Riskienhallinta

Keittiönpöydän ääressä liikesalaisuudet lähtevät helposti epähuomiossa liikkeelle – 4 vinkkiä tietoturvalliseen etätyöskentelyyn

Keittiönpöydän ääressä liikesalaisuudet lähtevät helposti epähuomiossa liikkeelle – 4 vinkkiä tietoturvalliseen etätyöskentelyyn

Moni on siirtynyt etätöihin koronan takia. Kuinka tietoturvasta huolehditaan etänä? Asiantuntija kertoo vinkkinsä.

| |

Etätyö ja tietoturva ovat nyt hyvin ajankohtainen teema. Ylen Taloustutkimuksella teettämän kyselyn mukaan yli miljoona suomalaista on siirtynyt etätöihin koronakriisin aikana, ja noin puolta heistä kiinnostaa etätyö myös koronan jälkeen.

Turvallinen ja toimiva etätyö vaatii työyhteisöltä aina yhteiset pelisäännöt. Etätyöskentelyyn liittyy myös tietoturvariskejä, joihin yritysten on syytä varautua jo ennalta.

Tietoturvaosaamisessa on kuitenkin vielä kehitettävää: suurin osa Y-Studion tietoturvatestiin vastanneista yrittäjistä kokee, että tietoturvassa olisi parantamisen varaa.

Miten tietoturvan voi varmistaa etätöissä? Vakuutusyhtiö Fennian riskipäällikkö Tommi Hirsimäki antaa vinkkejä.

1. Älä tuudittaudu turvallisuuden tunteeseen

Hirsimäen mukaan suomalaisten pk-yritysten tietoturva on yleensä kohtuullisella tasolla, mutta ongelmia aiheuttaa asenne.

– Suomen lintukodossa ajatellaan liian usein, että koska tähän mennessä ei ole sattunut mitään, miksi jatkossakaan mitään tapahtuisi. Jos jotain ikävää sitten käy, yrittäjä ei ole varautunut edes henkisesti, saati sitten konkreettisesti.

Hirsimäki muistuttaa, että valveutuneen yrityksen kannattaa luoda tietoturvaohje tai-sääntö, johon jokaisen työntekijän tulee tutustua vähintäänkin perehdytyksen yhteydessä. Samassa yhteydessä allekirjoitetaan yleensä myös salassapitosopimus.

Yritys voi kohdata monenlaisia tietoturvaan liittyviä riskejä. Korona-aikaan yksi lähes päivittäisistä uutisaiheista ovat olleet erilaiset käyttäjätunnusten ja salasanojen kalasteluyritykset.

Yleisimmin niitä yritetään kalastella sähköpostitse. Hirsimäen mukaan puhelinhuijaukset ovat sen sijaan vähentyneet.

2. Opettele tietoturvalliset tavat toimia

Tekninen tietoturva voi olla vaikka kuinka hyvällä tasolla, mutta huonot tietoturvatavat saattavat istua yllättävän tiukassa.

– Ihan puhtaasta laiskuudesta saatetaan käyttää liian helppoja salasanoja tai samaa salasanaa kaikkialla. Pilvipalveluihin tallennellaan vaikka mitä salassapidettävää materiaalia ilman kunnon suojausta, tai sitten tietokoneeseen tökätään uteliaisuudesta esimerkiksi tuntematon muistitikku, Hirsimäki kuvailee.

Hän arvioi, että erikokoisissa yrityksissä on erilaiset valmiudet hoitaa tietoturva-asioita. On eri asia puhua yksityisestä elinkeinonharjoittajasta kuin keskisuuresta yrityksestä, jolla on oma it-osasto.

Jokaisen yrittäjän tulisi pitää huoli siitä, että puitteet ovat kunnossa, eli että esimerkiksi kovalevyt ovat suojattuja ja tietoturvapäivitykset kunnossa.

Hirsimäen mukaan työntekijän näkökulmasta on tärkeintä, että työasiat hoidetaan niille varatuilla välineillä, kuten tietokoneella, tabletilla ja puhelimella. Omia välineitä ei pidä käyttää, eikä työvälineitä saa luovuttaa ulkopuolisille – ei edes omille lapsille.

Vähintään yhtä tärkeää on tehdä tietoturvallisesta käytöksestä rutiini. Työnantajan on käytävä pelisäännöt läpi työntekijän kanssa.

– Ei käytetä avoimia wlan-verkkoja, vaan mieluiten salattua VPN-yhteyttä, ei kirjoitella salasanoja muistilapuille, eikä jätetä työvälineitä varkaiden silmien alle autoon tai eteiseen.

3. Takaa tietoturva myös silloin, kun muukin perhe on paikalla

Koronan vuoksi moni työskentelee nyt keittiönpöydän ääressä. Todennäköisesti kenellekään ei tulisi työpaikalla mieleen soittaa puolisolle ja lapsille ja kertoa paria liikesalaisuutta, mutta kotona työskennellessä vastaavaa tapahtuu jatkuvasti.

Työpaikan asiat eivät kuitenkaan perheenjäsenille kuulu. Jos töitä ei voi tehdä erillisessä tilassa, ei työpaikan asioita ole syytä puhua ääneen muiden kuullen, vaan esimerkiksi sopia tietojen toimittamisesta myöhemmin kirjallisesti.

Hirsimäki painottaa, että työkone ja -puhelin ovat vain työntekijän käyttöön. Niillä ei pelata, katsota sarjoja tai tehdä henkilökohtaisia verkkokauppaostoksia. Aina, kun koneelta poistuu, näyttö on syytä lukita.

Vaikka perheenjäsen pyytäisi konetta vain minuutiksi lainaan, siihen ei pidä suostua. Aina on olemassa riski, että firman asiat näkyvät väärälle silmäparille tai esimerkiksi lapsi lataa koneelle vahingossa jotain haitallista.

4. Mitä tehdä, jos jotain tapahtuu?

Hirsimäen mukaan esimerkiksi kyberkiristykset ovat tavallisempia kuin uutisista voisi päätellä, sillä usein kiristyksen kohteeksi joutumista hävetään, eikä siitä kerrota kellekään. Kyberkiristys voi tapahtua esimerkiksi siten, että sähköpostin liitteenä tuleva haittaohjelma lukitsee koneen ja vaatii lunnaita.

– Lunnaat ovat suhteellisen pieniä, muutaman tuhannen euron luokkaa, jotta kohteella on varaa maksaa ne, Hirsimäki kertoo.

Jos tietoturva-asiat ovat olleet aiemmin retuperällä, viimeistään rahanmenetys saa yrittäjät yleensä ottamaan yhteyttä tietoturva-alan toimijaan. Lisäksi pitää muistaa, että jos esimerkiksi henkilötietoja pääsee karkaamaan, siitä pitää 72 tunnin kuluessa ilmoittaa tietosuojavaltuutetulle.

Tietoturvariskien realisoitumiseen on myös mahdollista varautua vakuutuksin.  Tietoturvavakuutus kattaa vakuutusyhtiöstä riippuen erilaisia tietoturvavahinkoihin liittyviä asioita, kuten tietojen ja ohjelmistojen palauttamisesta aiheutuvia kuluja ja kolmansille osapuolille aiheutuneita vahinkoja. Vakuutusyhtiöt tarjoavat myös asiantuntija-apua vahingon tutkimiseen ja rajoittamiseen.

– Vakuutus ei tietenkään laita kenenkään tietoturva-asioita kuntoon, mutta jos jotain tapahtuu, vakuutusyhtiöstä saa apua uhkiin ja vahingosta selviytymiseen, Hirsimäki tiivistää.

Fakta

Tietoturvallisen työskentelyn muistilistat yrittäjille

Fennian riskipäällikkö Tommi Hirsimäki kokosi yrittäjiä varten muistilistat tietoturvalliseen etätyöskentelyyn, vahvan salasanan tekoon sekä teknisestä tietoturvasta huolehtimiseen. Nämä kohdat sekä yrittäjän itsensä että työntekijöiden on hyvä tietää:

Tietoturvallinen etätyö

  • Noudata yrityksen antamaa ohjeistusta tietoturvasta ja etätöistä
  • Huolehdi, etteivät ulkopuoliset näe tai kuule sinua. Työasioita koskevat tiedot eivät kuulu ulkopuolisille, eivät edes perheenjäsenille
    • Lukitse tietokoneesi aina, kun poistut työpisteeltäsi.
  • Käytä ainoastaan yrityksen tarjoamaa laitteistoa
  • Älä anna muiden perheenjäsenten käyttää työtietokonettasi
  • Ole erityisen huolellinen sähköpostiliitteiden avaamisessa
  • Älä anna käyttäjätunnustasi ja salasanaasi mihinkään viralliseltakaan näyttävälle sivustolle, ennen kuin varmistut sivuston oikeellisuudesta – esimerkiksi pankit eivät koskaan tiedustele näitä tietoja kyseisellä tavalla.
  • Jos havaitset koneellasi jotain epäilyttävää, ota välittömästi yhteys yrityksen IT-osastoon – pidä kynnys matalalla!

Tietoturvallisen salasanan ABC

  • Älä käytä perheenjäsenten tai lemmikkien nimiä, automerkkejä tai vastaavia
  • Salasanan tulee olla riittävän pitkä ja monimutkainen: se on mielellään 12 merkkiä pitkä ja siihen kuuluu erikoismerkkejä sekä pieniä ja suuria kirjaimia
  • Unohtuiko salasana? Salasanoja voi hallinnoida eri sovelluksilla: osa käyttöjärjestelmistä ja selaimista sisältävät tämän kaltaisia ominaisuuksia, ja lisäksi markkinoilla on tähän tarkoitukseen tehtyjä sovelluksia, kuten Keepass
  • Käytä kaksivaiheista tunnistautumista aina, kun mahdollista
  • Biometriset tunnisteet ovat lisääntyneet mobiililaitteissa

Tekninen tietoturva kuntoon

Huolehdi, että seuraavat seikat ovat ajan tasalla:

  • Järjestelmäpäivitykset
  • Virustorjunta
  • Säännöllinen varmuuskopiointi
  • Palomuuri
  • Vahvat salasanat, jotka vaihdetaan säännöllisesti
  • Käytä monivaiheista tunnistautumista aina kun mahdollista
  • Älä käytä julkisia avoimia WIFI-verkkoja
  • Käytä VPN-yhteyttä aina kun mahdollista
  • Henkilökunnan säännöllinen koulutus
  • Jos omat rahkeet eivät riitä, käytä asiantuntijayritystä
  • Ennakoi ja laadi suunnitelma: Mitä teet, jos yrityksesi joutuu tietoturvahyökkäyksen kohteeksi? Miten toiminta saadaan palautettua ennalleen?

Yritysten tietoturva: Rakenna muuri verkkorosvolle – Katso video

Uusin Y-Koulu pureutuu tietoturvaan Nixun johtavan tietoturva-asiantuntijan Antti Nuopposen johdolla.

Yrityksen tietoturva kuntoon

Yrittäjän on pidettävä huolta tietoturvasta. Rikollinen voi keskeyttää yrityksen koko toiminnan.

Paljon pelätty tietosuoja-asetus lähestyy: Viisi askelta yrittäjälle

Tietosuoja-asetus astuu voimaan toukokuun lopussa. Nyt on aika ryhtyä töihin.

Kyberhyökkäys oli viimeinen niitti: Mainostoimisto teki ryhtiliikkeen – testaa riskit

Verkkohyökkäyksen kohteeksi voi joutua minkä kokoinen yritys tahansa.

Tiesitkö tämän tietosuoja-asetuksesta? 6 vinkkiä palkkatietojen käsittelyyn

Yritysten on mietittävä, kuinka arkaluontoisia henkilötietoja säilytetään jatkossa, kirjoittaa Taloushallintoliiton Janne Fredman.

Kukaan ei ole rikolliselta piilossa – Tee ainakin nämä toimenpiteet

Yrityksen tietoturva on iso riski, jos se hoidetaan leväperäisesti. Varmuuskopiointi pelastaa monelta tuskalta.

Mitä pitää tapahtua, että kaikki yrittäjät heräävät?

Tietoturva on ensisijaisesti toiminnan johtamista, ei pelkkää tekniikkaa, kirjoittaa Fennian riskipäällikkö Jani Salonen.

Lataa lisää