Tietoturvaa käsittelevän juttusarjan ensimmäinen osa loi katsauksen Internetin sekä tietoturvan historiaan. Tässä toisessa osassa menemme askeleen lähemmäksi käytännön tekemistä ja listaamme kymmenen helposti hyödynnettävää tapaa parantaa omaa ja työyhteisön tietoturvaa.
Osa listan asioista soveltuu hyvin henkilökohtaiseen ATK-työkalupakkiin, toisten soveltuessa laajemmin myös työyhteisöjen käyttöön. Työyhteisön tietoturva-asioissa lähtökohtana on, että yritysjohto luo johdonmukaisen tietoturvasuunnitelman, joka jalkautetaan selkeiden käytäntöjen muodossa työyhteisöön.
Käytäntöjen toteutumista on voitava valvoa kehityskeskusteluiden lisäksi myös kevyemmin normaalien työrutiinien ohessa. Jos omat tiedot ja taidot eivät riitä, niin käytännön toimet on syytä asettaa sopivan työntekijän hoidettavaksi tai etsiä yhteistyökumppani avuksi.
Aloita alusta eli listaa kaikki suojattavat järjestelmät, jotka sisältävät tärkeitä tietoja tai riskejä. Muista, että myös älypuhelimet muodostavat nykyisin merkittävän tietoturvariski, sillä niissä on usein tallennettuna salasanat moniin eri pilvipalveluihin, jotka voivat sisältää erittäin salaista tietoa.
Eräs merkittävä haaste – erityisesti suuremmille yrityksille – on tietoturvalliset käytännöt omien laitteiden käyttöön. Monet työntekijät tahtovat käyttää omia laitteitaan työpaikalla ja/tai tehdä töitä myös henkilökohtaisilla laitteillaan – vähintäänkin käyttää sähköpostiaan. Tämä asettaa monia haasteita, kuten vastuun tietojen suojauksesta ja ohjelmistopäivityksistä, asianmukaiset tietosuojaukset ja palomuurit, kadonneen tai varastetun laitteen tyhjentäminen (henkilökohtaiset tiedostot voivat kadota mukana), luottamuksellisten tietojen tuhoaminen työsuhteen päättyessä ja niin edelleen.
Salasanojen joutuminen vääriin käsiin on verrannollinen avainten varastamiseen. Mikäli kadotat yhden avaimesi olet ehkä hiukan helpottunut, kun se ei sovi jokaiseen lukkoosi tai kerro lukon sijaintia.
Verkossa tilanne ei ole sama, vaan yhden käyttäjätunnuksen tietäminen avaa mahdollisuuden myös muiden tiliesi murtamiseen. Tutkimusten mukaan samojen salasanojen käyttö kaikissa palveluissa on lisäksi aivan liian yleistä.
Salasanojen suhteen voi keksiä mallin, jolla palvelukohtaiset salasanat muodostuvat omasta yleisestä salasanasta ja palvelukohtaisesti vaihtuvasta osasta. Jos sinun täytyy keksiä oma salasana uuteen palveluun, niin on parempi keksiä ennakkoon "sääntö", jonka mukaan salasanat luodaan kuin yrittää muistaa satunnaisia palvelukohtaisia salasanoja.
Varsinainen suositukseni on kuitenkin turvallisen sovelluksen käyttäminen salasanojen hallintaan (esimerkiksi LastPass), joka helpottaa salasanojen ja ylipäänsä verkkoidentiteettien hallintaan.
MyCashflow'n tietoturva-asiantuntijan vinkit henkilökohtaisten salasanojen ylläpitoon:
Kirjaa ylös tärkeät järjestelmät, joihin on jaettu pääsy. Luo esimerkiksi Excel-taulukko, jossa on listattuna eri työntekijöiden ja kumppaneiden kesken jaetut käyttöoikeudet.
Tämän jälkeen tarkista, että järjestelmien asetukset ovat sopivat käytännön tarpeiden kanssa. Esimerkiksi vanhojen työntekijöiden ja yhteistyökumppaneiden tunnusten poistaminen unohtuu helposti.
Tässäkin kohtaa varsinainen suositukseni on salasanojen hallinta, jonka kautta tämänkin ongelman saa pysymään paremmin lapasessa. Edellä mainittu LastPass mahdollistaa myös mm. käyttöoikeuksien jakamisen työkavereille jakamatta itse salasanaa.
Tiedostojen menettäminen voi olla tietoturvaloukkausta todennäköisempi ja kalliimpi riski, ja tiedot kannattaakin varmuuskopioida säännöllisesti.
Suosittelen kaikille varmuuskopionnin automatisointia niin, että tietokoneesi tekee joka päivä varmuuskopiot verkkolevylle. Tyhjää parempi on myös vaihtoehto, jossa teet varmuuskopioinnin säännöllisesti, mutta monesti se tahtoo unohtua pitkiksi ajoiksi, eikä laitteen rikkoutuessa välttämättä löydy varmuuskopioita juuri siitä keskeneräisestä ja kiireellisestä tiedostostasi.
Vahvoja keinoja suojata tietoja vaikka salasana joutuisi vääriin käsiin ovat mm. mobiilitunnistautuminen, pankkitunnisteet sekä Suomessa kohtalaisen vähän käytetyt sähköiset henkilökortit.
Nykyisin monet palvelut, kuten Google Apps tai Facebook mahdollistavat 2-vaiheisen kirjautumisen, jossa ensin kirjaudutaan salasanalla, minkä jälkeen annetaan vielä tekstiviestinä saapuva vahvistuskoodi. Kaksivaiheiset kirjautumismekanismit yleistyvät huimaa vauhtia ja niitä kannattaakin käyttää aina kun kirjautumisen takana on arvokasta tietoa.
Lisätietoa: Kaksivaiheinen vahvistus | Google
Käytä kannettavissa tietokoneissa kiintolevylle tallennettavien tietojen salausta, jolloin tietosi ovat turvassa myös silloin, kun läppärisi varastetaan tai unohtuu jonnekin. Esimerkiksi Mac OS X tietokoneeseen saa levyn salauksen käyntiin muutamalla klikkauksella järjestelmäasetuksien kohdasta Suojaus ja yksityisyys (FileVault).
Ilman salausta tietojen lukeminen on suunnilleen yhtä helppoa kuin muistitikun käyttäminen.
Monet meistä käyttävät Googlen mainioita sähköposti- ja kalenteripalveluita monien laitteiden kautta. Tällöin on syytä käyttää myös sovelluskohtaisia salasanoja, jolloin käytät erillistä salasanaa älypuhelimessa, pöytäkoneella ja tabletilla.
Jos jokin laitteista katoaa, voit estää tilisi käytön tällä salasanalla/laitteella eikä sinun tarvitse käynnistää taas kerran salasanojen vaihtorulettia.
Lisätietoa: Sovellussalasanoilla kirjautuminen | Google
Avoimiin ja salaamattomiin verkkoihin kirjautuessa kannattaa muistaa, että kuka tahansa muu voi myös liittyä verkkoon ja kuunnella liikennettä. Jos liikenne on salaamatonta, niin siitä voidaan lukea mm. millä sivuilla käyt ja mitä tietoja sieltä lataat. Salattua liikennettä ei sen sijaan voi lukea yhtä helposti.
Valitettavasti kaikki sivustot eivät tue salattuja https-yhteyksiä. Liikkeellä ollessa nettiä käytettäessä kannattaa suosia omasta kännykästä omaan käyttöön jaettua yhteyttä mieluummin kuin käyttää avoimia verkkoja. Jos avointa verkkoa on pakko käyttää, voit suojata oman liikenteesesi myös salaamattomissa verkoissa käyttämällä Private VPN palvelua. Esimerkki tällaisesta on mm. HideMyAss Pro VPN ja F-Secure Freedome iPhonelle.
Bonuksena Private VPN:n käytöstä saat mahdollisuuden "valita sijaintisi" jolloin voit katsoa mm. kotimaisia netti-tv-palveluita myös ulkomailla ollessasi.
Käytännössä foliohattu estää tehokkaasti hallitusta lukemasta ajatuksiasi. Kuvaannollisesti foliohatulla tarkoitetaan tietoturvaan ja yksityisyyteen liittyviin riskeihin suhtautumista jopa vainoharhaisella vakavuudella.
Lähtökohtana on, ettei tietoturvaa ole, eikä mikään mitä internetissä tehdään – tai ollaan tehty – tule pysymään ikuisesti salassa. Keisarilla ei ole vaatteita, mutta hän ei vielä itse ole sitä ymmärtänyt. Se voi osoittautua tulevaisuudessa hyvin viisaaksi ajatusmalliksi ja paras tapa suojata yksityisyyttä onkin pitää yksityiset asiat poissa julkisista verkoista ja Internetistä.
Mikäli yrityksenne käytössä on itse toteutettuja, teetätettyjä tai ylläpidettyjä ohjelmistoja, kuten julkaisujärjestelmiä, verkkokauppa- tai blogialustoja, tilausjärjestelmiä tai verkon kautta saavutettavia omalle henkilöstölle tai yhteistyökumppaneille suunnattuja intra- ja extranet-järjestelmiä, dokumenttipankkeja tai vastaavia, on niiden tietoturvaan kiinnitettävä erityistä huomiota.
Järkevää riskienhallintaa on myös toteuttaa tietoturvallisuuden auditointi riskin mukaan joko keveänä tarkistuksena tai laajempana murtotestauksena ja auditointina. Käytännössä tämä voi olla erittäin kallis operaatio yhdellekin sovellukselle toteutettuna, jolloin voi olla mielekkäämpää karsia käytössä olevien järjestelmien määrää ja suojata jäljelle jäävät hyvin tai siirtyä käyttämään enemmän pilvipalveluita, joiden tietoturvan valvonta ja kehittäminen kuuluu ylläpitomaksuihin.
Henkilökohtaisella tasolla tietoturva-auditointi tarkoittaa yleensä sitä, että soitat nörttipoikasi/-veljesi syömään lihapullia ja tarkistamaan älylaitteidesi tietoturvaasetukset sekä asentamaan asianmukaiset varmuuskopioinnit työtiedostoillesi ja valokuvillesi.
