Tietoturva – suojaa yrityksesi tärkeät tiedot

Kaisa Huttunen

Nykyaikana tietoturva koskee käytännössä kaikkia, sillä suurin osa meistä käyttää useita kertoja päivässä digitaalisia laitteita tai ympäristöjä.

Tässä kirjoituksessa käsitellään tietoturvaa; käydään läpi sen tunnetuin määritelmä, tutustutaan yleisimpiin tietoturvauhkiin ja annetaan vinkkejä, joilla sekä yrityksen että sivuston tietoturvaa voi parantaa.

Mistä tietoturva koostuu?

Tietoturvalla tarkoitetaan erilaisten tietojen, järjestelmien, palveluiden ja tietoliikenteen asianmukaista suojaamista. Tietoturva on käsitteenä todella laaja ja sen määrittely vaihtelee sen mukaan, keneltä sitä kysyy.

Tunnetuimman määritelmän mukana tietoturvassa on kyse tiedon luottamuksellisuudesta, eheydestä ja saatavuudesta. Englanniksi näistä tästä puhutaan myös lyhenteellä CIA, joka tulee sanoista confidentiality, integrity ja availability. Tämä määritelmä on peräisin vuodelta 1977, jolloin sen esitteli yhdysvaltalainen National Institute of Standards and Techology (NIST).

Vuosien saatossa on kiistelty paljon siitä, sopiiko kyseinen määritelmä jatkuvasti muuttuvan teknologian maailmaan. Vaihtoehtoisia määritelmiä on toki useita ja esimerkiksi Don Parker ehdotti vuonna 1998 määritelmän laajentamista kuuteen osa-alueeseen: luottamuksellisuus (engl. confidentiality), hallussapito (engl. possession), eheys (engl. integrity), aitous (engl. authenticity), saatavuus (engl. availability) ja hyödyllisyys (engl. utility).

Toistaiseksi alkuperäinen CIA-kolmijako on säilyttänyt vahvasti oman asemansa, ja sen takia tutustummekin nyt tarkemmin sen kolmeen osa-alueeseen.

Luottamuksellisuus

Luottamuksellisuus tarkoittaa, että erilaiset tiedot ovat vain sellaisten henkilöiden käytettävissä, kenellä on oikeus niiden käyttöön. Tämä tarkoittaa myös sitä, että sivullisille henkilöille ei saisi antaa mahdollisuutta käsitellä tai muuttaa tietoja.

Tiedon luottamuksellisuutta voidaan edistää pitämällä erilaiset ohjelmat ajan tasalla, jotta mahdolliset tietoturva-aukot saadaan korjattua päivitysten myötä. Lisäksi kannattaa tarjota työntekijöille mahdollisimman selkeät ohjeet tietojen käsittelyyn.

Eheys

Eheys tarkoittaa, että tietojen tulee olla luotettavia ja ajantasaisia. Ne eivät saa muuttua tai olla muutettavissa ohjelmistovikojen tai inhimillisen erehdyksen seurauksena. Käytännössä tietojen eheys edellyttää kykyä estää ja/tai perua hyväksymättömät tai ei halutut muutokset.

Tietojen eheyteen voidaan vaikuttaa tietojen säännöllisellä päivittämisellä ja ajantasaisilla varmuuskopioilla. Varmuuskopioiden avulla tiedot voidaan palauttaa, jos ei toivottuja muutoksia tapahtuu.

Saatavuus

Saatavuudella tarkoitettaan, että tietoihin oikeutettujen henkilöiden tulisi päästä niihin käsiksi etukäteen sovitussa vasteajassa. Jokaiselle työntekijälle tulisi siis turvata pääsy niihin tietoihin, joita hän työntekemistä varten tarvitsee.

Tietojen saatavuutta voidaan edistää hyvällä tietojenhallinnalla, erilaisilla jaetuilla kansioilla ja yhdessä sovituilla toimintatavoilla. Tietojen saatavuus ei saa tietenkään olla liian laaja, jottei se ole ristiriidassa luottamuksellisuuden kanssa.

Tietojen saatavuus on yksi kolmesta tietoturva osa-alueesta.

Tietoturvan läheiset käsitteet

Usein tietoturva, kyberturvallisuus ja tietosuoja menevät helposti sekaisin tai niiden eroa voi olla vaikea hahmottaa. Käsitteet liittyvätkin läheisesti toisiinsa, vaikka eivät aivan samaa asiaa tarkoitakkaan. Alla käymme läpi tarkemmin, mitä kyberturvallisuus ja tietosuoja tarkoittavat.

Kyberturvallisuus

Usein tietoturvasta puhuttaessa nousee esiin myös käsite kyberturvallisuus. Sen voidaan katsoa olevan osa laajempaa tietoturvan käsitettä. Kyberturvallisuudella tarkoitetaan teknologioita ja käytäntöjä, joiden avulla suojataan esimerkiksi verkkoja, tietokoneita, ohjelmistoja ja niiden sisältämiä tietoja hyökkäyksiltä, luvattomalta pääsyltä tai muulta vahingolta.

Kyberturvallisuudesta puhutaan myös silloin, kun viitataan toimenpiteisiin, joilla pyritään varmistamaan yhteiskunnan kriittiset toiminnot, esimerkiksi pankkipalvelut ja energian tuotanto. Konkreettisia kyberturvallisuuden toimenpiteitä voisivat olla esimerkiksi mahdollisten kyberuhkien tunnistaminen ja erilaisten tietomurojen ehkäisy.

Tietosuoja

Tietosuoja on puolestaan tietoturvasta erillinen ja laajempi käsite. Tietosuojalla tarkoitetaan oikeutta, joka turvaa rekisteröidyn oikeuksien ja vapauksien toteutumisen henkilötietojen käsittelyn yhteydessä (Lähde: Tietosuojavaltuutettu).

Tietoturvan voidaan puolestaan nähdä olevan yksi tietosuojan toteuttamisen keinoista. Pelkkä tietoturva ei toki riitä, vaan tietojen käsittelyssä tulee huomioida myös sovellettava lainsäädäntö.

Tietoturvariskit

Tietoturvariskit voivat vaarantaa tiedon luottamuksellisuuden, eheyden ja/tai saatavuuden. Tunnettuja tietoturvariskejä ovat esimerkiksi palvelunestohyökkäys, erilaiset tietomurrot, tietojen kalastelu ja kiristyshaittaohjelmat.

Palvelunestohyökkäys

Tyypillisesti palvelunestohyökkäyksen tavoitteena on palvelun tai sivuston toiminnan estäminen kuormittamalla sitä turhilla kyselyillä. Hyökkäys voi kohdistua periaatteessa minkä kokoiseen toimijaan tahansa, mutta useammin sen kohteeksi valikoituvat isot yritykset tai valtiolliset toimijat.

Tietomurrot

Tietomurroissa on kyse luvattomasta tunkeutumisesta johonkin järjestelmään, ohjelmistoon tai vaikkapa verkkokauppaan. Tietomurto voidaan tehdä esimerkiksi ohjelmiston tunnettua aukkoa hyödyntämällä. Tietomurtojen tavoitteena on yleensä erilaisten käyttäjä- ja luottokorttitietojen saaminen.

Tietojen kalastelu

Tietojen kalastelu on nykyään todella yleistä ja esimerkiksi erilaiset sähköpostitse saapuvat tietojen kalastelu roskapostit voivat olla yrityksille jopa viikoittaisia. Tietojen kalastelun tavoitteena on nimensä mukaisesti harhauttaa käyttäjää antamaan jotain tietoja itsestään. Tyypillisiä kerättäviä tietoja ovat esimerkiksi verkkopankkitunnukset.

Kiristyshaittaohjelmat

Kiristyshaittaohjelmat pyrkivät lukitsemaan tietoja tai estämään esimerkiksi koko laitteen käytön, jonka jälkeen käyttäjää voidaan kiristää vaatimalla esimerkiksi rahaa. Kiristyshaittaohjelmat asennetaan usein vahingossa inhimillisen erehdyksen seurauksena.

Inhimillinen virhe voi aiheuttaa tietoturvauhkia.

Miten voin parantaa yrityksen tietoturvaa?

Yrityksen tietoturvaa voi onneksi parantaa monin eri tavoin. Tietoturva tulisi rakentaa mahdollisimman kerroksellisesti ja sen kannalta on oleellista huolehtia myös ohjelmistojen ajantasaisuudesta. Lisäksi varmuuskopioilla, yhteisillä toimintatavoilla ja henkilökunnan kouluttamisella voidaan parantaa tietoturvaa.

Tietoturvan merkitys on viime vuosina kasvanut koko ajan, kun yhä suurempi osa ihmisistä ja erilaisista palveluista on siirtynyt verkkoon. Tietoturvasta huolehtiminen tulisikin olla osa kaikkien organisaatioiden riskienhallintaa.

Tietoturvan kerroksellisuus

Tietoturva kannattaisi aina rakentaa kerroksellisesti, jotta tärkeät tiedot eivät pääse vääriin käsiin, vaikka yksi kerroksista pettäisikin syystä tai toisesta.

Konkreettisesti kerroksellisuus voi tarkoittaa esimerkiksi kotisivujen tapauksessa sitä, että ensin haitallinen liikenne suodatetaan sisällönjakoverkoston (engl. Content Delivery Network, CDN) avulla ennen kuin se edes pääsee sivustolle. Lisäksi sivuston palvelimella on käytössään oma palomuuri ja valvonta, jotta mahdolliset väärinkäytökset havaitaan nopeasti. Lopuksi on vielä tärkeää, että sivuston hallintaan kirjautumisessa käytetään kaksivaiheista tunnistautumista.

Päivitykset

Erilaiset ohjelmistot ja esimerkiksi kotisivut tulisi aina pitää päivitettynä mahdollisimman uusimpaan versiioon. Päivitykset korjaavat usein huomattuja tietoturvahaavoittuvuuksia. Kannattaa myös mahdollisuuksien mukaan hyödyntää päivitysten automatisointia.

Esimerkiksi Zonerin webhotellit mahdollistavat julkaisujärjestelmän päivitysten automatisoinnin. Toki tällöin on aina olemassa riski, että jokin toiminto menee rikki päivityksestä johtuen. Jos käytössäsi on WordPress-julkaisujärjestelmä, kannattaa harkita WP.one WordPress hosting -palvelua, johon sisältyy päivitykset toimivuustestauksineen.

Varmuuskopiot

Yritykset tulisi aina huolehtia, että kaikista tärkeistä tiedoista on ajantasaiset varmuuskopiot. Varmuuskopiot kannattaa ottaa myös kotisivuista tai mahdollisesta verkkokaupasta. Tällöin tiedot voidaan helposti palauttaa mahdollisissa ongelmatilanteissa.

Varmuuskopioista voi olla hyötyä, jos kohtaa jonkinlaisen kiristyshaittaohjelman, joka lukitsee tärkeät tiedot ja vaatii lunnaita niiden avaamiseksi. Olipa yrityksellä ajantasaiset varmuuskopiot tai ei, kiristyshaittaohjelman levittäjän kanssa ei kannata neuvotella tai edes harkita lunnaiden maksua. Lue Kyberturvallisuuskeskuksen ohjeet tilanteen varalle.

Yhteisesti sovitut toimintatavat

Yrityksen kannattaa sopia yhteisistä toimintatavoista tietojen käsittelyn ja laitteiden käytön suhteen. Tällä tavalla voidaan edistää sitä, että yrityksen työntekijät toimivat mahdollisimman tietoturvallisesti. On hyvä pitää mielessä, että ihmisillä voi olla hyvinkin erilaiset lähtökohdat ja osaaminen, jonka takia tietoturva-asioihin kannattaa tarpeen mukaan tarjota myös koulutusta.

Salasanat ja todentaminen

Heikot tai helposti arvattavat salasanat ovat yksi keskeisimmistä tietoturvahaasteista, jonka takia niiden merkitystä ei voi ikinä liiaksi korostaa. Vahvat salasanat tulisikin olla jokaisella yrityksen työntekijällä käytössä. Yrityksen kannattaakin ohjeistaa työntekijöitä tietyn mittaisten ja tyyppisten salasanojen käyttämisestä sekä vaatia niiden säännöllistä vaihtamista.

Salasanan lisäksi voi olla hyödyllistä käyttää myös kaksivaiheista tunnistusta, jolloin pelkän salasanan vuotaminen ei ole niin vaarallista. Todentamiseen voidaan käyttää esimerkiksi tekstiviestillä tai sähköpostilla lähetettävää koodia tai erillistä autentikointiohjelmaa.

Paranna tietoturvaa huolehtimalla vahvoista salasanoista ja henkilöiden todentamisesta.

Kotisivujen tai verkkokaupan tietoturvan parantaminen

Kotisivujen ja verkkokaupan tietoturvan parantamiseen toimivat hyvin pitkälti samat keinot kuin yrityksen muunkin tietoturvan parantamiseen. Tärkeitä asioita ovat muun muassa:

  • säännölliset päivitykset,
  • ajantasaiset varmuuskopiot,
  • vahvat salasanat ja
  • kaskivaiheinen tunnistautuminen.

Yllämainittujen keinojen lisäksi on muutamia asioita, joihin kannattaa kiinnittää erityistä huomiota sivustojen kohdalla. Jos käytössäsi on WordPress-sivusto, kannattaa katsoa myös aiempi kirjoitus, miten parannat WordPressin tietoturvaa.

Valitse luotettava palveluntarjoaja

Suurin osa yrityksistä ei pyöritä kotisivujen tai verkkokaupan tarvitsemaa kotisivutilaa itse, eikä se usein olekaan tietoturvan kannalta paras vaihtoehto. Tämän takia kannattaakin kiinnittää erityistä huomiota luotettavan palveluntarjoajan valintaan, sillä se vaikuttaa suoraan sivustosi turvallisuuteen.

Zonerin palveluiden turvallisuus

Me Zonerilla pidämme hyvää huolta meillä olevista asiakkaista ja heidän sivustoistaan. Palvelintemme turvallisuus on varmistettu monikerroksisella suojauksella: kulunvalvonta, 24/7 paikalla oleva turvahenkilöstö sekä palontunnistus- ja -sammutusjärjestelmä. Lue Zonerin laitetiloista tarkemmin.

Webhotellipalvelimilla on käytössä modsecurity-säännöstö, jonka avulla suodatamme jo ennakolta saapuvaa liikennettä. Lisäksi käytössä on keskitetty automaattinen estolistaus massakirjautumista yrittäville (brute force). Sivustoille ajetaan myös päivittäin malware-skannaus, jolla havaitaan jos sivustolle on päästy murtautumaan

WP.one-palvelussa olevat sivustot puolestaan turvataan edistyneellä palvelintason teknologialla, Cloudflaren sisällönjakoverkoston tarjoamalla suojauskerroksella ja WP.onen omilla tietoturva toimilla. Seuraamme esimerkiksi sivustojen toimintaa 24/7, joten havaitsemme mahdolliset ongelmatilanteet nopeasti.

Ota käyttöön SSL-salaus

Jokaisen sivuston kannattaisi ottaa käyttöön SSL-salaus, joka salaa liikenteen sivuston ja käyttäjän välillä. Sivustojen välinen liikenne tapahtuu hyödyntämällä HTTP-protokollaa, kun HTTP-lyhteneen yhteydessä on myös kirjain S kuin secure kertoo se salatusta yhteydestä.

SSL-salaus on tärkeä etenkin verkkokaupoille, joissa usein käsitellään henkilötietoja. Nykyään myös yleisimmin käytössä olevat selaimet varoittelevat käyttäjiää niistä sivustoista, joilla ei ole SSL-salaus käytössä. Varoitus voi helposti johtaa varovaisen kävijän välittömään poistumiseen sivustolta, joten jokaisen sivuston kannattaisi hankkia salaus.

SSL-salausta varten tarvitaa SSL-sertifikaatti ja sen voi saada jopa täysin ilmaiseksi Let’s encrypt -sertifikaatin avulla. Vaihtoehtoisesti voidaan hyödyntää myös maksullista sertifikaattia. Maksulliset etuna ovat esimerkiksi sertifikaattien sisältämät vakuutukset.