Tilitoimiston tietoturva kuntoon – minimisuositukset
Tätä artikkelia täydentää artikkeli Suojaa yritystäsi ja itseäsi huijauksilta tietojenluovutuskielloilla.
Tilitoimistojen palvelut, kuten palkanlaskenta, yritysten laskujen käsittely ja maksuliikenne ovat olennainen osa suomalaisen yhteiskunnan huoltovarmuutta. Huoltovarmuutta, jota vastaan kyberrikolliset iskevät joka päivä.
Petosrikollisuus ja kyberhyökkäykset arkipäivää Suomessa
Vuonna 2024 poliisi vastaanotti 32 449 rikosilmoitusta rikoksista, jotka luokitellaan tietoverkkoavusteisiksi petosrikoksiksi. Lähes sata rikosilmoitusta per päivä. Rikolliset onnistuivat viemään vähintään 84,2 miljoonaa euroa, josta erityisesti yrityksiin kohdistuvilla toimitusjohtaja- ja laskutushuijauksilla anastettiin 8,4 miljoonaa euroa.
Myös haittaohjelmilla vaikutetaan suomalaisiin organisaatioihin ja saadaan aikaan toiminnan keskeytymisiä ja asiakkaiden, henkilökunnan ja muiden sidosryhmien henkilötietojen vaarantumista. Olemme viimeisen vuoden aikana nähneet muun muassa suuren kaupungin, ison elintarvikealan yrityksen ja globaalin rakennusalan yhtiön joutuneen tietomurron kohteeksi.
Säätely kiristyy ja edellyttää parempaa kyberuhkiin varautumista
Yhteiskunta asettaa lisävaatimuksia tietoturvan ja -suojan minimitasolle. Tietosuoja-asetus on ollut voimassa vuodesta 2018. Huhtikuussa 2025 voimaan astunut NIS2-direktiiviin perustuva kyberturvallisuuslaki edellyttää yhteiskunnan kriittisiltä toimijoilta tietoturvan riskienhallinnan viitekehikkoa, joka on ulotettava myös toimitusketjussa välittömiin palveluntarjoajiin. Kriittisiin toimijoihin kuuluu Suomessa tuhansia organisaatioita, joista valtaosa ei ole ollut aiemmin vastaavan säätelyn piirissä.
Taloushallinnon toimijoiden on varauduttava siihen, että kyberturvallisuuslain piirissä olevat asiakkaat lukevat myös heidät osaksi välitöntä palveluntarjoajaketjua. Tämä tarkoittaa taloushallintoalalle palvelusopimuksien tietoturvaliitteiden päivityspyyntöjä ja erilaisten riskiarvioiden täyttämistä.
Tietoturvasertifiointien, esimerkiksi ISO 27001 tietoturvan johtamissertifiointi, rooli korostuu tapoina osoittaa tietoturvan asianmukainen taso. Myös Taloushallintoliiton maksutonta tietoturvan TAKTI-mallia voi hyödyntää riskiarviointeihin vastaamisessa ja tarvittaessa oman toimitusketjun arvioinnissa.
Perustason tietoturvakäytännöt perusta organisaation kyberturvallisuudelle
Lähtökohta tietoturvan johtamiselle on tunnistaa ja dokumentoida organisaation toimintaan kohdistuvat riskit. Kun riskit on tunnistettu, niitä hallitaan erilaisilla suojautumiskeinoilla. Tyypilliset jokaista niin pienempää kuin isompaakin organisaatiota koskevat yleiset tietoturvariskit ovat
- Tietojenkalastelu (Phishing)
- Haittaohjelmat
- Kiristyshaittaohjelmat
Joka organisaatiolta löytyy näiden kolmen yleisen riskin lisäksi myös muita riskejä, jotka suosittelen dokumentoimaan ja miettimään, miten riskejä voidaan hallita. TAKTI-mallissa riskejä arvioidaan osiossa Tietoturvan johtaminen ja riskienhallinta. TAKTI-mallista löytyy myös lukuisa joukko hallintakäytäntöjä, joita voi hyödyntää.
Tietojenkalastelu (Phishing)
Tietojenkalastelussa on kyse aidolta näyttävästä viestistä, jonka tarkoituksena on huijata vastaanottajalta rahaa tai tietoa tai saada pääsy vastaanottajan järjestelmään. Tyypillisiä tietojenkalastelukanavia ovat sähköposti, tekstiviesti, puhelut ja sosiaalinen media.
Yrityksiin kohdistuvassa tietojenkalastelussa on tyypillistä, että kohteelle lähetetään sähköpostiviesti, joka näyttää tulevan esimerkiksi asiakkaalta, työtoverilta tai esimieheltä. Viesti sisältää linkin tai liitetiedoston, joka avaaminen vaatii käyttäjätunnusta sekä salasanaa. Jos viestinnän kohde syöttää tunnuksensa kalastelulomakkeelle, ne päätyvät rikolliselle, joka hyödyntää niitä esimerkiksi kirjautumalla uhrin sähköpostiin ja varastamalla kaiken sieltä löytyvän tiedon.
Varastetuilla tiedoilla voidaan luoda laskuaineistoja väärillä maksuyhteystiedoilla. Näillä puolestaan huijataan kalastelun uhriksi joutunutta organisaatiota tai sen asiakasorganisaatioita maksamaan aiheettomia laskuja. Rikollinen voi myös hyödyntää kalasteltuja tunnuksia haittaohjelman asentamiseen tai tietojen varastamiseen.
Poliisin tilastojen mukaan haitallisimmat tietoverkkopetokset alkoivat sähköpostista tai puhelusta. Toimitusjohtajapetosten yleisin alkamistapa oli sähköposti. TAKTI-mallissa keskeiset hallintakäytännöt löytyvät osioista Henkilöstö ja osaaminen, Sähköposti.
Haittaohjelmat
Haittaohjelma on ohjelma, joka aiheuttaa ei-toivottuja tapahtumia tietojärjestelmässä. Haittaohjelma voi joko vaatia kohteeltaan aktiivisia toimia, kuten sähköpostin linkin klikkaamista, tiedoston lataamista tai se voi iskeä oma-aloitteisesti, jos organisaation käytössä on haavoittuvaa IT-teknologiaa, joihin hyökkääjä pääsee suoraan itse käsiksi. Haittaohjelman uhriksi joutumista voi edeltää joutuminen tietojenkalastelun uhriksi.
Rikolliset käyttävät haittaohjelmia usein taloudellisen hyödyn vuoksi, kuten varastamaan pankkitunnuksia tai salasanoja, louhimaan virtuaalivaluuttaa tai seuraamaan käyttäjän toimintaa. Haittaohjelman avulla rikollinen voi vakoilla tai ottaa tietokoneen haltuunsa ja varastaa tietoja. TAKTI-mallissa keskeinen osio kyvykkyyden arviointiin löytyy osiosta Päätelaitteet.
Kiristyshaittaohjelma
Kiristyshaittaohjelma on haittaohjelman erityistyyppi, joka on syytä käsitellä erikseen, siksi että hyvin merkittävä osa haittaohjelmahyökkäyksistä on kiristyshaittaohjelmia. Kiristyshaittaohjelma pääsee tietokoneelle useissa tapauksissa aidolta näyttävän sähköpostin välityksellä, jossa viestin mukana tulee linkki tai liitetiedosto. Kun liite avataan tai linkkiä klikataan, kiristyshaittaohjelma pääsee koneelle ja estää tietokoneen käytön salaamalla tietokoneen tiedostot, jos virustorjuntaohjelmisto ei havaitse sitä.
Kiristyshaittaohjelma voi myös tarttua ilman ihmisen suoraa myötävaikutusta etenkin päivittämättömien verkon reunalaitteiden kautta. Reunalaitteita ovat palomuuri, reititin tai VPN-yhdyskäytävä.
Usein rikollinen lupaa, että maksamalla tietyn summan salaus poistetaan tai uhri saa salauksenpurkuavaimen. Summa pyydetään tyypillisesti virtuaalivaluuttana (esimerkiksi bitcoin). Vaikka lunnaat maksaisi, ei ole mitään taetta tiedostojen palauttamisesta.
TAKTI-mallissa katso otsakkeet Päätelaitteet, Poikkeamanhallinta ja häiriöiden havaitseminen, IT-infrastruktuurin ja -järjestelmien hallinta.
Tekniset suojautumiskeinot – päivitykset
Käyttöjärjestelmien ja ohjelmistojen automaattiset päivitykset kannattaa ottaa käyttöön. Nykyisin automaattiset päivitykset ovat lähtökohtaisesti asetettuina päälle useimmissa järjestelmissä, mutta käyttäjällä voi olla mahdollisuus viivästyttää niiden asennusta. Asenna päivitykset niin ripeästi kuin on mahdollista.
Tunnista itse tai kysy IT-palveluntarjoajaltasi, mikä on yrityksen käytössä olevien järjestelmien ja laitteiden elinkaaren vaihe, ja etenkin onko seuraavan 12 kuukauden sisällä tulossa elinkaaren päähän tulevia ratkaisuja. Tehtävässä auttaa ajantasaisen laiterekisterin ylläpito.
Kun ohjelmisto tai laite tulee elinkaarensa päähän (end-of-life, EOL), valmistaja ei enää tuota siihen päivityksiä mukaan lukien tietoturvapäivitykset. Tuolloin on laite tai ohjelmisto vaihdettava tuettuun versioon tai hankittava uusi.
Asia koskee esimerkiksi Windows 10 -ympäristöjä käyttäviä organisaatioita. Windows 10 -käyttöjärjestelmä menee EOL-tilaan 14.10.2025. Tähän mennessä työasemat tulisi päivittää Windows 11 -versioon tai varautua ostamaan erillistä maksullista jatkotukea (ESU) Microsoftilta. Asia voi vaatia myös tietokoneen päivittämisen uudempaan, jos työasema ei tue Windows 11:n vaatimuksia. Jos et ole varautunut tähän vielä, on toimenpiteet syytä käynnistää mahdollisimman pikaisesti.
Muista päivittää yrityksen verkkolaitteet ja vaihtaa niiden oletussalasanat. Reitittimet, joiden kautta yritys on yhteydessä Internettiin jäävät turhan usein päivittämättä. Nyrkkisääntönä voi pitää, että yli viisi vuotta vanha reititin on tietoturvamielessä todennäköisesti uusintakunnossa. Voit tarkastaa reitittimiesi tilanteen esimerkiksi maksuttomasta F‑Secure Router Checker -palvelusta.
Tekniset suojautumiskeinot – virustorjunta
Työasemin tai vastaaviin päätelaitteisiin on syytä asentaa valvontatyökalu, joka pyrkii tunnistamaan tietokoneeseen pyrkivät haittaohjelmat.
Puhelinten osalta erillinen virustorjuntaohjelmisto ei ole täysin pakollinen, koska ne on rakennettu niin, että niihin on tavallisen verkkorikollisen hankala saada haittaohjelmaa asennettua. Pidä puhelimet kuitenkin yhtä lailla päivitettyinä ja lataa sovellukset ensisijaisesti virallisista sovelluskaupoista.
Tekniset suojautumiskeinot – varmuuskopiot
Varmuuskopio on digitaalinen kopio yrityksesi toiminnan keskeisistä tiedoista. Tee tärkeimmistä tiedoista sekä palveluista varmuuskopiot. Säilytä varmuuskopiot erillään suojattavista järjestelmistä ja tiedoista, esimerkiksi fyysisesti verkosta irti olevalla kovalevyllä. Kiristyshaittaohjelmat pyrkivät aktiivisesti tuhomaan verkkoresursseilta löytyvät varmuuskopiot, joten jos käytät online-varmuuskopiointia, varmista, että tietoja ei voi tuhota kuin varmuuskopion säilytysajan päättyessä (immutable backup).
Testaa varmuuskopioiden palauttamista säännöllisesti, esimerkiksi neljännesvuosittain. Jos käytät pääasiassa Software as a Service (SaaS) -tyyppisiä palveluita, kysy palveluntarjoajalta, miten he huolehtivat varmuuskopioista.
Tekniset suojautumiskeinot – monivaiheinen tunnistaminen ja salasanojen hallinta
Käytä aina kun mahdollista monivaiheista tunnistautumista (MFA, 2FA). Sen avulla estät tehokkaasti pääsyn tietoihisi. Huijari voi onnistua harhauttamaan käyttäjältä aidonoloisella viestillä käyttäjätunnuksen ja salasanan, mutta jos näillä ei yksin pysty kirjautumaan mihinkään vaan lisäksi tarvitaan erillinen vahvistus esimerkiksi tekstiviestillä tulevalla koodilla tai tunnistussovelluksessa tapahtuvalla hyväksynnällä, saadaan kyberrikollinen pysäytettyä ennen suurempaa vahinkoa.
Käytä yksilöllisiä salasanoja eri palveluissa ja hyödynnä salasanaohjelmistoja. Kaikki yleisesti saatavilla olevat salasanaohjelmistot ovat lähtökohtaisesti käyttökelpoisia. Muista vaihtaa myös verkkolaitteiden, kuten reitittimien, oletussalasanat.
Hallinnolliset suojautumiskeinot – käyttöoikeuksien hallinta
Noudata rajatun käyttöoikeuden periaatteetta. Työntekijöiden käyttöoikeudet tulee määrittää niin, että jokainen voi tehdä työnsä, mutta ei yhtään sen enempää. Vältä erityisesti ylläpitotunnusten (administrator, pääkäyttäjä, superuser) käyttöä arkisessa käytössä. Niillä työntekijöillä, joilla on tarve tehdä ylläpitotöitä, pitäisi olla aina erilliset tunnukset.
Esimerkiksi adm-user-tunnus, jolla kirjaudutaan vain ylläpitotöissä ja tavallinen user-tunnus, jota käytetään normaalissa työskentelyssä. Näin pienennetään riskiä voimakkaan ylläpitotunnuksen päätymisestä vääriin käsiin. Huomioi periaate myös SaaS palveluissa.
Huolehdi myös siitä, että ylläpitotunnus on vähintään kahdella henkilöllä, jotta yhtiön toiminta ei ole yksittäisen avainhenkilön varassa.
Hallinnolliset suojautumiskeinot – tietoturvakoulutukset
Tietoturvatietoisuus on jokaisen työntekijän asia. Etenkin sähköpostin turvallisuuteen kannattaa käyttää aikaa ja kouluttaa henkilöstöä tunnistamaan tietoturvaa vaarantavia tilanteita. Jokaisen työntekijän pitää kyetä tunnistamaan epäilyttävä sähköposti ja tietää, miten toimia, kun sellainen tulee omaan sähköpostilaatikkoon. Kun organisaatiossa joku saa huijausviestin, sitä on hyvä käyttää konkreettisena koulutusmateriaalina toki tietosuoja huomioiden. Esimerkiksi 3stepIT:llä jaamme eri maiden taloustiimien kesken kaikki vähänkään normaalista poikkeavat tietojenkalasteluviestit.
Edellä mainittujen keskeisten hallintakeinojen lisäksi suosittelen lukemaan vinkkini Toimitusjohtaja- ja laskutushuijauksien torjunnasta Tilisanomien numerosta 1/2024 ja tilisanomat.fi:stä tuore ohjeistukseni erilaisten tietojenluovutuskieltojen käytöstä.
Lähteitä
• F Secure. Router Checker – Tarkista reitittimesi turvallisuus
ilmaiseksi.
• Poliisi. Tietoverkkopetosrikollisuus vuonna 2024 poliisin
silmin.
• Taloushallintoliitto. Taloushallintoalan tietoturvan kehittämishanke, TAKTI-malli.
• Traficom. Kyberturvallisuuslaki on hyväksytty eduskunnassa – NIS2-direktiivin mukaiset velvoitteet astuvat voimaan 8.4.2025.
• Traficom. Pienyritysten kyberturvallisuusopas.
.
