Tietoturvan 4 ”kuumaa perunaa”, jotka kannattaa laittaa kuntoon vielä tänä vuonna

Maxemilian Grönblom

Kirjoittaja: Maxemilian Grönblom, Developer & Partner, J&Co Digital

Tietoturva herättää keskustelua enemmän kuin koskaan. Uudet työkalut, muuttuva lainsäädäntö ja arjen kiire luovat ympäristön, jossa tietosuoja horjuu helposti, ellei toimintaa johdeta järjestelmällisesti.

Tässä J&Co:n tietoturvatiimin havaitsemat neljä kuumaa perunaa, jotka jokaisen organisaation kannattaa käsitellä mahdollisimman nopeasti.

1. Määritä selkeä AI-politiikka

Niin mukavaa kuin onkin valjastaa tekoälyä ajattelun apuriksi, vaatii sen käyttö aina tietoista harkintaa. ChatGPT:n ja muiden generatiivisten työkalujen avulla luodaan tekstiä, analysoidaan dataa ja kirjoitetaan koodia. Samalla niiden käyttö voi altistaa yrityksen tietovuodoille, jos ohjeistus puuttuu.

Esimerkki: Apple on rajoittanut työntekijöidensä pääsyä generatiivisiin tekoälytyökaluihin, kuten ChatGPT ja GitHub Copilot. Yhtiön mukaan rajoitus perustuu huoleen siitä, että työntekijöiden syöttämä data voisi päätyä ulkopuolisten palveluntarjoajien käyttöön tai jopa koulutusdataan, mikä voisi vuotaa yrityksen luottamuksellisia tietoja. Apple alkoi samalla kehittää omaa tekoälyä sen sijaan, että työntekijät käyttäisivät avoimia ulkopuolisia työkaluja. Näin Apple toimii esimerkkinä siitä, että vaikka tekoälyä halutaan hyödyntää, sen käyttö edellyttää rajoituksia ja paikoin omaa infrastruktuuria.

AI-politiikka määrittää, mitä tekoälyratkaisuja organisaatio hyödyntää, mitä tietoja niille saa syöttää ja kuka vastaa käytön valvonnasta. Kun linjaukset ovat selkeät, työntekijät käyttävät tekoälyä tehokkaasti mutta turvallisesti.

2. Ota kaksivaiheinen tunnistautuminen käyttöön

Useat tietoturvaviranomaiset, kuten Traficom ja NCSC-FI, ovat todenneet, että kaksivaiheinen tunnistautuminen olisi estänyt suuren osan viime vuosien tietomurroista. Tunnistautumisen lisävaihe toimii käytännössä ylimääräisenä lukkona – yksittäinen varmistus voi ratkaista, pysyykö sähköpostilaatikko tai pilvipalvelu suojattuna.

Tyypillinen tietomurto alkaa sähköpostista, jonka kautta hyökkääjä saa haltuunsa käyttäjän tunnuksen ja salasanan. Jos kirjautumiseen vaaditaan vielä erillinen vahvistus puhelinsovelluksessa tai fyysisessä avaimessa, hyökkäys pysähtyy heti.

Monet suuryritykset, kuten Google ja Microsoft, ovat raportoineet, että kaksivaiheinen tunnistautuminen estää yli 90 prosenttia tilien kaappausyrityksistä. Sama suojaus toimii myös pienissä organisaatioissa – ratkaisu ei vaadi monimutkaista järjestelmää tai suurta investointia, vaan ainoastaan päätöksen sen käyttöönotosta.

Turvallisin vaihtoehto perustuu kahteen fyysiseen laitteeseen, esimerkiksi tietokoneeseen ja puhelimeen. Tekstiviestivahvistus yksinään ei riitä, jos hyökkääjä hallitsee myös liittymää. Autentikaatiosovellus, kuten Microsoft Authenticator tai Google Authenticator, tarjoaa huomattavasti paremman suojan.

Kaksivaiheinen tunnistautuminen kannattaa ottaa käyttöön kaikissa keskeisissä järjestelmissä: sähköpostissa, projektinhallinnassa, pilvitallennuksessa ja sosiaalisen median tileillä. Yksi ylimääräinen klikkaus kirjautumisen yhteydessä vähentää riskiä moninkertaisesti.

3. Siirrä salasanat hallintaohjelmaan

Selaimen sisäinen salasananhallinta helpottaa arkea, mutta heikentää suojaa. Jos selain murretaan, hyökkääjä saa kaikki salasanat kerralla.

Tietoturvayhtiöt raportoivat jatkuvasti tapauksista, joissa rikolliset ovat saaneet pääsyn käyttäjien tileille selaimen kautta varastettujen salasanojen avulla. Tämä korostaa erillisten salasananhallintaohjelmien merkitystä.

Käytännön esimerkki: useat vuoden 2023 ja 2024 aikana paljastuneet tietomurrot, kuten Raccoon Stealer- ja RedLine-haittaohjelmakampanjat, onnistuivat varastamaan käyttäjien selaimiin tallennettuja salasanoja ja evästeitä. Haittaohjelma lähetti tiedot eteenpäin rikollisverkostoille, jotka käyttivät niitä kirjautuakseen sähköpostipalveluihin, sosiaalisen median tileille ja pilvipalveluihin.

Itse käytämme ja suosittelemme Bitwardenin kaltaisia hallintaohjelmia, jotka tallentavat tiedot salattuna ja ehdottavat vahvoja, yksilöllisiä salasanoja eri palveluihin. Niiden käyttö estää myös salasanojen kierrättämisen, joka on yksi yleisimmistä tietoturvariskeistä. Salasanojen hallintaohjelmat helpottavat lisäksi käyttöoikeuksien ylläpitoa ja poistamista, kun työntekijöitä siirtyy tehtävistä toisiin.

4. Kouluta henkilöstö tunnistamaan tietojenkalastelu

Tietojenkalastelu on edelleen yleisin tapa murtautua järjestelmiin. Huijausviestit näyttävät yhä useammin aidoilta ja sisältävät uskottavia yksityiskohtia.

Kyberturvallisuuskeskuksen raporttien mukaan yli 80 prosenttia organisaatioihin kohdistuneista hyökkäyksistä alkaa sähköpostilla. Harjoittelu ja koulutus vähentävät riskiä merkittävästi.

Monet suomalaiset yritykset järjestävät säännöllisiä kalastelusimulaatioita, joissa seurataan, kuinka moni työntekijä klikkaa linkkiä ja miten valppaus kehittyy. Kun tietoisuus kasvaa, virheiden määrä vähenee nopeasti ja tietoturva paranee ilman suuria investointeja.

Tietoturva kuuluu J&Co:ssa jokaisen devaajan pöydälle

J&Co:ssa tietoturva kulkee mukana ihan jokaisessa koodinpätkässä. Tietoturvatiimimme kokoontuu säännöllisesti seuraamaan ajankohtaisia uhkia, jakamaan havaintoja ja kehittämään yhteisiä käytäntöjä.

Tietoturva näkyy J&Co:n arjessa tietoturvallisina asiakasratkaisuina. Vielä kun asiakkaankin omat prosessit, koulutus ja valvonta toimivat rinnakkain, yönsä saa nukkua rauhassa.