Näkökulmia Atlakseen -artikkelit

Atlas IT-kartoitus Onko IT-ympäristösi ylläpito tulipalojen sammuttelua?

Pyydä apua

Yrittäjä, nämä viisi heikkoutta paljastuvat toistuvasti yritysten tietoturvasta

Yrittäjä, nuku yösi rauhassa
Yrityksistä löytyy yllättävän usein tietoturva-aukkoja, vaikka yrityksessä on luultu, että kaikki on kunnossa.

Kiinnostaako sinua tietää, mikä on yrityksesi todellinen hyökkäyspinta-ala? Seuraavassa esittelen muistilistan, jota noudattamalla riskejä pystyy vähentämään.

Osana Atlas IT-kartoitusta olemme selvittäneet asiakkaiden IT-ympäristöjen haavoittuvuuksia F-Secure Radar -tietoturvaskannauksen avulla. Skannauksen päämääränä on ymmärtää, millainen hyökkäyspinta-ala yrityksellä mahdollisesti on ICT-ympäristössään.

Mitä tietoturvariskejä skannauksissa löytyy?

1. Oletussalasanat

Yksi yleisimmistä tietoturvaskannauksissa tehdyistä havainnoista on, ettei laitteiden ja sovellusten luvallinen käyttäjä ole vaihtanut valmistajien oletussalasanoja. Valmistajien käyttämät oletussalasanat voi selvittää helposti googlaamalla, joten ulkopuolisten pääsy laitteisiin ja sovelluksiin on äärimmäisen helppoa, jos salasanoja ei vaihda.

2. Käytössä yritykselle tuntematon verkkopalvelu

Välillä selviää, että yrityksellä on käytössään palveluita, joista johto ja henkilöstö ei ole lainkaan tietoisia. Esimerkiksi verkkotallentimissa on usein oletusasetuksena käytössä tiedonsiirtopalvelu ja muita suoraan pilvipalveluihin kytköksissä olevia palveluita, jotka ovat alttiita hyökkäyksille ja salasanamurroille.

3. Vanhentuneet kotisivualustat

Ulkoisissa palveluissakin on monesti pahoja puutteita. Näitä ovat vanhentuneet kotisivualustat tai jopa liian heikot salausmetodit etäyhteyksissä. SSL-sertifikaattien avulla palvelut voisi todentaa luotettaviksi, mutta harmittavan usein niitä ei käytetä.

4. Järjestelmä- ja sovelluspäivitykset

Epäsäännöllinen käyttöjärjestelmien ja sovellusten päivitysrytmi tai päivitysten jättäminen kokonaan huomiotta on yhä valitettavan yleistä, vaikka se avaa usein portin sukeltaa suoraan järjestelmiin.

5. USB-tikut ja ulkoiset kovalevyt

Yksittäisten henkilöiden omia laitteita, kuten USB-tikkuja ja ulkoisia kiintolevyjä, löytyy säännöllisesti, vaikka niitä ei pitäisi käyttää työpaikoilla lainkaan. Ne ovat tietoturvariski, koska ne tulevat vieraasta IT-ympäristöstä ja voivat sisältää haittaohjelmia, jotka aktivoituvat vasta myöhemmin.

Miten skannaus tehdään?

Skannauksessa toimitamme asiakkaan sisäverkkoon päätelaitteen, joka etsii haavoittuvuuksia. Hyökkääjän toimintamalleja simuloimme ulkoverkosta hyödyntämällä Radar Cloud -palvelua.

Yleensä skannaus kestää muutaman päivän, jonka jälkeen raporteista saadaan melkein suoraan työlista parannettavista asioista. Radar osaa kertoa tietoturvaan liittyvät puutteet ja opastaa, miten puutteet voidaan korjata.

Yrityksissä, joissa järjestelmiä päivitetään säännöllisesti, on huomattavasti lyhyempi työlista kuin niissä, joissa apua pyydetään vasta, kun jotain lakkaa toimimasta.

Sakari Saarela
sakari.saarela@printcom.fi
puh. 020 756 2481
Sakari-Saarela-palvelupäällikkö-Printcom-Center

Kirjoittaja on Printcom Centerin IT-ratkaisujen palvelupäällikkö

Ahdistaako työsähköposti? Näillä vinkeillä saat työstäsi vähemmän kuormittavan

Ahdistaako työsähköposti? Pikaviestinnässä ja työnjaon dokumentaatiossa kannattaa hyödyntää Teamsin ja Plannerin kaltaisia alustoja.

Moni työntekijä tuskailee päivittäin esimerkiksi sähköpostilaatikkonsa kanssa. Mikä tietotulvasta koskee minua, mihin viestiin pitää reagoida nopeasti, miten sähköpostikeskusteluista saa johdonmukaista ja tehokasta?

Työhön liittyvät epäselvyydet ja epämääräisyydet koetaan usein kuormittavina, sanoo Työterveyslaitoksen aivotyön tutkija Teppo Valtonen.

– Sähköpostia käytetään viestinnässä paljon, koska käytännössä voidaan olettaa, että sitä käyttävät kaikki. Nopeaan keskustelunomaiseen viestintään sähköposti soveltuu kuitenkin aika huonosti, Valtonen sanoo.

Koska organisaation ulkopuolisen viestinnän sähköpostitulvaan voi olla vaikea vaikuttaa, Valtonen siirtäisi organisaatioiden sisäistä viestintää mahdollisimman paljon muille alustoille pois sähköposteista.

– Viestintään on tullut aika ketteriä pikaviestintään sekä työnjaon dokumentaatioon liittyviä alustoja, joita kannattaa hyödyntää, Valtonen sanoo.

It-ympäristön tuotteita ja palveluita tarjoavan Printcomin Centerin palvelupäällikkö Toni Pentikäinen kertoo, että monet yritykset eivät ole ottaneet niitä vielä käyttöön, vaikka niistä olisi selkeästi hyötyä esimerkiksi tiimi- ja yhteistyössä.

Monessa yrityksessä pikaviestin- ja tiimialustat olisivat heti otettavissa käyttöön, sillä ne kuuluvat esimerkiksi Office 365 -pakettiin, jossa alustat ovat nimeltään Teams ja Planner.

Valtosen mukaan siirtyminen useiden kanavien käyttöön voi ensin kohdata yrityksissä vastustusta, kunnes huomataan, että niiden avulla työstä saadaan vähemmän kuormittavaa. Edellytyksenä on, että yrityksessä sovitaan, mihin mitäkin kanavaa käytetään.

–Tärkeää on, että kanavien roolista ja hyvistä käytännöistä keskustellaan ja sovitaan yhdessä. Näin sähköisen keskustelun epäselvyyksiä saadaan purettua, työnjako on hallitumpaa, eikä sähköpostilaatikko räjähdä enää niin helposti.

Vinkit sähköpostin kuormittavuuden vähentämiseen

Työterveyslaitoksen aivotyön tutkija Teppo Valtosen mukaan sähköposti on edelleen hyvä väline tiedottavassa viestinnässä, josta pitää jäädä dokumentaatio. Valtosen vinkeillä sähköpostiohjelmastakin saa vähemmän kuormittavan:

1. Hälytykset pois

”Itse lähtisin siitä, että ottaisin kaikki sähköpostiohjelman hälytykset pois. Esimerkiksi Outlookin asetuksista voi käydä klikkaamassa, että uusista sähköposteista ei pompsahda ruudulle ilmoitusta, eikä niistä tule mitään ääntä.”

2. Käy läpi sähköpostit aina tiettyyn aikaan päivästä

”Seuraava askel on ottaa käyttöön ja noudattaa sähköpostien lukemisen käytäntöjä. Sähköpostiviesteille kannattaa varata tietty ajankohtaa päivästä: esimerkiksi kello 10–11. Jos viestejä tulee todella paljon, lukee ne seuraavan kerran vaikka iltapäivällä klo 14–15. Muina aikoina ei sitten juurikaan katso sitä saapuneiden laatikkoa.”

3. Keskitä nopea reagointi tietyille henkilöille

”Riippuu tietenkin työtehtävästä, pystyykö sähköpostia lukemaan vain 1–2 kertaa päivässä. Joissakin työtehtävissä pitää minuuttien sisällä reagoida esimerkiksi asiakkaiden sähköposteihin. Sellaisen henkilön tehtäviin ei voi kuulua erityisen paljon keskittymistä vaativaa muuta työtä.”

4. Ohjaa ulkoisia sidosryhmiä ”hitaaseen sähköpostiin”

On myös mahdollista, että yritys ohjaa omalla vastausnopeudellaan ulkoisia sidosryhmiään siihen, että sähköposti ei ole nopean asioinnin väline, vaan että sille on jokin muu kanava käytössä.

Teemu LeppänenJ

Lisätietoja tiedonhallinnan ratkaisuista:
Joonas Vaara
joonas.vaara@printcom.fi
puh. 020 756 2468
Joona Vaara palvelupäällikkö tiedonhallinta


Mahtavat pilvipalvelut vai mahtava uhka? Vältä tietoturvan katastrofi yksinkertaisilla neuvoilla

Pilvipalvelut ovat nostaneet merkittävästi yksittäisen käyttäjätunnuksen arvoa pitkäkyntisten silmissä.

Me kaikki tiedämme sen, että tietoturva on erittäin tärkeää, eikä kukaan väheksy sitä. Saamme lukea päivittäin uutisia moderneista hyökkäystavoista ja uusista pelottavista tietoturvauhista. Kuulemme, kuinka vieressä olevilla yrityksillä on käynyt tietomurtoja ja kuinka paljon työtä ja rahaa vuodon aiheuttamien ongelmien korjaamiseen käytetään.

Olemmeko tämän kaiken jälkeen sinisilmäisiä? Ajattelemmeko, että tämä ei koske meidän yritystämme, koska ketä kiinnostaisi meidän tietomme ja asiamme?

Vastauksena kysymykseen on, että kiinnostuneita on hyvin paljon.

Yksittäisten käyttäjätunnusten arvo on noussut huomattavasti

Pilvipalvelut ovat erittäin suosittuja – ja hyvästä syystä. Ne voivat tuoda yritykselle huomattavia kustannussäästöjä. Pilvipalvelut mahdollistavat tehokkaan tavan työskennellä, koska palvelut ja työkalut ovat työntekijöiden saatavilla, missä tahansa he liikkuvatkin.

Nykyään on jo hyvin yleistä, että yrityksillä on verkossa sähköpostien lisäksi henkilötietorekistereitä, hinnastoja, patentteja tai yrityksen toiminnalle tärkeää kriittistä ja salaista tietoa. 

Samalla yksittäisen käyttäjäidentiteetin arvo noussut huomattavasti.

Moni unohtaa pilvipalveluiden varjopuolen: hyökkääjä pääsee näihin kaikkiin palveluihin ja tiedostoihin YHDELLÄ vuodetulla salasanalla.

Olisiko juuri nyt se hetki, kun varmistutaan siitä, että yrityksen liiketoiminnalle tärkeä tieto on turvassa? Vai jäädäänkö seuraamaan sivusta ja uskotaan, että riski ei toteudu omalla kohdalla?

Käyttäjien tietoturvataidoissa on yhä toivomisen varaa

On tärkeää, että käyttäjät koulutetaan toimimaan oikein tietoturvaan liittyvissä tilanteissa.

Kaksivaiheinen tunnistautuminen, it-palvelut, it-kartoitus
Kaksivaiheinen tunnistautuminen ja käyttäjien päivitetyt taidot auttavat pilvipalveluiden tietoturvariskien selättämisessä.

Valitettavan useassa tapauksessa käyttäjä on rekisteröitynyt johonkin toiseen palveluun käyttämällä yrityksen sähköpostia ja vieläpä samaa salasanaa. Tällöin käyttäjä ei ole ottanut huomioon sitä mahdollisuutta, että tämän luotettavan kolmannen osapuolen palvelut voivat joutua murron kohteeksi.

Suuria murrettuja palveluita ovat esimerkiksi Linkedin (2016) tai Facebook (2018).

Murron yhteydessä pitkäkyntinen saa haltuunsa käyttäjän kirjautumistunnuksen, jossa on yrityksen sähköpostiosoite ja salasana. Tämän jälkeen tunnukset saaneen tarvitsee vain kirjautua pilvipalveluihin hyödyntäen näitä tietoja. Pahimmassa tapauksessa hyökkääjälle avautuvat kaikki käyttäjän sähköpostit ja muut yrityksen kriittiset tiedostot.

Monivaiheinen tunnistautuminen auttaa tietoturvaongelmaan

Onneksi ongelmaan on hyvin yksinkertainen ratkaisu. Oikein turvattuna riskit saadaan minimoitua hyvinkin pieniksi.

Yllämainitun katastrofin välttää hyödyntämällä monivaiheista tunnistautumista, joka käytännössä tarkoittaa kirjautumisen vahvistamista PIN-koodilla. Vaikka salasana vuotaa, ei hyökkääjä pääse kirjautumaan palveluun ilman puhelimeesi tulevaa PIN-koodia.

Toni Pentikäinen
toni.pentikainen@printcom.fi
puh. 020 756 2468
Palvelupäällikkö Toni Pentikäinen

Kirjoittaja on Printcom Centerin IT-ratkaisujen palvelupäällikkö.

It-palveluiden purkkaratkaisujen aika on ohi – näin syntyi Printcom ATLAS IT-kartoitus

Atlas IT-kartoitus paljastaa yrityksen IT-ympäristön ongelmat pintaa syvemmältä.
Toimivan it-ympäristön rakentamiseen tarvitaan ammattitaitoinen kokonaiskäsitys organisaatiosta ja sen it-tarpeista. Toimimattomat purkkaratkaisut pitää poistaa.

It-palvelut on hankittu monessa pk-yrityksessä vaiheittain useilta eri toimittajilta. Syitä on monia: uusia teknologioita tulee kiihtyvää tahtia, palveluiden tarjoajat ovat erikoistuneet tiettyihin palveluihin, yrityksen omat tarpeet ovat muuttuneet tai palvelut on ostettu sieltä mistä ne on ”halvimmalla” saatu. Tästä on muodostunut soppa, josta kukaan ei tiedä, mitä se sisältää ja kuka sitä hämmentää. 

Liian moni moderni tietotyöläinen joutuu keskeyttämään työnsä tai ei pysty tekemään sitä täysipainoisesti.

Kun yrityksessä tunnistetaan, että it on liiketoiminnalle kriittinen menestystekijä, halutaan yritykseen usein oma it-osasto tai -henkilö.  Viime aikoina digitalisaatio on kuitenkin pyyhkäissyt it-osastoille hurrikaanin lailla, ja erilaiset järjestelmähankkeet vaativat suuren osan niiden ajasta. Samaan aikaan peruskäyttäjien tarpeet ovat unohtuneet, ja heidän tukemisestaan on tullut ”tulipalojen” sammuttelua, purkkaratkaisua ja selviytymistä. Rahaa palaa – ja käyttäjät ovat tyytymättömiä.

Liian moni moderni tietotyöläinen joutuu keskeyttämään työnsä tai ei pysty tekemään sitä täysipainoisesti. Liian moni yrityksen sisäinen it-tukihenkilö saa vatsahaavan käyttäjien ja liiketoimintajohdon vaatimusten ristitulessa. Liian moni yritys on joutunut riskeeraamaan liiketoimintansa, kun vikatilanteet ja tietoturvauhat realisoituvat.

Mitä tällaisessa tilanteessa pitäisi tehdä? Pysähdy, rauhoitu ja nosta kissa pöydälle. Selvitä tarkasti nykytilanne teknisesti ja taloudellisesti sekä käyttäjien eli työntekijöiden ja liiketoimintajohdon näkökulmasta. Selvitä, paljonko haaskaatte organisaationne aikaa ja rahaa toimimattomaan it:hen. Tee tuloksista analyysi ja analyysin perusteella toimenpidesuunnitelma perusasioiden kuntoon laittamiseksi. Seuraa ja mittaa miten onnistut.

Halusimme muutoksen tekemiseemme. Autamme sinua tunnistamaan it-ympäristösi haasteet kokonaisvaltaisesti.  

Kokemuksemme it-palveluntoimittajana oli se, että olimme liian usein rakentaneet pk-yrityksen it-palveluita osissa ja joskus purkkaratkaisuillakin, vaikka tiesimme, ettei se ollut kokonaisuuden kannalta järkevää.

Halusimme muutoksen tekemiseemme ja kehitimme toimintaamme.  Nyt toimintakulttuuriimme kuuluu, että henkilökuntamme metsästää jatkuvasti omista prosesseistamme turhaa työtä, joka ei tuota asiakkaalle lisäarvoa. 

Näistä lähtökohdista syntyi Printcom ATLAS IT-kartoitus, jolla haluamme auttaa sinua tunnistamaan it-ympäristösi haasteet kokonaisvaltaisesti.  

ATLAS IT-kartoitus toimii erinomaisena lähtökohtana it-palveluiden määrittämiseen. Kartoituksen mittarit toimivat jatkossa uuden it-palvelun jatkuvana mittarina. Laitamme itsemme ja oman ajankäyttömme peliin 100%:sti. Jos emme löydä it-ympäristöstäsi kehitystehtäviä, joilla säästät rahaa, et maksa tehdystä kartoituksesta senttiäkään. ATLAS IT-kartoitus ei sido sinua jatkotoimenpiteisiin.

Jukkapekka Porali
jukkapekka.porali@printcom.fi
puh. 044 3131 091
Myynti- ja markkinointipäällikkö Jukkapekka Porali

Kirjoittaja on Princom Centerin myynti- ja markkinointipäällikkö.