Estä identiteettivarkaus - Onko yrityksen tietoturva kunnossa?

Asiakkaallemme on tehty alkuvuodesta tietoturvamurto, jonka seurauksena yrityksestä on onnistuttu varastamaan merkittäviä määrä käteisvaroja. Yrityksen päättäjien sähköpostilaatikoihin päästiin käsiksi todennäköisesti muualta varastetuilla salasanoilla.

Mitä sitten tapahtui?

Käytännössä siis esim. LinkedIn, DropBox tai Uber -palveluista varastettuja salasanoilla on yritetty päästä sähköpostitiliin ja jossain palvelussa on ollut käytössä sama salasana kuin työsähköpostilaatikossa. On siis erittäin tärkeää, että jokaisessa palvelussa on oma uniikki salasanansa.

Sähköpostiin pääsyn myötä tilitoimistoon oli lähetetty maksuohjeita yrittäjien nimissä, jotka oltiin vielä vahvistettu sähköpostista löytyneillä taloushallinnonohjelmiston kirjautumistunnuksilla. Näin saatiin siirrettyä kohtuullisen suuria summia rahaa ulkomaille.

Haluaisimme käyttää tämä hetken muistuttaaksemme tietoturva-asioiden tärkeydestä ja merkityksestä yritykselle. Tietoturva yleensä sivuutetaan turhana kuluna ja työnteon vaikeuttajana. Elämme kuitenkin maailmassa, missä henkilötietojen ja järjestelmien turvassa pitäminen on ensisijaisen tärkeää.

Tietojenkalastelu ja identiteettivarkaudet ovat lisääntynyt

Blogistamme löytyy kaksi seikkaperäisemmin avattua oikeaa tapausta tältä vuodelta: Yritysten digitaaliset ryöstöt ovat lisääntyneet - Kuinka suojautua tietoturvauhkia ja kalastelua vastaan. Molemmat tapaukset kulminoituvat tietojenkalasteluun erilaisin keinoin. On tärkeää kouluttaa henkilökuntaa erilaisten tilanteiden varalta ja luoda tekninen ympäristö, joka mahdollistaa turvallisen toimintaympäristön. Kaikkia tietoturvariskejä ei voida poistaa tietoteknisin ratkaisuin. Etevä tarjoaa tietoturvakoulutuksia palveluna, jolla varmistat että käyttäjien tietoturvaosaaminen on jatkuvasti riittävällä tasolla. Voit lukea palvelusta lisää täältä!

Organisaatio tietoturvan merkittävimmät tekijät ovat:

• • • • Yhteiset pelisäännöt ja tietosuojapolitiikka
      • Ihmisten kouluttaminen ja sitouttaminen
        • Yhteisiin pelisääntöihin ja tietosuojapolitiikkaan
        • Internetissä toimimiseen
      • Keskitetyn hallinnan järjestelmän käyttöönotto (Microsoft 365, Azure AD, Intune tai vastaava)
      • Tietoturva-asetuksien ja -toimintojen käyttöönottaminen
      • Vahva tunnistautuminen (MFA)
      • Yrityksen vastuiden määrittäminen

Suosittelemme kaikille edellä mainittujen asioiden tehostamista yrityksen kokoon ja alaan katsomatta. Tarkempi listaus löytyy täältä.

Olemme laatineet usealle asiakkaallemme listan suosituksista tietoturvan parantamiseksi. Nämä suositukset kannattaa ottaa vakavasti ja harkita niiden toteuttamista pikaisesti. Monet yritykset ovat myös lykänneet GDPR-projektin tekemistä. 

Vastuiden määrittämisellä tarkoitetaan mm. sitä, kuka organisaatiossa vastaa käyttäjäoikeuksien antamisesta ja miten prosessi toimii sisäisesti ja yhteistyökumppanien kanssa. Luokitusmääritykset ovat myös hyvä tapa pitää tärkeä tieto organisaation sisällä.

Tämä blogi on osa tietoturvaa käsittelevää blogisarjaa.