Me kaikki olemme joskus luulleet, että omat tietojärjestelmämme eivät sisällä tietoja, jotka kiinnostaisivat hakkereita. Mutta olemmeko koskaan ajatelleet mitä esimerkiksi Venäjän trolli tai vakooja voi tehdä vaikkapa kampaajan laskutuslistalla? He voivat etsiskellä listoista sellaisia nimiä, jotka liittyvät Venäjän oppositioon tai vaikkapa puolustusvoimien työntekijöihin. Tai sitten he voivat etsiskellä henkilöitä, joiden avulla voidaan esimerkiksi availla sosiaalisen median tilejä hybridivaikuttamista tai tietojenkalastelua varten.
Joten sen takia jokainen meistä joutuu joskus miettimään tietoturvaamme erittäin vakavasti. Kuten me tiedämme, niin meillä kaikilla on tietoja, josta joku epärehellinen ihminen saa mahdollisesti hyvinkin suurta etua. Joten meidän kaikkien olisi myös hallittava tietoturvan perusasiat. Perusasioissa kannattaa muistaa se, että salaamiseen kannustava kulttuuri aiheuttaa erittäin suuren uhan.
Eli jokaisen olisi uskallettava kertoa omalle esimiehelle, jos itseä on lähestytty siten, että voidaan epäillä esimerkiksi tietojen kalastelua. Tuollainen tilanne voi sattua esimerkiksi paikallisessa pubissa, jossa viereen istuu hemaiseva, ulkomaalaisella aksentilla puhuva nainen, joka alkaa kysellä yhtiön tietoverkoista. Samoin esimerkiksi sellaisten yhtiöiden paitojen tai muiden tunnisteiden käyttö, jotka voivat kiinnostaa erityisesti vieraan vallan asiamiehiä tai ammattirikollisia pitäisi olla rajattu työajalle.
Samoin jos esimerkiksi pikkujoulut tai muut juhlat ovat päätyneet epämääräiseen muistikatkoon, niin silloin asiasta kannattaa mainita. Jos omassa kännykässä on yhtiölle tärkeitä tietoja kuten verkkoon kirjautumiseen tarvittavia salasanoja, niin silloin nuo salasanat kannattaa vaihtaa, vaikka kännykkä olisikin tallella.
Läpinäkyvyys sekä se että uskalletaan kertoa kaiken maailman houkutteluista on asia, joka edistää tietoturvaa. Läpinäkyvyys tarkoittaa sitä, että useat silmät näkevät enemmän kuin vain yhdet. Ja se tarkoittaa sitä, että tieturvaa koskevia asioita pitää käsitellä koko organisaatiossa. Jokaisen organisaation jäsenen on kyettävä tunnistamaan sekä estämään yleisimmät kalastelumallit, sekä estämään esimerkiksi numerot, joita epäillään häiriösoittajiksi, ilman että he vastaavat näihin puheluihin.
Etätyö on asia, josta puhutaan aina vain enemmän. Ja yksi asia tietenkin on se, että itsekin olen käsitellyt etätyötä lähinnä normaalien mikrotukihenkilöiden tai insinöörien näkökulmasta. Eli ihmisten näkökulmasta, joiden työ ei sisällä kovin paljon luottamuksellista aineistoa. Mutta jos henkilö työskentelee alalla, jossa puhutaan suoraan valtion kannalta kriittisistä asioista, niin silloin varmaan me kaikki ymmärrämme, ettei henkilö voi tai saa olla viikkokausia poissa toimistolta.
Eikä tuollainen yhtiö saa missään nimessä edes sallia VPN käyttöä muista kuin valvotuista tiloista. Eli myös työtila kuten etätoimisto pitäisi varmistaa. Eli etätoimisto voi sijaita kaukana varsinaisista tuotantolaitoksista, mutta se voi olla vartioidussa toimistohotellissa, jonne pääsyä valvotaan tarkasti.
Se että jonkun käyttäjän käyttöprofiili muuttuu yllättäen voi merkitä vihamielistä hyökkäystä. Ja kuten me tiedämme, niin etätyö ei välttämättä ole sopivaa ihmisille, jotka tekevät työtä valtion tai puolustuksen kannalta kriittisten toimintojen sekä tuotteiden parissa. Tai sitten ainakin heidän pitäisi muistaa ladata työnsä vaikka USB tikulle, ja käydä pari kolme kertaa viikossa toimistossa sijoittamassa työ yhtiön palvelimelle. Eli esimerkiksi äärimmäisen kriittisten osien kanssa työskentelevien yritysten ei ole hyvä päästää ketään valvottujen tilojen ulkopuolelta käyttämään verkkojaan tai virtuaalisia työtiloja.
Kun teemme ohjeistuksia sekä työtä tietoturvan parissa on yksi asia otettava aina huomioon. Mikään sääntö tai dokumentti ei ole toimiva, jos sääntöjä ei noudateta. Jos yksi tai kaksi työntekijää lipsuu annetuista ohjeista, niin silloin se aiheuttaa vakavan tilanteen.
Kommentit
Lähetä kommentti