Tietoturvaosaaminen kasvaa yhteistyöllä!

Yrityksesi työntekijöiden tietoturvatietoisuus eli tietoturvaosaaminen on tärkeä asia, josta pitää huolehtia jatkuvasti. Ilman tietoturvaosaamista yrityksen tietojen ja toiminnan turvaaminen sekä jatkuvuuden varmistaminen on arpapeliä.

Miten voitte yhdessä nostaa yrityksenne tietoturvaosaamista?

Digiturva liittyy meidän kaikkien työtehtäviin jollain tavalla. Tuo siis sinäkin digiturva osaksi arkea, oman tehtäväsi kautta. Keskustele työkavereidesi kanssa tietoturvasta, jaa kokemuksiasi ja esimerkkejä. Näin saamme levitettyä osaamista myös muille. Esittelen seuraavaksi muutamia tapoja, joilla tietoturvaosaamista voidaan konkreettisesti lisätä ja levittää.

Kybervartti – 15 min keskustelua digiturvasta

Kokeilkaa sellaista tapaa, että keskustelette jostain ajankohtaisesta digiturvallisuusaiheesta 10-15 minuuttia kuukausipalaverin alussa. Palaverin agendassa tätä osiota voi kutsua vaikkapa nimellä kybervartti.

Kirjatkaa keskustelusta talteen yksi havainto, oivallus, oppi, kysymys, kehitysidea tms. ja lähettäkää se heti eteenpäin tietoturvasta vastaavalle henkilölle. Keskustelun osallistujat oppivat yhdessä ja saavat uusia näkökulmia aiheeseen. Lisäksi saatte yhdessä koottua erilaisia tietoturvavinkkejä, keskustelunaiheita ja ajatuksia koko organisaatiolle.

Sisällytä digiturva ohjeisiin ja koulutuksiin

Pidätkö koulutuksia tai teetkö työssäsi ohjeita ja muita kaikille tarkoitettuja dokumentteja? Sisällytä ohjeisiin pari näkökulmaa myös tietoturvasta ja tietosuojasta! Kysy tarvittaessa lisävinkkejä esim. tietoturvasta, tietosuojasta, turvallisuudesta ja IT-asioista vastaavilta henkilöiltä. Kysy heiltä ”Mitä tässä asiassa pitäisi huomioida tietoturvan kannalta?” Lopputuloksena ei ole tietoturvaohje, vaan ohje, joka sisältää myös tietoturvaa.

Kaikki voivat ylläpitää tietoturvakeskustelua

Oletko hankkimassa uutta IT-palvelua? Kysy palveluntarjoajalta, miten digiturvallisuus on huomioitu tässä palvelussa? Palveluntarjoajan vastausten perusteella on mahdollista oppia uutta. Samalla luodaan hyvää käytäntöä siitä, että tietoturvavastaavan ei tarvitse olla ainut, joka nostaa tietoturvakysymyksiä keskusteluun. Palveluntarjoajat, muut yhteistyökumppanit sekä omat työntekijätkin huomaavat, että teillä digiturva on kaikkien asia. Tämä luo hyvää kuvaa teistä ja nostaa osaamista.

Toimitaan yhdessä esimerkillisesti

Me kaikki voimme edistää digiturvallisuutta toimimalla esimerkillisesti. Esimerkin voima korostuu erityisesti yrityksenne johdolla ja esihenkilöillä. Te viestitte omalla toiminnalla muille, miten asioihin pitää suhtautua. Kokeneemmat työntekijät puolestaan näyttävät uusille työntekijöille, miten talossa toimitaan.

Esimerkillisyys ei tarkoita mitään erityistä ja poikkeuksellisen hienoa, vaan ihan sitä arjen perustoimintaa. Kun on tiettyjä sovittuja käytäntöjä – toimitaan niiden mukaisesti. Jos on tietoturvaohjeet – noudatetaan niitä. Teillä on henkilökortit – käyttäkää niitä. Jne. Perusasioita.

Katsotaan digiturvallisuutta uuden työntekijän silmin

Uusi työntekijä on hyvässä tilanteessa – hänellä on lupa ihmetellä ja kysyä ihan mitä vaan. Mutta oikeastaan meidän kaikkien tulisi käyttäytyä kuin uusi työntekijä: jos jokin asia mietityttää tai ihmetyttää, niin uskalla kysyä.

Kysymällä voit saada aikaan keskustelun, jossa muutkin oppivat. Muut ovat saattaneet miettiä samaa asiaa, mutta eivät ole kehdanneet kysyä. Tai muut eivät välttämättä ole ajatelleet asiaa, kuten sinä.

Ihmetelkää yhdessä!

ps. Haluatko hyödyntää tätä blogipostausta omassa yrityksessäsi? Tutustu Arjen digiturvan tehokuuriin. Se sisältää 12 valmista blogikirjoitusta, joiden avulla voit nostaa henkilöstön digiturvaosaamista.

Arjen digiturvan tehokuuri

Onko vastuullasi henkilöstön digiturvaosaamisen ylläpitäminen? Olet varmasti huomannut, että se on pitkäjänteistä ja työlästä tekemistä.

Nyt on tarjolla helpotusta!

Lataa käyttöösi Arjen digiturvan tehokuuri.

Se sisältää 12 valmista blogikirjoitusta, joiden avulla voit nostaa henkilöstön digiturvaosaamista. Siis koko vuoden blogijulkaisut yhdessä paketissa!

Voit vapaasti muokata blogeja tarpeesi mukaan ja julkaista ne esim. organisaatiosi intrassa.

Arjen digiturvan tehokuuri käsittelee mm. seuraavia aiheita:

  • Arjen tietoturva
  • Salasanat
  • Huijausviestit
  • Etätyöskentely ja matkustaminen
  • Etäkokoukset, puhelut ja keskustelut
  • Älypuhelimet
  • Toimitilaturvallisuus
  • Tietosuoja osana arjen tekemistä
  • Ihmisen rooli tietoturvassa

Lataa Arjen digiturvan tehokuuri.

Salasanat on pakkopullaa – ja arjen digiturvan perusta

Salasanat ovat varmasti yksi IT- ja tietoturvamaailman puuduttavimmista puheenaiheista. Ne on aiheena tietoturvakoulutusten pakkopullaa pahimmillaan! Ja varma tapa nukuttaa koko yleisö kerralla!

Salasanoista on kuitenkin puhuttava. Perusjuttujen lisäksi kerron ohessa muitakin näkökulmia, esim. mitä rikolliset tekevät salasanoilla ja mitä hyötyä unohtuneesta salasanasta on.

Salasanoilla on merkittävä rooli meidän kaikkien digiturvallisuudessa. Salasana-asioista puhutaan paljon, mutta tälle on hyvä syy: verkkorikolliset haluavat sinun salasanasi. Paluu työpaikalle on hyvä tilaisuus tarkastella omia ja työpaikan salasanakäytäntöjä. Hyödynnä näitä näkökulmia oman yrityksesi tietoturvakoulutuksissa!

Miksi rikolliset haluavat salasanoja?

Rikollinen haluaa muuttaa sinun käyttäjätunnuksesi rahaksi. Rikollinen hyödyntää kaapattuja käyttäjätunnuksia ja salasanoja rikosten valmistelussa ja toteuttamisessa. Rikollinen testaa:

  • Voiko kaapatulla salasanalla kirjautua esimerkiksi sähköpostiin?
  • Pääseekö samalla salasanalla muihinkin palveluihin?
  • Käyttääkö joku muu yrityksessä samaa salasanaa?

Rikollinen käyttää kaapattua tunnusta esimerkiksi huijauksiin ja tiedon keräämiseen. Hän voi myydä tunnukset toisille rikollisille, jotka esimerkiksi pyrkivät saamaan kiristyshaittaohjelman yrityksen järjestelmiin. On helpompi kirjautua sisään kuin hakkeroitua sisään.

Salasanat suojaavat sinua, muita työntekijöitä ja yrityksesi tietojärjestelmiä rikollisilta.

Millaiset salasanakäytännöt sinulla on?

Mieti seuraavaksi näitä asioita omasta näkökulmastasi. Onko salasanasi:

  • helppo muistaa,
  • vaikea arvata, ja
  • eri joka paikassa?

Vielä kun se sisältää erilaisia merkkejä eikä löydy sanakirjasta sellaisenaan, niin ollaan erittäin turvallisen salasanan äärellä!

Salasanan vaihtaminen esim. 6kk välein vaikuttaa siihen, että kerran varastettu tunnus ei toimi loputtomasti. Yksi varastettu salasana ei vaaranna muita palveluita, kun salasana on eri joka paikassa. Toiselta varastettu salasana ei vaaranna sinua, kun salasanasi on vaikea arvata.

Pitkä salasana – salalause – vaikeuttaa salasanan arvaamista ja teknistä murtamista. ”Pidempi parempi”, toteaa Kyberturvallisuuskeskus. Et kuitenkaan tarvitse monimutkaista salasanaa!

Millaiset salasanakäytännöt yrityksellänne on?

Unohditko salasanasi? Hyvä! Nyt sinulla on mahdollisuus testata yrityksenne käytäntöjä salasanoihin ja käyttäjätunnuksiin liittyen!

Pohdi:

  • Keneltä pyydän apua, jos salasanojen kanssa on ongelmia?
  • Onko minulla tarvittavien henkilöiden yhteystiedot saatavilla?
  • Millä välineellä otan yhteyttä, jos en pääse kirjautumaan?
  • Mistä tiedän, onko salasanan vaihtajat töissä tai lomalla?

Havaitsitko kehitettävää? Kerro havaintosi ja kehittämisideasi yrityksesi tietoturvasta vastaavalle.

Jos epäilet rikollisten saaneen salasanasi, vaihda salasana heti. Ilmoita asiasta sen jälkeen välittömästi yrityksen IT-tukeen.

Käyttäjätunnusta ja salasanaa on helpompi suojata, kun ottaa käyttöön monivaiheisen tunnistautumisen. Sitä kannattaa hyödyntää niin työpaikan kuin vapaa-ajankin palveluissa. Monivaiheisesta tunnistautumisesta käytetään myös nimitystä MFA (Multi-Factor Authentication) tai 2FA (Two-Factor Authentication).

Salasanat ovat arjen digiturvan perusta!

(Luitko tänne asti nukahtamatta? Jes!)

Kyberharjoittelu – kokemuksia ja vinkkejä

On olemassa kaksi tapaa, jolla voit valmistautua toimimaan erilaisissa tietoturvapoikkeamissa tai kyberkriiseissä – käytännön kokemus ja harjoittelu.

Vaikka kannatankin käytännön kokemusta, niin tässä asiassa olen pelkän kyberharjoittelun puolella 😉

Kyberharjoituksen voi järjestää monella eri tavalla. Olen itse päässyt osallistumaan kyberharjoitukseen niin harjoittelijan, järjestäjän kuin tarkkailijankin roolissa. Näissä tilaisuuksissa oppii ihan valtavasti.

Ohessa kokemuksia ja vinkkejä.

Kyberharjoitukseen valmistautuminen on tärkeää.

Ja valmisteltavaa riittää, pienissäkin harjoituksissa. Määrittele, mitä haluat harjoitella. Mitä harjoituksella tavoitellaan? Tee konkreettinen suunnitelma harjoituksen etenemisestä. Valmistele harjoittelijoille lähetettäviä syötteitä, kuten esim. rikollisten yhteydenottoja, kuvakaappauksia, somepoimintoja, verkkouutisia, puheluita jne. Jos harjoitukseen osallistuu useampi työntekijä, niin varaa harjoittelijoille tilat, laitteet. Ja miksei eväätkin!

Kyberharjoituksen käsikirjoittajalla on kuitenkin suuri vastuu – yhteen harjoitukseen ei pidä ahnehtia mukaan kaikkea mahdollista.

Viestinnän merkitys on (harjoittelussakin) valtava.

Kybertilanteen hallinta vaatii paljon viestintää. Kyberharjoitus on hyvä paikka harjoitella tätä.

Viesti organisaation johdolle, miksi harjoittelemme ja miksi on tärkeää, että kaikki osallistuvat. Hyvällä ennakkoviestinnällä saadaan harjoittelijat valmistautumaan harjoitukseen ja virittäytymään päivän tunnelmaan.

Harjoittelijoiden on viestittävä jatkuvasti keskenään. Mitä on tapahtunut, mikä on tilannekuva ja mitä tehdään seuraavaksi? Mitä viestitään asiakkaille, työntekijöille, alihankkijoille ja viranomaisille? Mitä aiheesta viestitään harjoituksen jälkeen osallistujille ja muille työntekijöille? Kerro mitä on opittu!

Vinkkinä voin todeta, että viesti myös niille työntekijöille, jotka eivät osallistu harjoitukseen. Voi nimittäin olla jälkikäteen hieman selittelemistä, miksi iso kasa asiantuntijoita ja organisaation johtoa kohkaa valtavasta kyberhyökkäyksestä!

Tee harjoiteltavat asiat oikeasti

Kyberharjoituksessa voi tulla eteen tilanne, jossa työntekijöille tai asiakkaille pitää kirjoittaa tiedote tapahtuneesta, esim. kyberhyökkäyksestä. Eläydy tilanteeseen todenmukaisesti – kirjoita tiedote oikeasti. Älä tyydy toteamaan, että julkaisemme nyt leikisti asiakastiedotteen.

Kirjoittamalla asiakastiedotteen harjoituksen aikana huomaat, että ei se teksti muodostukaan ihan tuosta vain. Kirjoittaminen vie aikaa. Harjoitustilanne itsessään voi myös hermostuttaa, joka ei varmastikaan auta tekstin tuottamista. Tiedotteen pitäisi olla tarpeeksi informatiivinen, mutta samalla pitäisi olla tarkkana sanavalintojen kanssa. Huomaat pian, että materiaalit kannattaisi olla etukäteen tehtynä.

Kyberharjoittelu syö resursseja oikein kunnolla!

Harjoittelu vie aikaa ja energiaa. Valmistelu, harjoittelu, jälkipuinti. Tekemistä riittää, aikaa kuluu ja harjoittelu siirtää muita töitä. Valitettavasti täysin totta. Siksi onkin niin helppoa todeta, että emme käytä resursseja harjoitteluun. Tai että ”minulla on muuta tekemistä”.

Harjoittelussa on kuitenkin se etu, että ajan voi käyttää nyt rauhassa toimien. Tositilanteessa tekosyitä ei sallita. Ja kiire on ihan eri luokkaa. Stressitasoista puhumattakaan.

Tarkkailija on tärkeämpi kuin tietoturvapäällikkö

Kyberharjoituksessa tarkkailijalla on tärkeä tehtävä. Hänen tulee kirjata talteen havaintoja tapahtumista. Kuka teki ja mitä? Mitä päätöksiä tehtiin? Minne oltiin yhteydessä? Toimiko viestintä? Entä työkalut? Noudatettiinko suunnitelmaa? Saatiinko tilannekuvaa muodostettua riittävästi?

Tarkkailijana on mahdollista katsoa organisaation toimintaa eri näkökulmasta. Voit unohtaa hetkeksi oman tehtäväsi ja seurata muiden toimintaa. Tietoturvapäällikkönä voin auttaa organisaatiota harjoituksessa oman roolini kautta, mutta tarkkailijana sekä minä että organisaatio opimme enemmän!

Harjoittelu nostaa onnistumisen todennäköisyyttä – kyberturvallisuudessakin!

Lisätietoja esim:

Mitkä ovat ehdottomat minimivaatimukset turvalliselle ICT-hankinnalle?

Oletko hankkimassa IT-palveluita ja pohdit niiden tietoturvavaatimuksia? Tai tarjoatko IT-palveluita muille? Euroopan unionin kyberturvallisuusvirasto ENISA:n nettisivuilla on vapaasti saatavilla ohje (01/2017), jossa kerrotaan turvallisen ICT-hankinnan ehdottomat minimivaatimukset.

Vaatimukset on kirjattu sen verran yleisesti, että ne sopivat niin palveluiden, järjestelmien kuin laitteidenkin hankintaan. Palveluntarjoajat saavat ohjeesta puolestaan tietoa, miten kokonaisuudet kannattaisi rakentaa.

Ohjeella ja siinä olevilla vaatimuksilla tavoitellaan sitä, että EU:n sisämarkkinoille tuotettaisiin turvallisia ICT-tuotteita, -järjestelmiä ja -palveluita.

Ohessa on ENISA:n kymmenen vaatimusta vapaasti suomennettuna ja tiivistettynä:

Suunniteltu turvalliseksi: Tuote tai palvelu on suunniteltu ja konfiguroitu niin, että se ei sisällä turhia tai piilotettuja toiminnallisuuksia, eikä turvattomia teknologioita.

Turvallisuuslähtöistä suunnittelua voi verrata tietosuojalainsäädännöstä tuttuun sisäänrakennettuun ja oletusarvoiseen tietosuojaan (GDPR, 25 artikla).

Noudattaa vähimpien oikeuksien periaatetta: Käyttäjätunnuksiin kytketään oletuksena vain ne käyttöoikeudet, jotka on tarpeen. Ei siis käytetä turhaan esim. pääkäyttäjätunnuksia päivittäisessä toiminnassa. Tunnukset ja salasanat on ostajan hallittavissa.

Tukee vahvaa tunnistautumista: Palvelu tai järjestelmä tukee vahvaa tunnistautumista ja varmistaa, kuka henkilö tai mikä laite on kirjautumassa. Tähän liittyy esim. kaksivaiheinen tunnistautuminen.

Kriittisen tiedon suojaus on kokonaisvaltaista: tietoa, järjestelmiä ja laitteita suojataan kunnolla, erityisesti kriittisen tiedon tallennuksen ja siirron yhteydessä.

Toimitusketjun turvallisuus on huomioitu: tuotteet, järjestelmät, laitteet jne. on alkuperäisiä eli kukaan ei ole päässyt muuttamaan niitä toimituksen aikana.

Dokumentaatio on läpinäkyvää: kokonaisuudesta on olemassa kattava ja ymmärrettävä dokumentaatio, jossa kerrotaan palvelun/järjestelmän/tuotteen toimintaperiaatteista, toiminnallisuuksista, protokollista, turvallisuudesta jne.

Turvallisuus on todennettavissa: toimittaja pystyy todentamaan sen, että tietoturvallisuus ja vaatimuslistassa olevat asiat on huomioitu elinkaaren eri vaiheissa.

Jatkuvuus on taattu: toimittaja tukee palvelun jatkuvuutta ja varmistaa, että järjestelmä pysyy turvallisena koko sen elinkaaren ajan.

Kokonaisuus on EU:n lainsäädännön alainen: toimittaja ja alihankkijat toimivat EU:n lainsäädännön alaisina. Jos heitä sitoo EU:n ulkopuolinen lainsäädäntö, tästä on kerrottava etukäteen.

Tietojen keruu on rajattua ja perusteltua: toimittaja kuvaa, mitä tietoja kerätään ja miksi.

Minimivaatimukset on järkeviä ja itsestäänselviä asioita.