Kyberriskeihin varautuneet organisaatiot säästävät noin 60 prosenttia kuluista verrattuna niihin, jotka eivät ole varautuneet riskien realisoitumiseen. Ota haltuun nämä kyberasiantuntijoidemme vinkit parempaan suojautumiseen.
Harvalla alalla muutos on yhtä pysyvää kuin kyberturvallisuudessa. Tekoälyn ja teknologian kehityksen myötä kyberrikolliset ovat tänä päivänä entistä taitavampia ja keksivät uusia keinoja tehostaa hyökkäyksiään. Toisaalta on tiettyjä perusasioita, jotka eivät juuri muutu ja jotka on hyvä pitää mielessä.
– Vuosikymmenen vaihteen kiristyshaittaohjelmavyöry sai monet suuret yritykset havahtumaan riskin todellisuuteen, vaikkakin valitettavan usein kantapään kautta. Nyt kun nämä investoinnit kyberturvaan alkavat kantaa hedelmää, kyberrikolliset ovat kääntäneet katseitaan enenevissä määrin pieniin ja keskisuuriin yrityksiin. Pienempiin organisaatioihin löytyy usein väylä kalastelulla tai vähemmälle huomiolle jääneen pilvipalvelun tai etäyhteyden puutteiden kautta, sanoo LähiTapiolan kybervakuutusten kehityspäällikkö Eero Järvenpää.
Huomattava määrä hyökkäyksistä alkaa myös edelleen salasanojen vaarantumisesta tavalla tai toisella.
– Ilman monivaiheista tunnistautumista hyökkääjällä on helppo tehtävä kirjautua sisään – turha rikkoa ikkunaa, jos on avaimet kädessä, Järvenpää toteaa.
– Kyberriskit muuttuvat jatkuvasti ja joudumme elämään tässä tilanteessa jatkossakin. On oleellista yrittää minimoida riskit, koska tilastollisesti voidaan sanoa, että kyberriskeihin varautuneet organisaatiot säästävät kyberhyökkäyksen yhteydessä noin 60 prosenttia kuluista verrattuna niihin, jotka eivät ole varautuneet riskien realisoitumiseen, sanoo Truesecin* myyntijohtaja Vesa Siitari.
Asiantuntijoiden mukaan tällä hetkellä yksi merkittävä ongelma on IT-järjestelmien paikkaamattomat haavoittuvuudet, jotka olisivat paikattavissa päivityksillä tai asetusten säätämisellä. Eli rikolliset hyödyntävät haavoittuvuuksia, esimerkiksi ohjelmiston koodausvirhettä, jota kautta he pääsevät sisälle johonkin järjestelmään.
– Vuonna 2024 maailmalla havaittiin yleisissä IT-järjestelmissä jo alkusyksyyn mennessä sama noin 30 000 määrä haavoittuvuuksia kuin koko vuonna 2023 yhteensä. Kasvua edellisvuodesta oli siis 20–30 prosenttia, Siitari toteaa.
Tee ainakin nämä, jotta yrityksesi on paremmin suojassa:
1. Varmista IT-järjestelmien haavoittuvuuksien paikkaaminen
Yleensä haavoittuvuuden paikkaaminen hoituu päivityksen asentamisella. Tämä on joko IT-osaston tai IT-kumppanin vastuulla. Molemmissa tapauksissa on syytä varmistua, että asiasta on sovittu sekä rutiininomaisten päivitysten asentamiseksi kuin myös yllättävän uuden haavoittuvuuden löytyessä. Joskus kyseessä on myös haavoittuva asetus tai ominaisuus. Niin palveluita ja järjestelmiä käyttöönotettaessa kuin myös aika ajoin muutenkin, esimerkiksi puolivuosittain, on hyvä käydä asetukset läpi, ja tarkistaa niin asetukset kuin käyttöoikeudetkin joka paikasta.
Meidän jokaisen vastuulla on puolestaan liittää tietokone säännöllisesti työpaikan tietoverkkoon, jotta tietokone voi ottaa vastaan IT:n tekemät päivitykset järjestelmiin ja sovelluksiin. Näin suojaukset pysyvät ajan tasalla.
2. Käytä monivaiheista tunnistautumista kaikkialla, missä se on mahdollista
Englanniksi MFA tai Multifactor Authentication kannattaa pitää päällä kaikissa järjestelmissä, mihin se on tarjolla. Jos joku on onnistunut varastamaan tunnuksesi ja salasanasi, niin normaalisti hyökkääjä ei saa hyödynnettyä tunnuksia, koska välissä on vielä toinen tunnistautuminen – tyypillisimmin autentikaattorisovelluksella. Kaksiosainen tunnistautuminen vie vähän aikaa, mutta on nykyisin erittäin oleellinen keino minimoida varastettujen tunnusten väärinkäyttöä. Tekstiviestipohjainenkin ratkaisu on tyhjää parempi, mutta emme kuitenkaan suosittele sitä, jos mikä tahansa muu keino on käytettävissä.
3. Älä käytä firman tunnuksia siviiliasiointiin
Työpaikan sähköpostiosoitetta tulee käyttää vain työasioihin ja toisinpäin. Samoin samoja salasanoja ei tule käyttää työ- ja ns. siviilisähköpostiosoitteiden kanssa. Jos työpaikan sähköpostiosoite ja salasana päätyy kalastelun kautta pimeän verkon (dark web) markkinoille, on se riski työpaikan IT-ympäristölle, mutta tämän ei tarvitse vaarantaa siiviilitilejäsi – ja sama jälleen päinvastoin.
Myös, jos joskus vaihdat työpaikkaa, ei käyttäjätunnuksena käyttämäsi työpaikan sähköposti olekaan välttämättä enää käytössäsi, ja näin voi olla vaikea jatkaa tilin käyttöä, saati nollata salasanaa, mikäli se on päässyt unohtumaan.
4. Käytä pidempiä salasanoja muutaman erikoismerkin sijaan
Salasanoja yritetään yleensä avata ns. brute force -hyökkäyksellä, eli tietokone hakee tuhansia vaihtoehtoja minuutissa. Lyhyet salasanat se löytää nopeammin. Paremman suojan antaa esimerkiksi kauniskesäinenaamupäivä, jossa on 23 merkkiä, kuin salasana, jossa on se minimi 6–8 merkkiä (sis. isoja kirjaimia ja erikoismerkkejä). Esimerkiksi Applen ratkaisuissa voit antaa Applen teknologian luoda salasanoja, jotka tallentuvat käyttöösi ja itse et edes tiedä niitä, mutta saat ne käyttöösi joko sormenjäljellä tai Face ID:llä. Tekniikka auttaa tässä käyttäjiä.
Järjestelmänvalvojien on puolestaan syytä ottaa erityisesti kaikissa julkiverkkoon näkyvissä palveluissa brute force -suojaukset käyttöön, eli kansankielellä rajoittaa kirjautumisyritysten määrää, esimerkiksi viiteen yritykseen puolessa minuutissa.
5. Anna pääkäyttäjäoikeudet vain niille, jotka oikeasti niitä tarvitsevat
Jos rikollinen saa käsiinsä tunnukset, joihin linkittyy laajemmat oikeudet lisätä, vaihtaa, muuttaa tai poistaa esimerkiksi käyttäjiä, riskit kasvavat merkittävästi. Tästä syystä pääkäyttäjäoikeuksia ei kannata antaa kaikille tietokoneen käyttäjille, vaan vain IT:lle tai niille, joiden vastuulle asiat todella kuuluvat.
Jos olet itse yrittäjä tai organisaatiossasi on vain kourallinen ihmisiä, niin hyvä käytäntö on luoda itselleen kahden tunnukset: pääkäyttäjän ja tavallisen käyttäjän. Kuten edellä, pääkäyttäjätunnuksia tulee käyttää vain välittömiin ylläpitotehtäviin, ja varsinaiseen päivittäiskäyttöön tavallisia tunnuksia. Tällä yksinkertaisella keinolla vähennät merkittävästi tunnuksien vuotamisesta mahdollisesti aiheutuvia seurauksia, kun kalastelija saa vain tavallisen käyttäjän oikeudet – ei pääkäyttäjän.
6. Mieti ennen kuin klikkaat sähköpostissa, tekstiviestissä tai WhatsApp-viestissä olevaa linkkiä
Saamme kaikki paljon viestejä: osaa osaamme odottaa ja osa taas tulee odottamatta. Mukana on myös kalasteluviestejä, joiden tavoitteena on, että kerrot tunnuksesi ja salasanasi erilaisten huijausyritysten kautta. Viesteissä pyydetään esim. avaamaan tiedosto, kirjautumaan järjestelmään tai siirtämään rahaa jonnekin. Mieti aina, voiko kyseessä olla huijaus.
Jos klikkasit jotakin ja epäilet huijausta, ota yhteyttä organisaationne IT-yksikköön ja kerro huolestasi. Tällainen virhe voi sattua kenelle tahansa ja on hyvä kertoa mahdollisimman pian, vaikka kyseessä olisikin väärähälytys. Varovaisuus on hyvästä ja IT kiittää tällaisista tiedoista, kun ne tulevat mahdollisimman nopeasti heidän tietoonsa.
Nyrkkisääntönä voi pitää seuraavaa: Linkkejä ei tarvitse klikata kuin silloin, kun olet itse juuri esimerkiksi rekisteröitynyt palveluun, ja palvelu ilmoittaa, että tulet saamaan vahvistusviestin. Oletuksena on aina turvallisinta mennä itse appiin tai verkkopalveluun, josta viesti väittää tulleensa, ja etsiä sieltä viesteistä tai laskuista se kyseinen asia, johon viestissä vaadittiin reagoimaan. Usein tällaista ei löydy, jolloin turvallisin mielin voi todeta kyseessä olleen huijausyritys.*Truesec on LähiTapiolan kybervakuuttamisen yhteistyökumppani.
