Office 365 tietoturvavaroitus

Viestintävirasto on julkaissut tärkeän kyberturvallisuustiedotteen koskien Office 365 ympäristöjä: 

http://www.viestintavirasto.fi/kyberturvallisuus/varoitukset/2018/varoitus-2018-03.html

Rikolliset ovat viime aikoina kalastelleet yritysten työntekijöiden tunnuksia ja salasanoja sähköpostitse erilaisten menetelmien avulla. Tilille sisäänpäästyään hyökkääjät ovat asettaneet sähköpostitilille uudelleen lähetys sääntöjä, jotta kopiot viesteistä saadaan automaattisesti rikollisten haltuun. Lisäksi hyökkääjät ovat lähettäneet murtamiltaan käyttäjätileiltä uusia kohdennettuja kalastelu- ja huijausviestejä.

Erilaisten tietojen kalasteluiden ammattimaisuus vaatii tulevaisuudessa entistä enemmän huomiota tietojärjestelmien käyttäjiltä. Ohessa muutama vinkki, millä organisaatio voi parantaa tietoturvaansa. 

1. Käyttäjän on hyvä tarkistaa aina mihin osoitteeseen kirjautuu. Esimerkiksi  O365 verkkopalveluun kirjautuessa ei riitä, että selain ilmoittaa yhteyden olevan suojattu (https), vaan tulee myös tarkistaa onko osoite oikea. 

Office 365 kirjautumisosoite yleensä (https://portal.office.com/

Yrityksen tunnuksilla ei tule kirjautua palveluihin, jos ne epäilyttävät vaan pyytää tietohallintoa tarkistamaan oikeellisuus tarvittaessa. 

2. Suosittelemme Office 365 ylläpitäjää tarkistamaan postilaatikot ja niiden edelleenlähetyssäännöt.

Kirjaudu Office 365 ympäristöön Powershellillä ja aja seuraava komento:

$LiveCred = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $LiveCred -Authentication Basic -AllowRedirection
Import-PSSession $Session
Connect-MsolService -Credential $LiveCred

Get-Mailbox | select UserPrincipalName,ForwardingSmtpAddress | Export-Csv -Path ”C:\temp\users.csv”

3. Yrityksen kannattaa sijoittaa tietoturvaan ja nimenomaan toimintoihin, jotka estävät tällaisten kalasteluviestien läpitulon sähköpostilla ja jotka mahdollistavat monikanavaisen autentikoinnin (MFA) palveluihin eli käyttäjä varmennetaan käyttäjätunnuksella ja salasanalla sekä tekstiviestillä tai muulla kertakirjautumisratkaisulla. Myös työasemien ja palvelimien virusturva tulee olla kunnossa. 

Microsoft 365 Business tai Enterprise auttaa paljon GDPR vaatimusten täyttämisessä. 

M365_kuva.PNG
M365_kuva2.PNG

GDPR - EU:n tietosuojauudistus lähestyy

GDPR-asetus muuttaa tietosuojakäytäntöjä ja vaatii yrityksiä kiinnittämään tietoturvaan nykyistä enemmän huomiota. Muutokset ja GDPR-yhteensopivuuden saavuttaminen vaativat monissa yrityksissä paljon työtä.

Tietosuoja-asetus astuu voimaan perjantaina 25.5.2018 ja käytännössä aikaa täyttää vaatimuksenmukaisuus on vielä 30 päivää

Hyvä paikka perehtyä asiaan tarkemmin on tietosuojauudistuksesta kertova nettisivu: http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html#tietosuoja-asetus

Muutama käsite on syytä tietää asetusta tutkiessa:

Rekisterillä tarkoitetaan mitä tahansa henkilötietoja sisältävää jäsenneltyä tietojoukkoa, josta
tiedot ovat saatavilla tietyin perustein. Tietojoukko voi olla keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu. Tämä tarkoittaa sitä, että rekisterissä olevan tiedon ei fyysisesti tarvitse olla samassa paikassa, vaan henkilötiedot voivat olla myös hajallaan esimerkiksi eri tietokoneilla ja eri maissa. Teknisesti rekisteri voi olla esimerkiksi paperinen rekisteri, Excel-tiedosto tai asiakastietojen hallintaan käytetty ohjelmisto.

Rekisterinpitäjä on yritys, joka säilyttää henkilötietoja ja jolla on oikeus määrätä henkilörekisterin käytöstä.

Rekisteröity tarkoittaa henkilöä, jonka tietoja on tallennettu rekisteriin.

Henkilötietojen käsittelijä on itsenäinen elinkeinon- tai toiminnanharjoittaja, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Tällaisesta on kysymys esimerkiksi silloin, kun yritys siirtää työntekijätietoja palkanmaksusta vastaavalle tilitoimistolle. Tällöin henkilötietojen katsotaan siirtyvän henkilötietojen käsittelijälle eli sille palveluntarjoajalle, joka käsittelee henkilötietoja rekisterinpitäjän puolesta.

Alla on lista tehtävistä, jotka jokaisessa yrityksessä tulee suorittaa:

1. Selvitä, pitääkö organisaatioosi nimittää tietosuojavastaava.

2. Selvitä, miten organisaatiossasi käsitellään henkilötietoja. Käy läpi kaikki henkilötietojen käsittelyn vaiheet keräämisestä hävittämiseen ja dokumentoi ne. Varmista, että organisaatiosi noudattaa nykyisin sovellettavaa henkilötietolakia.

3. Selvitä, millä perusteella organisaatiosi käsittelee henkilötietoja. Henkilötietojen käsittelylle on oltava aina laista löytyvä peruste.

4. Arvioi, millaisia riskejä henkilötietojen käsittelyyn liittyy organisaatiossasi. Selvitä, miten riskejä voitaisiin minimoida. Ryhdy toimenpiteisiin, jotka vastaavat henkilötietojen käsittelyyn liittyvää riskiä. Esimerkiksi silloin, kun henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski, on rekisterinpitäjän tehtävä tietosuojaa koskeva vaikutustenarviointi.

5. Selvitä, miten organisaatiosi noudattaa tietosuoja-asetuksessa määriteltyjä rekisteröityjen oikeuksia. Selvitä myös, miten rekisteröityjen pyyntöihin tällä hetkellä vastataan. Päivitä prosessit tietosuoja-asetuksen vaatimusten mukaisiksi.

6. Huolehdi tietoturvasta.  Valmistaudu ilmoittamaan henkilötietojen tietoturvaloukkauksista.

7. Varmista, että toimeksiantosopimukset vastaavat asetuksessa säädettyjä ehtoja, jos organisaatiosi on ulkoistanut henkilötietojen käsittelyyn liittyviä tehtäviä. Ota tietosuoja-asetus huomioon myös muissa sopimuksissa ja hankinnoissa.

8. Määrittele johtava valvontaviranomainen, jos organisaatiosi toimii usean EU:n jäsenmaan alueella.

9. Selvitä, miten organisaatiosi on huomioitava lasten erityisasema. Jatkossa lapsi tarvitsee huoltajan tai muun vanhempainvastuunkantajan suostumuksen tai valtuutuksen tietoyhteiskunnan palveluiden käyttöön. Suomessa ikäraja ei ole vielä selvillä, mutta se on vähintään 13 ja enintään 16 vuotta.

Muutama käytännön vinkki tai asia, mihin IT näkökulmasta yrityksessä pitää kiinnittää huomiota:

1. Jos yrityksessä käsitellään henkilötietoja sähköpostilla, tiesitkö että sähköposti on kuin postikortti. Henkilötietoja varten pitää hankkia salattu sähköposti!

2. Onko yrityksen laitteet suojattu asianmukaisesti päivitykset ajan tasalla ja ylläpidettynä?

3. Onko virustorjunta ohjelma valvonnassa ja onko koneen kovalevy salattu/kryptattu?

4. Onko yrityksen käyttämät pilvipalvelut tai palvelinratkaisut suojattu asianmukaisesti?

5. Onko yrityksen IT estänyt esim. henkilötietojen tallentamisen julkisiin pilvipalveluihin? Tai onko työntekijöitä ohjeistettu miten dokumentteja yrityksessä käsitellään?

Jos viimeiset viisi kohtaa jäävät askarruttamaan, ota yhteyttä myyntiimme niin tehdään teille tietosuojaturvakartoitus, josta saatte selvällä suomenkielellä nykytilan ja kehitysehdotukset dokumentoituna.

SSL-Sertifikaatti web-sivujen suojana

Onko webbisivusi suojattu SSL-varmenteella? Jos ei ole, kannattaa lukea miksi sivustosi kannattaa suojata!

Helmikuusta lähtien Chrome -selain luokittelee tietoturvariskeiksi kaikki verkkosivustot, joilta puuttuu SSL-sertifikaatti eli SSL-varmenne. Aluksi muutos koskee vain sivustoja, joilla kysytään tunnuksia tai maksutietoja, mutta myöhemmässä vaiheessa sama muutos tulee kaikille suojaamattomille sivustoille. Google selvästi painostaa kaikkia verkkosivustoja käyttämään SSL-sertifikaatteja ja jää vain nähtäväksi, milloin muut selaimet seuraavat perässä. Tällainen näkymä voi karkottaa asiakkaita sivuiltasi!

Chromessa osoiterivillä näkyy pieni i-ympyröitynä, josta näkee lisää tietoa sivustosta. Samassa kohdassa saattaa myös lukea Not Secure.

 

 

 

Miksi hankkia SSL-sertifikaatti?

1) Verkkosivustojesi kävijöiden yksityiset tiedot eivät pääse ulkopuolisten käsiin

SSL-sertifikaatti salaa kaiken liikenteen palvelimen ja sivustosi vierailijan välillä. Vaikka edelleenkin sivuston liikenne voidaan kaapata, pysyy se salattuna ja käytännössä hyödyttömänä verkkorikollisille. Salaus antaa suojan vierailijoidesi arkaluontoisia tietoja kohtaan. Näitä ovat esimerkiksi yhteys -ja pankkitiedot tai vaikkapa käyttäjätunnukset ja salasanat.

2) Anna hyvä ensivaikutelma yrityksestäsi

Mikään ei karkota potentiaalista asiakasta sivustolta nopeammin kuin ilmoitus sivuston vaarallisuudesta. SSL -sertifikaatin hinta saattaa aluksi tuntua turhalta lisäkustannukselta, mutta kuinka monta menetettyä kauppaa tai yhteydenottoa yrityksellä on varaa ottaa, että kustannuksissa säästetään? Ensi vaikutelma on asiakkaalle kaikki kaikessa ja ilmoitus tietoturvariskistä ajaa asiakkaan suoraan kilpailijalle. En usko kenenkään jäävän sivustolle, jonka selain ilmoittaa vaaralliseksi. Jäisitkö sinä?

3) Sijoittaudu ylemmäs Googlen hakutuloksissa

SSL-sertifikaatti on helppo tapa parantaa hakukonenäkyvyyttä, sillä Google pisteyttää SSL-sertifikaatilla suojatut sivustot paremmin hakutuloksissaan. Koska näkyvyys hakutuloksissa on suoraan verrannollinen sivun kävijämäärään, voi SSL-sertifikaatin hankinta kääntyä positiiviseksi kassavirraksi.

Suosittelemme kaikkia yrityksiä suojaamaan webbisivunsa eli lukon kuva kertoo, että sivusto on suojattu:

Suojaa eri tasoisilla SSL-varmenteilla

SSL-sertifikaatit voidaan jakaa kolmeen eri varmennetasoon. DV (Domain validation), OV (Organization validation) ja EV (Extended validation).

DV (Domain validation): DV -tason SSL-sertifikaatti on hyvä ja edullinen tapa saada HTTPS-suojaus verkkosivustoille. DV -tason SSL-sertifikaatti todennetaan sähköpostitse ja sen voi saada kuka tahansa, kunhan omistaa verkkotunnuksen ja yhden sähköpostilaatikon. Tietoturvan kannalta on kuitenkin otettava huomioon, että vaikka liikenne onkin suojattua, ei DV -tason sertifikaattien kohdalla voi tietää kuka sivustoa oikeasti ylläpitää. Ongelmia tulee silloin kun tietojenkalastelutarkoituksessa tehdyt huijaussivustot hankkivat SSL-sertifikaatin ja sivuston kävijä syöttää tietämättään luottamuksellisia tietoja rikollisille. Vaaroista huolimatta ei DV -tason sertifikaattia tarvitse säikähtää, sillä se on loistava ratkaisu sivuston liikenteen suojaamiseksi.

OV (Organization validation): OV tason SSL-sertifikaateissa vahvistetaan sen takana olevan yrityksen olemassaolo. Vaikka suojaustaso on käytännön tasolla sama kuin DV -tason SSL-sertifikaatissa, voit olla OV -tason SSL-sertifikaattien kanssa varma, että kyseessä on varmasti yrityksen omistama verkkosivusto. Voit huoletta tehdä ostoksia ja syöttää tietojasi kyseisellä SSL-varmenteella varustetuilla sivustoilla.

EV (Extended validation): EV -tason SSL-sertifikaatteja haettaessa yrityksen olemassaolo vahvistetaan vielä vahvemmin ja tämä sopii parhaiten isoille verkkokaupoille tai sivustoille, joilla liikkuu huomattavia määriä luottamuksellista dataa. EV -tason sertifikaatin kanssa näkyy osoitepalkissa yrityksen nimi vihreänä. Näitä voit nähdä esimerkiksi pankkien tai vakuutusyhtiöiden sivustoilla.

Mitä tarkoitetaan Wildcard sertifikaatilla?

Hankitut SSL-sertifikaatit ovat aina verkkotunnuskohtaisia ja suojauksen taso riippuu hankitusta SSL-Sertifikaatista. Yrityksellä voi olla tarpeen suojata useampia sivustoja esim. mail.yritys.fi, vpn.yritys.fi, www.yritys.fi. Wildcard on kehitetty suojaamaan nämä X.yritys.fi sivustot, joissa X voi olla mitä vain. Wildcard on edullisin tapa suojata useita (yleensä yli 3 erillistä) sivustoa yhdellä SSL-sertifikaatilla, joka asennetaan kaikkiin palveluihin. 

SSL-Sertifikaatit

Välitämme useiden tunnettujen tahojen SSL-sertifikaatteja (Digicert, Comodo, jne). Ota yhteyttä myyntiimme 075 755 301 tai myynti@vmit.fi, kun tarvitset SSL-sertifikaattia. Älä huoli, jos edellä mainittu ei auennut, myyntimme auttaa ja suojataan sivustosi.