Ole vahvin lenkki – tilintarkastajan tietoturva

Tietomurrot ja kyberhyökkäykset ovat yhä yleisempiä. Riskit huomioimalla tilintarkastaja suojaa sekä itseään että asiakasyritystään.

Kirjoittaja: Jasmiina Rousu | Kuva: Shutterstock

Kuvituskuvana metallinen lukko piirilevyn päällä.

Tietoturva on viime aikoina puhututtanut suomalaisia. Mediassa vellovat tietovuototapaukset tuovat uhat yhä konkreettisemmiksi ja organisaatioiden onkin syytä tiedostaa tietoturvauhkat entistä paremmin. 

Kyberturvallisuuskeskus raportoi tietomurtojen määrän kasvaneen Suomessa vuoden 2020 aikana, eikä hyökkäysten määrän kasvulle näy lähitulevaisuudessa loppua. Päinvastoin. 

Organisaatioiden vauhdittaessa omaa digitaalista murrostaan hiihtävät kyberrikolliset kovaa vauhtia samoilla laduilla. Huipputehokkaankaan teknisen suojauksen tarjoa­maan turvaan ei kannata liiaksi tuudittua, sillä pian joku on jo keksinyt tavan murtaa senkin. 

Teknisen suojauksen lisäksi organi­saatioiden on syytä huolehtia myös henkilöstön tietoturvaosaamisesta – usein tietoturvan heikoin lenkki on ihminen. Henkilöihin kohdistuvat kyberhyökkäykset alkavat olla jo niin uskottavia, että huijausviestiä voi olla ammattilaisenkin vaikea erottaa aidosta.

Aiemmilta vuosilta tutut, hapuile­valla suomen kielellä kirjoitetut arpajaisvoittoviestit ovat toden­näköisesti suurimmalle osalle työikäisistä jo tuttua roskapostitavaraa. Mutta kuinka monella soi hälytyskellot, kun puhelimeen saapuu verkkokaupan tekstiviesti, jossa muistutetaan unohdetusta muutaman euron tulli­maksun maksamisesta? 

Tietoturva ulottuu organisaatioiden kaikille tasoille

Tieto on tietoturvan keskiössä. Tieto­turvalla tarkoitetaan niitä toimenpiteitä, joilla tietoa pyritään turvaamaan. 

Kyberhyökkäyksillä voidaan tavoitella tietojen lisäksi pääsyä organisaation laitteisiin tai muihin resursseihin, tai sillä voidaan pyrkiä häiritsemään organisaation tarjoamien palvelujen toimintaa. Uutinen tietovuodosta rapauttaa sekä asiakkaiden että yhteistyökumppaneiden luottamusta organisaatioon, mikä voi pahimmillaan johtaa organisaation toiminnan jatkuvuuden vaarantumiseen. 

Vaikka pahimpaan skenaarioon ei päädyttäisikään, hyökkäyksestä aiheutuu poikkeuksetta rahallisia seurauksia sanktioiden tai korjaus­toimenpiteiden myötä. Lisäksi vahinkojen korjaaminen vie aikaa ja resursseja.

Tietoturva on käytännössä paljon muutakin kuin tietokoneen virustorjuntaohjelma tai IT-osaston edellyttämän salasanan vaihtorumba. Se näkyy – tai ainakin sen tulisi näkyä – organisaation toiminnassa kautta linjan. 

Tietoturvan eri osa-alueita kuvataan luokittelulla, joka auttaa organisaatiota ymmärtämään tietoturvan roolia omassa toiminnassaan. 

Tietoturvan käsinkosketeltavin ja ehkä näkyvin osa-alue on fyysinen turvallisuus, kuten esimerkiksi murto­hälyttimet ja henkilöstön kaulassa riippuvat kulkukortit. Fyysisellä turvallisuudella pyritään turvaamaan organisaation fyysiset tiedot, laitteet ja resurssit. 

Järjestelmiä pyritään turvaamaan pääsynhallinnan toimenpiteillä, kuten aktivoimalla monivaiheinen tunnistautuminen uuteen järjestelmään kirjautuessa. 

Käytännön toimenpiteiden ohella tietoturvaa on hallinnoitava asianmukaisesti. Tämä edellyttää esimerkiksi johdon hyväksymää tieto­turvapolitiikkaa. Hallinnollisella tietoturvallisuudella varmistetaan, että tietoturva on huomioitu prosesseissa ja että henkilöstöllä on ajan­tasaiset toimintaohjeet tieto­turvalliseen työskentelyyn. 

Tietoturvaan kuuluvat myös tekniset osa-alueet, kuten laitteisto­turvallisuus, tietoaineistoturvallisuus, ohjelmistoturvallisuus ja tietoliikenne­turvallisuus.

Tilintarkastaja on otollinen hyökkäyksen kohde

Jokainen on työntekijänä tai yksityishenkilönä otollinen kohde kyberhyökkäykselle. 

Tilintarkastaja on kuitenkin tarkastustyön myötä erityisen houkutteleva hyökkäyksen kohde. Organisaation arkaluonteiset tiedot ovat hyökkääjien tähtäimessä, ja tilintarkastajalta löytyvät usein avaimet tähän aarrearkkuun. 

Tilintarkastaja saa käsiinsä asiakkaansa fyysistä ja digitaalista tietoaineistoa. Lisäksi hänellä voi olla pääsy suoraan asiakkaan sähköisiin järjestelmiin ja hänelle voidaan myöntää kulkulupia asiakkaan toimitiloihin. 

Yrityksen ja tilintarkastajan välinen tietojen vaihto, tietojen normaalista poikkeava hallinta ja säilytys sekä käyttöoikeuksien ja lupien myöntäminen ovat poikkea­mia yrityksen tavanomaisiin prosesseihin. Ne ovat tietoturvan kannalta erityisen herkkiä taitoskohtia, joihin hyökkäyksiä voidaan kohdistaa. 

Oman työn tietoturva

Vaikka tilintarkastajan asema asiak­kaan tietojen vartijana on merkittä­vä, ei suojautuminen kotitoimiston panssariholvein ole tarpeen. 

Tietoturvallinen työskentely edellyttää huolellisuutta tietojen ja laitteiden käsittelyssä sekä tarkkaavaisuutta epäilyttävissä yhteydenotoissa. Asiakkaan dokumenttien tai minkä tahansa arkaluonteisen mate­riaalin suhteen on syytä kiinnittää huomiota seuraaviin asioihin: 

  • Tiedonsiirtotapa. Sähköposti on kuin postikortti ilman kirjekuorta, suojaamattomana sen sisältöön on melko helppo päästä käsiksi.
  • Tietojen käsittely. Vain turvallisilla välineillä ja turvallisessa ympäristössä.
  • Tietojen säilytyspaikka. Fyysiset dokumentit on pidettävä lukitussa kaapissa ja digitaaliset niille tarkoitetussa suojatussa arkistossa. 

Tilintarkastajan kannattaa varmistua käyttämiensä tiedonsiirto-, käsittely- ja säilytysvälineiden turvallisuudesta konsultoimalla asiaan perehtyneitä tahoja. Oman työskentelyn tietoturvaa on helppo korottaa ottamalla muutamat tietoturvatavat osaksi arkea. Erityisesti etätyön fyysiseen turvallisuuteen tulee kiinnittää huomiota. 

Työtietokonetta, -puhelinta tai muita työnantajan tai asiakkaan laitteita ei tule julkisella paikalla jättää vartioimatta hetkeksikään. Pikainenkin visiitti junan ravintolavaunuun on liian pitkä aika jättää työlaitteet vartioimatta. 

Julkisella paikalla työskennellessä altistuu herkästi myös tahalliselle tai tahattomalle salakatselulle ja -kuuntelulle. Takana tai vieressä istu­va voi pahimmillaan nähdä kaiken tietokoneen ruudulta. Yksinkertainen keino salakatselulta suojautumiseksi on kannettavan tietokoneen näytölle asetettava suojakalvo. 

Kerran vuotanutta salasanaa voidaan yrittää hyödyntää saman 

käyttäjän eri palveluihin ilman, että käyttäjä huomaa tätä. 

Jasmiina Rousu

Kaikkea salakatselua suojakalvokaan ei estä, joten kaikkein kriittisimpiä tietoja ei tulisi käsitellä julkisilla paikoilla lainkaan. Myös työpuheluiden osalta on huomioi­tava ympäristö ja jätettävä kriittisimmät keskustelut käymättä ylimääräisten korvaparien läsnä ollessa. 

Omaan työkalupakkiin kannattaa lisätä myös laitteiden säännöllinen päivittäminen ja vahvojen salasanojen käyttäminen. Vaikka nykyään kirjaudummekin päivittäin lukuisiin eri järjestelmiin, on suositeltavaa käyttää eri salasanoja eri järjestelmiin – edes työhön liittyvien järjestelmien osalta. 

Kerran vuotanutta salasanaa voidaan yrittää hyödyntää saman käyttäjän eri palveluihin ilman, että käyttäjä huomaa tätä. Näin hyökkääjät voivat saada aikaan merkittävää vahinkoa niin yksityishenkilölle kuin organisaatiollekin. 

Salasanojen tulisikin olla mahdollisimman pitkiä ja monimutkaisia. Muutamasta toisiinsa liittymättömästä sanasta ja vaikka erisnimestä koostuva salalause on esimerkki hyvästä ja pitkästä sala­sanasta. Tämä voi olla myös helpompi muistaa, kuin yksittäinen erikoinen kirjainyhdistelmä.

Ole organisaation vahvin lenkki

Kyberhyökkäysten kasvu ja laaja vaikutus on herättänyt viimeisen vuoden aikana monet organisaatiot huomioimaan oman toimintansa tietoturvan. Tietoturva vaikuttaa yhä enemmän yritysten kilpailukykyyn ja markkina-asemaan. Turvallisesti tietoja käsittelevät organisaatiot nauttivat arvostusta sekä asiakkailta että sidosryhmiltä.

Tietoturvan tulisi olla näkyvä osa yrityksen johdon toimintaa, strategiatyötä ja riskienhallintaa. Lisäksi henkilöstöä tulisi kouluttaa ja huolehtia tietoturvaan liittyvästä dokumentaatiosta. Organisaation tulisi tunnistaa ja dokumentoida toimintaansa uhkaavat tietoturva­riskit osana säännöllistä riskienhallintaa. Muutoin organisaatio voi olla tietämätön tietoturvauhista ja niiden realisoitumisen vaikutuksista toimintaansa.

Tilintarkastaja on otollisessa asemassa tunnistamaan tilintarkastusasiakkaansa tietoturvauhkia. Vaikka tilintarkastajan tehtävänä ei olekaan tutkia aukkoja asiakkaan palomuurissa, hän voi tunnistaa riskitekijöitä organisaation toiminnan eri tasoilla. 

Tilintarkastaja voi olla asiakas­organisaationsa tietoturvan heikoin tai vahvin lenkki. Parhaimmillaan tilintarkastaja auttaa asiakasta tunnistamaan uhat ja ehkäisemään vahinkojen syntymistä. 

Tunnista tietoturvariskit asiakkaan toiminnassa

  1. Tietojenkäsittely
    Onko tietoturvalla ja -suojalla vastuuhenkilö?
    Onko tietoturvadokumentaatio kunnossa?
    Järjestetäänkö henkilöstölle koulutusta?
  2. Strategia
    Onko tietoturva osa johdon strategiatyötä?
    Onko tietoturva-asioille budjetti?
  3. Riskienhallinta
    Tehdäänkö riskienhallintaa säännöllisesti?
    Käsitelläänkö tietoturvariskejä muulloinkin kuin uusien hankintojen yhteydessä?

Kirjoittaja Jasmiina Rousu toimii tietoturva-asiantuntijana KPMG Oy Ab:ssä. Twitter @jasmmr

Lue myös: Tietoturva tulee korostumaan tilintarkastuksessa.

Artikkeli on julkaistu alun perin Profiitti – Talous & tilintarkastus 1/2021 -lehdessä.