Tärkeintä tietoturvassa on tietoisuus uhkista. Naapurin Pikku-Valtterin muumipeli saattaa kaataa koko yrityksen tietojärjestelmän, joten turva-ohjeita kannattaa noudattaa myös kotona. Ja aivan erityisesti siellä.

Jokainen sähköpostin käyttäjä on varmaan joutunut roskapostituksen kohteeksi. Madot, virukset ja roskaposti ovatkin yleisin tietoturvauhka niin yrityksissä kuin kotikäytössäkin. Roskaposti on paitsi kiusallista, myös vaarallista, sillä liitetiedossa saattaa lymyillä mato, joka vain odottaa klikkausta luikerrellakseen koneeseen. Madoiksi kutsutut virukset aiheuttavat yleensä koneen hidastumisen ja lopulta lukkiutumisen. Pahimmillaan ne saattavat tuhota koneen kovalevyn kokonaan, rouskuttaa tiedostot taivaan tuuliin.

Tavalliset maatiaismadot eivät pysty vakoilemaan käyttäjän tietoja, vaan siihen on kehitetty omia vihulaisia. Niistä tunnetuin lienee troijalaiseksi kutsuttu vakoiluohjelma. Se kaappaa koneen, kun käyttäjä vierailee epäluotettavalla verkkosivustolla. Troijalainen alkaa kerätä käyttäjän salasanoja ja tekee niiden nimissä vierailuja erilaisille sivustoille. Käyttäjä huomaa tämänkin siitä, että kone hidastuu ja hidastuu. Suurin osa madoista ja troijalaisista on oudosti nyrjähtäneiden nörttien aikaansaannoksia, joilla ei ole muuta tarkoitusta kuin todistaa madon tekijän etevyyttä. Tästä huolimatta mato saattaa lamauttaa yrityksen koko toiminnan.

Älä tartu syöttiin

Järjestäytyneemmästä rikollisuudesta on kyse niin sanotussa verkkotunnusten kalastelussa, jota kutsutaan englanniksi termillä phising. Tunnetuin tapaus on Suomessa toistaiseksi Nordean asiakkaiden lokakuussa saama sähköpostiviesti, jossa kehotettiin pankin nimissä luovuttamaan pankkitunnuksia sähköpostilla. Suomalaiset pankit eivät koskaan pyydä arkaluotoista tietoa yleisellä sähköpostilla, vaan Suomessa pankkien käyttämä tunnistautuminen tapahtuu niin sanotussa suojatussa yhteydessä.

Se, että lähettäjänä näkyy tuttu nimi tai yritys, ei ole tae siitä, että lähettäjä on todellakin se, joka viestissä näkyy. Erityisen arkaluontoisia asioita ei siis pitäisi lähettää tavallisella sähköpostilla lainkaan. Sähköpostin koodaamiseen niin, että sen voi avata vain sovitulla salasanalla, on olemassa ohjelmia. Usein arkaluontoinen asia hoituu perille myös perinteisessä kirjekuoressa.

Suojaa kannettavat

”Ehdottomasti suurin uhka vaanii kannettavissa tietokoneissa, joita käytetään kotona”, kertoo Leo Niemelä. Vaikka virustentorjuntaohjelmiston päivitys toimisikin automaattisesti toimistolla, kotikone saattaa jäädä päivittämättä. Näin käy, jos työkone on pitkän aikaa kotona esimerkiksi etätyön takia tai jos kyseessä on niin sanottu kakkoskone. Se voi saada virustartunnan roskapostista tai vaikkapa viattomalta vaikuttavasta pelistä, jonka lapset koneeseen lataavat. Pelilevyke on saattanut viimeksi olla saastuneessa koneessa.

Niemelä kertoo, että rodunjalostus on madoissa edennyt jo siihen vaiheeseen, että kotona käytettäviä työkoneita varten on erillisiä businessmatoja. Kun kotikone käynnistetään työpaikalla, businessmato aktivoituu ja saastuttaa koko firman verkon.

Kielto omien ohjelmien lataamisesta työnantajan koneeseen ei siis ole kiusantekoa. Myös kiellot vierailla epämääräisillä, usein aikuisviihteeksi kutsuilla sivustoilla, ovat seurausta tietoturvasta.

Virukset estävä tietoturvaohjelma on pieni investointi verrattuna niihin ongelmiin, joita ohjelman hankkimatta jättäminen saattaa aiheuttaa. Monet operaattorit tarjoavat tietoturvaa kuukausimaksulla laajakaista-asiakkailleen. Jos ohjelmiston hankkii itselleen tai yritykselleen, on muistettava automatisoida päivitykset.

Operaattori tarjoaa yleensä myös palomuurin. Niemelän mukaan noin 90 prosenttia suomalaisista pk-yrityksistä on jo palomuurin takana. Palomuuri suojaa internetin kautta tulevilta tietomurroilta eli tunkeutumisilta esimerkiksi yrityksen asiakastietoihin tai projektisuunnitelmiin.

Varaudu ennalta

Leo Niemelä kehottaa kaikkia yrityksiä koosta riippumatta laatimaan kriisiohjeet sen varalle, että tietojärjestelmään pääsee virus tai se lamaantuu jostain muusta syystä. Tärkeintä on ennakointi ja ohjeet etenemisjärjestyksestä. Jos virus iskee koneeseen, vedetään piuhat irti seinästä, jotta leviäminen pysähtyy. Mutta mitä sen jälkeen? Mitä sovelluksia lähdetään pelastamaan ensin ja miten se tehdään? Kehen otetaan yhteyttä? Kuka ottaa yhteyttä asiakkaisiin ja yhteistyökumppaneihin?

Viimeistään kriisisuunnitelmaa laatiessa on hyvä kerrata ohjeistus varmuuskopioista ja muista päivittäisistä tietoturvariskeistä. Niitä ovat mm. salasanojen säilytys, arkaluontoisten asiakirjojen jättäminen tulostimelle tai kopiokoneelle, kulkuavaimen roikottaminen firman logolla koristellussa kaulanauhassa ja ylipäätään lörpöttely firman asioista ulkopuolisille.

Roskaposteihin eli spämmeihin ei myöskään pidä vastata, sillä se moninkertaistaa niiden määrän. Yrityksen verkkosivuilla ei pitäisi olla roskapostia houkuttelevia todellisia sähköpostiosoitteita, vaan kannattaa kertoa, että henkilökohtaiset osoitteet ovat esimerkiksi muotoa [email protected]

Kun kone vaihdetaan uuteen, on muistettava, että toisin kuin autokaupassa, tietokonekaupassa mittari pitää ehdottomasti nollata. Koneen sisällähän on usein ulkopuolisille kuulumattomia asiakastietoja, henkilötietoja tai vaikkapa maatilan rodunjalostustietoja. Tiedostojen tyhjennystarve on otettava huomioon myös silloin, kun kone siirretään organisaation sisällä toiselle käyttäjälle.

Teksti: Katri Klinga