Tietoturva – Atao Oy

Tietoturva

  • Tietoturva

    Tietoturvallista kesää!

    ” Etätyöskentelyyn liittyy omat riskinsä, siksi tietoturva on syytä hoitaa sille tasolle kuin se olisi toimistoltakin käsin.”

    Saunomisen ja grillauksen lisäksi kesällä tehdään myös huomattavasti etätöitä. Yhä harvempi pystyy koko loman ajaksi sulkemaan läppärinsä vaan sadepäivinä hoidetaan hiukan työasioita. Etätyöskentelyyn liittyy omat riskinsä, siksi tietoturva on syytä hoitaa sille tasolle kuin se olisi toimistoltakin käsin.

    Helposti mukana kulkevilla päätelaitteilla, kuten tabletilla, läppärillä ja älypuhelimella pääsee kätevästi käsiksi yrityksen tietoihin ja asioiden hoitaminen sujuu näppärästi etänä. Kuitenkin, helposti kuljetettava laite on myös helposti varastettava. Älypuhelimien ja tablettien salauskoodit ja pin-kyselyt onkin syytä pitää päällä, samoin mahdollisuus poistaa laitteen tiedot etänä on hyvä varmistaa. Läppärillä oleva tieto on syytä suojata tehokkaasti soveltuvalla kryptausratkaisulla eikä varmuuskopioinnin merkitystä voi lomallakaan liikaa korostaa.

    Matkustaminen lisää jo suoraan laitteisiin liittyvää varastamisen ja kadottamisen riskiä, mutta erityisesti ulkomailla tulee varmistaa turvallinen verkkoyhteys. Datan hinnoittelu mobiiliverkossa on edelleen paikoin arvokasta, joten houkutus käyttää lentoasemien, kahviloiden ja hotellien avoimia wlan-verkkoja on erityisesti ulkomailla suuri. Tähän liittyy paljon epävarmuustekijöitä, koska avoimen wlan-verkon voi perustaa kuka tahansa millä tahansa luotettavaltakin kuulostavalla nimellä. Kaikki liikenne avoimessa wlan-verkossa on varsin helposti seurattavissa, joten salasanat, käyttäjätunnukset ja viestiliikenne ovat todellisessa vaarassa. Tietylle käyttäjäryhmälle, kuten hotellin asiakkaille, salasanalla rajattu verkko auttaa vain hieman, lisäsuojaa surfailuun kannattaa miettiä VPN-ratkaisuista. Yrityksen sisäiseen tietoverkkoon pääsyyn VPN:n tulisi olla vähimmäisvaatimus.

    Kahvilan nurkkapöytä ei ole helpoin ja tietoturvallisin työympäristö kun haluaa huolehtia salassa pidettävien tietojen pysymisestä salassa. Etätyötä tehtäessä sivullisten on toimisto-olosuhteita helpompi kuulla tai nähdä tietoja, joten läppärien näytönsuojakalvot kannattaa pitää paikoillaan ja jättää luottamukselliset puhelinkeskustelut tilaan, jossa yksityisyyden voi varmistaa.

    Etukäteen kannattaa vielä miettiä toimintaohjeet pahimman varalle; kehen yhteys jos älypuhelin varastetaan tai läppäri hajoaa pudotessaan? Hyvin suunnitellut ennakkotoimet pitävät tapahtumien seuraukset pieninä, ja lomaakin voi jatkaa kun tiedostaa sen hajonneen läppärin varmuuskopionnin olleen kunnossa.

    Joni Väisänen, asiantuntija

  • Tietoturva

    Muistitko suojata verkkoliikenteesi?

    ”Ataon Antti Sekki kirjoittaa Menesty yrittäjänä –blogisarjaa Kauppalehdessä. Lue koko 2020 – luvun kilpailutekijöitä käsittelevä blogi Kauppalehden sivuilta”

    Tilastokeskuksen tietojen mukaan 95 prosentilla suomalaisista pk-yrityksistä on nettisivu. Entistä useampi näistä sivuista on rakennettu kahdensuuntaiseen liikenteeseen. Mielenkiintoisten sisältöjen ja mainoskampanjoiden avulla asiakasta koukutetaan lataamaan erilaisia tiedostoja ja infopaketteja. Asiakkaan näkökulmasta mikään ei ole kuitenkaan ”ilmaista”, vaan sisältöjen lataaminen edellyttää henkilötietojen, sähköpostiosoitteiden tai muun informaation syöttämistä.

    Huomattavasti sensitiivisempää tietoa kerätään verkkokaupoissa ja erilaisissa business portaaleissa. Monessakin mielessä käyttäjätunnusten luomisesta sekä luottokortti- ja identiteettitietojen luovuttamisesta on tullut nettikäyttäjälle arkipäivää. Moni käyttäjä ei kuitenkaan ymmärrä, että kaikki webissä kirjoitettu tieto voidaan lukea ja tallentaa, ellei sitä ole oikeaoppisesti suojattu. Verkossa liikkuu huomattava määrä erilaisia verkkorikollisia, jotka haluavat päästä käsiksi asiakkaiden identiteettiin – ja hyötyä siitä kaupallisesti.

    Lue Lisää >

    Antti Sekki, osakas

  • Tietoturva

    Tietojen kalastelu uhkaa myös yrityksiä

    ”Monilla liiketoiminnassa käsiteltävä tieto on yksi arvokkaimmista resursseista, jota suojellaan tarkoin.”

    Tietojen kalastelusta (phishing) on tullut maailmanlaajuisesti yhä yleisempää ja se kohdistuu jatkuvasti myös uusiin tahoihin. Kohteena ovat niin yksittäiset henkilöt kuin yrityksetkin, joista monilla liiketoiminnassa käsiteltävä tieto on yksi arvokkaimmista resursseista, jota suojellaan tarkoin.

    Tietojen kalastelulla pyritään saamaan selville luottamuksellisia tietoja, joista halutuimpia lienevät luottokorttitiedot ja salasanat, joiden väärinkäytöllä saadaan aiheutettua huomattavaakin taloudellista vahinkoa. Useat yritykset pohjaavat tietoturvansa edelleen pelkästään teknisiin ratkaisuihin: virustorjuntaan, palomuuriin ja salasanakäytäntöihin. Valitettavasti nämä keinot eivät kuitenkaan ole riittäviä verkkourkinnalta suojautumiseen, sillä tietojen kalastelussa hyödynnetään myös hyväuskoisia käyttäjiä. Huijaukset eivät enää ole vain kömpelöllä suomen kielellä kirjoitettuja sähköpostiviestejä, joissa pyydetään verkkopankki- tai luottokorttitietoja, vaan hyvinkin taitavasti toteutettuja aidon oloisia sähköpostiviestejä tai verkkoon pystytettyjä, aitoa palvelua jäljitteleviä, huijaussivustoja.

    Henkilöstön tietoturvaosaaminen ja tietoturvalliset käytännöt ovat merkittävässä asemassa tietojen kalastelulta suojautumisessa. Hyvä esimerkki on standardoitu tietoturvallisuuden hallintajärjestelmä ISO 27001, jota voidaan hyödyntää määrittämään yrityksen kannalta arvokkaat tiedot ja ohjata niiden käsittelyä. Arvioimalla näiden tietojen käsittelyyn liittyvät riskit tietojen kalastelun näkökulmasta henkilöstöä voidaan kouluttaa tunnistamaan tietojen kalastelun tunnusmerkkejä ja välttämään vakavat seuraukset. Samalla voidaan arvioida mahdollisten teknisten ratkaisujen tarpeellisuus.

    Suomessa Viestintävirasto on helmikuussa 2016 julkaissut yleisen tietoturvavaroituksen tietojen kalasteluun liittyen. Asiaan liittyvät riskit tulisi myös arvioida yrityksissä ja laatia toimenpiteet, jotta riskit arvokkaan tiedon menettämiseen ja taloudellisiin vahinkoihin saadaan hallintaan.

    Joni Väisänen, asiantuntija

  • Tietoturva

    CSV ja API – tietojärjestelmäintegraatioiden merkitys johtamisjärjestelmän ylläpidossa

    ”Olemme näkemässä muutosta suuntaan, jossa tiedot päivittyvät automaattisesti julkaisuissa.”

    Ataon asiakkaat käyttävät Umbrella Interactive –järjestelmää johtamisjärjestelmän ylläpitoon. Tällä hetkellä käyttäjän halutessa esittää dataa julkaisulla, hän tyypillisesti tuo taulukkoon tai kaavioon tulevan tiedon kertaalleen Umbrellaan ja julkaisee haluamansa tulokset tämän perusteella. Olemme kuitenkin näkemässä muutosta suuntaan, jossa tiedot päivittyvät automaattisesti julkaisuissa.

    Alla on tyypillinen esimerkki sivusta, jolle on tuotu tilastodataa taulukon muodossa. Sivu on taitettu Umbrellan työvälinein ja data on tuotu Umbrellaan kertaalleen ennen sivun julkaisua.

    tietoturva_umbrella

     

    Tieto voidaan jo nykyään tuoda taulukoihin CSV-tiedostoina, jonka saa esimerkiksi Excelistä.

    lataus

    Tällaiset siirtotiedostot ovat jo vakioitu tapa siirtää tietoa järjestelmien välillä. Lähtöjärjestelmä on asetettu tuottamaan säännöllisin välein tiedosto esim. tietylle verkkolevylle, johon myös Umbrellalla on pääsy. Umbrella lukee sitten tiedon halutun aikavälein.

    Tietoturvan kannalta oleellista on suojata verkkolevy ja tiedonsiirto siten, etteivät ulkopuoliset pääse muokkaamaan (tai lukemaan) tietoa siirron aikana. Siirto voidaan suojata esimerkiksi TLS-menetelmällä (Transport Layer Security – aiemmin puhuttiin SSL-yhteyksistä).

    Toinen harkittava aspekti on tiedon automaattinen julkaisu: voidaanko tiedon tuottavaan järjestelmään luottaa niin, että tieto saa automaattisesti päivittyä julkaisussa vai vaatiiko se tarkastuksen ennen julkaisua?

    Alamme myös nähdä tarpeita toisen tyyppiselle integraatiolle. Tässä lähtöjärjestelmä tai -järjestelmät siirtäisivät tietoa Umbrellaan järjestelmäkutsujen avulla. Kontrollin suunta kääntyy: lähtöjärjestelmä voi tuottaa tiedon haluttuun aikaan ja ”käskyttää” Umbrellaa ottamaan tiedon vastaan. Tällöin Umbrellassa olisi valmis kirjasto rutiineja, joita käskyttävä ohjelma voi hyödyntää. Tällaista rutiinikirjastoa kutsutaan nimellä API (Application Programming Interface). Keräämme tällä hetkellä asiakkaiden tarpeita, joiden perusteella teemme toteutussuunnitelman.

    Tietoturvan kannalta tarpeetkin muuttuvat: Umbrellan pitää varmistaa, että käskyttävällä ohjelmalla on todellakin valtuutus lähettää tietoa. Lähtöjärjestelmän pitää siis pystyä tunnistautumaan Umbrellaan. Varsinainen tiedon siirron suojaus voidaan hoitaa tässäkin tapauksessa esim. TLS-menetelmän avulla.

    Otamme mielellämme vastaan toiveita integraatioiden osalta. Tämä auttaa meitä muovaamaan optimaalisen kehityspolun asiakkaidemme kannalta.

    Pertti Eskelinen, CEO, Wesentra Oy

    Wesentra on Ataon kumppani tietojärjestelmäkehityksessä