Kyberuhat yrityksissä – 7 yleistä uhkaa

Kyberuhka kyberturvallisuus pienyritys

Kyberuhka ei nykyään ole vain isojen yritysten ja valtioiden asia, sillä se koskettaa myös pieniä yrityksiä sekä yksityishenkilöitä. Suomi on kyberturvallisuuden kärkimaita (Yle.fi), mutta emme siltikään ole edelläkävijöitä – ehkä jopa siksi, että sanalle ”kyberturvallisuus” ei ole yhteneväistä määritelmää ja sen kuvataankin olevan meille ”kansallinen sokea piste.”

Digitaalisen turvallisuuden ja -toimintaympäristön hallinta on edelleen kyseenalaista kaikenkokoisissa yrityksissä, vaikka vuosien saatossa kyberuhat ovat kasvaneet ja tarve IT-osaamiselle on kasvanut. Alla on listattuna seitsemän yleisintä uhkaa, jotka koskevat kaiken kokoisia yrityksiä ja voivat iskeä milloin tahansa.

1. Kyberturvallisuuden opetuksen ja osaamisen puute

Suomessa alan kasvua rajoittaa kyberturvallisuuden osaamisvaje, sillä jopa 60 % kotimaisista yrityksistä kokee pulaa kyberturvallisuuden huippu-osaajista (Etla.fi). Kyberturvallisuus opetusaineena on verrattaen uusi ja sitä voikin opiskella Suomessa vain muutamassa ammattikorkeakoulussa ja yliopistossa.

Aiheen laajuuden ja kehitysnopeuden vuoksi nämä perusopinnot saattavat vanheta pian, jonka vuoksi itseään on työssä kehitettävä jatkuvasti. Mikäli yritykseltä puuttuu jatkuvasti ammattitaitoaan kehittävä IT-päällikkö tai muu alan osaaja, on ulkoistaminen paras vaihtoehto. Ulkoistaminen kannattaa silti  pitää vähintään EU:n sisällä pelkästään GDPR:n takia. Vinkki: emoyhtiömme Xetpoint.fi auttaa jatkuvana tai projektiluontoisena kumppanina, mikäli yrityksessä ei ole omaa IT-päällikköä tai jos yritys haluaa osan toiminnoista ulkoistaa suomalaiselle kumppanille.

2. Hyvin kohdennetut huijauskampanjat

Usein kyberturvallisuudessa haavoittuvin osa on käyttäjä itse. Edelleen uutisissa näkyy tietoja mm. sähköpostihuijauksista joiden ansaan joutuvat isotkin yritykset. Huijausviesti voi lähteä toimitusjohtajan nimissä alaisille massapostina tai sähköpostilasku voi tulla vakuuttavasti toisen yrityksen nimissä.

On myös uutisoitu tilanteista, joissa soittaja esiintyy teknisenä tukena (Yle.fi) soittaen suomalaisesta numerosta ja pyytäen erilaisia toimia, joissa annat varkaalle pääsyn tietokoneellesi tai muihin tietoihisi. Tämän tyyliset huijauspuhelut ovat yleistyneet lähiaikoina ja jos luulet joutuneesi sellaisen kohteeksi, ota yhteyttä poliisiin.

Kun IT-ympäristön on suunnitellut ammattilainen, ei näitä inhimillisiäkin virheitä pääse tapahtumaan. Lue myös kirjoituksemme: Miten estät roskapostien tai huijausviestien lähetyksen omasta domainistasi?

3. Vuotavat pilvitallennustilat ja -palvelimet

Nykypäivänä pilvitallennustilat ja -palvelimet ovat arkipäivää ja modernin työkulttuurin keskiössä. Moni ei kuitenkaan tule ajatelleeksi niiden haavoittuvaisuutta, sillä etenkin ilman kaksivaiheista tunnistautumista tai muita salauksia on tiedot helppo hakkeroida. Lisäksi erilaisia teknisiä ongelmia voi syntyä sekä palveluntarjoajan että käyttäjän päässä, jonka vuoksi nopea teknisen tuen reagointi on todella tärkeää.

Pilvitallennustiloja käyttäessä tuleekin arvioida riskit, joita on valmis ottamaan. Avun saanti ilman IT-päällikköä tai ulkoistettua tukea voi kestää oletettua pidempään, sillä esimerkiksi Microsoftin ja Googlen palvelimet sijaitsevat ulkomailla. Palvelua ei aina saa suoraan palveluntarjoajalta suomeksi ellei apuna ole palveluiden suomalainen jälleenmyyjä joka tarjoaa käyttötukea suomeksi. SafeCloud-palvelumme tarjoaa pilvitallennustilaa suomalaisilta palvelimilta ja kotimaisen, nopean teknisen tuen. Mikäli yritystoiminnassasi data on sensitiivistä jota et halua ulkomaisille palvelimille, kannattaa data sijoittaa oman maan rajojen sisälle lainsäädännöllisistä syistäkin.

Mikäli yrityksenne käsittelee arkaluontoista ja hyvin salassapidettävää tietoa, voi esimerkiksi paikallinen palvelin olla pilvitallennustilan sijaan parempi vaihtoehto. Tällöin pääsy omaan palvelinympäristöön varmistetaan VPN-yhteyksien avulla ”etänä”, joten tietoihin pääsee joka tapauksessa käsiksi milloin vain. Oman palvelinympäristön toteuttamisessa varmuuskopiointi ja palvelinympäristön ylläpito onnistuu mm. Xetpoint.fi tiimimme avulla.

4. Hutiloidut ratkaisut etätyön alkaessa

Keväällä 2020 etätyö vyöryi pandemian myötä Suomeen ja alle viikossa siirryttiin kotitoimistoihin. Tietoturva on helposti voinut jäädä monella jalkoihin näin nopeassa muutoksessa.

Etätyössä kotitoimistollakin olisi hyvä huomioida vähintään seuraavat kyberuhka-asiat:

  • WiFi-reitittimen konfigurointi
  • VPN:n käyttö tarvittaessa
  • palomuurien ja virustorjuntaohjelmien käyttöönotto tai vähintään päivitys vaaditulle tasolle
  • arkaluontoisen paperimateriaalin oikeanlainen hävitys
  • krypatut kovalevyt
  • näytönsuojakalvojen hankinta, kun työtä pääsee tekemään julkisilla paikoilla, junissa jne.

Työpaikan välisessä viestinnässäkin tulee valita oikea kanava puheenaiheen mukaan; julkiset ja ei-salassa pidettävät asiat voi hyvin keskustella Zoomissa, Slackissa tai Microsoft Teamsissa. Salasanat ja niiden jakaminen tulee toteuttaa erilaisten hallintapalveluiden kautta eikä koskaan tallentaa niitä selaimeen tai lähettää salasanoja salaamattomina viesteinä.

Lue myös bloggauksemme: Kymmenen vinkkiä etätyöhön

5. Nokkelat ja älykkäät haittaohjelmat

Kyberturvallisuuskeskuksen mukaan etenkin isoihin yrityksiin ja organisaatioihin kohdistettujen kiristyshaittaohjelmien käyttö on lisääntynyt viimeaikoina. Tällainen haittaohjelma saattaa päästä koneelle huijauskampanjan liitetiedostojen ja linkkien tai koneelle asennetun, heikon tietoturvan omaavan palvelun hakkeroinnin seurauksena. Yksi näistä oli Emotet-niminen haittaohjelma, joka levisi sähköpostien kautta sellaiseen aikaan, kun työntekijöitä oli vähemmän työn ääressä. Kyseinen bottiverkko nujerrettiin poliisioperaatiossa tammikuussa 2021.

Kyberuhka kyberturvallisuus Tapausmäärät tapaustyypeittäin vuonna 2020

Tapausmäärät tapaustyypeittäin vuonna 2020 – Lähde: Kyberturvallisuuskeskus

Näiltä pystyt suojautumaan tarkistamalla aina lähettäjän, avaamalla vain sellaiset liitetiedostot ja linkit jotka tiedät turvallisiksi ja rajoittamalla palveluiden ja ohjelmien oikeuksia sekä poistamalla tarpeettomat palvelut. Sisäinen IT-tuki tai ulkoistettuna palvelun toteutus nousee avainasemaan ennaltaehkäisyssä.

6. IoT-laitteet eli älylaitteet yrityksen sisäisessä verkossa

Erilaiset älylaitteet ja niiden yhdistäminen sisäiseen verkkoon on lisääntynyt vuosien saatossa. Tällainen ”asioiden internet”, johon kuuluvat esimerkiksi älykellot, älyvalot ja televisiot, sekä kosteutta ja lämpötilaa mittaavat anturit. Tällaiset usein tuntuvat harmittomilta ja käyttömukavuutta lisäävinä. Ne luovat usein kuitenkin heikkoja pisteitä, joihin väärinkäyttäjät voivat päästä käsiksi esimerkiksi suojaamattoman WiFin tai heikon ohjelmiston ohittamisen kautta, saavuttaen pääsyn arkaluonteiseenkin dataan.

Älylaitteisiin kohdistetut rikokset kymmenkertaistuivat vuodesta 2019 vuoteen 2020 (Etla.fi) mennessä, eli vain 12kk aikana. Älylaitteita yrityksen sisäiseen verkkoon liitettäessä kannattaa punnita sen riskit ja hyödyt, sillä Suomessa uhan suuruus on vielä verrattaen pieni. Teknisesti ratkaisu voidaan toteuttaa myös niin, ettei älylaitteelle myönnetä pääsyä sisäverkon tärkeisiin tiedostoihin ja palvelimiin, jolloin käyttöönotto on turvallista. Tässäkin asiassa auttaa emoyhtiömme Xetpoint.fi joka on apunasi suunnittelemassa sisäverkostasi mahdollisimman turvallisen erilaisille laitteille.

7. Resurssien varmistaminen kyberturvallisuuden takaamiseksi

Tärkein ehdottomasti viimeiseksi! Kyberuhka ei ole uhka, ellei sitä tunnisteta ja sille allokoida resursseja. Jo liki 93 % suuryrityksistä (Cision.com) sanoo olevansa varautunut tietoturvan parantamiseen sekä kyberturvallisuuteen liittyviin riskeihin. Mutta kuinka on pienyrittäjien tai pk-yritysten laita?

Helpoin tapa pienyritykselle välttää kyberuhka on suojata oma lähiympäristönsä itse tai ulkoistetun ammattilaispalvelun avulla. Esimerkiksi työvälineiden suojaus, salasanojen tarkka hallussapito, tarpeettomien palveluiden ja ohjelmien poisto sekä protokollat arkaluonteisen tiedon käsittelyyn on tarpeen olla olemassa.

Kuinka tästä eteenpäin?

Syytä isoon pelkoon ei välttämättä ole, mutta kyberuhat vaikutuksineen on hyvä pitää mielessä. Ennakointi on kaiken A ja O ja hyvä suunnittelu. Lisäksi on hyvä muistaa, että pilvipalveluntarjoajilla on velvoite niin vaadittuna tarjota oman maansa viranomaisille pääsy tietoihin, joten data ei koskaan ole ulkomailla yhtä tallessa kuin suomalaisilla palvelimilla. EU:n yleinen tietosuoja-asetus GDPR on yksi merkki tästä, miten EU:ssa halutaan turvata käyttäjien tiedon käsittely.

Jokaisen yrityksen, organisaation ja pienyrittäjän on jossain vaiheessa huomioitava digitaalisen työympäristönsä turvallisuus, joten miksi pitkittää aloitusta! XetNETin emoyhtiön Xetpointin tiimiltä voi tilata matalalla kynnyksellä auditoinnin, jossa käydään yrityksen IT-ympäristö lävitse ja tutkitaan mahdolliset kehityskohteet, joita yritys voi ratkaista ja toteuttaa joko itsenäisesti tai ammattilaisen avulla.

Jaa kirjoitus: