Teknologiatorstai Q&A: Työntekijän tietoturva – mitä tulisi huomioida juuri nyt?
Mietityttääkö joku tietoturvaan liittyvä asia? Katso, löytyisikö tältä sivulta vastaus kysymykseesi. Kysymykset ja vastaukset ovat Teknologiatorstain Työntekijän tietoturva – mitä tulee huomioida juuri nyt -webinaarista.
Yleistä tietoturvasta
Pieni yritys voi suojautua seuraavilla tavoilla:
- Perusasiat kuntoon: vahva tunnistautuminen käyttöön, käyttäjien perehdyttäminen ja kouluttaminen riskeistä.
- Ympäristön tarkistus käyttöön, esimerkiksi Microsoft 365:sen HealthCheck.
- Ympäristön kovettaminen, käyttäjän ja tiedon suojaaminen esimerkiksi sähköpostin, identiteetin ja laitteiden osalta.
Tietoturvatarkastuksen voi tehdä luotettavan kumppanin avulla. Telia tarjoaa kartoituksia erityyppisiin ympäristöihin. Tästä esimerkkinä muun muassa Microsoft 365 HealthCheck sekä Cloud HealthCheck.
Alla listattuna yleisimpiä havaitsemiamme puutteita:
- Ympäristöt kuten Office-365, on otettu käyttöön perusasetuksilla, eikä päivityksiä ole tehty sen jälkeen.
- Lisenssit eivät ole oikein mitoitettuja tai hankittuja ominaisuuksia ei ole otettu käyttöön.
- Tietoturvapäivitysten seuranta on saattanut olla puutteellista.
- Käyttäjiä ei olla koulutettu eikä hyökkäyksiä simuloitu.
- Vahvaa tunnistautumista ei olla otettu käyttöön.
- Käyttäjähallinta on puutteellista: käyttäjillä on liian laajat oikeudet tai käyttäjiä ei ole siivottu pois.
Kyberturvallisuus
Kyberhyökkäyksiä on monenlaisia ja niiden havainnointi riippuu hyvin paljon yrityksen tietoturvan tasosta, lähtötilanteesta, käytössä olevista palveluista sekä niiden ominaisuuksien käyttöönotosta. Tästä syystä kannattaa varmistaa, että yrityksen ympäristöt ovat suojattuja ja valvottuja. Käyttäjä voi tarkistaa onko omat tunnukset murrettu esimerkiksi F-Secure Identity Theft Checker:n ja Have I Been Pwned? -verkkosivun avulla.
Hyökkäyksiä tapahtuu yrityskokoon tai toimialaan katsomatta. Nykypäivänä tapahtuu myös paljon tiedonkalastelua, mikä ei kohdistu mihinkään tiettyyn yritykseen tai henkilöön.
Muista pitää omaa osaamistasi yllä esimerkiksi lukemalla kyberturvallisuuskeskuksen ohjeita ja oppaita. Jos jokin viesti näyttää epäilyttävältä tai liian hyvältä ollakseen totta, se todennäköisesti on sitä.
Työntekijöiden tietoturva
Työnantajan tulisi vähintään varmistaa, että työntekijälle otetaan käyttöön vahva tunnistautuminen ja ehdollinen pääsy.
Jos työntekijä ei halua kantaa kahta mobiililaitetta mukanaan, voidaan laitehallinnan avulla ottaa käyttöön ”Work Profile” mobiililaitteessa erottamaan käyttäjän henkilökohtaista tietoa yrityksen tiedoista.
Tietoturvaohjelmat
Windows Defender on hyvä tuote, jonka taustalla on maailman isoimman tieturvayhtiö Microsoftin resurssit. Lisäksi, jos yrityksellä on käytössä Microsoft 365 -yrityslisenssi, kuten Microsoft 365 Business Premium, tällöin on mahdollisuus ottaa käyttöön päätelaitteen kehittynyt suojaus ”Defender for Business:n” kautta.
Yksittäiset tietoturvatuotteet eivät itsessään anna kokonaisvaltaista suojaa kyberuhilta, mutta ne ovat tärkeä osa kokonaisuutta. F-Securelta löytyy monitasoista suojausta aina perinteisestä virustorjunnasta haavoittuvuuksien hallintaan.
Työasemien ja muiden työntekijöiden käyttämien laitteiden päivittäminen on tärkeää. Tietoturva- ja käyttöjärjestelmäpäivitykset voidaan ajaa myös pakotettuna yksittäisille työntekijöille modernin laitehallinnan avulla.
Vahva tunnistautuminen ja salasanat
Monivaiheinen tunnistautuminen (Multi-factor Authentication, MFA) tarkoittaa sitä, että henkilön identiteetti varmistetaan useampaa eri tunnistautumistapaa käyttämällä.
Monivaiheinen tunnistaminen perustuu kolmelle periaatteelle:
- Jotain mitä tiedän (esim. salasana).
- Jotakin mitä omistan (esim. matkapuhelimeen lähetettävä muuttuva koodi, kuten mobiilivarmenne).
- Jotakin mitä olen (esim. sormenjälki tai muu käyttäjän yksilöivä ominaisuus).
Kahden kolmesta todennustavasta on toteuduttava, jotta tunnistus on riittävä.
Microsoft 365:n käytössä MFA mahdollistaa perinteisen käyttäjätunnus-salasanayhdistelmän lisäksi tehtävän lisätarkistuksen. Lisätarkistuksen vaihtoehdot ovat:
- Kertakäyttöinen numerokoodi puhelulla.
- Kertakäyttöinen numerokoodi tekstiviestillä.
- Hyväksyntä mobiilisovelluksella (Microsoft Authenticator).
- Kertakäyttöinen numerokoodi mobiilisovelluksella (Microsoft Authenticator).
Traficom tarjoaa tämän lisäksi hyvät tietoturva ohjeet yrityksille.
Lähtökohtaisesti salasanasovellukset ovat turvallisia ja erittäin käteviä käyttää. Sovellusten tietoturva kannattaa kuitenkin varmistaa käyttämällä vahvaa tunnistautumista.
Esimerkiksi LastPass:issa vahva tunnistautuminen on mahdollista ottaa käyttöön. Useimmat salasanasovellukset auttavat käyttäjiä luomaan vahvoja salasanoja generoimalla monimutkaisia ja pitkiä merkkiyhdistelmiä.
Aina kannattaa suosia pidempiä pin-koodeja.
Usein biometrisen tunnistamisen rinnalla on myös salasana/pin-koodi ja vahva tunnistautuminen.
Laitteesi ei osaa liittyä uuteen verkkoon automaattisesti ja verkkoyhteys katkeaa.
Kevätkauden tallenteet
Palaa hetkeksi takaisin Teknologiatorstain kevätkauden tunnelmiin, ja katso menneen kauden tallenteita.