Käyttäjän suojaaminen
Julkaistu 25.9.2019.
Päivitetty 7.10.2019.
Artikkelin lukuaika n. 5 minuuttia.
Yleisesti ajatellaan, että yrityksen tietoverkkoihin murtaudutaan jonkin osaamista mutkikkaan, tietoturva-aukkoja hyödyntävän haavoittuvuuden kautta. Monesti murtautuja kuitenkin valitsee helpomman keinon ja tyypillisesti se löytyy itse käyttäjästä; on huomattavasti helpompaa saada pääsy tietoverkkoon harhauttamalla käyttäjää, kuin murtautua hyvin ylläpidettyihin ja päivitettyihin tietojärjestelmiin. Vahvan tietoturvan keskeisessä roolissa on käyttäjän opastamisen ja valistamisen lisäksi tekniset apuvälineet. Nämä yhdistämällä yrityksen tietoturva saadaan hyvälle tasolle ja samat neuvot pätevät myös kotikäyttäjille.
Salasanat
Jos salasana saadaan murrettua jostain verkkopalvelusta, voi samojen salasanojen käyttäminen yrityksen palveluissa ja julkisissa verkkopalveluissa antaa pääsyn myös yritysverkkoihin. Salasana voidaan varastaa myös tietokoneelle ujutetulla keylogger-sovelluksella, joka lähettää kaiken kirjoitetun tekstin murtautujalle. Myös samankaltaisten salasanojen käyttäminen eri verkkopalveluiden välillä on huono käytäntö. Esimerkiksi jos käyttäjän Hotmail-salasana on HM#Jere13, on tästä helppo päätellä, että Facebook salasana on FB#Jere13 tai Instagram IG#Jere13. Hyvä salasana on erilainen jokaisessa palvelussa, vähintään 10 merkkiä pitkä, eikä se saa olla selväkielinen. Esimerkki hyvästä ja vahvasta salasanasta on Hj#2fL1va5lMjZaO.
Miten tällaiset mutkikkaat salasanat voi muistaa? Salasanoja ei saa tallentaa muistilapuille tai tekstitiedostoihin, vaan niiden käytön helpottamiseksi tulisi hankkia salasanojen holvisovellus, joita saa myös ilmaiseksi. Holvi suojataan yhdellä riittävän pitkällä, mutta käyttäjälle helposti muistettavalla Master-salasanalla ja suojattuun holviin voidaan tallentaa kaikki eri palveluiden mutkikkaat salasanat.
Kalasteluviestit
Kalasteluviestit ovat osa ns. phishing-ilmiötä, jossa sähköpostin avulla kerätään käyttäjien salasanoja tai luottokorttitietoja. Hyvin tyypillinen tällainen on Office 365 -huijaus, jossa lähetetään hyvin uskottavan ja yleensä täysin oikean näköinen sähköposti, joka vaikuttaa tulevan Office 365 -palvelusta. Viesti tulee yleensä tutulta asiakkaalta, yhteistyökumppanilta tai jopa kollegalta ja se sisältää pyynnön avata laskun tai jonkin muun dokumentin. Kun dokumenttia lähdetään avaamaan, käyttäjä ohjataan täysin oikean näköiselle Office 365 kirjautumissivulle, johon käyttäjä syöttää omat O365 -tunnukset. Todellisuudessa kirjautumissivu ei ole Microsoftin, vaan murtautujan, joka saa näin käyttäjän käyttäjätunnuksen ja salasanan itselleen. Tämän jälkeen käyttäjä ohjataan automaattisesti oikeaan Office 365 palveluun joka ilmoittaa käyttäjälle väärästä salasanasta. Käyttäjä luulee tehneensä kirjoitusvirheen ja kirjautuu oikeaan palveluun miettimättä asiaa tarkemmin, mutta tässä välissä tunnukset on napattu välistä ja sen jälkeen niillä voidaan kirjatua käyttäjän Office 365 -tilille. Yleensä käyttäjä ei tajua tulleensa huijatuksi ja luovuttaneeksi tunnuksiaan huijareille.
Kalasteluviestien tunnistaminen on jopa ammattilaiselle äärimmäisen vaikeaa, koska ne ovat yleensä kirjoitettu hyvällä kieliasulla suomeksi, sisältävät Microsoftin sekä Office 365:n logoja ja ne näyttävät tulevan tutulta ihmiseltä. Väärennetyn O365 kirjautumissivun voi monesti huomata selaimen osoitekentästä, joka ei ole Microsoftin, mutta tämä yleensä onnistuu vain valveutuneelta käyttäjältä. Valitettavasti tämäkin voidaan kiertää ja office.com:n alla on mahdollista julkaista esimerkiksi lomake, joka on naamioitu Onedrive-palvelun sisäänkirjautumisnäkymäksi. Oudolta vaikuttavaan osoitteeseen ei siis tule syöttää mitään tunnuksia, vaikka sivu näyttäisi miten aidolta tahansa. Paras ja tehokkain tapa ehkäistä kalastelun uhkaa on käyttää kaksivaiheista tunnistautumista, eikä autentikaattorisovelluksella tule koskaan hyväksyä kirjautumisia, joita ei ole itse tehnyt.
Suojautuminen
Käytännöt
Yrityksellä tulee olla ajantasaiset tietoturvakäytännöt ja käyttäjiä tulee opastaa niiden noudattamisessa sekä valistaa heitä uhkien varalle. Käytännöt kannattaa luoda IT-kumppanin avustuksella ja vaikka se hieman maksaisi, on kulu pieni verrattuna mahdollisiin menetyksiin. Suomen Poliisin mukaan pelkästään syyskuun 2018 ja kevään 2019 välillä Office 365 -tietomurtojen uhrit ovat menettäneet noin 1,3 miljoonaa euroa. Todellisuudessa menetykset ovat todennäköisesti tätäkin suuremmat, koska kaikista tapauksista ei ilmoiteta viranomaisille ja monesti murron rahalliset vahingot näkyvät vasta myöhemmin.
Tietoturvasovellukset
Keylogger-tyyppiset haittaohjelmat saadaan estettyä tietoturvasovelluksella, joka seuraa taustalla sovellusten toimintaa ja estää epänormaalisti käyttäytyvät sovellukset. Tällaiset kehittyneet tekniikat puuttuvat ilmaisista torjuntasovelluksista. Lisäksi torjuntasovellus tulee kytkeä keskitettyyn hallintaa, josta voidaan seurata kaikkien laitteiden tietoturvan tilaa. Esimerkiksi F-Secure Protection Service for Business (PSB) ja Sophos Endpoint Protection sisältävät selainpohjaisen hallintaportaalin ja F-Securen DeepGuard tai Sophoksen DeepLearning teknologiat estävät sovellukset, jotka pystyvät ohittamaan perinteiset torjuntaohjelmat.
Kaksivaiheinen kirjautuminen
On hyvin todennäköistä että salasanat vuotavat hakkereille jossain vaiheessa, mutta tältä voidaan suojautua hyödyntämällä kaksivaiheista tunnistautumista. Kun palveluun kirjaudutaan, tarvitaan siihen esimerkiksi mobiililaitteesta poimittu vaihtuva numerosarja. Aluksi tämä saattaa tuntua epäkäytännölliseltä, mutta todellisuudessa se hidastaa kirjautumista vain sekunneilla ja estää Microsoftin mukaan heidän palveluihin automaattista kirjautumista yrittävät botit 100 prosenttisesti sekä kalasteluviesteillä saadut kirjautumiset 99.9%:sti. Tällaisia sovelluksia ovat esimerkiksi Microsoft Authenticator sekä Google Authenticator, jotka ovat ilmaisia käyttää. Kaksivaiheisen tunnistautumisen koodi voi tulla myös tekstiviestillä, mutta viestit saattavat olla maksullisia, kun taas Authenticator sovelluksien käyttäminen on ilmaista. Tuki eri tunnistautumistavoille riippuu aina palveluntarjoajasta. Käyttäjien tiedoista hyvin huolta pitävät palveluntarjoajat mahdollistavat lisätunnistautumisen käytön ja jos palvelu ei tue mitään lisätunnistautumisen muotoa, kannattaa sen käyttöä harkita.
Pääkäyttäjäoikeudet
Itselleen ei tulisi myöskään antaa pääkäyttäjäoikeuksia, sillä jos haittaohjelma pääsee suojauksien ohi, on haitakkeella pääsy tietokoneeseen ja yrityksen tietoverkkoon käyttäjän oikeuksilla. Jos oikeudet ovat liian laajat, pääse haittaohjelma hallitsemaan tietokonetta ja etenemään tietoverkossa syvemmälle yrityksen kriittisiin tietoihin. Hyvä tapa olisi käyttää erillistä asennustunnusta, joka kirjoitetaan, kun halutaan asentaa sovelluksia tai antaa käynnistyvälle sovellukselle normaalia laajemmat käyttöoikeudet.
BGPro-tip: Simuloituja kalasteluviestejä
Yrityksen johdon ja ylläpidon on mahdollista testata käyttäjien toimintaa hyödyntämällä Sophos Phish Threat -palvelua. Palvelun avulla on mahdollista lähettää henkilökunnalle kalasteluviestejä ja seurata kuinka käyttäjät reagoivat niihin. Palvelu sisältää satoja erilaisia valmiita pohjia, joilla voidaan simuloida kalasteluyritystä. Simulaatiossa käyttäjän toimintaa seurataan ja se raportoidaan palveluun. Tällainen kannattaa tehdä niin, että käyttäjiä ensin valistetaan uhkista ja sopivan ajan kuluttua palvelulla mitataan annetun tiedon omaksumista. Näin puutteita käyttäjien tietoturvaosaamisessa voidaan parantaa jatkokoulutuksella.
Käyttäjän suojaaminen pähkinänkuoressa:
- Älä lisää tunnuksellesi pääkäyttäjän oikeuksia, vaan käytä erillistä asennustunnusta.
- Älä käytä samaa tai samankaltaisia salasanoja eri palveluissa.
- Ota käyttöön kirjatumisessa kaksivaiheinen tunnistautuminen.
- Asenna päätelaitteeseen kehittynyt turvaohjelmisto.
- Määritä automaattinen lukkiutuminen liian monen virheellisen kirjautumisen jälkeen.
- Ennen palveluun kirjautumista, tarkasta että selaimessa on palvelun oikea kirjautumisosoite.
Voimmeko auttaa Sinua suojaamaan yrityksesi käyttäjät?
Pyydä meiltä kartoitus tai tilaa artikkelissa mainitut tuotteet:
Haluatko lukea tietoturvasta lisää?