23 vinkkiä parempaan tietoturvaan - Tahto Group

23 vinkkiä parempaan tietoturvaan

1.12.2022 Tahto Group

Tämä kokoelma vinkkejä kasataan joulukuussa 2022 Tahdon joulukalenterin merkeissä. Kokoamme artikkeliin asiantuntijoidemme koostamia vinkkejä ja linkkejä, joita hyödyntämällä voit parantaa omaa ja organisaatiosi tietoturvaa.

Vinkit järjestyksessä:

Vinkki 1: Näin suojaudut nettihuijaukselta
Vinkki 2: Huolehdi selaimesi turvallisuudesta pitämällä se ajan tasalla
Vinkki 3: Älä mene verkkopankkiin Googlen kautta
Vinkki 4: Harkitse kahdesti, mitä linkkiä klikkaat
Vinkki 5: Opi lisää digiturvataidoista Digiturvallinen Elämä -mobiilipelistä
Vinkki 6: Opi tunnistamaan yksityiselämän huijaukset
Vinkki 7: Pidä laitteesi suojassa myös matkoilla
Vinkki 8: Mobiililaitteiden turvallinen käyttö
Vinkki 9: Käytä aina vahvaa tunnistautumista
Vinkki 10: Testaa säännöllisesti henkilöstösi tietoturvatietämystä
Vinkki 11: Panosta salasanojesi vahvuuteen
Vinkki 12: Salasananhallintaohjelmistot auttavat sinua suojautumaan kyberrikoksilta
Vinkki 13: Testaa omien salasanojesi vahvuus ohjelmallisesti
Vinkki 14: Älä paljasta itsestäsi liikaa verkossa – Äitisi tyttönimi voi olla vaikkapa ”af#%124AFasf€%”JFGJ465”
Vinkki 15: Hyödynnä salasanattomia kirjautumismenetelmiä
Vinkki 16: Hämmästyttäviä faktoja salasanoista
Vinkki 17: Toimi näin, jos joudut hakkerin uhriksi
Vinkki 18: Tunnista työelämän huijaukset
Vinkki 19: Varaudu sähköpostiisi saapuviin urkintaviesteihin
Vinkki 20: Käytä todentajasovellusta vahvaan tunnistautumiseen
Vinkki 21: Varmista toimillasi, että organisaatiosi tieto pysyy turvassa
Vinkki 22: Pidä yllä osaamistasi tietoturvakoulutuksilla
Vinkki 23: Johda tietoturvaa tietoturvan hallintamallin avulla


Vinkki 1: Näin suojaudut nettihuijaukselta

Verkossa liikkuu paljon huijauksia, jotka vaarantavat ihmisten identiteetin, maineen, rahat ja pahimmassa tapauksessa turvallisuuden. Rikolliset yrittävät saavuttaa tavoitteensa monin eri tavoin – kaikki ovat varmasti vähintään kuulleet erilaisista sähköposti-, tekstiviesti- ja puhelinhuijauksista.

Tahdon joulukalenterin ensimmäisen luukun takaa paljastuu äärimmäisen hyödyllinen resurssi, nimittäin Kyberturvallisuuskeskuksen vinkkipaketti siihen, millaisin tavoin jokainen voi suojautua nettihuijauksilta mahdollisimman tehokkaasti. Opas kertoo mm:

  • Mistä tunnistat nettihuijarin
  • Miten suojaudut nettihuijaukselta ja
  • Mitä teet, jos joudut huijauksen uhriksi

Löydät Kyberturvallisuuskeskuksen ohjeen ”Näin suojaudut nettihuijaukselta” täältä.

Vinkki 2: Huolehdi selaimesi turvallisuudesta pitämällä se ajan tasalla

Käyttämälläsi selaimella on iso merkitys nettikäytön turvallisuudessa. Huolehdi, että käytät selainta johon julkaistaan säännöllisesti tietoturvapäivityksiä ja että ne on myös asennettu.

Vanha selainversio voi altistaa koneesi mm. näppäintallennusohjelmistojen lataukselle, jonka kautta rikolliset voivat päästä käsiksi mm. luottokorttitietoihisi sekä käyttäjätunnuksiisi ja salasanoihisi.

Esimerkiksi Edge-selaimella voit tarkistaa versiotiedon ja ajantasaisuuden kohdasta Help and feedback -> About Microsoft Edge.

Firefox-selaimella vastaava tieto löytyy Help-valikon alta, kohdasta About Firefox.

Mikäli käytät vanhan version selainta, se kannattaa siis päivittää tuoreimpaan versioon, jotta saat käyttöösi viimeisimmät tietoturvaominaisuudet (sekä todennäköisesti muutenkin mukavamman selauskokemuksen).

Vinkki 3: Älä mene verkkopankkiin Googlen kautta

Pankkitunnukset ovat yksi verkkohuijarien halutuimmista saaliista ja niitä kalastellaan mitä mielikuvituksellisimmilla tavoilla.

Yksi kovasti yleistyneistä tavoista on yrittää saada verkkopankkiin suuntaava ihminen houkuteltua valesivulle, joka näyttää ja tuntuu aivan oikean pankin sivulta, mutta jonka tarkoituksena on vain varastaa asiakkaan verkkopankkitunnukset.

Nämä sivut on saatu nousemaan Googlen hakutuloksissa kärkipaikoille, eli jos käyttäjä vaikka googlettaa ”Osuuspankki”, tarkoituksenaan klikata itsensä OP:n sivuille hakutulosten kautta, hän voi helposti haksahtaa valesivulle. Jos hän syöttää saitille verkkopankkitunnuksensa, ne päätyvätkin rikollisiin käsiin, joka aiheuttaa suuren riskin rikoksen uhriksi joutumisesta.

Osuuspankki antaa omassa asiaan liittyvässä tiedotteessaan seitsemän vinkkiä turvalliseen pankkiasiointiin verkossa:

  1. Älä mene verkkopankkiin saamasi linkin tai hakukoneen kautta. Viestissä oleva ohjaus kirjautumissivulle on huijaus. Voit joutua huijaussivulle myös Googlen, Bingin tai muun hakukoneen tulosten kautta, joten kirjoita osoite itse selaimen osoiteriville.  
  2. Tarkista osoite. Varmista aina, että asioit oikealla, varmistetulla sivulla.
  3. Pidä tunnukset omana tietonasi. Viranomainen tai pankki ei koskaan pyydä luovuttamaan tunnuksiasi tekstiviestillä, puhelimitse tai sähköpostin välityksellä. 
  4. Älä avaa pankin nimissä lähetettyjä liitteitä. Varmista liitteiden aitous oman pankkisi asiakaspalvelusta.  
  5. Jos joku, jonka yhteydenottoa et ole odottanut, pyytää sinua asentamaan laitteellesi ohjelman, älä tee niin. Asenna tarvitsemasi ohjelmat itse laitteesi sovelluskaupan kautta.  
  6. Älä vahvista tapahtumia, joita et tunnista ja tiedä tekeväsi juuri sillä hetkellä. Lue vahvistuspyynnöt aina huolella – jos jokin ei täsmää, älä vahvista mitään.  
  7. Kysy epäselvissä tilanteissa. Jos yhteydenotto tai viesti epäilyttää, ole yhteydessä omaan pankkiisi ennen kuin teet mitään muuta.  

Vinkki 4: Harkitse kahdesti, mitä linkkiä klikkaat

Internetiä selatessa on tärkeä tunnistaa, mitkä sivut ja linkit ovat turvallisia.

Jos esimerkiksi luottamasi yrityksen virallinen tili postaa linkin omaan sosiaaliseen mediaansa, se on suurella todennäköisyydellä turvallinen. Jos taas törmäät esimerkiksi lyhytosoitepalvelulla (vaikkapa bit.ly) luotuun linkkiin oudolta lähettäjältä saapuneessa sähköpostissa tai nimettömällä keskustelufoorumilla, kannattaa harkita useampaan otteeseen, klikkaatko linkkiä vai et.

Milloin hälytyskellojen pitäisi sitten soida? Kyberturvallisuuskeskuksen erityisasiantuntija Perttu Halonen kertoo sen sinulle videomuodossa tästä: https://twitter.com/CERTFI/status/1597898940229222402

Vinkki 5: Opi lisää digiturvataidoista mobiilipelin avulla

Digitalisaatio tuo lukemattomien ja lähes loputtomalta tuntuvien mahdollisuuksien mukana myös suuren määrän ojia ja allikoita, joihin haksahtaa.

Digi- ja väestötietovirasto on kasannut upean ”Digiturvallinen elämä” -koulutuskokonaisuuden, jonka tavoitteena on oppia ihmisiä toimimaan turvallisesti digitalisoituvassa maailmassa. Kokonaisuuteen sisältyy verkkokoulutusten ja videoiden lisäksi mm. erittäin mielenkiintoinen mobiilipeli, joka opettaa digiturvataitoja helpolla ja hauskalla tavalla.

Ja mikä hienointa, koulutuskokonaisuus on kaikille avoin ja ilmainen!

Ota siis koulutuskokonaisuus haltuun Digi- ja väestötietoviraston sivuilta ja lataa peli omasta sovelluskaupastasi!

Vinkki 6: Opi tunnistamaan yksityiselämän huijaukset

Verkkorikolliset tehtailevat paljon erilaisia huijauksia, joiden päämääränä on saada rikollista hyötyä esimerkiksi pankkitunnusten tai identiteettivarkauksien muodossa.

Huijaukset noudattelevat usein tiettyä kaavaa, joiden tunnusmerkit voi oppia tunnistamaan ja näin välttymään mahdollisesti huijauksen uhriksi joutumiselta. Tämä ei kuitenkaan aina auta, vaan kuka tahansa saattaa joutua huijatuksi. On tärkeää muistaa, että siinä ei ole mitään hävettävää ja tilanteeseen on usein saatavilla apua.

Monissa huijauksissa on tunnistettavissa tiettyjä tunnuspiirteitä:

  • Huijari esiintyy auktoriteettina, esimerkiksi poliisina tai pankin edustajana.
  • Huijausviestit vetoavat johonkin tunteeseen tai perustarpeeseen – rikastumiseen, rakastumiseen tai esimerkiksi turvallisuuteen. Lähes kaikki ovat varmaan saaneet esimerkiksi viestejä rikkailta kaukomaiden prinsseiltä, jotka lupaavat kymmeniä miljoonia perintörahoja vain muutaman tuhannen euron sijoituksella…
  • Toivotuilla toimenpiteillä (kirjautuminen, linkin klikkaaminen, rahansiirto tms.) on usein todella kova kiire. Huijarit toivovat aiheuttavansa tekaistulla kiireentunnulla huolimattomuutta ja suojauksen laskemista.

Kun epäilet, että sinua lähestyneellä taholla ei ole puhtaat jauhot pussissa:

  • Poista selkeästi haitalliset viestit suoraan ja turhia miettimättä
  • Jos epäilet viestin aitoutta, mieti, miksi viesti on lähetetty sinulle ja miksi esimerkiksi asialla on kiire. Tarkista myös lähettäjän sähköpostiosoite. Harkitse, ennen kuin reagoit viestiin.
  • Älä luovuta henkilökohtaisia tietojasi

Jos huomaat, että sinä tai läheisesi on joutunut rikoksen uhriksi:

  • Ota yhteyttä rikosuhripäivystykseen ja tee tarvittaessa rikosilmoitus poliisille
  • Ilmoita huijauksesta myös omaan pankkisi asiakaspalveluun

Voit lukea lisää nettihuijauksista esimerkiksi Rikosuhripäivystyksen sivuilta: Nettihuijaus voi tapahtua kenelle tahansa – Rikosuhripäivystys (riku.fi)

Vinkki 7: Pidä laitteesi suojassa myös matkoilla

Kannettavat, tabletit ja puhelimet ovat hyviä kohteita tietojen kalastelulle ja varkauksille. Työkäytössä näillä laitteilla on lähes aina pääsy organisaation tietoon tavalla tai toisella.

Helpoin tapa kalastella organisaation sensitiivistä tietoa on ihan perinteinen olan yli vilkuilu tai viereisessä pöydässä istuvan kuuntelu. On vieläkin varsin yleistä että läppärin näytöllä näkyy tärkeitä muistioita, dokumentteja tai jopa tuotekehityksen kuvia ja puheluissa kuuluu asiakkaiden nimiä.

Ole siis erityisen tarkkana ja huolehdi kaikista päätelaitteista kun olet matkalla.

  • Käytä näytönsuojusta ja varmistu, ettei kukaan pääse selän takaa katselemaan näyttöäsi, kun käsittelet työsähköposteja, käyt keskusteluja tai käsittelet dokumentteja.
  • Älä jätä laitteita ilman valvontaa, edes kahvikupin noutamisen ajaksi. Lukitse laitteet aina kun et käytä niitä. Laite lähtee helposti varkaan matkaan ja lukitsemattomalla laitteella pääsekin jo tekemään tuhoja.
  • Älä käy puhelin- tai Teams-puheluita/-palavereja julkisissa tiloissa, jossa joku muu voi kuulla käytyä keskustelua. Älä käytä asiakkaiden tai henkilöiden nimiä, ota käyttöön vaikka lyhenne tai salanimi, jos keskustelu on pakko käydä.
  • Kun matkustat ulkomaille, varmista paikalliset käytännöt esimerkiksi laitteiden sisältöjen skannaamisesta maahantulon yhteydessä. Tyhjennä tarvittaessa työtiedot laitteista ja käytä palveluja selaimen tai esimerkiksi Windows 365 -virtuaalityöaseman kautta.

Vinkki 8: Mobiililaitteiden turvallinen käyttö

Mobiililaitteet sisältävät nykyään paljon henkilökohtaista, jopa arkaluonteista, sisältöä. Osa käyttää niita jopa ainoana työvälineenä ja ne tarjoavat pääsyn esimerkiksi verkkopankkiin tai työnantajan resursseihin. Mm. näistä syistä mobiililaitteet ovat oiva kohde tietojen kalastelulle, haittasovelluksille ja hakkeroinnille.

Näillä muutamilla vinkeillä saat suojattua tärkeät tietosi mobiililaitteellasi:

  • Kytke päälle näytön lukitus PIN-koodilla, sormenjäljellä ja/tai kasvojen tunnistuksella. Tämä estää helpon pääsyn laitteeseen, jos se vaikka varastetaan.
  • Ole tarkkana kun asennat uusia sovelluksia. Kun asennat uusia sovelluksia, kannattaa tarkastaa sovelluksen tiedoista mitä tietoa sovellus käyttää. On hyvin yleistä että sovellukset pyytävät enemmän tietoa kun oikeasti tarvitaan, yleensä mainosten kohdentamiseen.
  • Käy tarkkaan läpi sovellusten oikeudet. Asennusvaiheessa on jo hyvä pysähtyä tarkastelemaan mitä sovellus saa laitteellasi tehdä.
  • Jos jonkin palvelun käyttö sovelluksella askarruttaa, käytä palvelua selaimella.
  • Älä jätä laitetta ilman valvontaa.
  • Huolehdi tietoturvapäivityksien asentamisesta, asenna viipymättä puhelimeen tulevat Android tai IOS-päivitykset, päivitä myös asentamasi sovellukset. Älä osta halvalla vanhaa puhelinmallia, johon ei välttämättä enää vuoden kuluttua saa tietoturvapäivityksiä.

Vinkki 9: Käytä aina vahvaa tunnistautumista

Vahva tunnistautuminen, jota kutsutaan myös MFA, 2FA, monivaiheinen tunnistautuminen, kaksivaiheinen tunnistautuminen, estää Microsoftin tutkimusten mukaan jopa 99% tietoturvaloukkauksista. Vahva tunnistautuminen alkaa olla jo käytettävissä lähes kaikissa suosituissa palveluissa, joskin toteutustapa voi olla toisistaan poikkeava palveluiden välillä.

Vahvalla tunnistautumisella tarkoitetaan käyttäjätunnuksen ja salasanan lisäksi tulevaa varmistusta esimerkiksi tekstiviestillä, sähköpostilla tai erilliseen sovellukseen tulevalla pyynnöllä. Vahvan tunnistautumisen on tarkoitus lisätä tietoturvaa, mutta se on myös mahdollisuus huomata käyttäjätunnuksen ja salasanan paljastuminen jollekkin ulkopuoliselle taholle.

Kytke siis vahva tunnistautuminen käyttöön kaikkiin mahdollisiin palveluihin joita käytät. Yleensä palvelut jo tarjoavat tätä mahdollisuutta kirjautumisen yhteydessä. Varsinkin ilmaisissa palveluissa voi olla hankalaa saada kaapattua käyttäjätiliä takaisin, tai se vie ainakin paljon aikaa ja kaapaaja pääsee tekemään tuhojaan sinun nimissä. Jos joku palvelu ei käytä vahvaa tunnistautumista, on hyvä arvioida sitä onko palveluntarjoaja oikeasti kiinnostunut sinun tietojen suojaamisesta ja tietoturvasta yleensä.

Vinkki 10: Testaa säännöllisesti henkilöstösi tietoturvatietämystä

Suurin tietoturvariski ovat edelleen ihmiset. Erilaiset kalastelut, laskuhuijaukset ja haittaohjelmakampanjat kohdistuvat lähes aina ihmisiin. Tietoturvan parantamisessa kouluttaminen ja tietämyksen lisääminen ovat tärkeässä osassa. Ihmisten tietoturvatiemyksen säännöllinen testaaminen on hyvä tapa kartoittaa organisaation tietoturvaosaamisen tasoa sekä tuoda samalla testin kautta kertausta ja uutta tietoa ihmisille.

Forms-kyselyt toimivat tähän tarkoitukseen erinomaisesti. Forms-kyselyllä on mahdollista luoda pisteytetty kysely, jonka tuloksen vastaaja näkee suoraan oman testin jälkeen.  Väärien vastausten kohdalle voidaan tuoda palaute ja tarvittaessa linkki tietoturvaohjeisiin.

Testituloksista saadaan kooste joko anonyyminä tai käyttäjäkohtaisesti, ja tulosten perusteella voidaan suunnitella tarpeet seuraaville tietoturvakoulutuksille.

Vinkki 11: Panosta salasanojesi vahvuuteen

Vahvat salasanat auttavat suojaamaan verkkotilejäsi hakkereilta. Hakkerit käyttävät usein automatisoituja työkaluja yrittääkseen arvata salasanoja, ja vahva salasana tekee tuosta myyrän työstä huomattavasti vaikeampaa.

Vahva salana on pitkä, sisältää sekoitettuna isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä, ja sen pitäisi olla uniikki jokaiselle verkkotilillesi. Vältä salasanan luomista helposti arvattavista tiedoista, kuten nimestäsi, syntymäpäivästäsi tai yleisistä sanoista.

Yksi tapa luoda vahva salasana on käyttää salasanahallintaohjelmaa. Nämä työkalut voivat luoda pitkiä, satunnaisia salasanoja sinulle ja tallentaa ne turvallisesti, jotta sinun ei tarvitse muistaa niitä. Voit sitten käyttää salasanahallintaohjelmaa automaattisesti kirjautuaksesi verkkotileillesi, mikä helpottaa vahvojen ja uniikkien salasanojen käyttöä ilman, että sinun tarvitsee muistaa niitä.

Toinen tapa luoda vahva salasana on käyttää salasanalauseketta. Salasanalauseke on lause, joka on sinulle helposti muistettava, mutta joka olisi vaikea jollekulle muulle arvata. Esimerkiksi voisit käyttää lauseketta ”Minä tahdon paremman salasanan” ja muuttaa sen salasanaksi käyttämällä lauseen ensimmäistä kirjainta jokaisesta sanasta sekä lisäämällä joukkoon numeroita ja erikoismerkkejä, kuten ”1M12T4pSS4!”. Tämä luo vahvan ja uniikin salasanan, jota hakkerin on vaikea arvata, mutta jonka sinä voit helposti muistaa.

Loit salasanan sitten miten tahansa, sen kompleksisuuteen kannattaa panostaa. Se tekee rikollisten elämästä huomattavasti hankalampaa ja siten omasta surffailustasi turvallisempaa.

Vinkki 12: Salasananhallintaohjelmistot auttavat sinua suojautumaan kyberrikoksilta

Salasananhallintaohjelmat, kuten esimerkiksi LastPass tai 1Password, auttavat sinua luomaan vahvoja, uniikkeja salasanoja ja tallentamaan ne turvallisesti. Tämä voi auttaa sinua suojaamaan verkkotilejäsi hakkereilta, jotka koittavat kaivaa salasanojasi automatisoitujen työkalujensa avulla.

Vahvojen salasanojen muistaminen voi olla hankalaa, varsinkin jos sinulla on paljon verkkotilejä ja olet toiminut hyvän salasanakäytännön mukaisesti ja asettanut eri salasanan jokaiselle tilillesi.

Ohjelmat auttavat sinua hallinnoimaan salasanojasi ja tarjoavat mm. ilmoituksia, jos jokin salasanasi on vaarassa ja vaihtamisen tarpeessa. Ne tarjoavat usein myös yhteenvedon kaikista käytössäsi olevista tileistä ja salasanoista, joten voit helposti tarkistaa, että olet käyttänyt vahvaa salasanaa joka paikassa.

Salasananhallintaohjelmistot ovat erinomainen valinta, jos haluat helpottaa salasanoihin liittyvää hallinnointia ja varmistaa, että toimit turvallisesti verkossa.

Vinkki 13: Testaa omien salasanojesi vahvuus ohjelmallisesti

Kuten aiemmin vinkkasimme, salasanan vahvuuteen kannattaa panostaa. Liian helpot ja toistuvat salasanat voivat altistaa sinut tietoturvauhkille.

Kun nyt epäilemättä vaihdoit salasanasi aiemman vinkkimme jälkeen, niin voit tarkistaa, miten hyvää työtä teit esimerkiksi How Secure Is My Password -sivuston avulla.

”Password” ei tuntunut olevan kovin erikoinen salasana, mutta esimerkiksi aiemman vinkkimme salasanalauseketta hyväksikäyttämällä luotu salasana oli jo jonkin verran parempi:

Testaa omien salasanojesi vahvuus täältä: How Secure Is My Password? | Password Strength Checker (security.org)

Vinkki 14: Älä paljasta itsestäsi liikaa verkossa

Olet epäilemättä joskus elämäsi aikana vastannut kysymykseen ”Mikä on äitisi tyttönimi?” tai ”Mikä on suosikkieläimesi?”. Joskus tuo kysyjä on voinut olla hyvän päivän tuttu, joskus parempikin kaveri ja joskus jokin verkkopalvelu. Verkkopalvelu kysyy tietoa siksi, että sen avulla voit avata lukittuneen tilisi tai palauttaa kadonneen salasanasi palveluun määritettyyn osoitteeseen.

Tiesitkö, että verkkopalvelu ei oikeasti tiedä, mikä äitisi tyttönimi on, eikä se välitä, mitä syötät kyseiseen kenttään. Tämä tieto kannattaa hyödyntää varsinkin silloin, jos sinulla on käytössäsi salasananhallintaohjjelmisto.

Syötä siis äitisi tyttönimi -kenttään (tai muuhun vastaavaan salasanan palautuskenttään) joku satunnainen merkkijono. Näin ollen sitä ei voi arvata vahingossa, toisin kuin korhosia, antikaisia tai liimattoja. Jos siis jollakulla on pahat aikeet mielessään ja esimerkiksi kirjautumiseen käyttämäsi sähköposti tiedossaan, hän ei pääse käsiksi salasanaasi ainakaan käyttämällä salasanan palautuskyselyä.

Vinkki 15: Hyödynnä salasanattomia kirjautumismenetelmiä

Kun puhutaan Passwordless-kirjautumisesta, sillä tarkoitetaan menetelmiä, joilla käyttäjät voivat kirjautua verkkosivustoille tai sovelluksiin ilman, että he joutuvat syöttämään salasanaa.

Passwordless-kirjautuminen perustuu usein jonkun toisen tekniikan käyttöön, kuten esimerkiksi sähköposti- tai tekstiviestivahvistukseen tai biometrisiin tunnisteisiin, esimerkiksi sormenjälkiin tai silmien skannaukseen.

Nämä menetelmät voivat tehdä kirjautumisesta helpompaa ja turvallisempaa, koska ne vähentävät salasanojen käyttöä ja siten myös salasanojen arvaamisen riskiä.

Käyttäjät voivat myös käyttää passwordless-menetelmiä synkronoidakseen kirjautumiset useille verkkosivustoille tai sovelluksille, mikä tekee kirjautumisesta entistä helpompaa. Esimerkiksi jos käyttäjä kirjautuu ensin verkkosivustolle sähköpostivahvistuksella, he voivat olla kirjautuneena sisään myös muille sivustoille, jotka tukevat samoja passwordless-menetelmiä ilman, että he tarvitsevat erikseen syöttää salasanaa.

Passwordless-menetelmät ovat yleistymässä verkossa, ja ne tarjoavat uusia tapoja tehdä kirjautumisesta helpompaa ja turvallisempaa.

Vinkki 16: Hämmästyttäviä faktoja salasanoista

Olemme puhuneet paljon vahvojen salasanojen tärkeydestä. Salasanoihin liittyy kuitenkin paljon muistettavaa sekä, no, suoranaista laiskuutta (🙋‍♂️), mutta tietyt faktat hämmästyttävät silti.

Oletko sinä kertonut salasanaasi kenellekään?

Katso faktat LinkedIn-sivuiltamme:

https://www.linkedin.com/posts/tahtogroup_tahdon-joulukalenteri-luukku-16-salasanafaktat-activity-7009407609132707840-MVVB?utm_source=share&utm_medium=member_desktop

Vinkki 17: Toimi näin, jos joudut hakkeroinnin uhriksi

Joka päivä joukko ihmisiä joutuu erilaisten tietoturvahyökkäysten uhriksi. Ihmiset reagoivat luonnollisesti eri tavalla kohdatessaan yllättäviä, epämiellyttäviä ja vaarallisia tilanteita – emmehän ole robotteja.

Jos huomaisit, että joudut itse hyökkäyksen uhriksi, mitä tekisit? Heittäisitkö koneen ikkunasta ulos vai laittaisitko sen välittömästi kiinni ja toivoisit, että uudelleenkäynnistys on hävittänyt kaiken epäilyttävän toiminnan koneesta?

Suomalainen tietoturvajätti F-Secure nostaa omassa blogissaan kuusi toimenpidettä, jotka henkilön kannattaa tehdä, mikäli hän huomaa joutuneensa hyökkäyksen uhriksi.

  1. Älä panikoi. Vaikka olisitkin omalla toiminnallasi avannut ovet hyökkääjälle esimerkiksi työnantajan tietoihin, muista, että niin voi tapahtua kenelle tahansa. Kun hyökkäys on tapahtunut, se kannattaa kohdata sellaisena kuin se on – älä siis poista sivuhistoriaa tai koita salailla tapahtumia, jotka johtivat onnistuneeseen hyökkäykseen. Pysy rauhallisena.
  2. Älä sulje laitettasi. Vaikka laitteen sulkeminen tuntuukin luonnolliselta reaktiolta (mitä pahaa kone voisi tehdä ilman virtaa?), laitteen sulkeminen tyhjentää sen välimuistin ja vaikeuttaa tilanteen selvittämistä – välimuisti voi sisältää tärkeitä johtolankoja hyökkäyksen alkuperästä ja tavasta.
  3. Sulje laitteen verkkoyhteydet. Riittävän aikainen verkkoyhteyksien sulkeminen voi estää hyökkääjien pääsyn syvemmälle yrityksen verkkoon. Yleisimpiä yhteyksiä on mm. Wi-Fi, Bluetooth, NFC ja mobiiliverkkoyhteys.
  4. Astu pois laitteen äärestä. Kun olet tehnyt aiemmat vaiheet, on aika rauhoittua ja ottaa aikaa itselle. Vedä syvään henkeä, katso ikkunasta kaukaisuuteen ja huoahda – tilanne on hallinnassa.
  5. Kirjaa paperille, mitä on tapahtunut tähän mennessä. Paperi ja kynä on klassinen, mutta äärimmäisen toimiva ja vaikeasti ulkopuolelta hakkeroitava tapa kirjata asioita ylös. On tärkeää dokumentoida mitä on tapahtunut, milloin ja mitä sinä olet tehnyt tilanteen vakauttamiseksi. Kirjaa asiat ylös mahdollisimman tarkkaan ja huomioi myös muita epäilyttäviä asioita, jotka voisivat liittyä hyökkäykseen (epäilyttävät puhelinsoitot, sähköpostit ym.)
  6. Soita apua. Ota yhteyttä organisaatiosi tietoturvasta vastaavaan henkilöön ja kerro, mitä on tapahtunut. Tietoturvan ammattilaiset osaavat ottaa tilanteen haltuun ja ovat varmasti äärimmäisen kiitollisia siitä, että pystyt toimittamaan heille kattavan tilanneraportin selvitystä ja jatkotoimenpiteitä varten.

Jos siis olet joutunut tietoturvahyökkäyksen uhriksi, älä syyllistä itseäsi ja ota rauhassa. Tee minkä tilanteessa voit ja anna tietoturva-ammattilaisten hoitaa jatkoselvitys.

Vinkki 18: Tunnista työelämän huijaukset

Organisaatioilla voi olla kovan tason tekninen tietoturva, mutta se ei välttämättä estä sen joutumista tietoturvahyökkäyksen uhriksi. Yksittäistä työntekijää voidaan lähestyä monenlaisilla kalastelu- ja huijausyrityksillä, jotka kannattaa oppia tunnistamaan jo kaukaa.

Toimitusjohtajahuijauksissa rikollinen esittää olevansa yrityksen päättäjäroolissa ja pyytää väärennetyllä sähköpostilla tai tekstiviestillä lähettämään pikaisesti rahaa tai maksamaan nopeasti tietyn laskun. Asia on yleensä hyvin kiireinen ja luottamuksellinen, eikä lisätietojakaan ehdi antaa. Älä poikkea organisaatiosi normaaleista käytännöistä ja tarkistuksista. Varmista tarvittaessa asia päättäjältä puhelimitse tai organisaatiosi muilta päättäjiltä. Pyydä IT-asiantuntijalta apua epäilyttävien viestien arvioimiseen.

Valelaskut yleistyvät loma-aikoina, jolloin laskuja voivat käsitellä ja hyväksyä sijaiset ja tilapäistyöntekijät. Valelaskut tai väärennetyt maksukehotukset näyttävät usein oikeilta laskuilta. Pahimmissa tapauksissa lasku näyttää tulevan tutulta toimittajalta tai kumppanilta, mutta tilinumero onkin vaihdettu toiseksi. Suhtaudu erityisen varovaisesti laskuihin, jotka normaalisti tulevat verkkolaskutuksen kautta, mutta jostain syystä lasku onkin toimitettu sähköpostilla tai perinteisellä kirjeellä.

Verkkorikolliset pyrkivät myös huijaamaan organisaatioiden HR-prosesseja. Esimerkiksi palkanlaskentaan lähetetyn väärennetyn sähköpostin avulla on pyritty vaihtamaan työntekijän tilitieto ja ohjaamaan palkka väärälle tilille.

Nyrkkisääntönä kannattaa muistaa, että jos viesti tai muu yhteydenotto vaikuttaa epäilyttävältä esimerkiksi poikkeuksellisen kiireen, huonon kieliasun tai muun silmille hyppäävän seikan vuoksi, sen alkuperä kannattaa varmistaa ennen kuin teet mitään toimenpiteitä. Voit säästää yrityksesi ja itsesi monenlaiselta harmilta toimimalla näin.

Vinkki 19: Varaudu sähköpostiisi saapuviin urkintaviesteihin

Tietojen kalastelu sähköpostin avulla on yksi tyypillisimmistä organisaatioihin kohdistuvista uhkista. Kalastelu- tai urkintaviesteillä pyritään huijaamaan käyttäjää syöttämään esimerkiksi tunnuksensa ja salasanansa huijaussivustolle, joka saattaa olla aidolta vaikuttava kopio alkuperäisestä sivustosta. Huijauksen kautta haltuun saatuja käyttäjätilejä  käytetään tyypillisesti esimerkiksi tietomurtoihin ja uusien urkintaviestien lähettämiseen.

Suhtaudu hyvin varovaisesti sähköpostiviesteihin, jotka sisältävät kirjautumista vaativia linkkejä. Usein urkinta pyritään kohdistamaan ylimpään johtoon, henkilöstöhallintoon tai tietohallintoon.

Mikäli syötät kiireessä tai muuten vaan vahingossa tietojasi urkintasivustolle, viesti asiasta välittömästä organisaatiosi tietohallintoon, IT-tukeen ja esihenkilöllesi. Vaihda välittömästi myös salasanasi organisaatiosi ohjeiden mukaisesti. Nopeus on valttia ja auttaa ehkäisemään jatkovahinkoja.

Jos haluat lisätietoja, tutustu Microsoftin laatimiin ohjeisiin ”Tietojenkalastelulta suojautuminen”.

Vinkki 20: Käytä todentajasovellusta vahvaan tunnistautumiseen

Puhelimeen asennettava todentajasovellus, kuten Microsoftin Authenticator, suojaa sinua muita menetelmiä paremmin vahvaan tunnistautumiseen liittyvältä tietojenkalastelulta.

On huomioitavaa, että tekstiviestipohjaisen tunnistautumisen kalastelua tapahtuu jo ja sitä yritetään yleensä puhelimitse. Älä siis ikinä luovuta tekstiviestillä saamaasi vahvistuskoodia kenellekkään.

Microsoft Authenticator -sovelluksella voit suorittaa vahvan tunnistautumisen sovelluksesta haettavalla, säännöllisesti vaihtuvalla koodilla tai hyväksymällä sovelluksen tekemän notifikaation. Sovellusta voi käyttää kaikkien sellaisten (niin työ- kuin henkilökohtaisten) palveluiden kanssa, jotka tukevat yleensä vahvaa tunnistautumista sovelluksella. Jos käytät sovelluksessa useita palveluita, kannattaa Authenticatorin tiedot varmuuskopioida henkilökohtaiselle Microsoft-tilille. Authenticatorin avulla voit kytkeä salasanattoman kirjautumisen käyttöön henkilökohtaiselle Microsoft-tilille, eikä jatkossa sitä salasanaakaan tarvitse muistella.

Muistathan olla kuitenkin tarkkana myös sovelluksen kanssa – jos saat sovelluksesta herätteen vahvasta tunnistautumisesta ja epäilet että se ei koske sinun tekemää kirjautumista, hylkää pyyntö.

Vinkki 21: Varmista omilla toimillasi, että organisaatiosi tieto pysyy turvassa

Varmista, että käsittelet organisaatiosi tietoa turvallisesti.

  • Älä tallenna tietoja ja tiedostoja mihin sattuu. Noudata organisaatiosi ohjeistuksia tiedon ja tiedostojen käsittelyyn liittyen. Yleensä tiedostot voidaan palauttaa vain organisaation hallinnoimista tallennuspaikoista (OneDrive, Teams, SharePoint, verkkolevy jne.)
  • Noudata tiedostojen nimeämisessä organisaatiosi ohjeistuksia. Jos organisaatiollasi ei ole erityistä ohjeistusta tähän, nimeä tiedostot niin, että löydät ne helposti myöhemminkin.
  • Ole tarkkana, kun jaat tiedostoja muille henkilöille. Varmista, että tiedosto on jaettu vain niille henkilöille, kenellä kuuluu olla pääsy siihen.

Pidä myös huoli omista käyttäjätunnuksistasi, sillä niiden onnistuneella kalastelulla ylläolevat vinkit menettävät merkityksensä.

Vinkki 22: Pidä yllä osaamistasi tietoturvakoulutuksilla

Milloin viimeksi sait tietoturvakoulutusta?

 Jokainen meistä joutuu päivittäin tekemään valintoja, joilla on vaikutusta tietoturvallisuuteen. Käsittelemme sähköposteja, surffaamme netissä, osallistumme mobiilisti verkkopalavereihin tai vastaamme työpuheluun junassa, käymme kollegoiden kanssa lounaalla taikka käytämme tietokonetta julkisissa kulkuvälineissä jne.

Mitä teen, jos saan epäilyttävän sähköpostiviestin? Mitä teet muistitikulle, joka löytyi työpaikan ulko-ovelta? Voinko mainita asiakkaan nimen junassa käytävässä puhelinkeskustelussa? Mistä asioista ja miten keskustelemme lounaalla naapurikorttelin työmaaravintolassa?

Useimmat meistä toimimme kyllä oikein, kunhan vain tiedämme miten pitäisi toimia ja miksi. Säännölliset ja toistuvat kaikille yhteiset tietoturvakoulutukset vähintään kaksi kertaa vuodessa auttavat pitämään mielessä suositellut ja sovitut toimintamallit sekä tunnistamaan tyypillisimmät uhka- ja vaaratilanteet.

Pyydä työnantajaasi järjestämään tietoturvakoulutuksia. Se on sijoitus, joka kannattaa tehdä.

Vinkki 23: Johda tietoturvaa tietoturvan hallintamallin avulla

Miten sinun organisaatiossasi huolehditaan tietoturvan tavoitteellisesta ja jatkuvasta kehittämisestä? Tiedätkö kuka teillä vastaa tietoturvallisuudesta? Onko teillä ajan tasalla oleva toipumissuunnitelma sen varalta, että jokin menee pahemmin pieleen? Mikäli et ole ihan varma, saattaa olla että organisaatiossasi ei vielä ole tietoturvan hallintamallia.

Tietoturvan hallintamalli on jatkuvaan ja systemaattisen kehittämiseen ohjaava tietoturvan johtamisen työkalu, joka ohjaa tekemistä ja kehittämistä. Hallintamallissa määritellään myös esimerkiksi tietoturvaosaamisen kehittämisen käytännöt, IT-riskienhallinnan periaatteet sekä tietoturvallisuuden arvioinnin perusteet. Mallin avulla voidaan myös hallinnoida organisaation toiminnassaan tarvitsemaa tietoturvadokumentaatiota (politiikat, toimintamallit, säännöt, ohjeet, suunnitelmat jne).

Tietoturvallisuuden systemaattinen ja jatkuva kehittäminen on tarpeen kaiken kokoisissa organisaatioissa. Tahdon asiantuntijat auttavat luomaan juuri sinun organisaatioosi sopivan tietoturvan hallintamallin.


Jos kaipaat lisää ohjeita tai tukea tietoturvan hallinnan, johtamisen tai operatiivisen tekemisen kanssa, vastaamme kysymyksiisi mielellämme ja autamme sinua turvaamaan organisaatiosi tiedot entistä paremmin.

Tahto Group