Inrego
Stocklists

Tietoturva: Tee ainakin nämä kyberhyökkäysten estämiseksi

Uutiset 16 huhtikuu 2024 3 min lukuaika

Meille Inregossa palvelumme kivijalka on 100% datatyhjennys kaikista laitteista, joka varmistaa palvelumme tietoturvallisuuden. Kiinnitämme palvelussamme huomiota myös kuljetuksen aikaiseen turvallisuuteen tarjoamalla lukittuja turvakaappeja laitteiden kuljettamiseen. Koska tietoturvan tulee kattaa ihan koko laitteen elinkaari, haastattelimme tietoturvan asiantuntijoita Truesecistä ja kysyimme, kuinka organisaatiot voivat suojautua laitteiden käytön aikana kyberhyökkäyksiltä. Lue juttu ja varmista, että ainakin nämä asiat on huomioitu teidänkin organisaatiossa.

Kyberhyökkäykset ovat valitettavasti nykypäivää ja uhka ihan kaikenkokoisille organisaatioille. Myös lähipäivinä on jouduttu kuulemaan uutisointia hyökkäyksistä. Kyberhyökkäykset muuttavat jatkuvasti muotoaan, aiemmin tietoja varastettiin ja myytiin korkeimman tarjouksen tehneille, kunnes kiristys kohdistettiin datan omistajille. Tämä johti kiristyshaittaohjelmien yleistymiseen kyberhyökkäyksissä eli tietokoneet salasivat tärkeät tiedot ja vaativat lunnaita niiden vapauttamisesta. Vuonna 2023 kiristyshaittaohjelmat saavuttivat huippunsa Pohjoismaissa ja kybervakoilu puolestaan kasvaa jatkuvasti ja on usein jäljitettävissä Kiinaan.

Ympäristön suojaamisessa koventaminen on avaintekijä 

Koventaminen, eli ympäristön turvallisuuden parantaminen, tarkoittaa toimenpiteitä, jotka vähentävät laiteympäristön haavoittuvuuksia ja lisäävät vastustuskykyä hyökkäyksiä vastaan. Tämä sisältää muun muassa turvallisuuspäivitysten asentamisen, käyttöoikeuksien rajoittamisen ja jatkuvan valvonnan, jotta organisaatiot voivat suojautua monenlaisilta uhilta ja varmistaa liiketoimintansa jatkuvuuden.


Tee ainakin nämä ja varmista ympäristön suojaaminen koventamisen keinoin:

  •  Käyttäjätunnukset, salasanat ja niiden käyttäminen

    • Salasana on harhaanjohtava sana jo itsessään, koska yli 14 merkkistä sanaa on vaikea keksiä. Käytä sen sijaan tunnuslauseita, joita sinun on helpompi muistaa, kuten could-bronze-upside

    • Älä käytä samoja käyttäjätunnuksia ja tunnuslauseita eri palveluissa

    • Käytä aina kaksivaiheista tunnistautumista myös henkilökohtaisissa palveluissa. kuten LinkedIn, X, Facebook jne.

  • Loppukäyttäjäkoulutus

    • Verkossa on loputtomasti huijareita, niiltä on mahdotonta välttyä. Käyttäjien tulee tietää, miten tunnistaa ja reagoida huijaksiin ja miten välttyä tulemasta huijatuksi. Kouluta siis omaa henkilöstöäsi ja kerro millaisia huijauksia käyttäjälle voi tulla vastaan ja mistä hän tunnistaa ne huijauksiksi.

    • Ympäristön tietoturvallinen käyttö tulisi olla helpompaa kuin turvaton käyttö. Esimerkiksi tiedostojen jakaminen organisaation sisällä ja sen ulkopuolelle pitää mahdollistaa kontrolloituja ja valvottuja kanavia pitkin.

    • Loppukäyttäjä voi mitätöidä parhaatkin tietoturvatuotteet ja prosessit, joten ymmärryksen ja tietoisuuden lisäämminen käyttäjille on tärkeää.

  • Riittävä teknologia

    • Mikä on yrityksellesi riittävä tietoturvan taso ja mitä työkaluja tarvitaan yrityksen datan suojaamiseen?

    • Yrityksien osalta minimivaatimus on tietoturvallisten asetusten asettaminen työasemille ja palveluille. Oletusasetukset eivät ole yleisesti ottaen tietoturvallisia.

    • Nykyisin ympäristön hallinnan perusedellytyksenä pidetään Antivirus-ohjelmiston ja EDR:n (Endpoint Detection and Response) käyttöä sekä toimivia päivitysprosesseja. 

  • Haavoittuvuuksien hallinta

    • Nykyisin haavoittuvuuksien hallinta on muuttunut entistä merkityksellisemmäksi, kun organisaation laitteita käytetään hallitsemattomissa verkoissa. Tällöin hyökkääjä voi suoraan etsiä laitteista haavoittuvuuksia. 

    • Tekoälyä voidaan käyttää hyökkäystyökalujen kehittämisessä, jolloin uusien haavoittuvuuksien hyväksikäyttöön kuluva aikajakso on lyhyempi kuin koskaan aiemmin. 

  • Palautuspalvelut

    • Yrityksissä keskustellaan usein varmistusjärjestelmistä, mutta vielä tärkeämpää on keskustella palautusjärjestelmistä. Tämä tarkoittaa, että ei ainoastaan varmisteta datan suojausta, vaan varmistetaan myös, että varmistettu data on palautettavissa ja käytettävissä määriteltyjen prosessien kautta.

 

On tärkeää muistaa, että vastuuta ei voi ulkoistaa. Kyberturva on yhteinen sitoumus, joka alkaa organisaation sisältä. Johto on vastuussa siitä, että koko organisaatio noudattaa lakeja ja säännöksiä toimintamallien prosessien ja menettelytapojen kautta.

 

Lue lisää kyberturvan ajankohtaisista aiheista Truesecin Threat Intelligence raportista: 

Download the Truesec Threat Intelligence Report 2024