Viestinnän tietoturvan ensimmäisessä osassa kirjoitin viestihygieniasta eli siitä, kuinka voimme suojautua paremmin sähköpostitoimialueidemme väärinkäytöksiltä ja parantaa viestiemme perillemenomahdollisuuksia. Voit lukea sen tästä. Tässä toisessa osiossa käydään läpi, mitä tulisi ottaa huomioon suojataksemme sisäänpäin tulevaa sähköpostiliikennettä ja samalla käyttäjiämme haitallisilta viesteiltä.
Hyökkäystavat kehittyvät
Osa tämän päivän sähköpostihyökkäyksistä on todella taitavasti toteutettuja, niihin voi langeta kuka tahansa meistä. Tyypillisemmät organisaatioihin kohdistuvat hyökkäykset ovat ns. BEC – Business Email Compromise -hyökkäyksiä, jossa tekeydytään saman organisaation työntekijäksi tai yhteistyökumppaniksi. Pahimmassa tapauksessa yhteistyökumppanin tai kollegan sähköpostitili on kaapattu, jolloin käyttäjän on todella vaikea havaita, kenen kanssa hän todellisuudessa kommunikoi.
Yksi yleistynyt tapa on myös “Fake email forward”, jossa hyökkääjä on tehnyt tekaistun viestiketjun pitäen sisällään aidot sähköpostiosoitteet ja tekaistut sovitut maksutoimenpiteet jne. Tämän jälkeen hyökkääjä lähettää viestin pahaa aavistamattomalle käyttäjälle toimenpiteitä varten. Esimerkkejä hyökkäyksistä riittää! Keinot ovat muuttuneet yhä ovelammiksi. Tekoälykin osaltaan hankaloittaa torjuntatyötä, joten valveutuneisuutta tulee luonnollisesti lisätä.
Viisi peruspilaria viestinnän turvaamiselle
Miten organisaatiot voivat tänä päivänä tehdä suojautuakseen paremmin? Olen alle lyhyesti koostanut viisi osa-aluetta, joista kokonaisuus organisaation tietoturvauhkien ja riskien minimoimiseksi koostuu. Kooste ei missään nimessä ole täydellinen, mutta kuitenkin sellainen mistä saat mahdollisesti ajatuksia ja vertailupohjaa organisaatiosi nykytilaan verrattuna.
Strategia
Kaikki lähtee strategiasta. Ilman sitä, hutkimme sinne tänne reaktiivisesti ja valitettavasti usein liian myöhään. Strategiassa määritellään ja ohjataan muun muassa:
- Lainsäädäntö ja standardit: Mitä mahdollisia vaatimuksia organisaatiollemme on asetettu. ISO 27001, NIS2 jne.
- Teknisen suojautumisen politiikka
- Reagointisuunnitelma tietoturvapoikkeamissa
- Palautumis- ja jatkuvuussuunnitelmat
- Henkilöstön koulutus: Miten huolehditaan tietoturvan jalkauttamisesta loppukäyttäjille
- Jatkuva seuranta ja mittarit: Miten esimerkiksi käyttäjät voivat mahdollisimman vaivattomasti ilmoittaa havaitsemistaan tietoturvauhista tai poikkeamista
- Tietoturvan kulttuuri: Miten käyttäjät osallistetaan organisaation yhteisiin tietoturvatalkoisiin
Tietoturvastrategian kehitys on jatkumo, jota tulee säännöllisesti tarkastella ja tarvittaessa päivittää. Lisäksi sen tulee olla osana organisaation riskien hallintaa, johdosta asti sitoutettuna ja jatkuvasti seurattuna.
Tekniset suojaustoimet
Jokaiseen Microsoft 356 -tilaukseen sisältyy perus suojaustoimet mahdollistava Exchange Online Protection (EOP). Esimerkkinä Microsoft Business Basic -lisenssi sisältää ainoastaan tämän. Yleisesti SMB -sektorilla käytössä olevassa Business Premiumissa tulee jo Defender for Office 365 Plan 1 mukana, joka tarjoaa kehittyneempiä suojaustoimia. Itse olen sitä mieltä, ettei EOP tänä päivänä ole riittävä, vaan sitä tulisi laajentaa a) joka Defender for Office 365 -laajennuksella tai b) ottaa kolmannen osapuolen suojaustuote rinnalle. Keskeisenä osana loppukäyttäjien turvaamisen liittyy myös Entra ID:n ehdollinen pääsynhallinta, mikäli se vain lisenssien puolesta on käytettävissä. On syytä myös huomioida, että sekä Defender, että EOP vaativat konfigurointia saavuttaakseen parhaimman suojauksen tason, vaikkakin oletusasetuksilla pääseekin iikkeelle.
Käyttäjien koulutus
Tämä on ehkä jopa se kaikkein tärkein asia ottaa strategiassa huomioon. Säännölliset täsmäkoulutukset, joissa käydään läpi ajankohtaisia yleisiä tietoturvauhkia. Markkinoilla on erinomaisia tietoturvan mikrokoulutuksia tarjoavia palveluita. On tärkeää pitää loppukäyttäjät säännöllisesti valveutuneena kalasteluviestien sekä muidenkin tietoturvauhkien osalta. Tulee kuitenkin muistaa pitää koulutusmateriaali sellaisena, että sen läpikäyminen onnistuu ymmärrettävästi.
Prosessit
Prosesseilla kuvataan toimintaperiaatteet eri tilanteiden varalta. Ne toimivat ohjenuorina, miten toimimme eri tilanteissa ja kommunikoinnin ja viestinnän suhteen. Esimerkkeinä miten organisaatiossa on kuvattuna prosessi, kuinka varmistetaan sähköpostitse tulleet maksuliikennemuutospyynnöt. Kuinka tulisi varmistaa henkilön identiteetti tarvittaessa. Entä miten toimimme ylipäätään tietoturvapoikkeamissa.
Raportointi ja seuranta
Raportointi ja seuranta on useassa organisaatiossa saattanut jäänyt taka-alalle. Loppukäyttäjät tulisi tuoda keskiöön ja osallistettua havainnoimaan tietoturvapoikkeamia ja raportoimaan niistä. Kalastelu- ja haittaviestien osalta tämä tarkoittaa esimerkiksi M365 -palvelussa tuoda sähköpostiviestien raportointipainike käyttäjille Outlook -asiakasohjelmaan. Yksi tapa lähestyä asiaa on luoda Teams -kanava, johon käyttäjät voivat raportoida ja samalla tuoda asian tietoon muillekin organisaatiossa. IT-osaston tehtävä on aktiivisesti seurata raportointia ja tehdä tarvittaessa muutoksia säännöstöjen, koulutuksen tai ohjeistusten osalta.
Millaisia ajatuksia kirjoitus herätti sinussa? Tarvitsetko mahdollisesti sparrauskaveria asian tiimoilta? Ota vain heti matalalla kynnyksellä yhteyttä niin jutellaan lisää. Alta voit varata suoraan kalenteristani ajan.