10 vinkkiä, kuinka parannat yrityksesi kyberturvallisuutta

Tässä blogissa haluamme tuoda esille 10 vinkkiä, joilla voidaan parantaa yrityksesi kyberturvallisuutta. Suosittelemme kaikkia lukijoita tarkistamaan, onko teidän yrityksenne ottanut huomioon seuraavat seikat:

  1. Ota käyttöön monivaiheinen tunnistautuminen
  2. Tee tietoturvapäivitykset viipymättä
  3. Varmista tietoliikenteen turvallisuus
  4. Suojaudu haittaohjelmilta
  5. Varaudu palvelunestohyökkäyksiin
  6. Suojaa myös pilvipalvelut
  7. Varmista etäyhteyksien turvallisuus
  8. Huolehdi varmuuskopioit
  9. Tarkasta julkiseen verkkoon näkyvät palvelunne
  10. Tarkastele langattoman tietoliikenneverkon riskejä

1. Ota käyttöön monivaiheinen tunnistautuminen

On suositeltavaa, että kaikissa julkisesta verkosta tavoitettavissa ja kirjautumista vaativissa organisaatioiden palveluissa tulee aina olla käytössä vahva monivaiheinen tunnistautuminen (MFA, 2FA). Sääntö koskee myös kaikki niin organisaation omia kuin ulkoisten kumppanien vastuulla olevia palveluita.

Jos jostain syystä monivaiheinen tunnistautuminen ei ole mahdollista, tulee kyseinen järjestelmä suojata jotenkin muuten estämällä sen käyttö julkisesta verkosta.

2. Tee tietoturvapäivitykset viipymättä

Tarvittavat tietoturvapäivitykset tulee olla asennettuna viipymättä varsinkin julkisesta verkosta tavoitettavissa oleviin digitaalisiin palveluihin.

Aikaväli haavoittuvuuksien löytymisestä niiden laajamittaisen hyväksikäytön alkamiseen on lyhentynyt rajusti viime vuosien aikana. Kerran kuukaudessa päivittäminen ei enään nykyään riitä, vaan organisaatiolla tulee olla kyky reagoida päivitystarpeisiin viimeistään muutaman päivän kuluessa.

Tärkeää on myös päivittää päätelaitteiden haavoittuvuudet. Lisäksi erityisesti kaikki käytössä olevien laitteiden käyttöjärjestelmät, ohjelmistot sekä selaimet tulisi päivittää heti kun päivitys on saatavilla. Suositeltavaa olisi siirtää kaikki yrityksen päätelaitteet keskistettyyn hallitaan, jonka avulla voidaan pakottaa ainakin kriittiset päivitykset asennettaviksi viimeistään viikon kuluessa.

Organisaatiolla tulee olla kyky seurata kaikkia oman toimintaympäristönsä kannalta oleellisia haavoittuvuuksia sekä arvioida niiden merkitys, jotta yrityksen jatkuvuus voidaan taata. Päivitysten seurantaan vinkkinä voidaan pitää sitä, että monet valmistajat julkaisevat päivitykset ns. päivitystiistaina. Se on yleensä joka kuukauden toinen tiistai.

3. Varmista tietoliikenteen turvallisuus

Yrityksien pitää määritellä, mikä on sen verkossa toiminnan kannalta tarpeellista ja normaalia tietoliikennettä. Tärkeä on estää yrityksen palomuurilla kaikki tarpeeton tietoliikenne. Saapuvan ja ulospäin lähtevän tietoliikenteen tulee rajata ainoastaan toiminnan kannalta tarpeelliseen liikenteeseen.

Varsinkin ne tiedonsiirtoprotokollat, joita hyödynnetään haavoittuvuuksiin tai rikolliseen toimintaan julkisen verkon yli, tulee estää palomuurilla. Suositeltavaa on myös, että sisäverkossa tulisi siirtyä salattujen protokollien käyttöön kaikkialla missä se on mahdollista.

Tietoliikenteen turvallisuudessa tulee myös huomioida palvelimet sekä päätelaitteet. Näiden sovelluspalvelumuureilla sallitaan ainoastaan käytössä olevien sovellusten tarpeellinen tietoliikenne. Tällä tavalla vaikeutetaan organisaation verkkoon mahdollisesti päässeen tunkeutujan eteneminen ympäristöstä toiseen. Tätä tavoitetta tukee myös organisaation verkon segmentointi.

Vaulwall-palomuuripalvelumme tarjoaa laajan valikoiman erilaisia palomuuriratkaisuja aina Sophoksen rautapalomuureista virtuaalisiin palomuuriratkaisuihin.

4. Suojaudu haittaohjelmilta

Yrityksen ympäristöön pesiytyvät haittaohjelmat voivat muodostaa merkittävän riskin toiminnan jatkumiselle. On äärimmäisen tärkeää huolehtia kattavasta ja ajantasaisesta haittaohjelmatorjunnasta. Sen tulee kattaa koko yrityksen kaikki digitaaliset palvelut, palvelimet ja päätelaitteet.

Vain ja ainoastaan toimintakuntoiset tietoturvakontrollit voivat suojata organisaatiota. Tärkeää on huomioida, että tietoturvatuotteet on asennettu kattavasti kaikkialle, konfiguroitu oikein sekä ovat toimintakuntoisia.

Kaikki organisaatioon saapuvat ja sieltä lähtevät tiedostot tulee tarkastaa haittaohjelmien varalta. Yrityksen eri integraatiorajapinnoissa tulee huomioida haitalliselta sisällöltä suojautuminen.

Päätelaitteilla tulee ottaa käyttöön haitallisilta linkeiltä suojaavia kontrolleja. Päätelaitteilta tai palvelimilta tuleviin hälytyksiin tulee reagoida välittömästi. Kun hälytys saapuu, kohde pitää eristää yrityksen verkosta ja tutkia huolellisesti. Hälytys voi olla tunkeutumisyrityksen ensimmäinen merkki. Vaikka hälytyksiä ei tulisikaan, tulee tietoturvatuotteiden valvontalokeja tarkastella säännöllisesti.

Vaultsec-tietoturvapalvelumme kautta on mahdollista turvata yrityksen tärkeät palvelimet sekä päätelaitteet Sophoksen tietoturvaratkaisulla.

5. Varaudu palvelunestohyökkäyksiin

Palvelunestohyökkäykset ovat jokapäiväinen ilmiö. Tyypillisesti palvelunestohyökkäyksessä luodaan keinotekoisesti ruuhkaa palveluun täyttämällä palvelun käyttämän internetyhteyden kaista tai aiheuttamalla jollekin palveluketjussa olevalle laitteelle niin paljon prosessointikuormaa, että palvelun toiminta estyy (denial of service, DoS).

Yritysten tulisi arvioida, mihin sen digitaalisiin palveluihin voisi kohdistua sen toimintaa haittaava palvelunestohyökkäys. Tärkeitä kysymyksiä ovat:

  • Mitkä palvelut tulee toimia, jos organisaatioon kohdistuu palvelunestohyökkäys?
  • Kuinka kauan palvelunestohyökkäystä voidaan kestää, jotta toiminta ei häiriinny liiaksi?

Palvelunestohyökkäyksien tehokas torjuminen vaatii sellaista asiantuntemusta ja laitteistoa, mitä normaalisti ei ole käytettävissä. Jos jonkin palvelun toimivuus on yritykselle tärkeää, on otettava huomioon poikkeustilanteet, kun palvelun toteutusta suunnitellaan. Vähintään on tiedettävä, mistä ja minkälaisella aikataululla asiantuntija-apua on saatavilla.

Vaultsec DDoS-suojauspalvelulla voidaan estää kovemmatkin DDoS-hyökkäykset jo verkon reunalla ilman suurempia vaikutusta yrityksen toimintaan.

6. Suojaa myös pilvipalvelut

Yrityksillä on käytössä useita eri pilvipalveluita, joiden osalta tulee myös varmistaa, että kaikki yrityksen kannalta tarpeelliset tietoturvakontrollit on otettu käyttöön. Pilvipalveluiden oletusasetukset eivät aina ole yrityksen tietoturvan kannalta riittäviä.

Ulkoisissa pilvipalveluissa toimittaja vastaa infrastruktuurin turvallisuudesta. On syytä kuitenkin muistaa, että vastuu tiedon suojaamisesta on aina loppuasiakkaan vastuulla. Vaikka käytännön työn tekisinkin joku muu, tulee yrityksen itse johtaa siihen liittyvää tietoturvaa.

Tärkeintä on varmistaa tarvittavat tietoturvatasot pilvipalveluun esimerkiksi TNNetin Täysturvan avulla.

7. Varmista etäyhteyksien turvallisuus

Koronapandemian vuoksi jokainen yritys on joutunut toteuttamaan uusia etäyhteysratkaisuja. Rikolliset hyödyntävät laajasti etäyhteyksiin liittyviä tietoturvapuutteita. Jokainen etäyhteys lisää väistämättä yrityksen kyberturvallisuusriskiä, jolloin on tärkeää, että yritys arvioi ovatko olemassa olevat etäyhteydet enää tarpeellisia. Seuraavat kysymykset ovat oleellisia:

  • Onko yritys tietoinen kaikista etäyhteystavoista, joita sillä on käytössä oman henkilöstön tai kumppanien tarpeisiin?
  • Ovatko kaikki etäyhteydet vielä toiminnan kannalta välttämättömiä?
  • Tarvitseeko koko henkilöstö tai kaikki kumppanit vielä etäyhteyksiä?
  • Jos käytössä on ulkoisten kumppanien etäyhteyksiä organisaation ympäristöön, huomioidaanko niiden yhteydessä riittävästi riski tätä kautta tulevasta tunkeutumisesta?

Kun etäyhteyksien tarpeellisuus on selvitetty, olemassa olevien osalta tietoturvallisuus pitää varmistaa:

  • Onko etäyhteysratkaisu tarpeeksi turvallinen käyttötarkoitukseen ja onko se valmistajan tietoturvapäivityksen piirissä?
  • Etäyhteyden toteuttavan tuotteen haavoittuvuuksia seurataan aktiivisesti ja päivitykset asennetaan viipymättä.
  • Etäyhteysratkaisu on konfiguroitu turvalliseksi, sekä käyttöön on otettu vain yrityksen toiminnan kannalta välttämättömät toiminnallisuudet
  • Etäyhteyksien käyttäjätilejä ylläpidetään jatkuvasti ja tarpeettomaksi käyneet tilit suljetaan välittömästi.
  • Etäyhteyksien käyttöä valvotaan aktiivisesti ja niistä kerätään kattavaa valvontalokia. Tärkeää on, että yrityksellä on välitön pääsy lokeihin, vaikkakin palvelu olisi kolmannelta osapuolelta.

8. Huolehdi varmuuskopiot

Yrityksen on suotavaa ottaa kaikista toiminnan kannalta tärkeistä tiedoista säännöllinen varmuuskopiointi. Varmuuskopioihin tulee sisällyttää niin liiketoimintatiedon lisäksi myös erilaiset järjestelmäasetukset. Varmuuskopioiden avulla tulee kyetä palauttamaan toiminta tilanteessa, jossa koko yrityksen tietotekninen ympäristö joudutaan asentamaan uudelleen.

Varmuuskopioiden suojaamiseen tulee myös kiinnittää huomiota. Ympäristöön tunkeutunut taho ei saa missään tilanteessa päästää turmelemaan varmuuskopioita tai varastamaan tietoa salaamattomien varmuuskopioiden avulla. Tärkeää on muistaa ns. 321-sääntö, jossa tieto on tallennettu 3 eri paikkaan, se sijaitsee vähintään 2 eri laitteella ja 1 varmuuskopiointi on kokonaan erillisessä paikassa. Tähän TNNetillä on tarjota ratkaisu, jossa varmuuskopiointi toteutetaan Veeamin-ratkaisuilla kolmeen eri sijaintiin toimistolle, Kanavuoren laitesaliin sekä kolmanteen erilliseen laitesaliin.

Tärkeää on myös muistaa, että jotkut palveluntuottajat eivät varmista palveluitaan lainkaan. Tästä hyvänä esimerkkinä voidaan pitää Microsoftin M365-palvelua. TNNetin M365-varmuuskopionnin avulla pidät turvassa tärkeät sähköpostidatat.

9. Tarkasta julkiseen verkkoon näkyvät palvelunne

Kyberrikolliset etsivät jatkuvasti verkosta sellaisia yrityksien palveluita, joita he voivat hyödyntää. Useasti yritykset eivät ole tietoisia mitkä kaikki sen palvelut ovat vapaasti tavoitettavissa internetistä.

Yrityksen sisäiseen käyttöön tarkoitettu palvelu on saattanut päätyä julkiseen verkkoon epähuomiossa tai esimerkiksi palomuurin konfiguraatiovirheen takia.

10. Tarkastele langattoman tietoliikenneverkon riskejä

Yrityksien tulisi huomioida langattomien tietoliikenneverkkojen muodostamia riskejä kriittisten prosessien yhteydessä.

  • Yksikään toiminnan kannalta tärkeä tietoliikenneyhteys ei saisi perustua yhteen langattomaan teknologiaan. Suositeltavaa on, että käytössä olisi aina jokin muu vaihtoehtoinen tapa.
  • Tietoliikenteen salaus ei saisi koskaan perustua vain pelkkään langattoman teknologia tarjoamaan radioliikenteen salaukseen. Sen päälle suositellaan rakentaa tarpeeksi vahva päästä-päähän tyyppinen salaus.
  • Päätelaitteiden liikkuvissa yhteyksissä tulisi aina huomioida, että julkinen WLAN-verkko tai ulkomaisen operaattorin matkapuhelinverkko ei ole välttämättä aina turvallinen. Mikäli näitä joudutaan käyttämään, tulisi päätelaitteessa olla aina organisaation oma VPN-yhteys.

TNNetin langattoman verkon ratkaisuilla varmistamme aina, että langaton tietoliikenneverkko on aina suojattu. Suosittelemme lisäksi, että päätelaitesuojauksessa panostetaan tarvittavaan tietoturvaan VPN-yhteyden avulla käyttäen TNNetin Täysturvaa.

Lähteet:

https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/ohjeet-ja-oppaat/kyberturvallisuuden-vahvistaminen-suomalaisissa-organisaatiossa-ohje

Niko Niinijärvi
Markkinointipäällikkö