Sisällysluettelo

TIETOTURVAOPAS MIKROYRITYKSELLE

Meillä kaikilla on jotakin sellaista tietoa tai laitteita, mitä rikolliset haluavat hyödyntää. He yrittävät urkkia käyttäjätunnuksia ja salasanoja sekä urkkivat henkilö- ja luottokorttitietoja. He yrittävät kaapata tietokoneesi tai valjastavat sen omiin tarkoituksiinsa. Jopa ilman että sinä huomaat näin käyneen. He yrittävät kaapata kaikki laitteesi, mitkä ovat verkossa. Yrityksesi verkkosivuja tai verkkokauppaa yritetään hakkeroida koko ajan.

Jokaisella meistä on hieman eri käsitys siitä, mikä tietoturvassa huolestuttaa, mikä epäilyttää ja mikä on huijaus. Hyvä ohjenuora on, että jos asia vie huomiotasi tai huomaat mitä tahansa epäilyttävää, se monesti sitä on. Puhutaan niin sanotuista hiljaisista signaaleista, jotka ovat hyvin pieniä merkkejä siitä, että joku ulkopuolinen taho on tekemässä jotain sellaista, mikä ei ole sallittua tai mikä johtaa siihen, joka ei ole kyseiselle taholle sallittua. Tämä sama asia koskee niin työ- kuin vapaa-aikaakin.

Tulee muistaa, että ei ole täysin turvallista ratkaisua. Ilmoita kaikista epäilyistäsi työkaverillesi, esimiehelle tai sille sukulaispojalle, joka tuntuu tietävän näistä asioita enemmän kuin sinä. Myös Suomen Yrittäjät (yrittajat.fi) ja Traficomin (entinen Viestintävirasto) Kyberturvallisuuskeskukselle (kyberturvallisuuskeskus.fi) on hyvä ilmoittaa. Ilmoitus on täysin luottamuksellinen, ja niiden avulla Kyberturvallisuuskeskus pyrkii parantamaan koko Suomen tietoturvallisuutta.

KÄYTTÄJÄTUNNUS JA SALASANA

Vahva salasana, kaksivaiheinen tunnistautuminen

Yksi tärkeimmistä asioita on huolehtia käyttäjätunnuksista ja salasanoista, koska ne ovat keskeisimmät asiat liittyen tietoturvaan. Niiden tehtävänä on sallia pääsy haluttuun laitteeseen ja palveluun vain sille henkilölle tai organisaatiolle, kenelle on annettu käyttöoikeus.

Salasanan merkitys on suuri, ja ei pidä vähätellä monimutkaisia salasanoja, jotka tunnetaan myös nimellä vahva salasana. Saman salasanan käyttö tai saman salasanan soveltaminen ei ole suotavaa. Käyttäjätunnusten joutuessa vääriin käsiin, hakkerit ajavat salasanoista eri muunnelmia ja tätä kautta pääsevät käsiksi myös palveluihin, jotka eivät alunperin olleet uhattuina.

Nykyisin on myös saatavilla kaksivaiheinen varmistus, joka lisää tietoturvaa merkittävästi. Kaksivaiheinen varmistus lähettää ennalta määrättyyn laitteeseen, puhelinnumeroon, sähköpostiin tai tätä varten olevaan tunnistussovellukseen koodin, joka tulee syöttää käyttäjätunnuksen ja salasanan jälkeen. Vasta tämän tapahduttua sallitaan pääsy. Kaksivaiheinen vahvistus on yleistynyt nopeasti, ja on tällä hetkellä yksi merkittävin tietoturvan tekijä.

Laitteille on lisäksi olemassa biotunnistautumiset, jolloin sormenjälki, silmän iris tai kasvojen tunnistaminen aukaisee laitteen, mutta nämä ovat aina laitekohtaisia, eikä niiden pidä korvata salasanaa tai pin-koodia. Tulee myös ottaa huomioon, että ne eivät välttämättä päde verkossa.

Yksi hyvä keino vahvojen salasanojen hallintaan on ottaa käyttöön salasanojen hallintaohjelma. Yksi tälläinen on esimerkiksi maksuton KeePassX. Ohjelmassa ylläpidät käyttäjätunniksia ja salasanoja, sekä luot vahvoja salasanoja.

  • Huolehdi vahvat salasanat jokaiseen palveluun, mitä käytät.
  • Älä käytä samaa salasanaa tai sen muunnelmaa.
  • Ota kaksivaiheinen varmistus käyttöön aina kun mahdollista.
  • Hallitse salasanat erillisellä ohjelmalla.

Myös yrityksen verkkosivut ja verkkokauppa on hyvä suojata kaksivaiheisella tunnistautumisella. Tällöin esimerkiksi verkkosivujen hallintaan kirjautuessa tulee ennalta määriteltyyn sähköpostiin numerokoodi, joka tulee syöttää kirjautumisen yhteydessä. Toinen hyvä keino on estää haitalliset kirjautumisyritykset verkkosivuille, joita voi tulla kymmeniä tai satoja päivittäin. Tämän voi estää ohjelmalla, joka estää IP-osoitteeen kirjautumisyritykset tietyn määrän jälkeen. Ohjelma sulkee automaattisesti haitallisia IP- osoitteita pois, jotka yrittävät kirjautua sivustolle. Samalla ohjelmalla saadaan myös aikaisemmin mainittu kaksivaiheinen tunnistautuminen.

LAITTEET

Laite katoaa, laite varastetaan

Kaksi yleisintä tietoturvaan liittyvää laitetta jotka katoavat tai ne varastetaan, ovat puhelin ja kannettava tietokone. Molemmissa laitteissa on nykyään paljon ohjelmia ja sovelluksia käytössä, joiden ei kuulu päästä vieraisiin käsiin. Mitä tulee tehdä jos laite katoaa tai varastetaan, mitä on hyvä tehdä ennalta?

Jos olet unohtanut laitteen jonnekin, käy heti kun mahdollista katsomassa, onko se vielä siellä. Jos et pääse itse paikanpäälle, niin soita paikkaan mihin sen unohdit. Mikäli laitteessa on etähallinta päällä, ota laite kiinni ja lukitse se, mahdollisuuksien mukaan myös hävitä laitteen sisältö. Kytke siis ainakin puhelimen etähallinta ja paikallistaminen päälle.

Kannettavan tietokoneen kiintolevy ja muistit, kotikansio tai erillinen levyosio on hyvä salata eli kryptata. Oikein tehtynä salaus varmistaa sen, että tietoihin on lähes mahdotonta päästä käsiksi, eli se estää väärän käyttäjän pääsyn tietoihin. Juuri tästä syystä se on yksi merkittävä tietoturvan lisäys liittyen kannettaviin tietokoneisiin. Vaikka se unohtuisi jonnekin tai varastetaan, niin kukaan ulkopuolinen ei pääse tietoihin käsiksi. Yksi suosittu ohjelma tähän on täysin maksuton VeraCrypt  ja sen avulla voi salata järjestelmälevyn tai tehdä olemassa olevalle levylle salatun tiedoston.

Myös Android puhelimen massamuistin saa suojattua puhelimen mukana tulevalla ominaisuudella. Sen lisäksi suojaa puhelin pin-koodilla. Huomaa, että pin-koodin tulee olla jokin muu kuin syntymäpäiväsi, vaihda myös operaattorin tarjoama pin-koodi. Ota lisäksi käyttöön puhelimen aukaisuun sormenjälki, iris- tai kasvojentunnistus tai piirrettävä kuvio.

Mikäli laite on varastettu, tee rikosilmoitus.

  • Ota laitteissa käyttöön etähallinta ja paikallistaminen.
  • Suojaa laitteet pin-koodilla, sormenjälkitunnistimilla tai muilla toiminnoilla mahdollisuuksien mukaan.
  • Salaa ja kryptaa laitteesi.

INTERNET

Reititin

Kun salasanat ja laitteet on turvattu, on hyvä kurkata muihin yleisiin tietoturvauhkiin. Näitä on internetliittymä ja siihen liittyvät laitteet, sähköposti ja haittaohjelmat.

Kun käytät nettiä kotona, reititin on laite, mikä kiinnostaa rikollisia. Sen kautta kulkee lähes kaikki tieto, niin työasiat kuin vapaa-aika. Näistä saatujen tietojen avulla sinut voidaan profiloida hyvinkin tarkasti ja toimintaasi
verkossa seurata. Mutta ehkäpä tärkein hyöty, mitä rikolliset saavat ottamalla reitittimen haltuun, on sen käyttö rikolliseen toimintaan, esimerkiksi palvelunestohyökkäykseen. On muutama keino, millä parantaa reitittimen tietoturvaa. Ensin on tietysti salasana. Jos mahdollista, vaihda se johonkin muuhun kuin oletussalasana on. Ja toisena on ajantasainen ohjelmistopäivitys, etenkin tietoturvapäivitykset. Näillä keinoilla vähennät laitteen haavoittuvuutta ja ehkäiset sen pääsemistä rikollisten käyttöön.

  • Vaihda oletussalasana mikäli mahdollista.
  • Huolehdi ajantasaiset päivitykset.

Sitten kun seikkailet internetissä, niin muista muutama sääntö. Et todellakaan ole “se miljoonas kävijä” ja sitä kautta voita mahtavia palkintoja. Muista, että suomen kieli on yksi maailman vaikeimmista ja jos sen osaat, älä usko mainoksia missä on “hoono-soomi” efektejä. Verkkotestit “testaa mikä eläin olisit, jos olisit kissa” kannattaa myös jättää väliin. Kaikilla näillä ja vastaavilla, saadaan aina selville jotakin tietoa, mitä rikollinen voi käyttää
haitalliseen toimintaan.

Sähköposti

Kun käytät sähköpostia, on syytä kiinnittää huomio muutamaan seikkaan. Aloitetaan huijaussähköposteista. Jos joku kaukainen sukulainen on kuollut, ja olet saamassa miljoona perinnön, niin hävitä se sähköposti. Jos joku lähestyy sinua pyytäen rahaa, hävitä se sähköposti. Monessa sähköpostiohjelmasta löytyy toiminnot: Ilmoita roskapostiksi ja Estä tästä verkko-osoitteesta tulleet sähköpostit. Näitä on hyvä käyttää. Mutta tietysti huijarit ovat ovelia, valitettavasti jopa niin olevia, että toisinaan onnistuvat. Jos asia epäilyttää sinua edes vähän, niin olet oikeilla jäljillä.

Huijaussähköpostit

Huijaussähköpostit on tehty alkuperäisen tahon näköiseksi yhteydenotoksi, jopa näkyvillä oleva sähköpostiosoite vaikuttaa olevan oikea. Mutta ei ole. Klikkaat linkkiä ja se ohjautuu rikollisen sivulle, joka matkii alkuperäistä verkkosivua. Syötät käyttäjätunnuksen ja salasanan, jolloin rikolliset saavat ne käyttöön. Tai kirjaudut sisälle väärennetyllä kirjautumissivulla, ja syötät esimerkiksi luottokorttisi tiedot. Tarkoitus ei tällöin ollutkaan saada selville käyttäjätunnusta ja salasanaa vaan luottokorttisi tiedot.

Paras keino tähän suojautua on muistaa, että mikään luotettava, virallinen taho ei pyydä käyttäjätunnusta ja salasanaa sähköpostilla eikä puhelimitse. Myös kehoitukset ‘luottokorttisi on vanhenemassa’ tai ‘sinulla on avoin maksu ja palvelut päätetään’ ovat keinoja saada haluttuja tietoja. Voit tutkia linkkiä viemällä hiiren sen päälle (älä klikkaa!) ja katsomalla näytön vasemmasta alareunasta linkin osoitetta. Näin saatat saada selville onko kyseinen linkki huijaus. Mobiililaitteella näet osoiterivin painamalla linkkiä pitkään pohjassa (huomaa, että kevyt painaminen tai napautus vie linkin sivuille).

Kiristysohjelma

Kiristysohjelma (ransomware) ottaa koneen tiedostot haltuunsa, ja niiden vapautuksesta pyydetään rahaa. Rahalla ostat siis purkuavaimen, jolla saat koneesi ja tiedostosi takaisin käyttöön. Kiristysohjelma tulee koneellesi esimerkiksi viruksena sähköpostin liitteen mukana.

Troijalainen

Troijalainen kaappaa koneesi ja valjastaa sen tietämättäsi rikollisiin toimiin, kuten palvelunestohyökkäyksiin. Palvelunestohyökkäys on massahyökkäys, jossa valjastetuilla laitteilla ja koneilla pyritään murtamaan esimerkiksi pankin tai terveyspalveluiden verkkosivuja. Monesti tässä tilanteessa palvelut joudutaan sulkemaan tilapäisesti ja vaikutukset ovat todella laajat. Troijalainen tulee koneellesi monesti samaa linjaa noudattaen kuin kiristysohjelma.

Pelotteluohjelma

Pelotteluohjelma (scareware) ilmoittaa, että “koneesi käy hitaasti, optimoi koneen suoritusteho tästä”. Nämä ovat monesti maksuttomia testejä, ja tulosten jälkeen tarjotaan vuosimaksullista koneen optimointiohjelmaa. Jopa peloitellaan kauhuskenaariolla liiotellen mitä tapahtuu jos et optimoi konetta. Optimointi saattaa toisinaan rikkoa oikeasti koneelta jotakin, ja sen myötä peloittelulla ja huijauksella on saatu kauppa aikaiseksi. Eli olet ostanut esimerkiksi vuoden sopimuksen kyseiseltä taholta.

  • Epäile kaikkea mikä kuulostaa liian hyvältä.
  • Epäile kaikkea mikä poikkeaa normaalista.
  • Huolehdi ohjelmapäivitykset ja käytä virustorjuntaohjelmaa.
  • Sähköpostien mukana tulevat linkit tulee aina avata selaimessa, ei klikkaamalla linkkiä.
  • Älä asenna turhia ohjelmia.
  • Muista varmuuskopiot.

INHIMILLINEN EREHDYS

Sitten on olemassa vielä tämä yksi mainittava tietoturvauhka, inhimillinen erehdys. Piti painaa ‘Cancel’ mutta painoit vahingossa ‘Send/Run/Ok/Accept’. Tai se puhelin vain unohtui sinne kaupan kassalle. Läppäri jäi repussa kauppakeskuksen vessaan. Valvontakamerat kuvaavat käyttäjätunnuksen ja salasanan, jos kirjautuu mihin tahansa palveluun niiden lähellä. Näitä tilanteita ei voi ehkäistä muutoin kuin yrittämällä olla huolellisempi ja ennakoimalla mitä tehdä jos näin pääsee käymään.

YHTEENVETO

  • Käyttäjätunnusten ja salasanojen varastaminen – varas hyödyntää itse tai voi myydä eteenpäin. Muista vahva salasana ja kaksivaiheinen tunnistautuminen.
  • Puhelin tai läppäri katoaa – varas pääsee käsiksi tietoihin, ohjelmiin ja sovelluksiin. Ota käyttöön laitteen etähallinta ja paikallistaminen. Salaa puhelin, kryptaa läppäri. Lisää puhelimen käytön aukaisuun sormenjälki, iris- tai kasvojentunnistus, piirrettävä kuvio tai pin-koodi.
  • Sähköpostihuijaukset – varas haluaa tunnuksesi, luottokorttitietosi tai kaapata koko koneesi. Jos saat vähänkin epäilyttävät sähköpostin, älä klikkaa mitään linkkiä, äläkä avaa liitteitä. Aina voit kysyä alkuperäiseltä, oikealta taholta, ovatko lähettäneet kyseisen sähköpostin.

Pahin skenaario ei ole se, että joudut asentamaan käyttöjärjestelmän uudelleen ja menetät kaikki koneella olleet tiedot, vaan se, että joku rikollinen on päässyt koneellesi.