Kyberturva organisaatiossa

Kyberturvallisuuden perusteet

Käsi ja ilmassa leijuva lukko

Johdanto kyberturvallisuuteen

Kyberturvallisuus tarkoittaa toimenpiteitä, joilla suojataan tietokoneita, verkkoja, ohjelmistoja ja tietoja luvattomalta käytöltä, vahingoittamiselta tai hyökkäyksiltä.

Kyberturvallisuus ei ole pelkästään tekninen kysymys. Se on myös organisatorinen ja inhimillinen haaste. Suuri osa tietoturvapoikkeamista johtuu inhimillisistä virheistä tai puutteellisista prosesseista.

Kyberturvallisuuden peruspilarit: CIA-kolmio

Kyberturvallisuuden keskeinen viitekehys on CIA-kolmio, joka koostuu kolmesta perusperiaatteesta.

Luottamuksellisuus
Tiedon saatavuus vain valtuutetuille osapuolille. Tavoitteena on estää luvaton pääsy arkaluonteisiin tietoihin.
Eheys
Tiedon oikeellisuuden ja muuttumattomuuden varmistaminen. Tieto ei saa muuttua luvattomasti.
Saatavuus
Tiedon ja järjestelmien käytettävyys valtuutetuille käyttäjille silloin, kun niitä tarvitaan.

Yleisimmät kyberuhat

Haittaohjelmat

Haittaohjelmat ovat ohjelmia, jotka on suunniteltu vahingoittamaan tietojärjestelmiä tai keräämään tietoa luvattomasti.

  • Virukset leviävät liittämällä itsensä muihin ohjelmiin tai tiedostoihin.
  • Troijalaiset naamioituvat hyödyllisiksi ohjelmiksi, mutta tekevät vahinkoa salaa.
  • Kiristysohjelmat salaavat tiedostot ja vaativat lunnaita.
  • Vakoiluohjelmat keräävät käyttäjätietoja huomaamatta.
  • Bottiohjelmat ottavat laitteen haltuun etähallintaa varten.

Tietojenkalastelu

Tietojenkalastelu on yksi yleisimmistä ja vaarallisimmista kyberuhkista. Hyökkääjät esiintyvät luotettuina tahoina saadakseen uhrin paljastamaan arkaluonteisia tietoja.

  • Sähköpostikalastelu tarkoittaa vilpillisiä viestejä luotettujen tahojen nimissä.
  • Vishing tarkoittaa puhelinsoitoilla tapahtuvaa huijausta.
  • Smishing tarkoittaa tekstiviestihuijauksia.
  • Spear phishing tarkoittaa kohdennettuja hyökkäyksiä tiettyä henkilöä tai organisaatiota vastaan.

Muut merkittävät uhkat

  • Palvelunestohyökkäykset ylikuormittavat palvelun ja voivat kaataa sen.
  • SQL-injektio hyödyntää tietokantahaavoittuvuuksia.
  • Man-in-the-Middle-hyökkäyksessä viestintää salakuunnellaan tai manipuloidaan.
  • Nollapäivähaavoittuvuudet ovat tuntemattomia tietoturva-aukkoja.
  • Sosiaalinen manipulointi hyödyntää ihmisten luottamusta ja käyttäytymistä.

Suojautumiskeinot

Salasanat ja tunnistautuminen

Vahvat salasanat ja monivaiheinen tunnistautuminen ovat keskeisiä suojautumiskeinoja.

  • Käytä vähintään 12 merkkiä pitkiä salasanoja.
  • Käytä isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä.
  • Käytä uniikkia salasanaa jokaisessa palvelussa.
  • Hallitse salasanoja salasanahallintaohjelmalla.

Ohjelmistopäivitykset

Ajantasaiset ohjelmistot ovat kriittinen osa kyberturvallisuutta. Päivitykset korjaavat tunnettuja tietoturva-aukkoja.

  • Ota automaattiset päivitykset käyttöön.
  • Päivitä selain ja laajennukset säännöllisesti.
  • Poista ohjelmistot, joita et enää tarvitse.
  • Tarkista kriittiset järjestelmäpäivitykset nopeasti niiden julkaisun jälkeen.

Verkkoturvallisuus

  • Käytä VPN-yhteyttä julkisissa WLAN-verkoissa.
  • Varmista, että kotireitittimen salasana on vahva ja uniikki.
  • Erota IoT-laitteet omaan verkkosegmenttiinsä.
  • Käytä palomuureja ja tunkeutumisen havaitsemisjärjestelmiä.
  • Vältä arkaluonteisten tietojen käsittelyä suojaamattomissa verkoissa.

Varmuuskopiointi

Säännöllinen varmuuskopiointi on tärkeä suoja kiristysohjelmia ja tietokatastrofeja vastaan.

Hyvä perusmalli on 3-2-1-sääntö:

  • 3 kopiota tiedoista.
  • 2 eri tallennusvälinettä tai -tapaa.
  • 1 kopio fyysisesti eri paikassa.

Kyberturvallisuus organisaatiossa

Tietoturvapolitiikka ja käytänteet

Jokaisen organisaation tulisi määritellä selkeä tietoturvapolitiikka.

  • Hyväksyttävän käytön periaatteet.
  • Salasana- ja käyttöoikeushallinnan käytänteet.
  • Tietojenluokittelujärjestelmä.
  • Poikkeamien hallintaprosessi.
  • Etätyön tietoturvavaatimukset.

Henkilöstökoulutus

Inhimillinen tekijä on usein heikoin lenkki tietoturvaketjussa. Siksi säännöllinen koulutus on välttämätöntä.

  • Tietojenkalastelun tunnistaminen ja raportoiminen.
  • Sosiaalisen manipuloinnin tunnistaminen.
  • Turvallinen etätyöskentely.
  • Tietoturvapoikkeamien ilmoittaminen.
  • Tietosuoja ja GDPR-vaatimukset.

Zero Trust -arkkitehtuuri

Zero Trust on moderni tietoturvaviitekehys, jonka periaate on: älä luota kehenkään, varmista kaikki.

  • Kaikki käyttäjät ja laitteet verifioidaan aina.
  • Pääsyoikeudet myönnetään vähimmäisoikeusperiaatteen mukaisesti.
  • Verkkoliikenne segmentoidaan ja valvotaan jatkuvasti.
  • Toiminnot kirjataan lokiin auditointia varten.

Kyberturvallisuuden sääntely ja standardit

Keskeinen lainsäädäntö

GDPR
EU:n yleinen tietosuoja-asetus, joka säätelee henkilötietojen käsittelyä ja vaatii asianmukaiset tietoturvatoimet.
NIS2-direktiivi
EU:n verkko- ja tietojärjestelmien turvallisuusdirektiivi, joka tiukentaa vaatimuksia kriittisillä toimialoilla.
Kyberturvallisuuslaki
Suomen kansallinen lainsäädäntö, joka toimeenpanee NIS2-direktiivin vaatimuksia.
DORA
EU:n digitaalinen operatiivinen häiriönsietokykyasetus finanssialalle.

Kansainväliset standardit

  • ISO/IEC 27001 – tietoturvallisuuden hallintajärjestelmien standardi.
  • NIST Cybersecurity Framework – kyberturvallisuuden viitekehys.
  • SOC 2 – palveluorganisaatioiden tietoturvan auditointistandardi.
  • PCI DSS – maksukorttidatan suojaamiseen liittyvä standardi.

Reagoiminen kyberturvapoikkeamiin

Vaikka suojaustoimilla pyritään estämään poikkeamat, organisaation on oltava valmistautunut myös niiden käsittelyyn.

  1. Tunnistaminen: poikkeaman havaitseminen seurannan, lokianalyysien tai käyttäjäilmoitusten perusteella.
  2. Rajaaminen: poikkeaman leviämisen estäminen eristämällä vaikuttuneet järjestelmät.
  3. Juurisyyn analysointi: hyökkäyksen alkuperän ja kulun selvittäminen.
  4. Poistaminen: haittaohjelman tai hyökkääjän poistaminen järjestelmistä.
  5. Palauttaminen: järjestelmien palauttaminen normaaliin tilaan.
  6. Oppimisvaihe: tapahtumasta oppiminen ja prosessien parantaminen.

Yhteenveto ja parhaat käytänteet

Kyberturvallisuus on jatkuva prosessi, ei kertaluonteinen projekti.

  • Käytä vahvoja ja uniikkeja salasanoja.
  • Ota monivaiheinen tunnistautuminen käyttöön tärkeissä palveluissa.
  • Pidä ohjelmistot ja käyttöjärjestelmät ajan tasalla.
  • Tee säännöllisiä varmuuskopioita ja testaa niiden toimivuus.
  • Ole valppaana tietojenkalasteluviesteille ja epäilyttäville linkeille.
  • Käytä salattuja yhteyksiä arkaluonteisessa käytössä.
  • Kouluta itseäsi ja organisaatiotasi säännöllisesti.
  • Laadi ja testaa reagointisuunnitelma poikkeamia varten.