Usein kysytyt kysymykset
Mitä tarkoitetaan tietoturvalla?
Tietoturvalla tarkoitetaan hallinnollisia ja teknisiä toimia, joilla varmistetaan tiedon
luottamuksellisuus eli se, että tiedot ovat vain niiden käyttöön oikeutettujen saatavilla,
eheys eli se, että tietoja eivät voi muuttaa muut kuin siihen oikeutetut sekä
käytettävyys eli se, että tiedot ja tietojärjestelmät ovat niiden käyttöön oikeutettujen hyödynnettävissä.
Kuka on vastuussa yrityksen tietoturvasta?
Vastuu yrityksen tietoturvasta on aina yrityksen johdolla, hallituksella ja toimitusjohtajalla myös henkilökohtaisesti. Yrityksen IT-kumppani ei ole vastuussa tietosuojaloukkauksista ja tietomurroista, mutta voi tarjota apua niiden ehkäisemisessä sekä niistä toipumisessa.
Mitkä ovat tietoturvan osa-alueet?
Tietoturva on vain niin vahva, kuin sen heikoin linkki. Siksi onnistunut tietoturva huomioi kaikki osa-alueet:
Hallinnollinen tietoturva – Tietoturvan johtaminen ja hallinnointi
Henkilöstön tietoturva – Henkilöstön vastuut, roolit ja ohjeistus
Toimitilojen tietoturva – Toimitilojen ja laitteiden fyysinen suojaaminen
Laitteiden tietoturva – Käytettävien laitteiden yleinen suojaaminen
Sovellusten tietoturva – Käytettävien sovellusten tietoturva
Tietoliikenteen turvallisuus – Tiedon siirtoon liittyvä turvallisuus
Tietoaineiston turvallisuus – Tietoa sisältävien dokumenttien käsittely
Miten voin huolehtia yritykseni tietoturvasta?
Voit huolehtia yrityksesi tietoturvasta seuraavasti:
Kartoita yrityksen tietoturvan nykytilanne. Käytä apuna asiantuntijaa, sillä asiaan perehtymätön ei osaa arvioida erilaisia skenaarioita ja teknisiä asioita riittävän hyvin
Laadi kartoituksen pohjalta tietoturvapolitiikka ja -suunnitelma, joka huomioi kaikki tietoturvan osa-alueet ja vastuut
Korjaa kartoituksessa ilmenneet puutteet ja toteuta suunnitelmaa
Rajoita käyttöoikeuksia ja pääsyoikeuksia vain tarpeellisille henkilöille
Käytä monivaiheista tunnistautumista
Ylläpidä oikeuksia tilanteen muuttuessa, esimerkiksi kun työntekijä poistuu palveluksesta tai rooli muuttuu
Käytä luotettavan palveluntarjoajan kyberturvaohjelmistoa
Pidä tietokoneet, puhelimet, muut verkkolaitteet ja ohjelmistot päivitettynä
Valvo kaikkia laitteita, verkkoliikennettä, sähköpostia, pilvipalveluita yms. epäilyttävien tapahtumien varalta
Suorita haavoittuvuusskannaus säännöllisesti
Reagoi poikkeustilanteisiin ennalta mietityllä tavalla
Kouluta henkilöstö yrityksen tietoturvakäytännöistä ja huolehdi, että ohjeet ovat helposti kaikkien saatavilla
Laitteiden ja ohjelmistojen käyttö eri tilanteissa
Salasanakäytännöt ja tunnistautuminen
Arkaluontoisten tietojen, kuten henkilötietojen käsittely
Huolehdi säännöllisestä varmuuskopioinnista ja varmista palauttamisen toimivuus
Seuraa tietoturvauhkien kehitystä ja päivitä strategiat vastaavasti
Mitä tietoturvariskejä yrityksellä on?
Joitakin yleisiä tietoturvariskejä yrityksille ovat:
Tietojen kalastelu ja identiteettivarkaudet: Tietojenkalastelulla pyritään saamaan haltuun käyttäjien henkilökohtaisia tietoja, kuten esimerkiksi Microsoft 365, Google tai some-käyttäjätunnuksia. Yleinen tapa tietojenkalastelussa on lähettää sähköposteja tai viestejä, jotka näyttävät aidoilta ja pyytävät vastaanottajaa kirjautumaan väärennettyyn verkkosivustoon.
Hakkereiden hyökkäykset: Hakkerit voivat pyrkiä tunkeutumaan yrityksen tietojärjestelmiin ja saamaan haltuunsa arkaluontoisia tietoja, kuten asiakasrekistereitä tai liikesalaisuuksia.
Haittaohjelmat: Virukset, troijalaiset, ransomware- ja muut haittaohjelmat voivat levitä yrityksen tietokoneisiin ja verkkoihin, aiheuttaen tietojen korruptoitumista, varkauksia tai jopa liiketoiminnan keskeytymistä
Sosiaalinen hakkerointi: Hyökkääjät voivat käyttää huijausta, kalastelua tai muuta sosiaalisen tekniikan manipulointia saadakseen pääsyn yrityksen tietoihin. Esimerkiksi huijaussähköpostit tai valeasiantuntijoina esiintyminen voivat johtaa tietovuotoihin.
Heikot salasanat ja käyttäjätunnukset: Jos yrityksen työntekijöillä on heikot salasanat ja käytössä ei ole monivaiheista tunnistautumista, se voi altistaa yrityksen tietomurroille tai luvattomille pääsyille.
Fyysinen turvallisuus: Epäasianmukainen pääsynvalvonta, varkaudet tai laitteiden hävittäminen ilman asianmukaista tietojen tuhoamista voivat aiheuttaa tietovuotoja ja tietoturvahäiriöitä.
Työntekijöiden tiedostamattomat riskit: Työntekijät voivat tahattomasti aiheuttaa tietoturvariskejä esimerkiksi avatessaan haitallisia sähköpostiliitteitä, käyttäessään heikkoja salasanoja tai jakamalla arkaluontoista tietoa ulkopuolisille.
Epäluotettavat kolmannen osapuolen toimittajat: Jos yritys luottaa ulkopuolisiin palveluntarjoajiin, kuten pilvipalveluihin tai alihankkijoihin, niiden tietoturvan heikkoudet voivat aiheuttaa riskejä yrityksen tietoturvalle.
Mitä seurauksia tietoturvan ja tietosuojan puutteellisesta toteutuksesta voi tulla?
Tietovuodot: Puutteellinen tietoturva altistaa yrityksen tietojärjestelmät ulkoisille uhkille, kuten hakkereille ja tietomurroille. Tämä voi johtaa arkaluontoisten tietojen paljastumiseen, kuten asiakasrekistereiden, luottokorttitietojen tai liikesalaisuuksien vuotamiseen. Tietovuodot voivat aiheuttaa vakavia maine- ja taloudellisia vahinkoja yritykselle sekä oikeudellisia seuraamuksia myös hallitukselle ja toimitusjohtajalle.
Taloudelliset menetykset: Tietoturvan puutteet voivat johtaa suoriin taloudellisiin menetyksiin. Esimerkiksi tietomurron seurauksena yritys voi joutua korvaamaan asiakkailleen aiheutuneet vahingot tai kärsimään menetyksiä liiketoiminnan keskeytyksen vuoksi. Lisäksi tietosuojarikkomukset voivat aiheuttaa sakkorangaistuksia ja oikeudenkäyntejä, joihin liittyy merkittäviä oikeudellisia kustannuksia.
Asiakkaiden luottamuksen menetys: Kun yrityksen tietoturva on heikko tai tietosuoja on puutteellista, asiakkaat menettävät luottamuksensa yritykseen.
Oikeudelliset seuraukset: Tietosuojan puutteet voivat johtaa oikeudellisiin seurauksiin. Monilla alueilla on voimassa tietosuoja- ja tietoturvaa koskevia lakeja ja asetuksia, kuten EU:n yleinen tietosuoja-asetus (GDPR). Jos yritys ei noudata näitä vaatimuksia, se voi joutua sakkoihin, oikeudenkäynteihin ja muihin oikeudellisiin toimiin, jotka voivat aiheuttaa merkittäviä kustannuksia ja maineen vahingoittumista.
Henkilöstön epävarmuus ja sisäiset ongelmat: Tietoturvan puutteet voivat aiheuttaa henkilöstön epävarmuutta ja luottamuksen menetystä yrityksen kykyyn suojata arkaluontoisia tietoja. Tämä voi vaikuttaa työilmapiiriin, työntekijöiden sitoutumiseen ja tehokkuuteen. Lisäksi tietoturvan puutteet voivat altistaa yrityksen sisäiselle väärinkäytölle, kuten tietojen varastamiselle tai petoksille, mikä voi aiheuttaa sisäisiä konflikteja ja vahingoittaa organisaation toimintaa.
Seuraukset sivullisille yksityishenkilöille ja yrityksille: Yrityksen toiminta vaikuttaa usein myös yksityishenkilöiden elämään sekä muiden yritysten, kuten alihankkijoiden tai asiakasyritysten toimintaan. Esimerkiksi henkilötietojen tai muiden arkaluontoisten tietojen vuotaminen voi aiheuttaa vakavia seurauksia sivullisille.
Koskevatko tietoturvauhat myös pieniä yrityksiä?
Kyllä, tietoturvauhat koskevat myös pieniä yrityksiä. Vaikka suuret yritykset ovat usein enemmän uutisotsikoissa tietomurtojen ja tietoturvaloukkausten yhteydessä, pienet yritykset eivät ole immuuneja tietoturvauhille.
Päinvastoin pienet yritykset voivat olla houkuttelevia kohteita hyökkääjille useista syistä:
Rajalliset resurssit: Pienillä yrityksillä saattaa olla rajalliset taloudelliset ja henkilöstöresurssit tietoturvan toteuttamiseen. Tämä voi johtaa haavoittuvuuksiin tietoturvainfrastruktuurissa ja järjestelmissä, mikä tekee niistä helpompia kohteita hyökkäyksille.
Arkaluontoiset tiedot: Pienillä yrityksillä voi olla arkaluontoisia tietoja, kuten asiakastietoja, liiketoimintatietoja tai taloudellisia tietoja, jotka voivat olla houkuttelevia hyökkääjille. Näiden tietojen vuotaminen tai väärinkäyttö voi aiheuttaa vakavia taloudellisia ja maineeseen liittyviä haittoja yritykselle.
Inhimilliset tekijät: Usein tietoturvaongelmat johtuvat inhimillisistä virheistä, kuten heikkojen salasanojen käytöstä, tietojen jakamisesta tai tietämättömyydestä tietoturvahyökkäyksistä. Pienissä yrityksissä, joissa henkilöstön tietoturvatietoisuus voi olla alhaisempi tai tietoturvakäytäntöjä ei ole kunnolla määritelty, nämä inhimilliset tekijät voivat aiheuttaa riskejä.
Supply chain -hyökkäykset: Pienet yritykset voivat olla haavoittuvia supply chain -hyökkäyksille, joissa hyökkääjät tunkeutuvat pienempien yritysten järjestelmiin tavoitteenaan päästä käsiksi suurempiin organisaatioihin. Tällaiset hyökkäykset voivat vahingoittaa sekä pienten yritysten että niiden yhteistyökumppaneiden tietoturvaa.
Mitä jokaisen pitää tietää GDPR:stä?
GDPR määrittelee yhtenäiset säännöt henkilötietojen käsittelylle ja suojalle kaikissa EU-maissa sekä antaa yksilöille lisää päätösvaltaa omien henkilötietojensa käyttöön. GDPR koskee kaikkia yrityksiä ja organisaatioita, jotka käsittelevät henkilötietoja EU:n alueella toimiessaan, eli käytännössä ihan jokaista yritystä. GDPR asettaa tietosuojaperiaatteet, joiden mukaan henkilötietoja on käsiteltävä. Näitä periaatteita ovat muun muassa tietojen oikeellisuus, minimointi, säilytysaika, tietoturva ja vastuu.
Miten yrityksen tietoturva eroaa yksityishenkilön tietoturvasta?
Riskit: Huonolla tietoturvalla voi olla vakavia ja laajoja seurauksia yritykselle, sekä suurelle joukolle ihmisiä. Tietomurrot, tietovuodot ja muut tietoturvahäiriöt voivat aiheuttaa merkittäviä taloudellisia menetyksiä, maineen vahingoittumista ja oikeudellisia ongelmia.
Laajuus: Yritysten tietoturva koskee usein laajempaa ja monimutkaisempaa tietojärjestelmää kuin yksityishenkilön tietoturva. Yrityksissä on usein laaja verkko infrastruktuuri, palvelimia, tietokantoja ja muita liiketoimintakriittisiä järjestelmiä, jotka vaativat suurempaa suojausta.
Tietojen arkaluontoisuus: Yritykset käsittelevät yleensä suurempia määriä arkaluontoista tietoa, kuten asiakastietoja, työntekijätietoja, liikesalaisuuksia ja taloudellisia tietoja. Tämä kiinnostaa rikollisia ja vaatii vahvempaa suojausta.
Resurssit: Yrityksillä on usein enemmän resursseja ja mahdollisuuksia investoida tietoturvaan. Ne voivat palkata tietoturva-asiantuntijoita, hankkia ammattimaisia tietoturvatuotteita ja toteuttaa laajempaa uhkien hallintaa.
Käyttäjät: Yrityksissä on usein suuri määrä työntekijöitä, joilla on pääsy yrityksen järjestelmiin. Tämä luo tarpeen hallita käyttöoikeuksia, toteuttaa tietoisuuskoulutusta ja valvoa käyttäjien toimintaa. Yksityishenkilöllä on yleensä yksinomainen vastuu omasta tietoturvastaan.
Sääntelyvaatimukset: Yritykset saattavat olla sidottuja erilaisiin tietoturvaa koskeviin lainsäädäntöihin, kuten tietosuoja-asetuksiin tai alan standardeihin. Ne joutuvat noudattamaan tiettyjä vaatimuksia tietoturvan suhteen ja raportoimaan tietoturvatoimenpiteistään.
Miten yritys voi valita tietoturvan kannalta luotettavan IT-palveluntarjoajan?
Arvioi tietoturvakäytännöt: Pyydä palveluntarjoajalta tietoa heidän tietoturvakäytännöistään ja prosesseistaan. Tarkista, mitä toimenpiteitä he toteuttavat tietoturvan varmistamiseksi, kuten käyttöoikeuksien hallinta, tietojen varmuuskopiointi ja järjestelmien seuranta.
Arvioi tietoturvatapahtumien hallinta: Kysy, miten palveluntarjoaja käsittelee tietoturvaloukkauksia tai häiriötilanteita. Selvitä, onko heillä suunnitelmia ja prosesseja reagoida tietoturvaloukkauksiin, tutkia niitä ja tehdä tarvittavat korjaukset.
Pyydä referenssejä ja tutki mainetta: Kysy palveluntarjoajalta referenssejä ja ota yhteyttä heidän nykyisiin asiakkaisiinsa saadaksesi tietoa tietoturvan laadusta ja luotettavuudesta. Tutki myös palveluntarjoajan mainetta verkossa ja lue asiakasarvioita.
Laadi sopimus: Laadi sopimus, jossa määritellään palveluntarjoajan vastuut ja velvollisuudet tietoturvaan liittyen. Sopimus voi sisältää tietoturvatason vaatimukset, tietojen luottamuksellisuuden säilyttämisen, tietojen säilytysajan ja mahdolliset seuraamukset tietoturvaloukkauksista.
Miten Microsoft 365:n tietoturvaa parannetaan?
Kun käyttäjä kirjautuu ensimmäistä kertaa laitteelle, otetaan laite osaksi yrityksen laitehallintaa. Laitteelle asennetaan automaattisesti yrityksen politiikan mukaiset määritykset ja käyttäjän tarvitsemat sovellukset.
Sovelluksia ja tietoja käytetään pilvestä. Kun käyttäjä avaa ensimmäistä kertaa sovelluksen, tarkistetaan tunnistautuminen, laite ja sen asetukset sekä sovellukset ennen sisälle pääsyä.
Oletetaan, että yrityksen järjestelmissä saattaa olla tunkeilijoita. Siksi yrityksen Microsoft 356 -ympäristössä tapahtuvia toimenpiteitä ja tietoja valvotaan aktiivisesti tietoturvatyökaluilla ja uhkiin reagoidaan automaattisesti.
Varaudutaan säännöllisellä varmuuskopioinnilla siihen, että Microsoft 365:ssä olevia tietoja saatetaan poistaa vahingossa tai tahallaan.
Voiko ilmaisiin tietoturvasovelluksiin luottaa?
On hyvä tiedostaa, että myös ilmaisten tietoturvasovellusten rahoitus tulee jostain. Monet ilmaiset tietoturvasovellukset rahoitetaan mainoksilla tai ne keräävät käyttäjätietoja markkinointitarkoituksiin. Tämä voi aiheuttaa mainosnäyttöjä tai yksityisyyden menetystä. On tärkeää lukea käyttöehdot ja tietosuojakäytännöt tarkasti, jotta ymmärtää, mitä tietoja sovellus kerää ja miten niitä käytetään.
Millainen on hyvä salasana?
Yleisesti suositellaan, että hyvän salasanan pitäisi olla riittävän pitkä (vähintään 12 merkkiä), yksilöllinen, sisältää sekaisin kirjaimia, numeroita ja erikoismerkkejä ja olla sellainen, jonka muistat itse helposti mutta jota muiden on vaikea arvata. Lisäksi samaa salasanaa ei saisi käyttää useammassa palvelussa. Salasanojen muistaminen voi olla kuitenkin vaikeaa, mutta apuna voi käyttää luotettavan palveluntarjoajan salasanasovellusta.
Pelkkä salasana ei kuitenkaan enää riitä tärkeissä palveluissa. Esimerkiksi somessa ja sähköpostissa tulee käyttää monivaiheista tunnistautumista, jossa vahvistat identiteettisi esimerkiksi puhelinsovelluksella tai tekstiviestissä olevalla koodilla.
Päivitetty 9.4.2024
Tekijät
Tietoturva ja kyberturva
Text
Text
Text
Text
Text
Text
Text
Text