Riskien hallinta kuuluu kaikille

Tietoyhteiskunnan kehittyvä toimintaympäristö, jossa tieto, työ ja palvelut verkottuvat, luo uusia mahdollisuuksia tuottaa ulkoistettuja taloushallintopalveluja. Verkottuminen edellyttää kehityksen tuomien riskien huomioon ottamista ja hallintaa.
16.5.2006

Mikko Akselin toimitusjohtaja, Tilitoimisto TietoAkseli Oy

Taloushallintopalveluiden tuottamisessa riippuvuus tietojärjestelmistä, sekä huoli niiden käytettävyydestä ja turvallisuudesta, on läsnä koko ajan. Informaatiojärjestelmät taloushallinnon ja sen sidosryhmien välisessä toimintaympäristössä ja tiedonvälityksessä ovat kehittyneet nopeasti ja lisäävät tietoturvallisuuden vaatimuksia. Kehitys ei ainakaan ole hidastumassa.

Tietoturvallisuuden huomiointi muodostaakin osaamisen ohella merkittävimmän haasteen uuden tietotekniikan käyttöönotossa.

Taloushallintopalveluiden tuottamisessa tietoturvallisuuden vaatimusta korostaa se, että toimeksiannossa nimenomaisesti sovitaan asiakkaan luottamuksellisen tiedon käsittelemisestä ja sen salassapitämisestä. Siksi taloushallintopalvelun tuottajan tietoturvallisuutta ei voida käsitellä pelkästään yrityksen omana asiana.

Inhimillinen tekijä

Kaikissa järjestelmissä ihminen on viimeinen puolustusmuuri, jonka pettäessä tie yrityksen arkaluontoisimpiin tietoihin on avoin. Tietoturvallisuuteen liittyvien ongelmien syy löytyy usein huolimattomuudesta, osaamattomuudesta, tietojärjestelmien teknisestä toteutuksesta ja käytön laatuun liittyvistä tekijöistä.

Inhimillisen tekijän vaikutusta ei pystytä kytkemään pois teknisillä ratkaisuilla, vaan se edellyttää panostusta tietojärjestelmien kanssa työskentelevien henkilöiden osaamiseen, ja valmiuksiin huolehtia tietoturvasta osana omaa tehtäväänsä. Tietoturvallisuudesta huolehtiminen tulisi nähdä palvelutuotannon tukiprosessina, jota arvioidaan ja kehitetään osana yrityksen toimintaa. Avainasiana tietoturvallisuuden kehittymisessä on tietoisuus. Tietoisuuden lisääminen edellyttää johdon sitoutumista tietoturvallisuutta koskevan ohjeistuksen ylläpitämiseen ja esilletuomiseen.

Johdon rooli

Tietoturvan toteuttaminen perustuu tietoturvapolitiikkaan, joka on yrityksen johdon hyväksymä määrittely siitä, mikä on valtuutettua ja mikä valtuuttamatonta tietojen käyttöä. Tietoturvallisuus jaetaan yleisesti seuraaviin osa-alueisiin:
• Hallinnollinen turvallisuus
• Henkilöstöturvallisuus
• Fyysinen turvallisuus
• Tietoliikenneturvallisuus
• Laitteistoturvallisuus
• Ohjelmistoturvallisuus
• Tietoaineistoturvallisuus
• Käyttöturvallisuus
Johdon tehtävä on päättää tietoturvatoiminnan suuntaviivoista – periaatteista, vastuunjaosta, resurssien määrittämisestä ja riskien arvioinnista. Varsinaisten toimenpiteiden pitäisi perustua hyväksyttyihin ja selkeisiin ohjeisiin, jotka muodostavat pohjan koko tietoturvallisuudelle.

Johdonmukainen tiedottaminen ja kouluttaminen parantaa koko työyhteisön kykyä toimia tietoturvallisemmin, sekä lisää valmiuksia poikkeustilanteiden varalta. Henkilökunnan tulee ymmärtää, että suojellessaan yritystä se suojelee omaa työpaikkaansa.

Salassapitosopimukset kuntoon

Henkilöstöön kohdistuvaa tietoturvariskiä hallitaan käyttöoikeuksien, toimenkuvien ja henkilöstön ohjauksen avulla. Osaava ja motivoitunut henkilöstö on asiantuntijayrityksen suurin resurssi, mutta samalla henkilöstö on myös mahdollinen uhka.

Tietoturva tulisi aina huomioida jo henkilöstön rekrytoinnin yhteydessä, ja jokaisen yrityksen järjestelmiin pääsyoikeuden tarvitsevan kanssa olisi tehtävä sopimus salassapidosta. Salassapitosopimus tulisi muistaa kohdistaa myös sijaisiin ja kaikille organisaatioille, joille joudutaan antamaan tilapäinenkin oikeus päästä yrityksen järjestelmiin.

Käyttöoikeuksien hallinnointi

Tietojärjestelmien käyttöoikeuksia tulisi hallinnoida siten, että käyttäjillä on oikeus tarpeellisen tiedon käsittelyyn. Toisaalta sellaiset käyttöoikeudet, jotka eivät ole työsuorituksen kannalta tarpeellisia, tulisi lakkauttaa.

Oikeuksien lakkauttaminen työsuhteen aikana on yleensä toimenpide, jota ei suoriteta. Syynä on se, että tarpeellisen käyttöoikeuden puuttuminen huomataan automaattisesti, mutta tarpeeton käyttöoikeus jää huomaamatta. Toinen merkittävä syy on inhimillinen tekijä: käyttöoikeuksien laajuutta pidetään virheellisesti luottamuksen osoituksena ja vastaavasti käyttöoikeuden rajaamista osoituksena luottamuspulasta. Tilanne on nurinkurinen, sillä tarpeettoman käyttöoikeuden lakkauttamisella toimihenkilön oikeutta voidaan suojata mahdollisten tiedon väärinkäyttötilanteiden paljastumisen yhteydessä.

Käyttöoikeuksien hallinnoinnin erityistilanteena voidaan pitää työsuhteen päättymistä. Ellei annettuja käyttöoikeuksia ole dokumentoitu, jää mahdollisesti joku käyttöoikeus päättämättä. Käyttöoikeuksien päättäminen tulisi suorittaa mahdollisuuksien mukaan passivoimalla käyttäjä, ei poistamalla. Käyttäjän tunnukset poistamalla menetetään yleensä myös tieto siitä, mihin tietoihin käyttäjällä on ollut oikeus.

Ongelmallisimpia käyttöoikeuksia ovat ne, joita ei ole antanut työnantaja, vaan tilitoimiston asiakas sovittujen työtehtävien suorittamiseksi. Tällaisia voivat olla esimerkiksi asiakkaan oman järjestelmän käyttöoikeus tai vaikkapa oikeus asiakkaan vakuutusyhtiön verkkopalveluun, jossa käsitellään luottamuksellisia työeläkevakuutustietoja.

Verkkopalvelujen käyttöoikeushallinto ei välttämättä tue käyttöoikeuden antamista palveluntuottajan lukuun valtuutetulle, joten työnantajan on vaikea seurata henkilöstönsä olemassaolevia oikeuksia, ellei saatuihin käyttöoikeuksiin liittyvästä ilmoitusmenettelystä ole sovittu työpaikalla.

Salasanat

Käyttäjätunnus ja salasana ovat henkilökohtaisia eikä niitä saa antaa muiden käyttöön edes väliaikaisesti. Epäiltäessä, että salasana on tullut toisen tietoon, se on välittömästi muutettava, muutoinkin salasana on vaihdettava säännöllisesti. Hyvä salasana on sellainen, jonka itse muistaa, mutta muut eivät sitä pysty arvaamaan. Sana sisältää isoja ja pieniä kirjaimia sekä erikoismerkkejä, esimerkiksi #KapaCala24!

Useat Internet-palvelut toimivat tunnuksella ja salasanalla, joilla käyttäjä yksilöidään. Koska käyttäjätunnus ja salasana ovat palveluntuottajan tietojärjestelmässä yhdistettynä käyttäjän identifiointiin, on turvallisuussyistä aina käytettävä eri salasanoja kuin omassa tietojärjestelmässä. Älä myöskään anna selainohjelmasi tallentaa salasanoja.

Voiko meitä huijata?

Suurin osa tietoverkkoihin murtautujista huijaa valtuutetun käyttäjän luovuttamaan tunnuksensa murtautujalle. Ilmiötä kutsutaan termillä ”Social Engineering”, joka tarkoittaa tietorikollisten ei-teknistä taitoa, inhimillistä käytöstä, avattaessa aukkoja turvallisuuteen. Usein uhri tai kanssarikollinen ei edes ymmärrä joutuneensa petoksen kohteeksi. Teknisesti aukottomaksi toteutettu tietoturva ei auta, mikäli käyttäjät eivät tiedä, miten eri tilanteissa tulisi toimia.

Epäilyttäviä sähköposteja tai linkkejä www-sivuilta on syytä olla avaamatta. Erityisesti kannattaa olla varuillaan, jos tutuilta ihmisiltä tulee yhtäkkiä sähköpostia omituiseen kellonaikaan tai eri kielellä kuin yleensä. Missään olosuhteessa käyttäjätunnuksia tai salasanoja ei luottamuksellisten järjestelmien osalta saa luovuttaa puhelimitse tai sähköpostitse, koska tällöin toisen osapuolen luotettavaa tunnistusta ei voida tehdä.

Ennaltaehkäise varmistamalla

Tietojen tuhoutuminen johtuu yleensä käyttäjän virheellisestä toiminnasta, ympäristöä koetelleesta vahingosta, tietovälineiden väärästä käsittelystä tai ohjelmisto- tai laitteistovirheistä. Asianmukaisella varmuuskopioinnilla voidaan ennaltaehkäistä vahinkoja.

Taloushallintopalveluiden tuottajan osalta varmistaminen on suurten tallennusmäärien takia tarkoituksenmukaista suorittaa päivittäin. Varmistustiheyden lisäksi pitäisi ottaa kantaa, mitä on tarpeellista varmistaa. Erityisesti tulee arvioida, onko tiedostopalvelinten lisäksi säilyttämisen kannalta tarpeellista tietoa hajautettuna muualle. Tällaisia saattavat olla esimerkiksi sähköpostiohjelmistojen tiedostot, joiden sisällöstä merkittävä määrä on asiakkaiden kanssa käytyä kirjeenvaihtoa.

Varmuuskopioiden palautettavuus, eli tiedon siirtyminen varmistusvälineelle oikeassa muodossa, on testattava säännöllisesti. Varmistaminen on suoritettava useana säännöllisesti päivitettävinä kopioina, joista ainakin yhtä tulee säilyttää eri rakennuksessa ja muita tietosuoja-arkistossa, joka on suojattu tuli- ja vesivahingoilta. On myös muistettava huomioida vakuutusyhtiön ohjeet varmuuskopioiden käsittelystä.

Oman ongelmansa muodostavat käyttäjien koneille tallennetut tärkeät dokumentit, joita ei ehkä ole siirretty tiedostopalvelimelle, eivätkä ne näin ollen ole mukana yhdelläkään varmistusnauhalla. Kannettavan tietokoneen varkaudessa tai levyrikon sattuessa saatetaan menettää huomattavia määriä luottamuksellista tietoa – jota ei olisi saanut säilyttää kannettavalla tietokoneella tai joka olisi pitänyt varmistaa palvelimelle. Mekaaniset laitteet, kuten kovalevyt, voivat hajota.

Kohti parempaa tietoturvaa

Tarkoituksenmukaisen tietotekniikan kehittäminen on hieno ja tärkeä asia ja sitä tulee edistää.

Kehitys muuttaa väistämättä toimintatapoja, luo uusia toimintamalleja ja parantaa tehokkuutta. Vastaavasti se tuo tullessaan uudenlaisia kustannuksia.

Ylläpidon ja huollon vaatima asiantuntemus lisää paineita tietojärjestelmäpalveluiden ulkoistamiseen. Todelliseen osaamiseen panostaminen kannattaa, sillä turvallisuuden varmistaminen on kuitenkin aina palvelun tilaajan tehtävä. Tahallisista tai tahattomista vahingoista johtuvien keskeytysten aiheuttamat taloudelliset menetykset voivat nousta hyvinkin suuriksi tai aiheuttaa koko toiminnan päättymisen.

Työyhteisössä menettelyt siitä, miten ongelmatilanteissa tai vahingon sattuessa tulee toimia ja keneen pitää ottaa yhteyttä, tulee olla selvillä. Asian selvittäminen on ensimmäinen askel kohti parempaa tietoturvaa. Jos isoja ongelmia syntyy, on ratkaisevan tärkeää, miten nopeasti niitä päästään selvittämään.

Huolehdi näistä

• Tarkasta että varmistukset ovat palautettavissa
• Varmista, ettei tärkeää tietoa säilytetä paikoissa mistä ne eivät päädy varmistukseen
• Käytä hyviä salasanoja ja vaihda ne säännöllisesti
• Lukitse koneesi poistuessasi työpisteestä
• Ennen käyttöä varmista tiedostojen alkuperä
• Mobiililaitteet: suojaa tiedot ja huolehdi laitteista
• Muistitikuilla olevat tiedot: säilytä vain tarpeellinen

Pidä ajan tasalla

• Palomuurit
• Virustorjunta
• Käyttöjärjestelmät
• Selaimet
• Käyttöoikeudet

Ohjeita verkossa

www.tietoturvaopas.fi
www.ek.fi/ytnk/
www.tieke.fi/julkaisut/oppaat_yrityksille/tietoturvaopas/

Ovela tietohuijari osasi käyttää ihmisiä

Entinen huijari Kevin Mitnick on todennut, että ihmisten hyväuskoisuutta on helppo käyttää hyväksi, koska ihmiset on koulutettu tottelemaan ja heillä on luontainen taipumus auttaa toisiaan. Osaava huijari pystyy houkuttelemaan ja huijaamaan henkilöstöön kuuluvan antamaan tietoja, joiden avulla hän pääsee sisälle yrityksen järjestelmään.

Mitnick murtautui aikanaan sosiaalisen kanssakäymisen menetelmin useiden suuryritysten muun muassa Sun Microsystemsin, Novellin, Nokian ja Motorolan tietojärjestelmiin. Hänet tuomittiin murroista vankeuteen ja suuriin korvauksiin. Vapauduttuaan hän perusti yrityksen, ja toimii nykyään tietoturvakonsulttina.