KUINKA VOIN PARANTAA TIETOTURVAANI

keskiviikko 16. joulukuuta 2020

Tietoturva kiinnostaa entistä enemmän jokaista tietojärjestelmän käyttäjää, etenkin silloin, kun kyseessä on salassa pidettävä tai arkaluontoinen materiaali.

Juuri paljastuneet Yhdysvaltain valtionhallintoon kohdistuneet kyberhyökkäykset ja Googlen palvelujen kompuroinnit eivät ainakaan vähennä huolta omasta tietoturvasta. Myös Suomessa ja Ruotsissa esiintyneet tietovuodot ovat tuoreessa muistissa.

Otan tässä kirjoituksessa esiin joitakin perusasioita, jotka kannattaa laittaa kuntoon. Monta asiaa voit tehdä itse tai IT-tuen kanssa. Myös CSI-ohjelmistot tarjoavat joitakin ominaisuuksia, joiden avulla voit parantaa tietoturvaa entisestään.

Työasemat

Etätöihin siirryttäessä on hyvä miettiä selväksi tämä: pidänkö työssä käyttämäni koneen vain omassa käytössäni ja vain työkäytössä? Hankinko vapaa-ajalle ja muun perheen käyttöön erilliset laitteet?

Jos työkonettasi ei ole liitetty yrityksen toimialueeseen, aseta siihen käyttäjätunnus sekä pitkä ja vaikea salasana. Näin kadonnut tai varastettu kone ei ole ainakaan helposti avattavissa. Kiintolevyn kryptaaminen lisää turvaa huomattavasti. Pidä huoli myös siitä, että koneesi päivitykset ja virustorjunta ovat ajan tasalla. Kun olet matkalla, käytä internet-yhteyksiin mieluummin puhelintasi kuin avointa WLAN-yhteyttä.

Palvelimet ja verkot

Nämä ovat lähes aina IT-osaston tai -toimittajan ylläpitämiä erikoisosaamista vaativia asioita, mutta käyn kuitenkin pikaisesti läpi joitakin yleisesti käytettyjä teknologioita.

Yleensä yrityksillä on käytössään toimialue, johon pääsee kirjautumaan vain käyttäjätunnuksella ja vahvalla salasanalla. Toimialueen ylläpitäjä voi määritellä, montako kertaa käyttäjä voi antaa väärän salasanan ennen tunnuksen lukitusta, ja määrittää esimerkiksi minimivaatimukset salasanan pituudelle ja monimutkaisuudelle. Etätöissä käytetään yleensä suojattua VPN-yhteyttä toimialueen palveluihin pääsemiseksi.

Yhä useampi yritys on luopunut omista fyysistä palvelimistaan. Kun palvelimet sijaitsevat palveluntarjoajan konesalissa asiantuntevan ylläpidon piirissä, tietoturva ei yleensä ainakaan heikkene. Käyttäjä kirjautuu ulkoistettuun palvelinympäristöön samalla tavalla kuin paikallisellekin palvelimelle.

Käytössä on myös täysin Microsoftin M365/O365-palvelujen päälle rakennettuja tietojärjestelmiä. Tällöin yrityksen toimialue sijaitsee Microsoftin Azuressa. Käyttäjän näkökulmasta Azure AD vastaa perinteistä Active Directorya (käytännössä toimialue) tunnus- ja salasanakirjautumisineen, vaikka AD/toimialue sijaitseekin pilvessä. Azure AD:n yhteydessä ylläpitäjän on myös helppo ottaa käyttöön monivaiheinen kirjautuminen MFA. Jos yrityksellänne ei ole MFA:ta käytössä, kannattaa ottaa asia puheeksi IT-asioista vastaavan kanssa.

Olipa palvelin- ja verkkoratkaisu mikä tahansa, on aina muistettava varmuuskopiointi. Liiketoimintakriittinen tieto täytyy varmistaa, sekä verkkorikollisten että ihan laiterikkojenkin varalta. Mikään järjestelmä ei ole sataprosenttisen varma.

CSI-ohjelmistot ja tietoturva

CSI-ohjelmistoihin pätevät samat yleiset tietotuvan perusteet kuin muihinkin ohjelmistoihin, eli työasema, - verkko- ja palvelinympäristö on pidettävä suojattuina mahdollisimman hyvin. On kuitenkin joitakin asioita, joilla voit lisätä tietoturvaa, jos sattuisi käymään niin huonosti, että koneesi joutuu vääriin käsiin.

  1. Vaihda salasanasi
    Kun käytössä on tunnus + salasana -yhdistelmä, vaihda salasanasi ja aseta se vaikeasti arvattavaksi.

    Voit vaihtaa salasanasi klikkaamalla nimeäsi ohjelmiston oikeassa alalaidassa ja valitsemalla ”Aseta uusi salasana”

     
  2. Poista ”Muista minut tässä koneessa”

    Muista minut…-valinta helpottaa ja nopeuttaa ohjelmiston avaamista, mutta valinnan poistaminen on helppo tapa lisätä tietoturvaa. Vaikka ulkopuolinen saisi koneesi avattua, ei hän pääse kirjautumaan CSI-ohjelmistoon ilman käyttäjätunnusta ja salasanaa.

     
  3. Azure AD -autentikointi

    CSI-ohjelmistoissa on versiosta 9.1 alkaen mahdollista ottaa käyttöön Azure AD:hen perustuva tunnistautuminen. Yrityksenne Azure AD -ylläpitäjä käy lisäämässä käytössänne olevan CSI-tietokannan CSI Helsingin ylläpitämään palveluun sekä tarvittavat parametrit ohjelmistoon. Tämä jälkeen CSI-ohjelmistoon pääsee kirjautumaan vain Azure AD -tunnuksella.

    CSI Helsingin tukipalvelulta saat lisätietoja Azure AD -autentikoinnin käyttöönotosta.
     
  4. M-Files-tietovaraston kryptaus

    CSI-ohjelmistojen yhteydessä usein käytetyn M-Filesin tietovarasto on mahdollista kryptata. Dokumenttivarastoissa oleva tieto on usein luonteeltaan enemmän salassa pidettävää kuin itse CSI-ohjelmistoon tehdyt kirjaukset. Kun tietovaraston sisältö on salattu, mahdollinen tunkeutuja ei pääse lukemaan varaston sisältöä ilman salausavainta. M-Filesin salauksessa käytetään AES-256-algoritmiä.

    Jos olet kiinnostunut salauksesta, CSI:n tukipalvelu auttaa tässäkin.
     

Vaikka täysin turvalliseen tietojärjestelmään lienee mahdotonta päästä, on monta tapaa, joilla tietoturvaa voi helpostikin parantaa. CSI Helsinki tekee jatkuvasti töitä parantaakseen ohjelmistojensa turvallisuutta, mutta voit myös itse IT:n avustuksella lisätä omaa ja yrityksesi turvaa. Me tietokoneen käyttäjät pyrimme tekemään asioista mahdollisimman helppoja, mutta kannattaa muistaa, että aina helpoin tie ei ole paras.

Jari Loiri

CSI Helsinki, IT-päällikkö

Elämä on muutakin kuin teknologiaa. Silloin, kun teknologia helpottaa ihmisen eloa, olen sen ystävä.