- Yrityksen pitää aivan ensimmäiseksi tietää, minkälaisia tietoja yrityksellä on. Ensimmäinen askel onnistuneeseen tietoturvaan on tietää, mitä pitää suojata, sanoo Turun ammattikorkeakoulun yliopettaja Esko Vainikka.

Tietoinventaariossa luokitellaan tiedot; kuinka tärkeitä ne ovat ja miten niitä suojataan. Sen jälkeen luokitellaan yrityksen tietojärjestelmät, eli missä tiedot sijaitsevat.

- Yrityksen täytyy myös olla perillä siitä, mitä laki sanoo ja minkälaista suojausta yritykseltä vaaditaan, Vainikka muistuttaa.

- Tietoturvan kunnollinen hoitaminen on nykypäivänä yritykselle elinehto. Se on välttämätöntä myös liiketoiminnan näkökulmasta, hän toteaa.

20 prosenttia tekniikkaa, 80 prosenttia kaikkea muuta

Vainikan mukaan tietoturvasta vain 20 prosenttia on tekniikkaa ja 80 prosenttia on kaikkea muuta, mitä tietoturvaan liittyy.

Tekniikkaan kuuluvat palomuurit, virustorjunta ja pääsynvalvonta.

- Organisaation sisällä pitää selvittää, mitä kenenkin on tarpeellista tietää, kuka näkee mitäkin tietoja ja kuka pääsee muokkaamaan niitä, Vainikka selittää.

Loput 80 prosenttia on toimintatapoja, sääntöjä ja ohjeita.

- Ihminen on tietoturvan heikoin lenkki. Työntekijöiden ohjeistaminen on ensiarvoisen tärkeää. Toisissa yrityksissä tämä on kunnossa, mutta monissa on vielä puutteita, Vainikka sanoo.

Pelkät ohjeet eivät kuitenkaan riitä. Niitä täytyy myös noudattaa. Työntekijät pitää saada ymmärtämään tietoturvan tärkeys ja huomioimaan se myös toiminnassaan.

- Usein tietoturva vaarantuu pelkän huolimattomuuden seurauksena. Papereita voidaan viedä kotiin tai jos virustorjunta hidastaa konetta, se voidaan ottaa pois päältä, Vainikka luettelee.

- Tietoturvan täytyykin olla oikein mitoitettu, eikä se saa haitata tai hankaloittaa työntekoa, hän lisää.

Ulkoistettu tieto pitää myös suojata

Yrityksen sisällä sijaitsevien tietojen lisäksi täytyy muistaa huomioida myös ulkoistettu tieto. Niin sanotuilla pilvipalveluilla tarkoitetaan esimerkiksi ulkoistettua sähköpostia ja palkanlaskentaa.

- Yrityksen täytyy olla perillä myös niistä tiedoista, jotka sijaitsevat jossain muualla ja millaisia riskejä niihin liittyy, jos palveluntarjoaja ei hoida asioitaan. Täytyykin osata vaatia myös palveluntarjoajalta kunnollista tietoturvaa , Vainikka huomauttaa.

Kaikki on kaupan

Ennen hakkereita houkutti haaste tai tarkoituksena oli tehdä kiusaa. Nykyään rikolliset varastavat tietoa myyntiin.

- Kun kaikki on kaupan, sillä, millä on arvoa yritykselle, on useimmiten arvoa myös toisille. Yrityksen tärkeitä tietoja voidaan tarjota esimerkiksi kilpailijalle, Vainikka toteaa.

- Pimeillä markkinoilla on olemassa hinnastot henkilötietoja, luottokorttietoja ja esimerkiksi sähköpostitunnuksia varten. Haittaohjelmista on myös tullut ohjelmistoteollisuutta samalla tavalla kuin luotettavista ohjelmista, hän jatkaa.

Oma kone voi olla riski

Suomalaiset nettipankit ovat Vainikan mukaan vielä turvallisia, kunhan ymmärtää, mitä pankit eivät koskaan kysy. Suomalaisilla pankeilla on toimivat kirjautumismenetelmät.

- Uhka voi kuitenkin olla omalla koneella. Vaikka tiedot olisi salattuja, salaus alkaa vasta tietyssä kohtaa. Man-in-the-browser -tyyppiset haittaohjelmat lukevat tiedot ennen kuin niitä ehditään salata, Vainikka varoittaa.

Sama pätee luottokortin käyttämiseen verkossa. Vaikka sivusto olisikin luotettava, omalla koneella voi olla haittaohjelma, joka vie luottokortin tiedot.

- Tämänkin takia on tärkeää pitää virustorjunta ja palomuurit kunnossa, Vainikka painottaa.

Tietokoneiden suojaaminen virustorjuntaohjelmistolla on aina välttämätöntä, vaikka koneen kiintolevyllä ei olisikaan mitään luottamuksellisia tietoja tai vaikka sillä ei suoritettaisikaan verkkopankkimaksuja tai käsiteltäisi luottokorttitietoja.

- Suojaamaton tietokone päätyy hyvin helposti orjakoneverkon jäseneksi. Tällaisista orjakoneverkoista on esimerkkinä Mariposa -orjakoneverkko, joka käsitti jopa 13 miljoonaa tietokonetta, sekä yksityisten ihmisten että eri yritysten ja organisaatioiden tietokoneita, sanoo Vainikka.

- Tämän orjakoneverkon toiminta on saatu loppumaan, mutta muita orjakoneverkkoja on olemassa ja niitä ilmestyy koko ajan lisää, Vainikka toteaa.

- Tietoturvan kunnollinen hoitaminen on nykypäivänä yritykselle elinehto, sanoo Turun ammattikorkeakoulun yliopettaja Esko Vainikka.

emmi.harju@y-lehti.fi