YRITTÄJÄ, tule mukaan omiesi pariin! Liity Yrittäjiin.

JÄSEN, oletko jo ladannut Yrittäjät-sovelluksen puhelimeesi? Lataa sovellus Androidille tai Applelle.

Näin parannat yrityksesi kyberturvatasoa
Tärkeiden tietojen varmuuskopiot on hyvä säilyttää paitsi digitaalisessa muodossa, myös kahdessa fyysisessä paikassa esimerkiksi tulipalon varalta. Kuva: Getty Images
26.9.2023 klo 14:47
Uutinen

Näin parannat yrityksesi kyberturvaa – Asiantuntijat kokosivat kahdeksan vinkin listan

Asiantuntijat korostavat arkaluontoisen tiedon suojaamisen merkitystä. Yrityksessä kannattaa myös varmistaa, että varmuuskopiot ovat kunnossa.

Turun yliopisto on julkaissut Kyberturvan pelisäännöt pienyrityksille -kirjan, joka sisältää ohjeita kyberturvan hallintaan ja kehitykseen etenkin pienten yritysten näkökulmasta. Teoksen ovat kirjoittaneet järjestelmäarkkitehti Juhani Naskali yhdessä IT-palveluarkkitehti Mikko Vermasen ja erikoistutkija Jani Koskisen kanssa.

Projektin taustalla on jo päättynyt Kokonaisvaltainen Kyberturvallisuus Kestävälle Kasvulle -hanke, jonka tavoitteena oli parantaa pienten ja keskisuurten yritysten valmiuksia varautua kyberturvauhkiin.

Kyberturvakirjan käsikirjoitus on julkaistu avoimesti Github-palvelussa, jossa sen päivittämiseen voi osallistua kuka tahansa. Github-sivuilla voi kommentoida kirjaa, keskustella aiheesta ja tehdä muokkauksia kirjan sisältöön.

– Liiketoiminnalle kriittisen tiedon ja toiminnan turvaaminen on välttämätöntä, mutta kyberturvallisuuden hyvä hallinta vaatii paljon tietoa ja resursseja. Perusasioiden turvaaminen ei kuitenkaan vaadi ohjelmointigurua, Juhani Naskali sanoo.

Kirjan tekijöiden vinkit pienyrityksen kyberturvan parantamiseksi

1. Tunnista kriittinen tieto ja niihin liittyvät riskit

Kyberturvalla suojataan yrityksen pääomaa, kuten tietoa. Hyvänä lähtökohtana kyberturvan tarkasteluun kirjoittajat pitävät yritykselle tärkeän tiedon tunnistamista ja siihen liittyvien riskien arvioimista.

Kriittisen tiedon voi tunnistaa kysymällä seuraavia kysymyksiä: Mitä tietoja käytetään yrityksen jokapäiväisessä toiminnassa? Minkä tiedon puuttuminen tai häviäminen aiheuttaisi ongelmia työn tekemisessä? Kriittistä tietoa voivat olla myös tuote- tai asiakastiedot. Tallennetut henkilötiedot tulee suojata riippumatta siitä, ovatko ne liiketoiminnan kannalta tärkeitä. Listaa eri tietoon liittyvät riskit, niiden aiheuttaman haitan suuruus ja toteutumisen todennäköisyys. Todennäköisimmät ja vakavimmat riskit kannattaa suojata parhaiten.

– Tietoon liittyy aina riskejä. Se voi hävitä, muuttua virheelliseksi tai vuotaa vääriin käsiin. Vaikka haittaohjelmien teknistä toimintaa ei tuntisi, on helppo ymmärtää, mitä vaikutuksia tietokoneella olevan tilausrekisterin tuhoutumisella on lunnaita vaativassa kryptohyökkäyksessä, Juhani Naskali kertoo.

2. Varmista työkoneen virustorjunta

Nykyisin Windowsin mukana tuleva Defender antaa kotikoneille riittävän suojan haittaohjelmia vastaan. Varmista, että tietokoneessasi on toimiva virustorjuntaohjelma painamalla käynnistä-nappia ja hakemalla hakusanalla ‘virus’ ja avaamalla virustorjunta-asetukset.

3. Käytä monivaiheista tunnistautumista

Käyttäjätunnukset kannattaa jakaa henkilökohtaisesti ja välttää yhteistunnuksia kuten ‘admin’ tai ‘ylläpito’. Monivaiheisen tunnistautumisen (MFA/2FA) käyttäminen estää suurimman osan henkilöllisyysvarkauksista, joten se kannattaa ottaa käyttöön kriittisten palvelujen kanssa.

Laitteiston kuten reitittimien ja wlan-tukiasemien kanssa tärkeintä on tehdassalasanojen muuttaminen, etenkin jos ne ovat helppoa muotoa, kuten 1234. Myös päivitykset on tärkeä pitää ajan tasalla, että tietoturva-aukot tulee paikattua. IT-osaaja voi laittaa asetukset kertaluontoisesti kuntoon hyvin nopeasti, ja päivitysten lisääminen yrityksen vuosikelloon parantaa tietoturvaa. Kannattaa myös suunnitella laitteistorikkojen varalle.

Hyvä salasana on pitkä ja käytössä vain yhdessä palvelussa. Käytännössä tämä tarkoittaa, että muistettavia salasanoja on niin paljon, että ne on kirjoitettava ylös. Paperimuistion sijaan on parempi käyttää salasanojen hallintaan luotua salattua sovellusta, kuten esimerkiksi Bitwarden, NordPass tai KeePassXC. Hallintatyökalu suojataan yhdellä salasanalla. Käytä esimerkiksi muistettavaa lausetta, jossa on erikoismerkkejä mukana.

4. Suojaa arkaluontoinen tieto

Massamuistit, kovalevyt ja usb-tikut kannattaa ottaa käyttöön vain luotettavilta tahoilta. USB-muistitikku voi levittää haittaohjelmia. Arkaluontoinen materiaali kannattaaa suojata salauksella (kryptauksella). Yksinkertaisimmillaan tämä tapahtuu klikkaamalla levyä tiedostonhallintaohjelmassa hiiren oikealla napilla ja salaamalla se avautuvasta valikosta Bitlocker- (Windows) tai Finder-ohjelmalla (Mac). Salaus estää tietoja vuotamasta, jos laite joutuu vääriin käsiin.

5. Varmuuskopioi

Varmuuskopiot ovat yksi tärkeimpiä kyberturvauhkiin varautumisen keinoja. Varmuuskopio on tärkeä myös testata käytännössä. Kuvittele, että jokin eilinen tiedosto tai koko tietokanta on tuhoutunut, ja kokeile miten helposti palaudut kriisitilanteessa. Tämä on helppoa tehdä esimerkiksi samalla kun ostaa uuden tietokoneen, kokeilemalla tehdä käyttöönotto ilman että kopioi mitään tietoa vanhasta koneesta. Tärkeiden tietojen varmuuskopiot on hyvä säilyttää kahdessa fyysisessä paikassa esimerkiksi tulipalon varalta.

6. Tee riskienhallintasuunnitelma

Paras työkalu suunnitelman tekemiseen on keskustelu. Yhteistyö johdon, työntekijöiden ja asiantuntijoiden välillä varmistaa, että eri näkökulmat tulevat osallistetuiksi.

Yrityksen kriittiset tiedot kannattaa listata riskienhallintasuunnitelmaan. Dokumenttiin lisätään tietoihin liittyvät riskit, niiden todennäköisyydet ja vakavuusasteet. Tämän jälkeen suunnitellaan ennaltaehkäiseviä keinoja sekä kriisisuunnitelmia tilanteessa, jossa riski toteutuu.

– Yrityksen johto tietää, mikä on liiketoiminnalle kriittistä, mutta työntekijöillä on paras ymmärrys siitä, mikä tieto on kriittistä jokapäiväisissä tehtävissä. Tekniset osaajat pystyvät kertomaan eri suojausmenetelmistä, Naskali sanoo.

7. Arvioi yrityksesi kyberturvataso

Yrityksen toiminnan eri osa-alueita ja niihin liittyviä riskejä on syytä arvioida säännöllisin väliajoin. Tässä voi käyttää apuna esimerkiksi ilmaisen Kyberturvan pelisäännöt pienyrityksille -kirjan viisitasoista kyberturvatason mittaria, jossa arvioidaan erikseen seuraavat osa-alueet: Henkilöstö, Laitteisto ja verkot, ohjelmistot, tiedonsiirto, ulkoiset toimijat ja fyysinen turvallisuus. Usein eri osa-alueiden pohdinta yksi kerrallaan paljastaa asioita, joita ei ole huomattu ottaa huomioon.

8. Toimi näin kriisitilanteessa

Mitä aikaisemmin tietoturvapoikkeama havaitaan, sitä paremmin siihen voi reagoida. Arvioi ongelman vakavuus ja ota tarvittaessa yhteys IT-asiantuntijaasi tai IT-palvelutarjoajaan. Eristä vaarantunet laitteet verkosta ja arvioi mitä on tapahtunut. Selvitä, mitä tietoja on voinut vuotaa, muuttua tai hävitä. Listaa vaarantuneet tunnukset ja järjestelmät.

Jos henkilötietoja on vaarantunut, tee ilmoitus tietosuojavaltuutetun toimistolle 72 tunnin kuluessa. Jos epäilet, että on tapahtunut rikos, ilmoita asiasta poliisille. Viesti tilanteesta ja selvitystyön edistymisestä asianomaisille, asiakkaille ja kumppaneille. On myös suositeltavaa tehdä poikkeamasta kyberturvakeskukselle, joka kerää luottamuksellisesti tietoa hyökkäyksistä kansallisella tasolla, ja voi auttaa tilanteen vahinkojen rajaamiseksi ja tilanteen korjaamiseksi.

Tee jälkiselvitys. Pohdi, mitä tilanteesta voidaan oppia ja miten vastaavat ongelmat vältetään jatkossa. Päivitä riskinhallintasuunnitelmat ja varmista, että kaikki tarpeellinen viestintä ja ilmoitukset asiasta on tehty.

Vinkkaa meille juttuaihe!

  • Kerro siis meille, mitä yrittäjän elämässä tapahtuu.
Toimitus
Toimitus
Avaa pop-up -ikkuna