TRIUVAREN GDPR-KOULU: TUNNISTA TIETOTURVALOUKKAUS
Tässä sarjassamme esittelemme joka päivä yhden tietoturvaloukkauksen ja keinot, jolla riskejä voi minimoida.
TIETOTURVALOUKKAUS:
Salasanan tai muun luottamuksellisen tiedon lähetys vastaanottajalle salaamattomalla sähköpostilla, tai kirjautumistietojen pitäminen näkyvillä esim. työpisteen läheisyydessä.
MIKSI SE LOUKKAA TIETOTURVAA:
Kirjautumistietojen joutuminen vääriin käsiin mahdollistaa niiden väärinkäytön useissa eri yhteyksissä. Tunnuksilla voi olla mahdollisuus kirjautua sähköpostiin tai muihin tietojärjestelmiin, jotka sisältävät arkaluontoista tai luottamukselliseksi määriteltävää tietoa (ml. henkilötietoa). Luottamuksellista, sähköpostilla tai sen liitteenä lähetettävää henkilötietoa voivat olla myös terveyttä koskevat tiedot (esim. sairauslomatodistukset), henkilötunnus tai palkkalaskelmat. Näiden tietojen väärinkäytöstä voi aiheutua korkea riski henkilön oikeuksille ja vapauksille.
MITEN ONGELMAA VOI EHKÄISTÄ
- Salatun sähköpostin lähetysmahdollisuus lisäpalveluna – vastaanottajan tulee kirjautua palveluun, jotta voi lukea postin. Esimerkiksi Office 365:n sähköpostipalvelu mahdollistaa salatun sähköpostin lähetysmahdollisuuden.
- On suositeltavaa määritellä yritykselle salasanapolitiikka. Vähintään olisi hyvä ohjeistaa käytössä oleviin tietojärjestelmiin tietyt salasanan monimutkaisuusvaatimukset (pituus- ja merkkivaatimukset) sekä salasanojen säännöllinen vaihtaminen.
- Yrityksen käytössä olevat tietojärjestelmät eivät aina mahdollista salasanan monimutkaisuuden tai vanhenemisen pakottamista itse järjestelmään. Näistä on hyvä haastaa omaa palveluntarjoajaa, jotta järjestelmä osaisi muistuttaa salasanavaatimuksista käyttäjiä.
- Keskitetty käyttäjähallinta (esim. Active Directory) mahdollistaa yritykselle käyttöoikeushallinnan yhden tunnuksen periaatteella. Tällöin on mahdollista määritellä yrityskohtainen käyttäjätunnus, tai identiteetti, jolla voitaisiin kirjautua useimpiin tietojärjestelmiin. Keskitetty käyttäjähallinta mahdollistaa myös salasanojen monimutkaisuusvaatimukset, vanhenemisen pakottamisen sekä tarvittaessa nopean käyttöoikeuden poistamisen.
TARVITSEEKO LOUKKAUKSESTA ILMOITTAA?
Mikäli kyseessä on arkaluontoinen henkilötieto (esim. terveyttä koskevaa tietoa, henkilötunnus tai palkkatietoa), jonka joutuminen vääriin käsiin aiheuttaa henkilölle riskejä tai seurauksia, on ilmoitus ehdottomasti tehtävä.
Haluatko lisätietoja?
Lue kaikki blogisarjan artikkelit ja opi tunnistamaan tietoturvaloukkaukset. Kiinnittämällä huomiota arkisiin asioihin, voit parantaa yrityksen tietoturvaa ja -suojaa huomattavasti
- Haittaojelmat, virukset ja kalasteluviestit
- Hakkerointi
- Kirjautumistietojen vuotaminen
- Laitteen varastaminen
- Sähköposti väärälle vastaanottajalle
- Paperien hävitys roskikseen
- Sähköpostin cc-kenttä massaposteissa
- USB-tikku katoaa
Lisää tietoja yrityksen tietoturvan parantamisesta ja ylläpidosta löydät myös PK-yrityksen tietoturvaoppaasta. Lataa maksuton opas!