Yrityksen tietoturvaopas - 50 aihetta käytännön tietoturvasta

Page 1

PETTERI JÄRVINEN

YRITYKSEN TIETOTURVAOPAS 50 AIHETTA KÄYTÄNNÖN TIETOTURVASTA


YRITYKSEN TIETOTURVAOPAS



PETTERI JÄRVINEN

YRITYKSEN TIETOTURVAOPAS


© Helsingin seudun kauppakamari / Helsingin Kamari Oy ja tekijä ISBN 978-952-246-773-7 ISBN 978-952-246-775-1 (E-kirja) ISBN 978-952-246-774-4 (Ammattikirjasto) 1. painos Kansi, ulkoasun suunnittelu ja taitto: Mikko Puranen Painopaikka: Meedia Zone OÜ, Viro 2022 Tämä kirja on saatavilla myös KauppakamariTiedon Ammattikirjastossa, ammattikirjasto.fi.


SISÄLLYS Esipuhe

11

1. C-I-A Luottamuksellisuus (C) Eheys (I) Saatavuus (A)

13 13 13 14

2. Kyber­turvallisuus Kyberhyökkäykset Digitaalinen maanpuolustus

16 17 23

3. Tietosuoja Tietosuoja yrityksen näkökulmasta Tapaus Vastaamo

25 26 29

4. Yleisiä periaatteita Tietoturva ei ole tekniikkaa Mukavuus kertaa turvallisuus Impivaaraa ei ole Hyökkääminen on helpompaa kuin puolustaminen Ennaltaehkäisy on halvempaa kuin vahingon ­ korjaaminen Odota odottamatonta

32 32 32 33 34 34 35

5. Päivitykset Toimi nopeasti Päivittäjän elämää

36 36 38

6. Matalalla r­ oikkuvat hedelmät Peruskäyttäjille vain perusoikeudet Varmuuskopiointi Kovennus Kaksi selainta, kaksi konetta Verkon segmentointi Prosessit Dokumentointi kuntoon Varmista toiminnan jatkuvuus

41 41 42 44 44 45 45 47 48

7. Peruskäyttäjän ohjeet Älä vastaa Yes, ellet ymmärrä kysymystä Kriittiset ajat

50 50 51

5


Välitallennukset Tulostimet ja paperisilppurit Fläppitaulu Työpäivän jälkeen Kaikki voi olla testiä

51 51 51 52 52

8. Tiedonkalastelu

54

9. Suomen kieli

58

10. USB-tikut ja ­-laitteet Älä kadota tikkua USB-tikkuja parkkipaikalla Tikkujen postittaminen on huono idea Tietojen varastaminen USB-tekniikan vaarat

61 61 63 64 66 66

11. Oy Rikos Ab Petostehdas Kiovassa Intialaiset call centerit Onecoin-kryptovaluuttahuijaus Sofiassa Rikollisten kyberbunkkeri Pohjois-Korea

69 71 71 72 74 74

12. Huijausten ­aatelia

77

13. Salakuuntelu ja -katselu Peitä kamera Puhelin voi olla salakuuntelupääte

81 82 84

14. Kulunvalvonta Kulkukortti Toimittaja testasi kulunvalvonnat

85 86 87

15. Laitevarkaudet Suojakeinoja Entä jos saan laitteeni takaisin?

89 91 92

16. Salasanat Salasanaohjeet Kaksivaiheinen todennus Salasanamanagerit Mikä on tärkein salasanasi? Salasanat hautaan

94 94 97 98 98 99

17. PIN-koodit

6

102


18. Tietomurto Kuinka verkkoon murtaudutaan? Tunkeutumisen jälkeen Voiko jokaiseen yritykseen murtautua? Esimerkkejä tietomurroista

104 105 106 107 108

19. Kiristysohjelmat Miten kiristys toimii? Suomikin kohteena Älä maksa kiristäjälle Yritysjohdon dilemma Kiristysohjelmien torjunta

113 113 116 123 126 127

20. Toimitusketjuhyökkäykset

130

21. Henkilö­tiedustelu Tunnista ja torju värväysyritykset

134 136

22. Sosiaalinen m ­ edia Tietoturva Linkedin

137 137 140

23. Valtiollinen ­vakoilu Mihin Equifaxin tiedot päätyivät? Tekoäly

144 145 147

24. Domain-nimet ja huijaukset Huijaussoitot Cyber squatting

149 150 150

25. Palvelunestohyökkäykset Suojautuminen Valtiolliset hyökkäykset

153 157 158

26. Google Play -koodihuijaus

160

27. Tiedostojen ­turvaluokittelu Turvaluokittelun tasot Turvaluokittelun hyödyt

163 164 166

28. Tiedostoliitteet Makrot ja aktiivinen sisältö Sähköpostin tarkistukset

167 167 169

29. Tiedostojen ­suojaaminen Leikepöytä yllättää Taulukon lukitseminen

171 171 173

7


8

30. Mustaaminen ­­on vaikeaa

176

31. Tiedostojen ­poistaminen Seiffi

179 181

32. Koneen ­lukitseminen Dynaaminen lukitus puhelimella

183 184

33. Etätyö Fyysinen turvallisuus Kaksi konetta Kukaan ei ole neuvomassa Kodin ulkopuolella

186 187 189 189 190

34. Videoneuvottelut Älä mokaa esityksissä Muita ohjeita videoneuvotteluihin

194 196 198

35. Kodin wifi-­verkko Reititin Verkon nimeäminen Salasana Taajuudet Vierasverkko Ylläpito Entä langallinen verkko?

202 203 207 209 212 212 213 215

36. Iot-laitteet

216

37. Wifi ja mobiili­data maailmalla Wifi-verkko voi tuottaa yllätyksiä Mainostaako matkapuhelin nimeäsi?

219 220 222

38. Toimitusjohtajahuijaukset

224

39. Sähköposti­huijaukset (BEC) Tarkkaile postilaatikkoasi

226 232

40. Kun jotain ­sattuu... Muodosta tilannekuva Rajaa vahingot Turvaa rikospaikka ja kerää todisteet Dokumentoi omat toimet Viestintä Ilmoita viranomaisille ja tee rikosilmoitus

235 236 236 237 238 238 239


Estä vahingon toistuminen Neuvottele ja pyri sopimukseen

240 240

41. Laskuhuijaukset Valelaskut Messuluettelot

241 242 243

42. Yrityksen ­identiteettivarkaus Henkilötietojen suojaaminen

244 245

43. Android ja iOS Mobiililaitteiden vaarat Ohilataus

246 246 247

44. Mobiililaitteen suojaus Faradayn pussi Virtakaappaus Itsetuho Etäpaikannus ja -lukitus

249 250 252 253 254

45. Puhelin Julkiset liikennevälineet Vastaajaviestit Can you hear me? -puhelut IMEI-koodi

257 258 260 262 262

46. Tietoturva u ­ lkomailla Hotellin riskit Hotellin wifi-verkko

264 264 265

47. QR-koodit

268

48. Käyttäjä­sopimukset ­­ToS ja EULA Oikeudessa tavataan TL;DR

270 272 273

49. Netin käännöspalvelut

275

50. Meillä on toivoa

278

Tekijä

281

Viitteet

282

9



ESIPUHE Jokainen yrittäjä tuntee oman toimialansa ja siihen liittyvät riskit. Kilpailija voi tuoda markkinoille paremman tuotteen tai palvelun, toimintaympäristö muuttua lainsäädännön tai EUmääräysten myötä, paras myyjä jäädä auton alle tai vaihtaa kilpailijalle. Uutena mukaan ovat tulleet tietotekniikkaan liittyvät riskit, jotka eivät sinällään eroa perinteisistä riskeistä. Uutta on vain se, ettei oman alansa hallitseva yrittäjä tunnista riippuvuuttaan tietotekniikasta eikä osaa varautua sen ongelmiin. Ei tule edes mieleen, että haittaohjelma saattaa tuhota kirjanpidon tai hakkeri varastaa arvokkaat tuotekehitystiedot. Yhden työntekijän tietoturvamoka saattaa pahimmillaan jopa kaataa yrityksen. Tämän kirjan aineisto perustuu 20 vuoden aikana pitämiini tietoturvakoulutuksiin. Mukana on omia kokemuksiani ja tapauksia, joita olen kuullut osallistujilta. Tarinat ovat arvokkaita, sillä uhkakuvien ja pelottelujen sijaan ne kertovat, mitä oikeasti on tapahtunut. Kantapään kautta oppii parhaiten, mutta sen ei tarvitse aina olla oma kantapää. Moninaisten tosielämän tapausten taustalla on lähes aina perusasioiden laiminlyönti: salasanat, päivitykset tai huijatuksi tuleminen. Lohdullinen johtopäätös on, että kun nämä asiat hoitaa kuntoon, ei joudu tapausesimerkiksi tuleviin kirjoihin. Vaikka kirjan nimi viittaa yrityskäyttöön, sen opit ja neuvot soveltuvat kaikille muillekin. Työajan ulkopuolella olemme kaikki taviskäyttäjiä. Käytämme samoja laitteita ja palveluita kuin työssäkin. Myös riskit ovat samoja. Yrittäjä näkee tietoturvan ylimääräisenä kustannuksena, työntekijät ylimääräisenä vaivana. Tietoturvakoulutuksia pidetään tylsinä tilaisuuksina, joihin kukaan ei haluaisi osallistua, koska niissä insinöörit vain pelottelevat uhkakuvilla ja muistuttavat, mitä kaikkea ei saisi tehdä.

11


y r i t y k s e n t i e t o t u rva o p a s

Rohkenen olla eri mieltä. On aika uudistaa tietoturva-ajattelua ja suhtautumistamme, sillä tietoturva on inhimillistä ja kiinnostavaa. Ohjeet ja periaatteet suojaavat meitä itseämme, perhettämme ja läheisiämme. Kyseessä on yhteinen etu, josta kaikki hyödymme. Espoo 14.9.2020–27.1.2021 7869/180

12


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.