Rakenna muuri verkkorosvolle. Antti Nuopponen, Nixu Oy

Rakenna muuri verkkorosvolle Antti Nuopponen, Nixu Oy

Liiketoiminnan jatkuvuuden uhat Taloushuijaukset Tietosuojaasetus osana tietoturvaa

Liiketoiminnan jatkuvuuden uhat

Mitä uhkia on olemassa? Huomioi, että kaikki uhat eivät koske verkkorikollisia. Tietojärjestelmät tai laitteet voivat mennä rikki. Laiterikot voivat aiheuttaa sen, että henkilöstö ei pääse sähköpostiin tai dokumentit katoavat. Pahin uhka on se, että liiketoiminta pysähtyy syystä tai toisesta. Miten olet varautunut?

Kyberrikollisuus Verkkorikollisuus ei kohdistu yksittäiseen yritykseen. Kiristyshaittaohjelma lähetetään tuhansille uhreille. Et pääse hyökkäystä pakoon! Kone saastuu, kun sähköpostiviestin linkki tai liitetiedosto klikataan auki. Rikollinen ottaa järjestelmät haltuun ja vaatii lunnasmaksuja tietojen palauttamisesta. Vaihtoehtoja on silloin kaksi: palauttaa tiedot muualta tai maksaa lunnaat. Lunnaita ei kannata maksaa!

Case: Isku lamauttaa Yritys on yleensä sijaiskärsijä. Työntekijä on saanut henkilökohtaiseen sähköpostiinsa viestin, jossa pitää pikaisesti tarkentaa jotain tietoja -> avaamalla linkin kone saastuu. Ongelmat havaitaan vasta, kun henkilökunta ei pääse enää tietoihin käsiksi. Tyypillisin lunnasvaade on 500 euroa!

Miten varmistat jatkuvuuden Ennakoi: Varmuuskopiot. Sellaisessa paikassa, että niihin ei pääse käsiksi. Ulkoinen usb-levy. Testaa, palauta tietoja, valvo. Miten nopeasti varmuuskopiot voidaan palauttaa? Mikä on kriittistä, mitkä osat pitää saada nopeasti käyttöön? Onko sinulla sopimus ulkoistetun palveluntarjoajan kanssa? Varmista sopimuksen vastuut ja velvollisuudet. Mikä on sopimuksessa reaktioaika, jos jotain sattuu? Kuinka pitkään tietoja säilytetään? Testaa käytännössä.

Miten varmistat jatkuvuuden Ennakoi: Vahvista puolustusta. Varmista, että käytössäsi on kunnollinen virustorjunta- ja suojausohjelmisto. Ennakoi: Kouluta henkilökuntasi. Henkilökunta on yleensä yrityksen heikoin lenkki. Käy säännöllisesti henkilökunnan kanssa läpi ennakointiohjeistus ja toimenpiteet, jos jotain sattuu. Valtuuta yksi tai useampi henkilö varmuuskopiointiin. Reagoi: Ota välittömästi yhteyttä palveluntarjoajaan, jos laitteet rikkoutuvat tai kyberrikollinen iskee. Jaa tieto henkilökunnalle ja ole tarvittaessa asiakkaisiin yhteydessä. Kerro avoimesti tilanne.

Taloushuijaukset

Tyypillisimmät taloushuijaukset Simppelimmät: Toimitusjohtajan nimissä lähetetään viesti, että kiireellinen maksu pitää hoitaa välittömästi. Sähköpostiviestissä viitataan arkaluontoiseen asiaan. Huijausyrityksen huomaa siitä, että viestin lähettäneen sähköpostiosoite ei ole oikea. Huijausyritykset ovat räätälöityjä ja kohdennettuja yksittäiseen yritykseen. Sähköpostia pidetään luotettavana, mutta se on todellisuudessa helppo tie rikolliselle. Yksinkertaiset huijausyritykset ovat yleisiä pk-yrityksissä!

Tyypillisimmät taloushuijaukset Hienostuneemmat: Yrityksellä on sähköposti ja kirjautuminen pilvessä. Sähköpostiin pääsee kirjautumaan kuka tahansa ja missä tahansa, kun tietää salasanan. Rikollinen ottaa sähköpostiliikenteen seurantaan ja väärentää olemassa olevia laskuja. Esimerkiksi toteutuneen kaupan maksutiedot. Maksut siirtyvät väärälle tilille. Huijaus huomataan vasta siinä vaiheessa, kun asiakas lähettää karhukirjeen.

Näin varaudut Vahva tunnistautuminen sähköposteihin. Kännykkäapplikaatio + tekstiviestivahvistus. Hankaloittaa taitavia hyökkäyksiä. 1) Selvät käytännöt ja ohjeet, miten maksuja käsitellään. Pelkän sähköpostin avulla ei käsitellä maksuja. Vahvistus. 2) Yrityksen yhteys- ja laskutustiedot syytä tarkastaa esimerkiksi verkkosivuilta. 3) Tarkasta laskutustiedot aina, kun tilitietoihin tulee muutoksia. 4) Neljän silmän periaate. Yksi syöttää laskut, toinen varmistaa tiedot.

Tietosuoja-asetus osana tietoturvaa

Yrittäjän viisi toimenpidettä, 1 Kartoita nykytila Ilman tietoturvaa ei voi olla tietosuojaa. Vahinkoja syntyy, kun yrityksessä ei edes tiedetä, mitä tietoja sillä on käytössään. Mieti seuraavia asioita oman liiketoimintasi kannalta: Minkälaista henkilötietoa yritykselläsi on? Missä tiedot ovat, mihin tarkoituksiin niitä käytetään ja onko kaikki tieto tarpeellista? Huomioi, että myös mappiarkistot ovat henkilötietoa. Valtuuta yksi henkilö vastaamaan tietosuojasta tai ota itse siitä vastuu.

Yrittäjän viisi toimenpidettä, 2 Mitoita toimenpiteet oikein Mieti, minkälainen vahinko henkilölle aiheutuu, jos tieto häviää tai se varastetaan. Toimenpiteet on syytä mitoittaa sen mukaan. Onko henkilörekisterissä vain nimi ja sähköposti vai onko tieto arkaluontoista? Esimerkkeinä arkaluontoisesta tiedosta ovat henkilökunnan palkka- ja terveystiedot. Tietoja ei saa säilyttää suojaamattomassa ympäristössä.

Yrittäjän viisi toimenpidettä, 3 Dokumentointi Dokumentaatio on yleensä suurin puute pk-yrityksissä. Varmista, että tietojen käsittelyn prosessit ovat kunnossa, ja ohjeistettu henkilöstölle sekä ulkopuolisille tietojen käyttäjille. Mieti jatkuvuutta, jos dokumentoinnin vastuu on yksittäisellä henkilöllä.

Yrittäjän viisi toimenpidettä, 4 Tarkista sopimukset Jokaisella yrityksellä on sopimuksia. Esimerkiksi ulkopuolisten palveluntarjoajien kanssa. Tyypillisimpiä palveluntarjoajia ovat tilitoimistot, puhelinoperaattorit, ict-kumppanit ja työterveyspalveluja tarjoavat yritykset. Sopimuksissa on tärkeää tarkastaa vastuut ja velvollisuudet. Oletko rekisterinpitäjä vai tietojen käsittelijä? Päävastuu tiedoista on aina rekisterinpitäjällä, mutta jatkossa myös käsittelijällä on vastuu tietojen käyttämisestä ja luovuttamisesta eteenpäin. Tarkasta, työntekijöiden henkilökohtaiset tiedot, kuten palkkatiedot on suojattu.

Yrittäjän viisi toimenpidettä, 5 Ole avoin Päivitä yrityksen rekisteriseloste ajantasaiseksi. Rekisteriseloste pitää olla siinä muodossa, että asiakkaat ymmärtävät sen. Kerro avoimesti, mitä tietoa keräät, mihin tarkoituksiin ja kuinka pitkään henkilötietoa säilytetään. Pyydä tarvittaessa tietojen keräämiseen suostumus evästeissä. Kuluttaja-asiakkaalla on tiedonsaantioikeus. Varaudu vastaamaan ja tarvittaessa poistamaan tietoja, mikäli asiakas sitä pyytää.

Kiitos!