PETTERI JÄRVINEN
YRITYKSEN TIETOTURVAOPAS 50 AIHETTA KÄYTÄNNÖN TIETOTURVASTA
YRITYKSEN TIETOTURVAOPAS
PETTERI JÄRVINEN
YRITYKSEN TIETOTURVAOPAS
© Helsingin seudun kauppakamari / Helsingin Kamari Oy ja tekijä ISBN 978-952-246-773-7 ISBN 978-952-246-775-1 (E-kirja) ISBN 978-952-246-774-4 (Ammattikirjasto) 1. painos Kansi, ulkoasun suunnittelu ja taitto: Mikko Puranen Painopaikka: Meedia Zone OÜ, Viro 2022 Tämä kirja on saatavilla myös KauppakamariTiedon Ammattikirjastossa, ammattikirjasto.fi.
SISÄLLYS Esipuhe
11
1. C-I-A Luottamuksellisuus (C) Eheys (I) Saatavuus (A)
13 13 13 14
2. Kyberturvallisuus Kyberhyökkäykset Digitaalinen maanpuolustus
16 17 23
3. Tietosuoja Tietosuoja yrityksen näkökulmasta Tapaus Vastaamo
25 26 29
4. Yleisiä periaatteita Tietoturva ei ole tekniikkaa Mukavuus kertaa turvallisuus Impivaaraa ei ole Hyökkääminen on helpompaa kuin puolustaminen Ennaltaehkäisy on halvempaa kuin vahingon korjaaminen Odota odottamatonta
32 32 32 33 34 34 35
5. Päivitykset Toimi nopeasti Päivittäjän elämää
36 36 38
6. Matalalla r oikkuvat hedelmät Peruskäyttäjille vain perusoikeudet Varmuuskopiointi Kovennus Kaksi selainta, kaksi konetta Verkon segmentointi Prosessit Dokumentointi kuntoon Varmista toiminnan jatkuvuus
41 41 42 44 44 45 45 47 48
7. Peruskäyttäjän ohjeet Älä vastaa Yes, ellet ymmärrä kysymystä Kriittiset ajat
50 50 51
5
Välitallennukset Tulostimet ja paperisilppurit Fläppitaulu Työpäivän jälkeen Kaikki voi olla testiä
51 51 51 52 52
8. Tiedonkalastelu
54
9. Suomen kieli
58
10. USB-tikut ja -laitteet Älä kadota tikkua USB-tikkuja parkkipaikalla Tikkujen postittaminen on huono idea Tietojen varastaminen USB-tekniikan vaarat
61 61 63 64 66 66
11. Oy Rikos Ab Petostehdas Kiovassa Intialaiset call centerit Onecoin-kryptovaluuttahuijaus Sofiassa Rikollisten kyberbunkkeri Pohjois-Korea
69 71 71 72 74 74
12. Huijausten aatelia
77
13. Salakuuntelu ja -katselu Peitä kamera Puhelin voi olla salakuuntelupääte
81 82 84
14. Kulunvalvonta Kulkukortti Toimittaja testasi kulunvalvonnat
85 86 87
15. Laitevarkaudet Suojakeinoja Entä jos saan laitteeni takaisin?
89 91 92
16. Salasanat Salasanaohjeet Kaksivaiheinen todennus Salasanamanagerit Mikä on tärkein salasanasi? Salasanat hautaan
94 94 97 98 98 99
17. PIN-koodit
6
102
18. Tietomurto Kuinka verkkoon murtaudutaan? Tunkeutumisen jälkeen Voiko jokaiseen yritykseen murtautua? Esimerkkejä tietomurroista
104 105 106 107 108
19. Kiristysohjelmat Miten kiristys toimii? Suomikin kohteena Älä maksa kiristäjälle Yritysjohdon dilemma Kiristysohjelmien torjunta
113 113 116 123 126 127
20. Toimitusketjuhyökkäykset
130
21. Henkilötiedustelu Tunnista ja torju värväysyritykset
134 136
22. Sosiaalinen m edia Tietoturva Linkedin
137 137 140
23. Valtiollinen vakoilu Mihin Equifaxin tiedot päätyivät? Tekoäly
144 145 147
24. Domain-nimet ja huijaukset Huijaussoitot Cyber squatting
149 150 150
25. Palvelunestohyökkäykset Suojautuminen Valtiolliset hyökkäykset
153 157 158
26. Google Play -koodihuijaus
160
27. Tiedostojen turvaluokittelu Turvaluokittelun tasot Turvaluokittelun hyödyt
163 164 166
28. Tiedostoliitteet Makrot ja aktiivinen sisältö Sähköpostin tarkistukset
167 167 169
29. Tiedostojen suojaaminen Leikepöytä yllättää Taulukon lukitseminen
171 171 173
7
8
30. Mustaaminen on vaikeaa
176
31. Tiedostojen poistaminen Seiffi
179 181
32. Koneen lukitseminen Dynaaminen lukitus puhelimella
183 184
33. Etätyö Fyysinen turvallisuus Kaksi konetta Kukaan ei ole neuvomassa Kodin ulkopuolella
186 187 189 189 190
34. Videoneuvottelut Älä mokaa esityksissä Muita ohjeita videoneuvotteluihin
194 196 198
35. Kodin wifi-verkko Reititin Verkon nimeäminen Salasana Taajuudet Vierasverkko Ylläpito Entä langallinen verkko?
202 203 207 209 212 212 213 215
36. Iot-laitteet
216
37. Wifi ja mobiilidata maailmalla Wifi-verkko voi tuottaa yllätyksiä Mainostaako matkapuhelin nimeäsi?
219 220 222
38. Toimitusjohtajahuijaukset
224
39. Sähköpostihuijaukset (BEC) Tarkkaile postilaatikkoasi
226 232
40. Kun jotain sattuu... Muodosta tilannekuva Rajaa vahingot Turvaa rikospaikka ja kerää todisteet Dokumentoi omat toimet Viestintä Ilmoita viranomaisille ja tee rikosilmoitus
235 236 236 237 238 238 239
Estä vahingon toistuminen Neuvottele ja pyri sopimukseen
240 240
41. Laskuhuijaukset Valelaskut Messuluettelot
241 242 243
42. Yrityksen identiteettivarkaus Henkilötietojen suojaaminen
244 245
43. Android ja iOS Mobiililaitteiden vaarat Ohilataus
246 246 247
44. Mobiililaitteen suojaus Faradayn pussi Virtakaappaus Itsetuho Etäpaikannus ja -lukitus
249 250 252 253 254
45. Puhelin Julkiset liikennevälineet Vastaajaviestit Can you hear me? -puhelut IMEI-koodi
257 258 260 262 262
46. Tietoturva u lkomailla Hotellin riskit Hotellin wifi-verkko
264 264 265
47. QR-koodit
268
48. Käyttäjäsopimukset ToS ja EULA Oikeudessa tavataan TL;DR
270 272 273
49. Netin käännöspalvelut
275
50. Meillä on toivoa
278
Tekijä
281
Viitteet
282
9
ESIPUHE Jokainen yrittäjä tuntee oman toimialansa ja siihen liittyvät riskit. Kilpailija voi tuoda markkinoille paremman tuotteen tai palvelun, toimintaympäristö muuttua lainsäädännön tai EUmääräysten myötä, paras myyjä jäädä auton alle tai vaihtaa kilpailijalle. Uutena mukaan ovat tulleet tietotekniikkaan liittyvät riskit, jotka eivät sinällään eroa perinteisistä riskeistä. Uutta on vain se, ettei oman alansa hallitseva yrittäjä tunnista riippuvuuttaan tietotekniikasta eikä osaa varautua sen ongelmiin. Ei tule edes mieleen, että haittaohjelma saattaa tuhota kirjanpidon tai hakkeri varastaa arvokkaat tuotekehitystiedot. Yhden työntekijän tietoturvamoka saattaa pahimmillaan jopa kaataa yrityksen. Tämän kirjan aineisto perustuu 20 vuoden aikana pitämiini tietoturvakoulutuksiin. Mukana on omia kokemuksiani ja tapauksia, joita olen kuullut osallistujilta. Tarinat ovat arvokkaita, sillä uhkakuvien ja pelottelujen sijaan ne kertovat, mitä oikeasti on tapahtunut. Kantapään kautta oppii parhaiten, mutta sen ei tarvitse aina olla oma kantapää. Moninaisten tosielämän tapausten taustalla on lähes aina perusasioiden laiminlyönti: salasanat, päivitykset tai huijatuksi tuleminen. Lohdullinen johtopäätös on, että kun nämä asiat hoitaa kuntoon, ei joudu tapausesimerkiksi tuleviin kirjoihin. Vaikka kirjan nimi viittaa yrityskäyttöön, sen opit ja neuvot soveltuvat kaikille muillekin. Työajan ulkopuolella olemme kaikki taviskäyttäjiä. Käytämme samoja laitteita ja palveluita kuin työssäkin. Myös riskit ovat samoja. Yrittäjä näkee tietoturvan ylimääräisenä kustannuksena, työntekijät ylimääräisenä vaivana. Tietoturvakoulutuksia pidetään tylsinä tilaisuuksina, joihin kukaan ei haluaisi osallistua, koska niissä insinöörit vain pelottelevat uhkakuvilla ja muistuttavat, mitä kaikkea ei saisi tehdä.
11
y r i t y k s e n t i e t o t u rva o p a s
Rohkenen olla eri mieltä. On aika uudistaa tietoturva-ajattelua ja suhtautumistamme, sillä tietoturva on inhimillistä ja kiinnostavaa. Ohjeet ja periaatteet suojaavat meitä itseämme, perhettämme ja läheisiämme. Kyseessä on yhteinen etu, josta kaikki hyödymme. Espoo 14.9.2020–27.1.2021 7869/180
12