kyber, kyberturvallisuus, kauppakamari, digitalisuus, digicyber, digitaalinen liiketoiminta Ajankohtaista, Yritykset

Pk-yrityksen tietoturvan parantaminen alkaa vastuuhenkilön nimeämisestä

Tietojen kalastelu, valelaskut ja parantuneet kiristyshaittaohjelmat – siinä uhkia, joihin yrityksissä pitää tänä päivänä varautua. Eikä vain suurten, vaan myös pienten- ja keskisuurten yritysten, kuten alihankkijoiden ja palveluntuottajien.
Essi Lindqvist
FacebookTwitterLinkedIn

Viestintäviraston Kyberturvallisuuskeskus varmistaa viestintäverkkojen ja -palveluiden turvallisen ja häiriöttömän toiminnan sekä turvaa yhteiskunnan elintärkeät toiminnot. Vastuu kyberturvallisuudesta ei silti ole vain viranomaisella, vaan myös jokaisella yrityksellä.

Tietoturva, viestintävirasto,-Pienissä ja keskisuurissa yrityksissä tietoturva-asiat voisivat olla paremmalla tasolla. Monessa pienessä yrityksessä ei esimerkiksi ole vastuutettu tietoturva-asioita nimetylle tietoturvahenkilölle. Myös johdon tuki on tärkeää, painottaa Kyberturvallisuuskeskuksen erityisasiantuntija Lasse Laukka. 

Laukka kertoo, mitä kyberuhista pitää tietää juuri nyt kauppakamarin DigiCyber-projektin järjestämässä tilaisuudessa.

Kohdistetut kiristyshaittaohjelmahyökkäykset aiheuttavat suurta tuhoa

Tietoturva, kyberturvallisuus, viestintävirasto, infograafi,Varautuakseen erilaisiin uhkiin yrityksissä on myös syytä seurata Kyberturvallisuuskeskuksen antamia varoituksia.

Esimerkiksi kiristyshaittaohjelmat ovat parantuneet. Ne käyttävät hyviä salausalgoritmeja, joiden purkaminen on erittäin vaikeaa tai lähes mahdotonta.

-Viime aikoina on nähty niin sanottuja kohdistettuja kiristyshaittaohjelmahyökkäyksiä, joissa kiristyshaittaohjelma pyritään levittämään yrityksen sisäverkkoon laajalle ennen kuin tunkeutuja lukitsee kohteet. Lukitseminen tapahtuu yhtäaikaisesti, jolloin tuhot ovat yleensä hyvin laajoja, Laukka varoittaa.

13.5. 2017 annettu varoitus: WanaCrypt0r-kiristyshaittaohjelmasta on havaintoja myös Suomessa. Kyseistä kiristyshaittaohjelmaa levitetään aktiivisesti. Windows-järjestelmien välitön päivittäminen on tärkeää.

Tietojen kalastuksen osalta merkittäviä muutoksia hyökkääjien toiminnassa ei ole havaittu.

-Surullinen tosiasia kuitenkin on, että tietojenkalastelu on helppo ja toimiva tapa hyökkääjälle ja siksi sen suosio on korkealla, Laukka muistuttaa.

Alihankkijat ja palveluntuottajat kiinnostavat rikollisia

Alihankintaketjut ovat digitalisoitumisen myötä kytkeytyneet entistä tiiviimmin toimeksiantajiensa toimintaan ja usein myös tavalla tai toisella näiden tietojärjestelmiin.

Alihankkijoilla tai muilla palveluntoimittajilla kuten asianajotoimistoilla, suunnittelutoimistoilla ja kirjanpitoyrityksillä on usein hallussaan toimeksiantajien luottamuksellisia tietoja. Tämä tekee pienistä ja keskisuurista yrityksistä kohteita joko reittinä toimeksiantajan tietojärjestelmään tai hallussaan olevan luottamuksellisen tiedon vuoksi. Muutoin nämä yritykset eivät välttämättä yksilöityisi rikollisen toiminnan kohteeksi.

DigiCyber logoKauppakamarin DigiCyber-hanke järjestää 17.5. maksuttoman tilaisuuden, jossa kerrotaan alihankkijoihin kohdistuvat kyberuhista. Lisäksi kerrotaan suurten yritysten auditoinneista, sillä suuret yritykset auditoivat myös alihankkijoidensa tietoturvallisuutta. Tapahtumassa myös kerrotaan konkreettisista tapauksista sekä annetaan neuvoja, mitä yritysten pitää huomioida ollessaan alihankkijana sellaiselle taholle, jonka toiminta tai tieto kiinnostavat rikollisia.

Kesä on valelaskuttajan kulta-aikaa

Valelaskuihin voidaan varautua henkilöstön koulutuksella ja asiasta tiedottamisella. Myös nämä perusneuvot kannattaa muistaa:

  • Älä luota sokeasti sähköpostin lähettäjätietoihin, koska ne ovat kohtuullisen helposti väärennettävissä.
  • Sovi käytännöt, minkä suuruisia maksuja voi käsitellä yksin ja miten laskutustiedot tarkistetaan.
  • Kouluta henkilökunta tunnistamaan eri tavoin toteutetut huijausyritykset
  • Jaa havainnot huijausyrityksistä:
  • organisaation sisällä,
  • Kyberturvallisuuskeskukselle lomakkeella
  • tee tarvittaessa rikosilmoitus.

Lähde: Kyberturvallisuuskeskus, Lasse Laukka

Kommentoi