

Muutto on mahdollisuus – sössiä tietoturva

Paikallisella firmalla on muutto kesken – ollut jo muutaman kuukauden. Ohessa havaintoja (case 1). Perässä myös pari muuta tapausta tosielämästä.

Case 1: Muutto kesken

Osa asiakastiedoista säilytetään perinteisesti mapeissa ja mapit on nimetty asiakkaittain. Mapit on sijoitettu siististi muuttolaatikoihin. Laatikko on sen verran lähellä ikkunaa, että asiakkaat on helposti tunnistettavissa.

Työpöytä on myös ikkunapaikalla, tottakai. Siinä on (helposti varastettava) läppäri ja työstettävät paperit siistissä järjestyksessä. Näyttöä voi katsella kadulta.

Vaikka papereista ja asiakastiedoista ei mitään luottamuksellista löytyisikään, niin ei tämä toimintamalli ainakaan luotettavuutta lisää. Entäs varmuuskopiot, jos paperit ja läppäri lähtee? Laittaisi nyt vaikka jonkun näkösuojan papereiden ja laatikon päälle. Ja läppärin piiloon.

Muista puhtaan pöydän periaate.

Case 2: Paperiton toimisto

Muutto on hyvä mahdollisuus digitalisoida toimintaa. Kaikki turhat paperit kiertoon. Itsekin olen pari kertaa istunut silppurin vieressä ja pohtinut, mahtuisiko vielä viideskin paperi samalla kerralla silppuriin.

Aina paperishow ei mene yhtä putkeen. Joskus papereita saa jahdata pihalla tuulessa ja sateessa. Tietoturvaa edistävää taukoliikuntaa!

Case 3: Tarkista mihin muutat

Kerran erään yrityksen IT-asiantuntija pohti, missä mahtaa olla toimistotilan datakaappi. Se, mihin perinteiset nettijohdot kytketään. Ilmeni, että kaappi oli toimistotilan ulkopuolella olevalla käytävällä. Samassa kaapissa oli myös toisen toimiston verkkopistokkeet. Käytännössä kuka tahansa rakennuksessa vieraileva henkilö olisi voinut kytkeä itsensä näiden toimistojen tietoverkkoon.

Toimitilojen tietoturvaohjeesta (VAHTI 2/2013) saa hyviä vinkkejä toimiston fyysiseen tietoturvallisuuteen

Muutto on erikoistilanne, joka mittaa yrityksen tietoturvakulttuuria.

10 tietoturvavinkkiä etätöihin

Lapsi uittaa läppärin mehussa. Koira järsii koneen virtajohtoa. Sukulainen haluaa näyttää ”yhden hyvän jutun netistä” … klik klik, yes hyväksyn. Puoliso sentään shoppaa omalla koneellaan.

Ihan perus etätyöpäivä? Toivottavasti ei.

Etätyö laajentaa yrityksen IT-ympäristöä työntekijöiden koteihin. Tämä luo erilaisia haasteita tietoturvallisuudelle niin organisaation kuin työntekijänkin näkökulmasta. Suurin uhka ei aina ole rahan perässä kärkkyvät verkkorikolliset.

Etätyön tietoturva muodostuu monesta asiasta. Erityisesti korostuvat työntekijän osaaminen ja oma vastuu ympäristön fyysisestä ja teknisestä turvallisuudesta. Kotitoimistolla on huomioitava eri asioita kuin työpaikalla.

Ohessa kymmenen käytännön vinkkiä tietoturvallisempaan etätyöhön. Tutustu vinkkien sisältöön tarkemmin Turun AMK:n Talk-verkkolehden artikkelissa Etätyön tietoturva – 10 käytännön vinkkiä.

Vinkit:

  1. Käytä työtehtävien tekemiseen työantajan tarjoamia laitteita.
  2. Suojaa laitteiden fyysistä turvallisuutta etätyöpisteessä.
  3. Hyödynnä suojattuja verkkoyhteyksiä ja -laitteita.
  4. Tiedosta kodin muista älylaitteista aiheutuvat riskit.
  5. Asenna tietoturvapäivitykset ajallaan.
  6. Tiedosta IT-palveluiden normaali toiminta etätyöympäristössä.
  7. Tallenna työtiedostot sovittuun paikkaan.
  8. Jaa tietoa järkevästi ja turvallisesti.
  9. Käytä etätöissä työnantajan tarjoamia ja ohjeistamia IT-palveluita.
  10. Ota selvää, miten varmuuskopiointi toimii.

Tietoturva ei ole pelkästään tiedon piilottelua ulkopuolisilta. Yhtä tärkeää on varmistaa tiedon saatavuus ja laitteiden toimivuus silloin, kun niitä oikeasti tarvitaan.

Pari hyvää lisätietosivua:
Kyberturvallisuuskeskus: Tee etätyöstä turvallista vinkkiemme avulla.
SANS Security Awareness Work-from-Home Deployment Kit.

ps. koiralle ei käynyt mitään.

Nolosta nohevaksi ja muita vinkkejä tilaturvallisuuteen

Yle A-studion turvatestissä testattiin suomalaista tee-se-itse näkymättömyysviittaa: keltaiset liivit, kypärä ja tikkaat. Tällä yhdistelmällä varustettu toimittaja onnistui kävelemään sisään merkittäviin yrityksiin ja valtion laitoksiin. Testin perusteella organisaatioiden tilaturvallisuus ei ollut kunnossa.

Testin kohteeksi joutuneet päässeet organisaatiot perustelivat tapahtunutta seuraavasti:

  • Valvonta on hankalaa, koska rakennuksessa on muitakin toimijoita.
  • Aulapalvelun toimintaa on kehitettävä.
  • Tapahtui inhimillinen virhe.

Perustelut saattavat kuulostaa selittelyltä. Karu totuus on kuitenkin se, että monitoimijaympäristössä on hankala vahtia henkilöiden liikkeitä. Olit sitten vartiointiliikkeen kouluttama aulapalveluhenkilö tai rakennuksessa toimivan yrityksen työntekijä.

Ja onhan se nyt hemmetin noloa mennä utelemaan toisilta, että mitäs täällä teet?

Kaikkia alueita ei ole kuitenkaan tarvetta vahtia samalla tavalla. Voi olla ihan perusteltua, että yrityksen aulatiloissa saa liikkua vapaasti.

Henkilöstön pitää kuitenkin tietää ne tilat, joihin ulkopuolisilla ei ole asiaa. Jos näissä tiloissa liikkuu ulkopuolisia, on nolosta tultava noheva.

Miksi tilaturvallisuus on tärkeää?

Tilaturvallisuus on tärkeää, koska sillä on vaikutusta moneen eri asiaan. Ohessa esimerkkejä.

Verkkolaitteiden ja muiden IT-laitteiden tietoturvariskit. Tiloihin voidaan asentaa vakoilulaitteita tai verkkolaitteita, joilla päästään yrityksen sisäverkkoon. Tietokoneisiin voidaan asentaa ohjelmistopohjaisia tai fyysisiä näppäimistönkuuntelijoita. Kyllä, nämä on juuri niitä agenttileffojen vimpaimia, jotka saa ostettua netistä muutamalla kympillä.

Varkauksiin liittyvät riskit. Yrityksen laitteita tai paperimuodossa olevia tietoja voidaan varastaa. Toki myös työntekijöiden kukkarot, puhelimet ja muu omaisuus ovat vaarassa. Huom! Varas ei aina ole yrityksen ulkopuolinen henkilö.

Kohteen ydintoimintaan liittyvät riskit. Häiritsemällä esimerkiksi yhteiskunnalle merkittävien kohteiden (lentokentät, voimalaitokset, vesilaitokset) toimintaa, voidaan tehdä haittaa koko yhteiskunnalle.

Yrityksen vierailukäytännöt voivat myös kertoa jotain yrityksen tietoturvallisuudesta kokonaisuutena. Lue esim. 1) Vierailukäytännöt viestittävät yritysturvallisuudesta, ja 2) Kadonnut vierailijakortti on tietoturvauhka?

Kolme vinkkiä tilaturvallisuuden parantamiseksi

1) Mieti tilaturvallisuutta kokonaisuutena. Mihin vieraat saavat kulkea omatoimisesti, mistä eteenpäin vaaditaan saattaja, mihin ei ole vierailla laisinkaan asiaa. Tilaturvallisuus on osa yrityksen kokonaisturvallisuutta. Kaikki uhat eivät ole kyberuhkia.

Tilaturvallisuutta on hyvä tarkastella esimerkiksi silloin, kun palaa lomalta. Lue lomalta palaajan tietoturva-aiheinen muistilista.

Tutustu myös VAHTI 2/2013 Toimitilojen tietoturvaohje.

2) Muista puhtaan pöydän politiikka ja Win + L kun poistut tilasta. Ei ole myöskään huono ajatus laittaa läppäriä lukittuun kaappiin, kun poistuu päivän päätteeksi työpaikalta.

3) Millä asialla olet? Hyvä kysymys niille, joilla ei ole yrityksen henkilökorttia tai joita et tunnista. Tätä kysymystä studion asiantuntijatkin suosittelivat. Ihan sama, mitä henkilö vastaa. Kysymys ei ole koskaan turha!

Nolostelut sikseen!

Lähteitä:
Yle A-studio 25.7.2018.
Studion asiantuntijaraati: Mikko Hyppönen F-Securesta, Ville Salonen Securitaksesta, Jouni Mustonen Valtorista sekä turvallisuuskouluttaja Jari Stolt. Juontajana Jan Andersson. Toimittaja Pasi Peiponen.

VAHTI 2/2013 Toimitilojen tietoturvaohje