Kyberrikolliset ovat taitavia ja keksivät jatkuvasti uusia entistä tehokkaampia verkkohyökkäyksiä. Nyt uhreja kalastellaan etenkin pienistä ja keskisuurista yrityksistä. Isot yritykset ovat havahtuneet riskeihin pieniä paremmin.
Yrityksillä on puutteita pilvipalveluiden ja etäyhteyksien tietoturvassa. Varsinkin salasanoissa on puutteita. Hyökkäykset alkavat tyypillisesti silloin, kun salasanat vaarantuvat tavalla tai toisella.
"Ilman monivaiheista tunnistautumista hyökkääjällä on helppo kirjautua sisään – turha rikkoa ikkunaa, jos on avaimet kädessä", sanoo Lähi-Tapiolan kybervakuutusten kehityspäällikkö Eero Järvenpää tiedotteessa.
Tyypillisiä hyökkäyskohteita ovat it-järjestelmien paikkaamatta jääneet haavoittuvuudet, jotka olisivat korjattavissa päivityksillä ja asetusten säästämisellä. Verkkorikolliset hyödyntävät haavoittuvuuksia, esimerkiksi ohjelmiston koodausvirhettä, josta he pääsevät sisälle johonkin yrityksen järjestelmään.
"Vuonna 2024 maailmalla havaittiin yleisissä it-järjestelmissä jo alkusyksyyn mennessä sama, noin 30 000 haavoittuvuutta, kuin koko vuonna 2023 yhteensä. Kasvua edellisvuodesta oli 20–30 prosenttia", Truesecin myyntijohtaja Vesa Siitari sanoo. Truesec on Lähi-Tapiolan kybervakuuttamisen yhteistyökumppani.
Tee ainakin nämä kuusi asiaa, jotta yrityksesi on paremmin suojassa
1. Varmista, että it-järjestelmien haavoittuvuudet paikataan
Yleensä haavoittuvuuden paikkaaminen hoituu asentamalla päivitys. Tämä on joko it-osaston tai it-kumppanin vastuulla. Molemmissa tapauksissa on syytä varmistua, että on sovittu sekä rutiininomaisten päivitysten asentamisesta että päivityksistä, kun havaitaan yllättävä haavoittuvuus. Joskus kyseessä on myös haavoittuva asetus tai ominaisuus.
Palveluiden ja järjestelmien käyttöönoton yhteydessä ja aika ajoin muutenkin, esimerkiksi puolivuosittain, on hyvä käydä asetukset läpi ja tarkistaa niin asetukset kuin käyttöoikeudetkin joka paikasta.
Koko työyhteisön vastuulla on puolestaan liittää tietokoneet säännöllisesti työpaikan tietoverkkoon, jotta ne voivat ottaa vastaan it-osaston tai -kumppanin tekemät järjestelmäpäivitykset ja sovellusten päivitykset. Näin suojaukset pysyvät ajan tasalla.
2. Käytä monivaiheista tunnistautumista kaikkialla, missä se on mahdollista
Monivaiheinen tunnistautuminen englanniksi MFA tai Multifactor Authentication kannattaa pitää päällä kaikissa järjestelmissä, joihin se on tarjolla.
Jos joku on onnistunut varastamaan tunnuksesi ja salasanasi, niin normaalisti hyökkääjä ei saa hyödynnettyä tunnuksia, koska välissä on vielä toinen tunnistautuminen – tyypillisimmin autentikaattori-sovelluksella.
Kaksiosainen tunnistautuminen vie hieman aikaa, mutta se on nykyisin käyttökelpoinen tapa minimoida varastettujen tunnusten väärinkäyttöä.
Tekstiviestipohjainenkin ratkaisu on tyhjää parempi, mutta sitä Järvenpää ja Siitari eivät suosittele, jos joku muu keino on käytettävissä.
3. Älä käytä firman tunnuksia siviiliasiointiin
Työpaikan sähköpostiosoitetta tulee käyttää vain työasioissa. Työsähköpostissa ja henkilökohtaisessa sähköpostissa ei saa käyttää samoja salasanoja. Jos työpaikan sähköpostiosoite ja salasana päätyy kalastelun takia pimeän verkon (dark web) markkinoille, on se riski työpaikan it-ympäristölle, mutta ei vaaranna henkilökohtaista sähköpostitiliä – ja sama päinvastoin.
Kannatta muistaa sekin, että jos joskus vaihtaa työpaikkaa, ei käyttäjätunnuksena käytetty työpaikan sähköposti ole välttämättä enää käytössä. Näin voi olla vaikea jatkaa tilin käyttöä, saati nollata salasanaa, jos se on unohtunut.
4. Käytä pidempiä salasanoja muutaman erikoismerkin sijaan
Salasanoja yritetään yleensä avata ns. brute force -hyökkäyksellä, jossa tietokone hakee tuhansia vaihtoehtoja minuutissa. Lyhyet salasanat se löytää nopeammin.
Paremman suojan antaa esimerkiksi kauniskesäinenaamupäivä, jossa on 23 merkkiä, kuin salasana, jossa on minimi eli 6–8 merkkiä (sis. isoja kirjaimia ja erikoismerkkejä). Esimerkiksi Applen ratkaisuissa voit antaa Applen teknologian luoda salasanoja, jotka tallentuvat käyttöösi ja itse et edes tiedä niitä, mutta saat ne käyttöösi joko sormenjäljellä tai Face ID:llä eli kasvotunnistuksella.
Järjestelmänvalvojien on puolestaan syytä ottaa erityisesti kaikissa julkiverkkoon näkyvissä palveluissa brute force -suojaukset käyttöön, eli kansankielellä rajoittaa kirjautumisyritysten määrää, esimerkiksi viiteen yritykseen puolessa minuutissa.
5. Anna pääkäyttäjäoikeudet vain niille, jotka oikeasti niitä tarvitsevat
Jos rikollinen saa käsiinsä tunnukset, joihin linkittyy laajemmat oikeudet lisätä, vaihtaa, muuttaa tai poistaa esimerkiksi käyttäjiä, riskit kasvavat merkittävästi. Tästä syystä pääkäyttäjäoikeuksia ei kannata antaa kaikille tietokoneen käyttäjille, vaan vain it:lle tai niille, joiden vastuulle asiat todella kuuluvat.
Jos olet itse yrittäjä tai organisaatiossasi on vain kourallinen ihmisiä, on hyvä käytäntö on luoda itselleen kahden tunnukset: pääkäyttäjän ja tavallisen käyttäjän.
Kuten edellä, pääkäyttäjätunnuksia tulee käyttää vain välittömiin ylläpitotehtäviin. Varsinaisessa päivittäiskäytössä käytetään tavallisia tunnuksia. Tällä yksinkertaisella keinolla vähennät merkittävästi tunnuksien vuotamisesta mahdollisesti aiheutuvia seurauksia, kun kalastelija saa vain tavallisen käyttäjän oikeudet – ei pääkäyttäjän.
6. Mieti ennen kuin klikkaat sähköpostissa, tekstiviestissä tai Whatsapp-viestissä olevaa linkkiä
Kaikki saavat paljon viestejä: osaa osaamme odottaa ja osa taas tulee odottamatta. Mukana on myös kalasteluviestejä, joiden tavoitteena on, että kerrot tunnuksesi ja salasanasi erilaisten huijausyritysten kautta.
Viesteissä pyydetään esimerkiksi avaamaan tiedosto, kirjautumaan järjestelmään tai siirtämään rahaa jonnekin. Mieti aina, voiko kyseessä olla huijaus.
Jos klikkasit jotakin ja epäilet huijausta, ota yhteyttä organisaatiosi it-yksikköön ja kerro asiasta. Tällainen virhe voi sattua kenelle tahansa ja siitä kannattaa kertoa mahdollisimman pian, vaikka kyseessä olisikin väärä hälytys.
Nyrkkisääntönä voi pitää seuraavaa: Linkkejä ei tarvitse klikata kuin silloin, kun olet itse juuri esimerkiksi rekisteröitynyt palveluun, ja palvelu ilmoittaa, että tulet saamaan vahvistusviestin.
Oletuksena on aina turvallisinta mennä itse appiin tai verkkopalveluun, josta viesti väittää tulleensa, ja etsiä sieltä viesteistä tai laskuista asia, johon viestissä vaadittiin reagoimaan. Usein tällaista ei löydy, jolloin turvallisin mielin voi todeta, että kyseessä oli huijausyritys.
Vinkit: Lähi-Tapiola, Truesec
Minna Petäinen
