Tilitoimiston tietoturva: Tilitoimistolta varastettu tieto on rahanarvoista – ja siksi rikollisten tavoittelemaa

Joku haluaa varastaa tietokoneesi, eikä hän vie sitä kahvilan pöydältä tai toimistolta. Kirjanpitäjät ja palkanlaskijat käsittelevät asiakasyritysten ja niissä työskentelevän henkilöstön tietoja. Rikolliset tavoittelevat noita tietoja monin mielikuvituksellisin keinoin, koska varastetulle tiedolle on olemassa omat markkinansa. Samoin rikolliset käyttävät tietoturvan heikkouksia hyödykseen, jotta he voivat estää yrityksen pääsyn omien töidensä pariin. Työt avataan ja jätetään tuhoamatta maksua vastaan.

Tietoturvasta huolehtimalla voidaan vaikeuttaa rikollisten toimintaa ja ennaltaehkäistä monta harmia. Listasimme muutaman asian, jotka jokaisessa tilitoimistossa tulisi olla kunnossa.

Pidä laitteesi ja ohjelmistosi ajan tasalla

Monella on käytössään useita verkossa olevia laitteita, joissa on eri ohjelmia ja sovelluksia. Laitteet ja ohjelmat vaativat päivityksiä, joita on helppo kiireessä siirtää eteenpäin tai jättää jopa tekemättä.

Päivitysten tarkoitus on kuitenkin yhä enemmän tietoturvaan liittyvien aukkojen paikkaaminen sen lisäksi, että ne tuovat mukanaan uusia ominaisuuksia tai korjaavat ongelmia. Päivittämättömät laitteet ja ohjelmat tarjoavat rikollisille mahdollisuuksia päästä käsiksi tietoihin, joita he voivat käyttää esimerkiksi kiristämiseen. On siis erittäin tärkeää pitää kaikki verkossa olevat laitteet ja niiden ohjelmistot ajan tasalla.

Tarkistathan, että alla olevat asiat ovat kunnossa teidän toimistollanne:

1. Kaikkien työasemien käyttöjärjestelmät ovat aina ajan tasalla – ne päivitetään heti, kun uusi päivitys on saatavilla.
2. Kaikki tietokoneet ja mobiililaitteet kuuluvat vielä valmistajan tuen piiriin ja niihin tulee päivityksiä. Laitteilla on elinkaari ja vanhoja laitteita ei välttämättä enää tueta. Tällaiset laitteet tulisi uusia.
3. Tietokoneiden selaimet ovat jatkuvasti päivitettyjä uusimpaan versioon. Mikäli käyttäjällä ei ole tarvetta useammalle selaimelle, kannattaa käyttämättömät selaimet poistaa koneelta.
4. Työpuhelinten sovellukset ovat ajan tasalla. Käyttämättömät sovellukset kannattaa poistaa puhelimista.
5. Tietokoneilta on poistettu turhat, ylimääräiset ohjelmat.

Lue myös Kyberturvallisuuskeskuksen kirjoitus ohjelmistojen päivittämisestä.

Huolehdi salasanoistasi

Lapsen tai lemmikin nimestä ja syntymävuodesta saa mukavan pitkän ja helposti muistettavan salasanan, joka täyttää monen ohjelman salasanavaatimukset. Myös rikolliset pitävät näistä samasta syystä.

Ohjelmistojen salasanavaatimukset erikokoisten kirjaimien, numeroiden ja erikoismerkkien yhdistelmistä vaikeuttavat salasanojen murtamista. Yksittäisen merkin lisääminen salasanaan moninkertaistaa sen murtamisen vaikeuden. Muutaman merkin lisääminen tekee siitä todella vaikeaa.

Työ ja vapaa-aika on hyvä pitää erillään, myös salasanojen osalta. Työvälineisiin liittyvät salasanat tulisi olla erilaisia kuin vapaa-ajan palveluihin liittyvät salasanat. Jos rikolliset saavat käsiinsä sosiaalisen median kirjautumistietoja, ei noilla samoilla tunnuksilla saisi päästä muihin palveluihin. Mikäli käyttämissäsi ohjelmissa on mahdollisuus hyödyntää monivaiheista kirjautumista (MFA), parantaa se huomattavasti tietoturvaa. Tällöin pelkkä käyttäjätunnus ja salasana eivät vielä anna pääsyä ohjelmiin.

Toimi seuraavasti salasanojen osalta:

1. Käy läpi kaikki käytössäsi olevat palvelut, jotka vaativat kirjautumisen.
2. Tarkista, että kaikissa on eri salasanat, ja vaihda salasanat, joita ei ole päivitetty vähään aikaan.
3. Varmista, ettei työkäytössä olevia tunnuksia tai sähköpostia käytetä vapaa-ajan palveluissa.

Lue myös Kyberturvallisuuskeskuksen ohje hyvään salasanaan.

Ole tarkkana sähköpostisi kanssa

Valtaosa tietomurroista tapahtuu sähköpostin välityksellä. Sähköpostiin lähetetään esimerkiksi mahdollisimman aidolta näyttävä viesti, jossa on linkki sivulle, joihin pitää kirjautua esimerkiksi Microsoft-tilin tunnuksilla tai pankkitunnuksilla. Tunnuksilla ei todellisuudessa kirjauduta mihinkään, vaan rikolliset saavat tunnukset omaan käyttöönsä.

Tällaiset tietojen kalastelu- ja huijausviestit ovat nykyään valitettavan yleisiä. Niiden lähettäminen on rikollisille helppoa. Samaa viestiä lähetään massoittain ihmisille isojen toimijoiden nimissä. Lähes kaikki ovat tavalla tai toisella esimerkiksi pankkien, Postin tai verottajan asiakkaita, joten niiden nimissä tulevat viestit eivät välttämättä herätä epäilyksiä niin herkästi.

Kalasteluviestit ovat yleensä melko helposti tunnistettavissa ja sähköpostiohjelmat osaavat suodattaa osan niistä jo etukäteen. Jos kuitenkin tuhannesta vastaanottajasta yksi antaa tunnuksensa, on rikollinen onnistunut tehtävässään. Sähköpostien suhteen kannattaa siis olla skeptinen.

Toimi näin, jos saat sähköpostia, jota et odottanut:

1. Tarkista mistä osoitteesta viesti on tullut ja täsmääkö se lähettäjään.
2. Tarkista viestissä käytetty kieli: Vaikuttaako viesti siltä, että se olisi kirjoitettu käännösohjelman avulla?
3. Jos viesti johtaa sivuille, jonne pitää antaa tunnuksia, ota aina aikalisä ja mieti mitä olet tekemässä.
4. Ennen linkkien painelua, viestin väitetyltä lähettäjältä kannattaa kysyä puhelimella, onko viesti todella tullut heiltä.
5. Muista: Pankki ei kysy koskaan sähköpostilla pankkitunnuksia!

Lue myös Kyberturvallisuuskeskuksen kirjoitus kalastelusta.