Skip to main content
Yleinen

Nyt sitten lirahti :(

Kirjoittanut 26.10.202024 lokakuun, 2022Ei kommentteja4 min lukuaika

Monen suomalaisen henkilökohtainen tietosuoja koki valtavan loukkauksen viime viikolla julki tulleessa Psykoterapiakeskus Vastaamon tietomurrossa. Tapaus on varmasti avannut silmiä hyvin monella tasolla, ja herättänyt huolestuneita ajatuksia niin henkilökohtaisen kuin organisaation tietoturvan osalta. Jos tästä tapauksesta voi edes jotain hyvää yrittää kaivella, niin varmasti tietoturvatietoisuuden parantuminen on yksi niitä asioita. Toivottavasti myös ihmisten kunnioitus toisen terveyttä ja siihen liittyviä tietoja kohtaan paranee myös. Viime kädessä viivan oikean ja väärän välillä joutuu jokainen vetämään itse.

Ei ole yhtäkään organisaatiota tai yhteisöä, joka voisi ohittaa tietoturvan vaatimukset olankohautuksella.

Miten tästä noustaan?

Tärkein ensin

Tietomurron uhreille täytyy tarjota apua. Ihan sitä samaa apua kuin muissakin kriiseissä: kuuntele, tue ja ole saatavilla. Kaikki murheet ovat inhimillisiä ja apua hakeneet ovat niitä rohkeimpia henkilöitä.

Käytännön ohjeita on pistänyt tarjolle mm. aivan mahtava KyberVPK:n porukka:

https://kybervpk.fi/releases/muistilista-tietovuodon-kohteille

Henkilökohtaisen tietoturvan osalta on hyvä muistaa muutama asia

Sinulla on oikeuksia omiin henkilötietoihisi. Vaikka kaikkeen niihin liittyvään et voi vaikuttaa, kannattaa tarkastaa Tietosuojavaltuutetun toimiston sivuilta mitä nämä oikeudet ovat:

https://tietosuoja.fi/rekisteroidyn-oikeudet

Voit myös vaikuttaa sinusta saatavilla olevaan tietoon miettimällä missä sitä jaat ja millä tavoin.

 

  • Suurin osa tietomurroista tapahtuu edelleen heikkojen salasanojen myötä. Salasanat kannattaa päivittää pitkiksi, n. 15-20 merkkiä sisältäviksi. Pääasia ei ole monimutkaisuus, vaan pituus. Hassut, helposti muistettavat lorut ja lauseet toimivat hyvin.
  • Käytä luotettavia, tunnettuja palveluita. Jos palvelu tukee vahvaa tunnistautumista, se kannattaa aina ottaa käyttöön.

Yrityksen tietoturvan ei tarvitse olla kallista velhoilua. Perusasioiden miettiminen ja kunnostaminen riittää.

  • Kartoita missä säilytätte tietoa. Etenkin henkilötietoja, unohtamatta kuitenkaan liiketoimintakriittistä tietoa

 

  • Mieti myös mihin henkilötietoa on voinut jäädä ”lojumaan”, esimerkiksi:
    • Jos olette siirtyneet järjestelmästä toiseen, onko tietoa voinut jäädä vanhaan järjestelmään tai johonkin siirtovaiheessa käytettyyn välisäilöön?
    • Onko tietoa viety järjestelmästä ulos esimerkiksi Exceliin tai CSV-tiedostoon?
      • Työntekijöitä voi säännöllisin välein kannustaa siivoamaan kaikki tarpeettomat tiedostot pois
    • Onko joku vanha järjestelmä vielä pystyssä ”varmuuden vuoksi” tai onko sen rooli muuttunut?
      • Kannattaa kartoittaa ylipäätään kaikki järjestelmät, palvelimet sekä palvelut ja sammuttaa turhat pois – vaikka niissä ei ”pitäisi” mitään henkilötietoja ollakaan

 

  • Tiedon muodolla ei ole väliä
    • CSV- tai muu tekstitiedosto, tietokanta, Excel-tiedosto, Sharepoint-lista tai yksittäinen sähköposti ovat kaikki saman arvoisia, jos ne sisältävät huomattavia määriä henkilötietoa
    • Myös valokuvat ovat henkilötietoa, jos henkilö on niistä tunnistettavissa

 

  • Henkilökohtaiset tunnukset
    • Perinteisesti eri järjestelmiin ja palveluihin on ollut aina se yksi pääkäyttäjätunnus, jonka salasanan saattaa moni tietää. Tämä käytäntö täytyy muuttaa!
    • Luokaa mahdollisuuksien mukaan aina henkilökohtaiset hallintatunnukset kaikille pääkäyttäjille

 

  • Ne salasanat!
    • Käyttäjien, pääkäyttäjien ja järjestelmien salasanat – kaikki on murrettavissa, etenkin jos ne ovat heikkoja
    • Kannusta oikeaan salasanamalliin: 15-20 merkkiä pitkiä, helposti muistettavia lauseita tai loruja
    • Jos et tiedä milloin järjestelmien tai palveluiden pääkäyttäjien salasanat on vaihdettu, tai kenellä se on tiedossa, nyt on oikea aika vaihtaa salasana (esim. admin tai Domain Admin -tyyppiset tunnukset)
    • Ota käyttöön vahva tunnistautuminen kaikissa palveluissa, jos se vain mitenkään on mahdollista

 

  • Palveluiden julkaisu julkiseen verkkoon
    • Kun tiedät mitä palveluita, järjestelmiä tai tunnuksia organisaatiossasi on, voit myös hallita niihin pääsemistä
    • Turhat ikkunat ja aukot kannattaa muurata umpeen

jatkamme!

  • Päivitykset
    • Työasemien, laitteiden, palvelimien ja organisaation käyttämien palveluiden täytyy olla päivitetty ajan tasalle. Tietoturva-aukot ovat keskimäärin kenen tahansa ATK:sta kiinnostuneen henkilön hyödynnettävissä
    • Pidä huoli myös ihmisten päivittämisestä. Tietoturva ja tietoisuus siitä on kaikkien yhteinen asia

 

  • Tiedon suojaaminen ei ole rakettitiedettä, eikä lähtökohtaisesti vaadi kalliita hankintoja tai konsultointia
    • Tietoturvaan käytetty aika ei ole koskaan hukkaan heitettyä, vaikka se olisi hetkellisesti pois yrityksen liiketoiminnasta
    • Yleensä organisaation oma henkilöstö tuntee parhaiten organisaation käyttämät palvelut. Jokaisen mielipide ja tietämys on tärkeää
    • Ulkoiset toimijat voivat tukea ja auttaa tietoturvan parantamisessa, mutta vastuuta ei voi eikä kannata ulkoistaa

 

  • Täydellistä ei kannata tavoitella, sitä tietoturvassa ei voi saavuttaa
    • Kaikki parantavat toimet ovat eduksi, pienimmätkin
    • Aloita niistä asioista mitkä tunnet ja mihin tiedät voivasi vaikuttaa
    • Luo jonkinlainen työlista tai tiekartta miten tietoturvasta huolehditaan
    • Älä murehdi siitä mitä et tiedä, keskity siihen mitä voit tehdä

Tietoturva on vaikea laji. Se voidaan kokea pelottavana, vaikeana, raskaana tai joskus turhanakin asiana. Turhaa se ei koskaan ole ja pelätä sitä tarvitsee vain, jos asian suhteen ei ole tehty koskaan mitään. Kun aloittaa pienistä asioista, jatkaa määrätietoista tekemistä, se ei ole vaikeaa eikä raskastakaan. Tärkeintä on, että teet edes jotain, ja aloitat perusasioista. Se riittää pitkälle.

Kyllä me tästäkin selviämme!

Pilvikuiskaaja Riku Mustila