Tietomurrot ja kyberhyökkäykset ovat yhä yleisempiä. Riskit huomioimalla tilintarkastaja suojaa sekä itseään että asiakasyritystään.
Kirjoittaja: Jasmiina Rousu | Kuva: Shutterstock
Tietoturva on viime aikoina puhututtanut suomalaisia. Mediassa vellovat tietovuototapaukset tuovat uhat yhä konkreettisemmiksi ja organisaatioiden onkin syytä tiedostaa tietoturvauhkat entistä paremmin.
Kyberturvallisuuskeskus raportoi tietomurtojen määrän kasvaneen Suomessa vuoden 2020 aikana, eikä hyökkäysten määrän kasvulle näy lähitulevaisuudessa loppua. Päinvastoin.
Organisaatioiden vauhdittaessa omaa digitaalista murrostaan hiihtävät kyberrikolliset kovaa vauhtia samoilla laduilla. Huipputehokkaankaan teknisen suojauksen tarjoamaan turvaan ei kannata liiaksi tuudittua, sillä pian joku on jo keksinyt tavan murtaa senkin.
Teknisen suojauksen lisäksi organisaatioiden on syytä huolehtia myös henkilöstön tietoturvaosaamisesta – usein tietoturvan heikoin lenkki on ihminen. Henkilöihin kohdistuvat kyberhyökkäykset alkavat olla jo niin uskottavia, että huijausviestiä voi olla ammattilaisenkin vaikea erottaa aidosta.
Aiemmilta vuosilta tutut, hapuilevalla suomen kielellä kirjoitetut arpajaisvoittoviestit ovat todennäköisesti suurimmalle osalle työikäisistä jo tuttua roskapostitavaraa. Mutta kuinka monella soi hälytyskellot, kun puhelimeen saapuu verkkokaupan tekstiviesti, jossa muistutetaan unohdetusta muutaman euron tullimaksun maksamisesta?
Tietoturva ulottuu organisaatioiden kaikille tasoille
Tieto on tietoturvan keskiössä. Tietoturvalla tarkoitetaan niitä toimenpiteitä, joilla tietoa pyritään turvaamaan.
Kyberhyökkäyksillä voidaan tavoitella tietojen lisäksi pääsyä organisaation laitteisiin tai muihin resursseihin, tai sillä voidaan pyrkiä häiritsemään organisaation tarjoamien palvelujen toimintaa. Uutinen tietovuodosta rapauttaa sekä asiakkaiden että yhteistyökumppaneiden luottamusta organisaatioon, mikä voi pahimmillaan johtaa organisaation toiminnan jatkuvuuden vaarantumiseen.
Vaikka pahimpaan skenaarioon ei päädyttäisikään, hyökkäyksestä aiheutuu poikkeuksetta rahallisia seurauksia sanktioiden tai korjaustoimenpiteiden myötä. Lisäksi vahinkojen korjaaminen vie aikaa ja resursseja.
Tietoturva on käytännössä paljon muutakin kuin tietokoneen virustorjuntaohjelma tai IT-osaston edellyttämän salasanan vaihtorumba. Se näkyy – tai ainakin sen tulisi näkyä – organisaation toiminnassa kautta linjan.
Tietoturvan eri osa-alueita kuvataan luokittelulla, joka auttaa organisaatiota ymmärtämään tietoturvan roolia omassa toiminnassaan.
Tietoturvan käsinkosketeltavin ja ehkä näkyvin osa-alue on fyysinen turvallisuus, kuten esimerkiksi murtohälyttimet ja henkilöstön kaulassa riippuvat kulkukortit. Fyysisellä turvallisuudella pyritään turvaamaan organisaation fyysiset tiedot, laitteet ja resurssit.
Järjestelmiä pyritään turvaamaan pääsynhallinnan toimenpiteillä, kuten aktivoimalla monivaiheinen tunnistautuminen uuteen järjestelmään kirjautuessa.
Käytännön toimenpiteiden ohella tietoturvaa on hallinnoitava asianmukaisesti. Tämä edellyttää esimerkiksi johdon hyväksymää tietoturvapolitiikkaa. Hallinnollisella tietoturvallisuudella varmistetaan, että tietoturva on huomioitu prosesseissa ja että henkilöstöllä on ajantasaiset toimintaohjeet tietoturvalliseen työskentelyyn.
Tietoturvaan kuuluvat myös tekniset osa-alueet, kuten laitteistoturvallisuus, tietoaineistoturvallisuus, ohjelmistoturvallisuus ja tietoliikenneturvallisuus.
Tilintarkastaja on otollinen hyökkäyksen kohde
Jokainen on työntekijänä tai yksityishenkilönä otollinen kohde kyberhyökkäykselle.
Tilintarkastaja on kuitenkin tarkastustyön myötä erityisen houkutteleva hyökkäyksen kohde. Organisaation arkaluonteiset tiedot ovat hyökkääjien tähtäimessä, ja tilintarkastajalta löytyvät usein avaimet tähän aarrearkkuun.
Tilintarkastaja saa käsiinsä asiakkaansa fyysistä ja digitaalista tietoaineistoa. Lisäksi hänellä voi olla pääsy suoraan asiakkaan sähköisiin järjestelmiin ja hänelle voidaan myöntää kulkulupia asiakkaan toimitiloihin.
Yrityksen ja tilintarkastajan välinen tietojen vaihto, tietojen normaalista poikkeava hallinta ja säilytys sekä käyttöoikeuksien ja lupien myöntäminen ovat poikkeamia yrityksen tavanomaisiin prosesseihin. Ne ovat tietoturvan kannalta erityisen herkkiä taitoskohtia, joihin hyökkäyksiä voidaan kohdistaa.
Oman työn tietoturva
Vaikka tilintarkastajan asema asiakkaan tietojen vartijana on merkittävä, ei suojautuminen kotitoimiston panssariholvein ole tarpeen.
Tietoturvallinen työskentely edellyttää huolellisuutta tietojen ja laitteiden käsittelyssä sekä tarkkaavaisuutta epäilyttävissä yhteydenotoissa. Asiakkaan dokumenttien tai minkä tahansa arkaluonteisen materiaalin suhteen on syytä kiinnittää huomiota seuraaviin asioihin:
- Tiedonsiirtotapa. Sähköposti on kuin postikortti ilman kirjekuorta, suojaamattomana sen sisältöön on melko helppo päästä käsiksi.
- Tietojen käsittely. Vain turvallisilla välineillä ja turvallisessa ympäristössä.
- Tietojen säilytyspaikka. Fyysiset dokumentit on pidettävä lukitussa kaapissa ja digitaaliset niille tarkoitetussa suojatussa arkistossa.
Tilintarkastajan kannattaa varmistua käyttämiensä tiedonsiirto-, käsittely- ja säilytysvälineiden turvallisuudesta konsultoimalla asiaan perehtyneitä tahoja. Oman työskentelyn tietoturvaa on helppo korottaa ottamalla muutamat tietoturvatavat osaksi arkea. Erityisesti etätyön fyysiseen turvallisuuteen tulee kiinnittää huomiota.
Työtietokonetta, -puhelinta tai muita työnantajan tai asiakkaan laitteita ei tule julkisella paikalla jättää vartioimatta hetkeksikään. Pikainenkin visiitti junan ravintolavaunuun on liian pitkä aika jättää työlaitteet vartioimatta.
Julkisella paikalla työskennellessä altistuu herkästi myös tahalliselle tai tahattomalle salakatselulle ja -kuuntelulle. Takana tai vieressä istuva voi pahimmillaan nähdä kaiken tietokoneen ruudulta. Yksinkertainen keino salakatselulta suojautumiseksi on kannettavan tietokoneen näytölle asetettava suojakalvo.
Kerran vuotanutta salasanaa voidaan yrittää hyödyntää saman
käyttäjän eri palveluihin ilman, että käyttäjä huomaa tätä.
Jasmiina Rousu
Kaikkea salakatselua suojakalvokaan ei estä, joten kaikkein kriittisimpiä tietoja ei tulisi käsitellä julkisilla paikoilla lainkaan. Myös työpuheluiden osalta on huomioitava ympäristö ja jätettävä kriittisimmät keskustelut käymättä ylimääräisten korvaparien läsnä ollessa.
Omaan työkalupakkiin kannattaa lisätä myös laitteiden säännöllinen päivittäminen ja vahvojen salasanojen käyttäminen. Vaikka nykyään kirjaudummekin päivittäin lukuisiin eri järjestelmiin, on suositeltavaa käyttää eri salasanoja eri järjestelmiin – edes työhön liittyvien järjestelmien osalta.
Kerran vuotanutta salasanaa voidaan yrittää hyödyntää saman käyttäjän eri palveluihin ilman, että käyttäjä huomaa tätä. Näin hyökkääjät voivat saada aikaan merkittävää vahinkoa niin yksityishenkilölle kuin organisaatiollekin.
Salasanojen tulisikin olla mahdollisimman pitkiä ja monimutkaisia. Muutamasta toisiinsa liittymättömästä sanasta ja vaikka erisnimestä koostuva salalause on esimerkki hyvästä ja pitkästä salasanasta. Tämä voi olla myös helpompi muistaa, kuin yksittäinen erikoinen kirjainyhdistelmä.
Ole organisaation vahvin lenkki
Kyberhyökkäysten kasvu ja laaja vaikutus on herättänyt viimeisen vuoden aikana monet organisaatiot huomioimaan oman toimintansa tietoturvan. Tietoturva vaikuttaa yhä enemmän yritysten kilpailukykyyn ja markkina-asemaan. Turvallisesti tietoja käsittelevät organisaatiot nauttivat arvostusta sekä asiakkailta että sidosryhmiltä.
Tietoturvan tulisi olla näkyvä osa yrityksen johdon toimintaa, strategiatyötä ja riskienhallintaa. Lisäksi henkilöstöä tulisi kouluttaa ja huolehtia tietoturvaan liittyvästä dokumentaatiosta. Organisaation tulisi tunnistaa ja dokumentoida toimintaansa uhkaavat tietoturvariskit osana säännöllistä riskienhallintaa. Muutoin organisaatio voi olla tietämätön tietoturvauhista ja niiden realisoitumisen vaikutuksista toimintaansa.
Tilintarkastaja on otollisessa asemassa tunnistamaan tilintarkastusasiakkaansa tietoturvauhkia. Vaikka tilintarkastajan tehtävänä ei olekaan tutkia aukkoja asiakkaan palomuurissa, hän voi tunnistaa riskitekijöitä organisaation toiminnan eri tasoilla.
Tilintarkastaja voi olla asiakasorganisaationsa tietoturvan heikoin tai vahvin lenkki. Parhaimmillaan tilintarkastaja auttaa asiakasta tunnistamaan uhat ja ehkäisemään vahinkojen syntymistä.
Tunnista tietoturvariskit asiakkaan toiminnassa
- Tietojenkäsittely
Onko tietoturvalla ja -suojalla vastuuhenkilö?
Onko tietoturvadokumentaatio kunnossa?
Järjestetäänkö henkilöstölle koulutusta? - Strategia
Onko tietoturva osa johdon strategiatyötä?
Onko tietoturva-asioille budjetti? - Riskienhallinta
Tehdäänkö riskienhallintaa säännöllisesti?
Käsitelläänkö tietoturvariskejä muulloinkin kuin uusien hankintojen yhteydessä?
Kirjoittaja Jasmiina Rousu toimii tietoturva-asiantuntijana KPMG Oy Ab:ssä. Twitter @jasmmr
Lue myös: Tietoturva tulee korostumaan tilintarkastuksessa.
Artikkeli on julkaistu alun perin Profiitti – Talous & tilintarkastus 1/2021 -lehdessä.
