PK-yrityksen kyberturvallisuuden kehittäminen

Transkriptio

1 PK-yrityksen kyberturvallisuuden kehittäminen 1

2

3 PK-yrityksen kyberturvallisuuden kehittäminen

4 Huoltovarmuudella tarkoitetaan kykyä sellaisten yhteiskunnan taloudellisten perustoimintojen ylläpitämiseen, jotka ovat välttämättömiä väestön elinmahdollisuuksien, yhteiskunnan toimivuuden ja turvallisuuden sekä maanpuolustuksen materiaalisten edellytysten turvaamiseksi vakavissa häiriöissä ja poikkeusoloissa. Huoltovarmuuskeskus (HVK) on työja elinkeinoministeriön hallinnonalan laitos, jonka tehtävänä on maan huoltovarmuuden ylläpitämiseen ja kehittämiseen liittyvä suunnittelu ja operatiivinen toiminta. 4 Julkaisija: Huoltovarmuuskeskus Päätoimittaja: Antti Wiio, Technologos Oy Kuvitus: Shutterstock Taitto: Up-to-Point Oy Painopaikka: Helsinki Julkaisuvuosi: 2013 ISBN: ISBN

5 sisältö 1 Johdanto...8 Voisiko näin käydä teidän firmassanne...8 Oppaan sisältö Kyberturvallisuus ja yrityksen johtaminen Kyberturvallisuus on elintärkeä asia Yritysjohdon rooli Kyberturvallisuuden vastuutus: IT-johtaja vai Ville 15v? Ohjausta johtoryhmätasolta Asiakkaan luottamus yrityksen arvona Tietoturvallisuutta tukeva ilmapiiri Kaikki mukaan talkoisiin Tärkeät tiedot täytyy tunnistaa Laatikaa ohjeet sosiaalisessa mediassa toimimisesta Varautukaa vakavien uhkien toteutumiseen Kannattaako meitä vakoilla? IT:n käytön turvalliset toimintatavat Mitä jokaisen käyttäjän täytyy tietää? Ohjeista luottamuksellisen tiedon käsittely Toimisto- ja viestintäkäytön turvallinen infrastruktuuri Toimisto pilvessä: vaivatonta turvallisuutta, tiedostettavia riskejä Hanki apua, jos osaamisenne ei riitä! Työasemien konfiguroinnissa huomioitavaa Käyttäjäprofiilit ja mallikonfiguraatiot Verkkoinfrastruktuuri pienessä yrityksessä Pidä verkkolaitteita varalla! Pienen yrityksen ulkoistettujen webbisivujen turvallisuus Sisällönhallintaohjelma lisää mahdollisuuksia ja riskejä Oletko tietämättäsi kyberroiston rikoskumppani? Selvitä varmuuskopioinnin ja palautuksen vastuut.. 37 Päätökset ja toimenpiteet

6 6 6 Mobiililaitteet Kartoita laitteet ja vallitsevat käytännöt Perustana vahva salasana ja muistin salaus Tiedot laitteen sijasta pilveen Tilojen turvallisuus Välttäkää arkaluontoisen tai luottamuksellisen tiedon pitämistä paperilla Tuhoa paperit tietoturvallisesti Verkkojen turvallisuus Nettisivuston turvallisuus Tietoturvallisuuden loukkausten tyypit Ennaltaehkäisy ja valmistautuminen Toiminta tietoturvaloukkaustilanteessa Korttimaksamisen turvallisuus Välttäkää arkaluontoisen tai luottamuksellisen tiedon pitämistä paperilla Tuhoa paperit tietoturvallisesti Keskisuuren yrityksen turvallinen infrastruktuuri Verkkojen turvallisuus Nettisivuston turvallisuus Tietoturvaloukkauksista ilmoittaminen ja niihin reagoiminen Tietoturvallisuuden loukkausten tyypit Ennaltaehkäisy ja valmistautuminen Toiminta tietoturvaloukkaustilanteessa LIITTEET Liite A: Turvallisia salasanoja turvallisesti Liite B: Sähköpostin turvallinen käyttö pienessä yrityksessä Liite C: Työpohja IT-käytön pysyväisohjeiston laatimiseen... 71

7 osa 1 johdanto 7

8 1 Johdanto Voisiko näin käydä teidän firmassanne: Kehittämispalaverissa kirjataan toiminnan kehittämisen ideoita fläppiarkeille. Kokouksen sihteerinä toimiva Matti kuvaa kännykkäkamerallaan seinille teipatut arkit. Hän hipaisee huomaamattaan väärää painiketta kosketusnäytöllä. Kuvat ovat saman tien Matin samalla alalla toimivien tuttavien laajan piirin nähtävissä hänen Facebook-sivuillaan. 8 Maijalla on läppärissään tietoja luottamuksellisia tietoja asiakkaan projektista, johon hän on tekemässä tarjousta. Asiakaskäynnin jälkeen hän lähtee jouluostoksille läppärilaukku mukanaan. Kasseja alkaa kertyä, ja jossain vaiheessa Maija tajuaa kauhukseen, että läppärilaukku ei enää ole kassien joukossa. Hän lähtee pikamarssia palaamaan jälkiään, mutta läppäriä ei löydy. Maija soittaa firman mikrotukihenkilölle: Ovathan tiedot turvassa, kun siinä on salasanakin. Mikrotuki kertoo, että käyttöjärjestelmän sisäänpääsyä kontrolloiva salasana ei suojaa kovalevyn sisältöä. Maija joutuu kertomaan asiakkaalle, että heidän luottamuksellisia tietojaan on teillä tietämättömillä. Pekka laatii pomolleen tarkoitetun sähköpostiviestin, jossa kerrotaan erään asiakassuhteen ongelmista. Viestissä on liitteenä asiakkaalta tullut muistio, jossa listataan ongelmia aiheuttaneita asioita, joista täytyy keskustella. Pari päivää myöhemmin palaverissa käy ilmi, että pomo ei ole saanut viestiä. Pekka tutkii sähköpostiohjelman lähetettyjen kansiota, ja toteaa, että viesti on mennyt aivan väärään paikkaan erään toisen asiakkaan yhteyshenkilölle. Näillä kahdella henkilöllä on sama etunimi, mistä Pekka päättelee, että hän on kiireessä klikannut sähköpostiohjelman tarjoamista yhteystiedoista väärää.

9 9 PK-yrityksissä on helppo ajatella, että tietoturvallisuus on lähinnä isompien yritysten huoli. Eihän meillä käsitellä mitään valtiosalaisuuksia! Mutta kaikenkokoisilla yrityksillä on poikkeuksetta paljon tietoa asiakkaistaan sillähän yritykset viime kädessä elävät. Presidentti Niinistö siteerasi valituksi tultuaan kansanviisautta, jonka mukaan haltuun uskotusta on huolehdittava paremmin kuin omasta. Kaikenkokoisten yritysten asiakkailla on oikeus odottaa, että heitä koskevien ja/tai heidän antamiensa tietojen suojaamiseen suhtaudutaan tinkimättömän vakavasti. Tietokonevirukset, palvelunestohyökkäykset ja muut tarkoitukselliset tihutyöt tarjoavat sellaista dramatiikkaa, josta lehdistö kertoo mielellään. Tällaisiin uhkiin painottuvat mielikuvat eivät ole virheellisiä, mutta puutteellisia ne kyllä ovat. Esimerkiksi virukset voivat toki aiheuttaa riesaa PK-yrityksissä. Todennäköisempää kuitenkin on, että isoja haittoja tuottavat yllä olevien esimerkkien kaltaiset arkisempien tekijöiden aiheuttamat tietoturvallisuuden pettämiset. PK-yrityksen kyberturvallisuus ei tule kuntoon sillä, että tietokoneisiin laitetaan virustentorjuntaohjelmat ja palomuurit. Infrastruktuurin turvallisuudesta on pidettävä huolta, mutta myös yrityksen toiminnan arki on laitettava kuntoon. Tämän arjen aineksia ovat asenteet ja toimintatavat.

10 10 Tämä asenteiden, toimintatapojen ja teknisen infrastruktuurin kolmiyhteys voi auttaa kyberturvallisuuden vastuualueiden tunnistamisessa: Asenteiden ohjaamisen täytyy lähteä pk-yrityksen ylimmästä johdosta. Tietotekniikan käytön toimintatapojen kehittämiseen tarvitaan viime kädessä kaikkia. Vetovastuuseen tarvitaan IT-vastaavan lisäksi työryhmä, johon kuuluu hallintovastaava sekä edustava valikoima tietotekniikkaa hyödyntävien toimintojen edustajia. IT-Infrastruktuurin ratkaisujen kehittämisen ja teknologiavalintojen vastuu kuuluu tietenkin IT-vastaavalle. Päätöksissä ja valinnoissa hänen täytyy tiedostaa, että turvaratkaisujen käyttö mutkistaa usein IT:n käyttöä, ja että usein toiset ratkaisut mutkistavat sitä enemmän kuin toiset. Hänen täytyy selvittää yhteistyössä yritysjohdon ja tietojen tarvitsijoiden kanssa, mitkä tiedot on tärkeää suojata vahvasti, sekä mitkä käytettävissä olevista suojaamisen keinoista häiritsevät vähiten käyttäjien normaalia toimintaa.

11 Oppaan sisältö Oppaan luku 2 katsoo asioita yrittäjän/toimitusjohtajan näkökulmasta. Pienenkään yrityksen ylin johto ei yleensä osallistu tietoturvallisuuden käytännön ratkaisujen suunnitteluun ja toteutukseen. Yritysjohdon panosta tarvitaan kuitenkin turvallisuuden kehittämistyön liikkeelle laittamisessa, suuntaamisessa ja priorisoinnissa. Luku 3 käsittelee tietotekniikan turvallisia käyttötapoja tavallisen käyttäjän näkökulmasta lähtien. Lukuun sisältyy konkreettisten ohjeiden lista, jota voidaan käyttää yrityskohtaisten IT-käytön pysyväisohjeen kehittämisen pohjana. Tämä ohje on myös oppaan liitteenä C. Lisäksi luvussa käsitellään tietojen turvallisiin käyttötapojen määrittämiseen tarvittavia turvaluokituksia. Jokseenkin kaikissa yrityksissä tarvitaan tietokoneita toimistosovelluksiin ja viestintään. Luku 4 käsittelee niitä vaatimuksia, jotka turvallinen toimisto- ja viestintäkäyttö asettaa pienimpienkin yritysten IT-infrastruktuurille Kun alkava, kasvava pienyritys haluaa itselleen webbisivut, niiden toteutus ulkoistetaan yleensä mainostoimistolle, joka puolestaan todennäköisesti ulkoistaa sivujen operoinnin johonkin webbihotellipalveluun. Yrittäjän täytyy ymmärtää myös tällaiseen ulkoistettuun sivustoon liittyvät valinnat sekä tietoturvariskit. Luku 5 käsittelee tällaiseen webbisivuston ulkoistamiseen liittyviä kysymyksiä. 11 Luku 6 käsittelee mobiililaitteiden hyödyntämisen käytäntöjä. Kännyköitä hukataan ja varastetaan usein, ja myös läppärit ja taulutietokoneet ovat vaaravyöhykkeessä. Jos hukatuilla laitteella pääsee helposti käsiksi käyttäjän työhön liittyviin sähköposteihin ja muihin tietoihin, vakava tietovuoto on vain ajan kysymys. Luvussa 7 käsitellään yrityksen omissa toimitiloissa noudatettavia periaatteita. Luvussa 8 käsitellään lyhyesti korttimaksamisen turvallisuutta. Asiaan liittyy turvastandardi, josta saa Nets Oy:ltä (eli entiseltä Luottokunnalta) selkeää suomenkielistä tietoa. Luku 9 käsittelee keskisuuren yrityksen IT-infrastruktuurin turvallisuusvaatimuksia. Keskisuurella yrityksellä täytyy jo olla oma tietohallinto, joten aihepiiriä käsitellään teknisesti vaativammalla tasolla kuin aikaisemmissa myös pienille yrityksille tarkoitetuissa luvuissa.

12 Luku 10 käsittelee uhkatilanteisiin reagoimista. Heikot, helposti arvattavat tai selvitettävät salasanat ovat kaikkialla kyberturvallisuuden suuri riskitekijä. Näin ei tarvitse olla! Liite A antaa käytännön ohjeita vahvojen salasanojen muodostamiseen, muistamiseen ja hallitsemiseen. Sähköpostiliikenteen digitaalisen allekirjoittamisen ja salaamisen mahdollisuuksia käytetään yrityksissä vielä yllättävän laiskasti. Liite B selittää allekirjoittamisen ja salaamisen perusasiat sähköpostin käyttäjän näkökulmasta. Liite C sisältää luvussa 3 esitellyn turvallisten käyttötapojen listan. Liite on tarkoitettu pohjaksi yrityksen oman IT-käytön pysyväisohjeen laatimiseen. Jos olet yrittäjä, toimitusjohtaja tai IT-henkilön/-henkilöiden esimiehenä toimiva hallintovastaava, sinun kannattaa lukea ainakin. Luku 2: Kyberturvallisuus ja yrityksen johtaminen. 12 Luku 10: Tietoturvaloukkauksista ilmoittaminen ja niihin reagoiminen, sekä tarpeen mukaan. Luku 5: Pienen yrityksen ulkoistettujen webbisivujen turvallisuus. Jos olet IT-ammattilainen, sinun kannattaa lukea koko opas myös yritysjohdolle tarkoitetut luvut, jotta ymmärrät johdon näkökulmaa ja pystyt viemään asioita eteenpäin heidän kanssaan.

13 osa 2 Kyberturvallisuus ja yrityksen johtaminen 13

14 2 Kyberturvallisuus ja yrityksen johtaminen Tämä luku kertoo yrityksen johdolle, missä heidän panostaan tarvitaan kyberturvallisuuden kehittämisessä. Monissa yrityksissä IT-vastaava on kyberturvallisuuden kehittämisen liikkeelle paneva voima. Hänellä tämä luku antaa kättä pitempää asian tuomiseksi johtoryhmän työlistalle. 14 Kyberturvallisuus on elintärkeä asia Mitkä asiat ovat meille tärkeitä? Jokaisen yrityksen ylin johto joutuu vastaamaan tähän kysymykseen, kun yrityksen kehittämiselle määritellään suuntia. Jokaisessa yrityksessä johdon tehtäviin kuuluu myös kertoa työntekijöille näistä tärkeistä asioista ja niiden tärkeyden syistä. Kyberturvallisuus on nykymaailmassa tärkeä asia jokaiselle yritykselle. Kyberuhilla tarkoitetaan tietoturvallisuuden loukkausten aiheuttamia uhkia yrityksen, sen asiakkaiden tai sidostahojen toiminnalle. Yhdelläkään yrityksellä ei ole varaa menettää asiakkaittensa luottamusta. Pienilläkin julki tulleilla tietovuodoilla voi olla iso vaikutus asiakaskunnan mielikuviin. Asiakkaiden luottamuksen menetys ei ole ainoa riski, jonka puutteet kyberturvallisuudessa aiheuttaa. Tiedon vuotaminen kilpailijalle voi haitata yrityksen kilpailukykyä. Työsuhteita koskevien tietojen vuotaminen voi vahingoittaa yrityksen sisäistä keskinäistä luottamusta. Vuotojen selvittely ja vahinkojen rajaaminen sitoo usein henkilötyötä organisaation kaikilla tasoilla. Tietokoneille pesiytyneet haittaohjelmat voivat hidastaa ja jumiuttaa tietokoneita, ja sitä kautta koko yrityksen toimintaa. Niiden poistaminen sitoo henkilötyötä sekä laitteita, ja voi aiheuttaa katkoja normaalissa toiminnassa. Yrityksen tietokoneille pesiytyneet haittaohjelmat saattavat välittää rikollisille tietoa, jota voidaan käyttää taloudellisissa huijauksissa. Tällaisten loukkausten jälkeen töitä riittää, ennen kuin järjestelmät on palautettu turvallisiksi ja kaikki hallinnollinen, rikostutkinnallinen ja juridinen työ on tehty. Tällaisten uhkien torjumiseen kannattaa panostaa! Niihin täytyy panostaa myös PK-yrityksissä, sillä rikolliset ovat tiedostaneet, että suuremmissa yrityksissä heillä on nykyisin vastassaan tietoturvan ammattilaiset, mutta PK-yrityksissä on tarjolla paljon helpompia saaliita. Itsekseen jätettynä tietotekniikan käyttämisen käytännöt kehittyvät pienimmän vaivan ohjaamana. Turvallisten käytäntöjen kehittämisen tielle lähteminen vaatii yritysjohdon aktiivista panosta.

15 Yritysjohdon rooli Yrityksen ylintä johtoa tarvitaan siis ohjaamaan henkilöstön asenteita tiedostamaan tietoturvallisuuden tärkeys. Johdon kannattaa myös edistää sellaista ilmapiiriä, jossa kaikki työntekijät ovat motivoituneita osallistumaan tietoturvallisuuden kehittämisen talkoisiin, ja jossa he ovat motivoituneita raportoimaan nopeasti kaikesta, mikä saattaa uhata turvallisuutta. Johdon täytyy myös varmistaa, että tämä yhteinen kehittämistyö on jatkuvaa toimintaa. Johtoa tarvitaan myös kun selvitetään, mitkä yrityksen toimintaan liittyvät tiedot ovat niin tärkeitä, että ne täytyy suojata erityisellä huolella. Johdon täytyy myös ottaa vastuu varautumisesta: miten toimitaan, jos pahimmat uhat pääsevät kaikista varatoimista huolimatta toteutumaan. Teknisen varautumisen suunnittelu kuuluu IT-vastaavalle, mutta yritysjohdolla kannattaa olla ennakkosuunnitelmia siitä, miten maineelle ja asiakas- ja yhteistyösuhteille koituvia vahinkoja rajataan. Kyberturvallisuuden vastuutus: IT-johtaja vai Ville 15v? Organisoiminen ja vastuuttaminen ovat aina johtamisen ydinkysymyksiä. PK-sektorilla on monenlaisissa kehitysvaiheissa olevia yrityksiä. Ne tarvitsevat hyvin erilaisia ratkaisuja kyberturvallisuuden vastuunjakoon. Nykypäivän suurella yrityksellä on kyberturvallisuuden haasteista hyvin perillä IT-johtaja. Hänellä on alaisenaan tietoturvallisuuspäällikkö, jolla taas on käytettävissään joukko tietoturvallisuuden erikoisosaajia. Yrityksessä on myös joukko koulutuksen saaneita mikrotukihenkilöitä, jotka muun ohella opastavat ja valvovat jatkuvasti tietotekniikan käytön tietoturvallisuutta. 15

16 16 Skaalan toisessa päässä on sitten alkava yhden hengen yritys, jonka IT:n toiminta ja turvallisuus nojaavat nörtiltä sukulaispojalta satunnaisesti saataviin itsevarmoihin neuvoihin. Aivan pienimmillä yrityksillä ei yksinkertaisesti ole varaa palkata IT-ammattilaista tukihenkilöksi yritykseen. Mutta jo parin kolmen hengen yrityksissä on syytä sopia siitä, että tietotekniikasta eniten tietävä toimii o.t.o. mikrotukihenkilönä. Keneltäkään ei voida kylmiltään odottaa vastuun kantamista yrityksen IT:n toimivuudesta ja turvallisuudesta. On kuitenkin syytä kirjata jonkun toimenkuvaan, että hänen odotetaan kehittävän omaa osaamistaan tällä alueella. Hänelle täytyy antaa siihen aikaa ja resursseja. Häntä on syytä kehottaa hakemaan itsenäisesti ja aktiivisesti tietoa itselleen sopivasta koulutuksesta sekä myös pienille PK-yrityksille sopivista mikrotuki- ja konsultointipalveluista. Usein tällainen o.t.o. -ratkaisu käy yrityksen kasvaessa melko nopeasti kestämättömäksi. Tämä johtuu siitä, että tietotekniikan käytön arjen ongelmien ratkominen rajoitetulla osaamisella vie helposti kohtuuttomasti aikaa. Paineet mikrotuen ammattilaisen palkkaamiseen kasvavat, kun alkaa näyttää siltä, että varsinainen työ kärsii merkittävästi o.t.o. mikrotukitöistä. Mikrotuen ammattilainen kykenee yleensä ratkomaan IT-käytön ongelmia paljon tehokkaammin kuin o.t.o. -tukihenkilö. Siksi saattaa näyttää siltä, että ammattilainen jäisi vielä tässä kasvun vaiheessa vajaatyöllistetyksi. Jos tältä näyttää, kannattaa miettiä, löytyisikö hänen toimenkuvansa täytteeksi esimerkiksi jotain avustavia tehtäviä tai asiakaspalvelutehtäviä. Yleensä organisaatiot toimivat parhaiten silloin, kun jokainen voi keskittyä parhaan osaamisensa alueeseen. Ammattitaitoiset mikrotukihenkilöt osaavat pitää normaalin toimisto-it:n pyörät pyörimässä. Heillä on myös siihen tarvittava tietoturvaosaaminen, mutta johdon on kuitenkin johdettava ja seurattava turvallisuuden kehittämistä. Tämä voidaan tehdä esimerkiksi säännöllisissä turvallisuuskeskusteluissa, joissa kysellään mikrotukihenkilön näkemyksiä turvallisuuden ongelmista ja kehittämistarpeista, sekä pyydetään ehdotuksia ratkaisuiksi. Jossain vaiheessa yrittäjä/toimitusjohtaja tarvitsee kuitenkin asiantuntevan kumppanin keskustelemaan siitä, miten tietotekniikka ja tietojärjestelmät voisivat auttaa yritystä kilpailemaan ja menestymään. Mikrotukihenkilöillä ei ole koulusta tähän. On aika palkata yritykselle tietohallintopäällikkö. Hänellä on pätevyys ottaa kokonaisvastuu IT:n toimivuudesta ja turvallisuudesta. Turvallisuuden kysymysten on kuitenkin syytä edelleenkin pysyä johdon näköpiirissä. Ohjausta johtoryhmätasolta Tietoturvallisuuden jatkuvan kehittämisen täytyy pysyä johtoryhmän näköpiirissä, vaikka niiden käytännön hoito olisikin johtoryhmään kuulumattoman tukihenkilön tai IT-päällikön vastuulla. Kaikkein pienimmissä yrityksissä ei usein vakiintunutta, järjestelmällistä johtoryhmätyöskentelyä. Tällaisissa yrityksissä toimitusjohtajan täytyy usein ottaa tämän tietoturvallisuuden kehittämisen ohjaus vastuulleen. Jos johtoryhmätyöskentely on vakiintunut yrityksessä, IT-tukihenkilö tai -päällikkö voi toimia jonkun johtoryhmän jäsenen esim. hallintovastaavan alaisuudessa. Tämän johtoryhmän jäsenen täytyy pitää huoli, että tietoturvallisuuden kehittämisen asiat ovat säännöllisesti johtoryhmän esityslistalla, ja että tarvittavat päätökset ja linjaukset syntyvät.

17 Asiakkaan luottamus yrityksen arvona Oikeanlaisten tietoturvallisuutta koskevien asenteiden edistäminen ei yleensä ole hirveän haasteellista. Yrityksistä ei varmaankaan juuri löydy henkilöitä, joiden mielestä tietoturvallisuus on huono asia. Haasteita aiheuttavat pikemminkin asenteet, joiden mukaan tämä ei koske meitä/minua, uhat eivät ole kovin suuria tai meillä on tärkeämpää tekemistä. On vaikeaa kuvitella yritystä, jolle asiakkaiden ja yhteistyökumppanien luottamus ei olisi ensiarvoisen tärkeä asia. Monissa yrityksissä yrityksen ylin johto on kiteyttänyt tärkeinä pitämänsä asiat yrityksen arvojen julistukseksi. Sen tehtävä on kommunikoida henkilöstölle johdon näkemys siitä, millainen tapa toimia edistää pitkällä tähtäyksellä yrityksen menestystä. Tietoisuus yrityksen arvoista auttaa myös työntekijöitä tekemään priorisointeja: Aikaa ja resursseja ei koskaan riitä kaikkeen siihen mitä olisi hyvä tehdä. Selkeästi määritellyt arvot voivat antaa työntekijöille selkänojaa väistämättömien valintojen tekemiseen. Yrityksen tietoturvallisuuden taso sivuaa yrityksen arvoja ainakin siellä, missä on kyse asiakkaiden antamien tai heitä koskevien tietojen turvallisuudesta. Monissa yrityksissä asiakkaan luottamuksen hankkiminen ja säilyttäminen saatetaan nähdä niin itsestään selvänä asiana, että sen kirjaamista arvoihin ei tulla ajatelleeksi tai pidetä tarpeellisena. Asiakkaiden luottamuksen säilyttämiseen kohdistuu kuitenkin monissa yrityksissä suurempia riskejä kuin on tiedostettu. Siksi tämä luottamus on hyvä kirjata yrityksen arvoihin. Tätä arvoa on myös hyvä konkretisoida: luottamuksen säilyminen edellyttää muun muassa, että asiakkaan tiedot ovat ja pysyvät turvassa. Monissa pk-yrityksissä ylin johto ei lähesty johtamista arvojen kautta, vaan haluaa keskittyä toiminnan konkreettisiin asioihin. Joka tapauksessa yrityksen ylimmältä johdolta tarvitaan jokin viesti tai linjaus, joka kertoo ainakin seuraavat asiat: 1. Meille ja asiakkaillemme on tärkeää, että toimintaamme liittyvät tiedot ovat luotettavasti käytettävissä siellä, missä me niitä tarvitsemme sekä etteivät ne ole kenenkään asiattoman tahon ulottuvilla. 2. Tietojen saatavuuteen sekä myös niiden luottamuksellisuuteen kohdistuu joka päivä merkittäviä uhkia. Niiden torjumisessa tarvitaan kaikkien panosta. 3. Saatavuus ja luottamuksellisuus eivät toteudu itsestään. Johto haluaa aktiivisesti edistää ja tukea sellaisia päätöksiä ja valintoja, jotka auttavat niiden turvaamisessa. Tietoturvallisuutta tukeva ilmapiiri Miten yrityksessänne suhtauduttaisiin henkilöön, joka esim. vahingossa sähköpostittaa luottamuksellisen sisäisen suunnitelman aivan väärälle ulkopuoliselle henkilölle? Jos hän yrittää salata asian, ja asia paljastuu muita teitä, on aivan oikein, jos hän menettää esimiestensä täyden luottamuksen. Mutta jos hän ilmoittaa asiasta heti asianosaisille ja pyrkii estämään tai rajaamaan tietovuodon haitat, häntä pitäisi kiittää vastuuntuntoisesta toiminnasta ja hänen luottamuksensa pitäisi säilyä. Käsi ylös keneltä ei ole koskaan lipsahtanut sähköpostia henkilölle, jolle sitä ei ollut tarkoitettu? Jokainen tekee joskus virheitä. Niitä tapahtuu jokaisessa organisaatiossa sen verran, että niihin suhtautumi- 17

18 18 sella on merkitystä. Ylimmän johdon tehtävä on edistää sellaista ilmapiiriä, jossa työntekijät haluavat raportoida tietoturvallisuuden ongelmatilanteista ja mahdollisista loukkauksista nopeasti miettimättä, joutuvatko he itse ikävään valoon tilanteen takia. Johdon on syytä myös viestittää, että raportoinnissa on parempi olla liian hätäinen kun liian huoleton. Jos esimerkiksi tärkeitä tietoja sisältävä ulkoinen kovalevy ei löydy sieltä missä sen pitäisi olla, on parempi varoittaa asianosaisia ensin mahdollisesta ongelmatilanteesta, ja ryhtyä etsintöihin vasta sitten. Kaikki mukaan talkoisiin Kyberturvallisuuden luomisen ja ylläpitämisen talkoissa tarvitaan kaikkia yrityksen työntekijöitä. Kaikkien on tiedettävä, mitä heiltä asiassa odotetaan. Yhtä tärkeää on kuitenkin, että kaikki vedetään mukaan tunnistamaan tietoturvallisuuden heikkouksia ja miettimään turvallisempia toimintatapoja. On paljon helpompi sisäistää turvallisia toimintatapoja, jos on itse ollut mukana niitä kehittämässä. Ylimmällä johdolla on tärkeä rooli toimintatapojen ohjaamisessa tähän suuntaan. Ei riitä, että firmassa järjestetään muutamia palavereita, joissa kerätään ajatuksia. Turvallisuustietoisuuden pitäisi olla työntekijöille jatkuvasti läsnä oleva toinen luonto. Heikkouksien tunnistamisen ja havaittujen puutteiden korjaamisen pitäisi olla organisaatiossa jatkuvaa toimintaa. Ylin johto ei tätä jatkuvaa toimintaa yleensä pyöritä sen tehtävä on asettaa turvallisuustietoisuus sekä heikkouksien tunnistaminen ja korjaaminen yrityksen tärkeiden asioiden joukkoon sekä katsoa, että asiat kehittyvät tähän suuntaan. Tärkeät tiedot täytyy tunnistaa Jo hyvin pienissäkin yrityksissä joudutaan huomioimaan, että kaikki tieto ei voi olla kaikkien ulottuvilla. Esimerkiksi palkkatiedot ovat aina luottamuksellisia: henkilön palkan pitäisi olla vain hänen esimiestensä sekä palkkahallintoa hoitavien henkilöiden saatavilla. Yrityksen asiakkaisiin liittyvä tieto on lähtökohtaisesti luottamuksellista. Aivan pienimmissä yrityksissä asiat saattavat toimia niin, että tiedon omistaja katsoo sen perään ja antaa ohjeita dokumenttien käsittelystä luovuttaessaan sitä muille. Omistajalla tarkoitetaan tässä henkilöä, jonka vastuualueeseen tieto lähinnä liittyy. Alkavan, kasvavan yrityksen vetäjän ensimmäinen kyberturvallisuuteen liittyvä tehtävä on usein työtoverien herättäminen tiedostamaan tiedon omistajuuteen liittyvä vastuu: jos tieto on luottamuksellinen, sen omistajalla on sekä valtuutus että velvollisuus ohjeistaa asia, ja muilla on velvollisuus noudattaa ohjeistuksia. Varsin pian kuitenkin huomataan, että dokumenttien käsittelyn ohjeistaminen on paljon helpompaa, jos on mietittyjä ja sovittuja menettelytapoja luottamuksellisen aineiston käsittelyyn. Ohjeistuksen perustaksi tarvitaan tapa luokitella tietoja. Tällaisten luokitusten suunnittelu ja toimeenpano kuuluu tietohallinnon ammattilaisten ammattitaitoon. Tarvitaan yritysjohdon panosta, kun yrityksen toimintaan liittyviä tietoja tunnistetaan ja luokitellaan yleensä johdolla on paras näkemys siitä, mitkä tiedot ovat todella tärkeitä ja/tai todella arkaluontoisia. Johdon näkemystä tarvitaan myös, kun päätetään tiukimman turvallisuusluokituksen vaatimustasosta. Turvallisuustason

19 nostaminen tekee yleensä tietojen käytöstä vaivalloisempaa. Johdolla on usein parhaat edellytykset arvioida, kuinka tiukkoja turvatoimia yrityksen luottamuksellisimmat tiedot vaativat. Tietojen luokittelua käsitellään tarkemmin menettelytapojen kehittämistä koskevassa luvussa. Laatikaa ohjeet sosiaalisessa mediassa toimimisesta Elämästä työpaikalla kertova viattoman tuntuinen kirjoittelu sosiaalisessa mediassa voi paljastaa paljon tahoille, jotka haluavat vahingoittaa yritystänne. Tiedoista voi olla hyötyä esimerkiksi käyttäjätunnuksia ja salasanoja puhelimitse kalasteleville huijareille. He pyrkivät yleensä esiintymään jonkun tutun organisaation edustajina, joka tuntee firmanne ihmisiä ja tekemisiä. Kirjoitukset sosiaalisessa mediassa voivat edesauttaa myös teihin tai asiakkaaseenne kohdistuvaa teollisuusvakoilua tai normaalia kilpailijaseurantaa. Joskus pelkkä maininta työmatkan kohteesta saattaa olla puuttuva pala palapelissä, jota esimerkiksi asiakkaanne kilpailija on kokoamassa. Yritysjohtoa tarvitaan henkilökunnan sosiaalisen median ohjeiden laatimisessa. Viestin perille viemisessä henkilökunnalle saatetaan myös tarvita yritysjohdon arvovaltaa. 19

20 20 Varautukaa vakavien uhkien toteutumiseen Vakava tietovuoto saattaa laittaa yrityksen äkkiarvaamatta tilanteeseen, jossa se taistelee olemassaolostaan. Tämä pätee kaiken kokoisiin yrityksiin. Kaikki, mitä tällaisen kriisin hoitamisesta pystytään suunnittelemaan etukäteen, vapauttaa sitten kriisitilanteessa aivokapasiteettia yrityksen selviytymisen kannalta tärkeimpiin asioihin. Kyberuhkiin varautumisessa maineriskit ovat selkeästi yritysjohdon tontilla oleva asia. Yrityksen maine voi vaarantua, kun esim. rikolliset pystyttävät valesivuston, joka on olevinaan yrityksenne sivusto, tai muuten esiintyvät teinä, teiltä vuotaa arkaluontoista tai luottamuksellista tietoa vääriin käsiin tai julkisuuteen, tai kun joku työntekijänne esiintyy sosiaalisessa mediassa tavalla, joka saattaa yrityksenne ikävään valoon. Maineriskejä ja muita riskejä hallitaan osana niitä riskien hallinnan prosesseja, jota jokaisen yrityksen tulee itselleen kehittää. Lisää tietoa PK-yrityksen riskien hallinnasta löytyy esim. osoitteesta Kannattaako meitä vakoilla? Nykyisin yritykset voivat tilata varsin helposti palveluna raportteja siitä, miten kilpailijat ovat näkyneet julkisessa sanassa. Tällaisten raporttien tuotanto on yleensä pitkälle automatisoitu, ja kustannukset ovat tilaajille yleensä melko kohtuulliset. Kilpailijoiden nettisivujen säännöllinen seuranta ei yleensä myöskään vaadi paljoa. Teollisuusvakoilussa etsitään aktiivisesti aikeistanne tietoa, jonka haluatte salata. Keinot voivat olla laillisuuden rajoilla tai sen väärällä puolellakin. Kilpailijaseuranta pyrkii samoihin päämääriin laillisesti saatavissa olevan tiedon puitteissa. Kummassakin tapauksessa kilpailijan toimintaa koskeva salapoliisityö vaatii niin paljon kallista henkilötyötä, että ihan jokaisesta Pk-yrityksestä ei löydy näin arvokkaita salaisuuksia. Tässä asiassa tarvitaan yrityksen ylimmän johdon näkemystä kun arvioidaan vakoilun tai seurannan muodostama uhkaa. Usein toiminnan motiivi ei löydy omasta yrityksestä vaan asiakasyrityksestä: pienestäkin yrityksestä saattaa löytyä johtolankoja ison yrityksen tekemisten urkkimiseen. Yrityksen johdolla täytyy olla näkemys tärkeimmistä asioista, joista muiden ei pidä saada vihiäkään. Heidän täytyy kommunikoida tämä näkemys niille, jotka käytännössä suunnittelevat ja tietojen suojaamisen menettelyt ja infrastruktuurin.

21 osa 3 IT:n käytön turvalliset toimintatavat 21

22 3 IT:n käytön turvalliset toimintatavat Tämä luku sisältää listan käyttäjälle kirjoitettuja konkreettisia ohjeita turvallisista IT-käytön menettelytavoista. Lista antaa IT-vastaavalle tai mikrotukivastaavalle lähtökohdan yrityksen oman IT-käytön pysyväisohjeen laatimiseen. Lisäksi käsitellään yrityksessä käsiteltävien tietojen -luokittelemista luottamuksellisuuden mukaan sekä annetaan malliohje, jonka varaan voidaan lähettää kehittämään yrityksen omaa ohjetta luottamuksellisten tietojen käsittelystä. IT-vastaava voi saada siitä evästyksiä asiaa koskevan keskustelun avaamiseen yrityksen johdon kanssa. 22 Yrityksissä opitaan jatkuvasti asiakkaiden palvelemiseen liittyvästä käytännön tekemisestä. Kaikkein pienimmissä yrityksissä kaikki näkevät toistensa tekemisiä ja kaikki osallistuvat jatkuvaan keskusteluun hyvistä tekemisen tavoista. Oppiminen on yhteistä, eikä toimintatapojen kehittämistä tarvitse erikseen järjestää. Samanlainen tekemisestä oppiminen ei valitettavasti toimi tietotekniikan turvallisen hyödyntämisen asioissa. Pienimmissäkin yrityksissä jonkun täytyy paneutua tietoturvallisuuden perusasioihin. Hänen täytyy myös neuvoa ja ohjata työtovereitaan. Ohjeita kannattaa dokumentoida, jottei jokaista työtoveria joudu neuvomaan jokaisessa asiassa erikseen. Kun ohjeet on kerran kirjattu, niistä keskustelu käynnistyy pienimmissä yrityksissä yleensä kuin itsestään. Keskustelua kannattaa käydä esimerkiksi siitä, miten tarvittava turvallisuuden taso saavutetaan käyttäjille mahdollisimman vaivattomalla tavalla. Keskustelun tasoa nostaa, jos tietoturvallisuuden vastuuhenkilö auttaa työtovereitaan ymmärtämään uhkien ja riskien luonnetta. Tämän ymmärryksen avulla he voivat osallistua turvallisuuden heikkouksien tunnistamiseen ja parannusten ideointiin. Tietoturvallisuuden kehittämisessä tullaan nopeasti niin monitahoisiin asioihin, että ne eivät pysy hallinnassa pelkkien kahvipöytäkeskustelujen avulla. Tarvitaan sovittuja menettelyjä havaittujen puutteiden ja heikkouksien kirjaamiseen. Tarvitaan säännöllisiä palavereita, joissa kaikki voivat antaa panoksensa turvallisempien toimintatapojen kehittämiseen ja jotka nostavat kaikkien tietämyksen tasoa asiassa. Yrityskoon kasvaessa tietoturvallisten toimintatapojen kehittämisen ydin pysyy samana: Tarvitaan ylläpidetty ohjeisto hyvistä toimintatavoista. Koko henkilöstö tarvitaan mukaan toimintatapojen kehittämiseen. Heillä on sitä enemmän annettavaa, mitä paremmin he ymmärtävät uhkien ja riskien luonteen.