Menneellä viikolla on uutisissa tapahtunut taas lähinnä ikäviä ja huolestuttavia asioita – mikä tuntuu olevan uutisten vakiovibe – mutta myös sellaisia, jotka ovat hyvin mielenkiintoisia meidän kannaltamme, jotka tykkäämme pitää meteliä tietoturvasta.

Massiivinen tietomurto Helsingin kaupungin kasvatuksen ja koulutuksen toimialalla johtui teknologialtaan vanhentuneesta etäyhteyspalvelimesta, joka oli suunniteltu poistettavaksi käytöstä. Kaupungin mukaan tietovuodossa on voinut olla kohteena kymmeniä miljoonia tiedostoja, mutta vaikka suuri määrä tietoa vuosi, sitä ei tiettävästi ole väärinkäytetty. Kaupunki korostaa tietoturvan ja tietosuojan merkitystä sekä henkilöstön koulutusta. Poliisi tutkii tapausta törkeänä tietomurtona. (YLE 18.6.)

Hesarin timanttijutussa (18.6) on käsitelty toukokuussa tapahtunutta massiivista tietovuotoa, jossa Karkkilalainen autokorjaamo ja Pohjois-Pohjanmaalainen hinauspalvelu pääsivät keskelle järkyttävää hässäkkää, kun hakkeri pääsi niiden kautta käsiksi kymmenien tuhansien ihmisten henkilötietoihin Verohallinnon ja Traficomin rekistereistä, hyödyntäen yritysten rajapintayhteyksiä. Tietovuodossa vaarantui jopa 77.000 ihmisen henkilötietoja ja osallisten edesottamukset kiinnostavat kovasti myös poliisia.

Olemme lukeneet näistä tapauksista kauhun ja kiinnostuksen vallassa, mutta nämä ovat myös muistuttaneet työmme tärkeydestä asiakkaillemme. Pidämme mielemmämme meteliä tietoturvallisuudesta, rajapinnoista ja datan keräämisestä ja säilyttämisestä aina kun löydämme jonkun joka suostuu tätä kuulemaan. Kuten olemme joskus aikaisemminkin väittäneet, tietosuoja ja aktiivinen puolustautuminen netissä kuuluvat kaikille, ja valitettavasti jopa tavalliset yritykset voivat päästää valtakunnallisiin otsikoihin tahattomien virheiden takia.

Tietosuoja kuuluu kaikille

Joskus pienemmät ja keskikokoiset yritykset katsovat tietosuojaa lähinnä ylimääräisenä kulueränä ja vähän tarpeettomana vouhotuksena, mutta ainakin meidän näkökulmastamme olemme ajatelleet sitä samanlaisena kuin vakuutusten hankintaa, että ne ovat vain osa liiketoiminnan kustannuksia. Varsinkin jos omien palvelujen kautta päätyy tallentamaan minkäänlaisia henkilötietoja, alkaen sähköposteista, tallennettuja PDF-laskuja, puhelinnumeroita, IP-osoitteita, tai mitä tahansa mikä GDPR:n kannalta haiskahtaa vähänkin tunnistettavalta datalta…mahdollisesta tietomurrosta tulee ns. iso juttu.

Mitä enemmän tietoja keräämme ja säilytämme, sekä mitä enemmän rajapintoja sivustoilla ja palveluilla on ulospäin, sitä isompi maalitaulu ne ovat boteille ja hakkereille; eikä asioita helpota yhtään, jos järjestelmät pyörittävät vanhentuneita versioita lisäreistä, rajapintaintegraatiot ovat jääneet päivittämättä tai tietoja säilytetään pölyyntyvällä serverillä. (Ihan todellisesti, vaikka omaa sivua vastaan ei hyökätä, samalla serverillä tapahtuva tietomurto on äkkiä vaarantanut jokaisen sillä istuvan asiakkaan).

Jos yhtäkkiä huomaat, että et ole viime aikoina tsekannut kaikkia päivityksiä tai et ole ihan varma millä serverillä kaikki palvelusi ovat tallessa, tai miten paljon suojausta sen ympärillä on, voit muutamalla askeleella tsekata että asiasi eivät ole ainakaan ihan täysin retuperällä. (Huomio, mainospuhetta tiedossa)

Tilaa ilmainen tietosuoja-audiointi

Jos tästä asiasta ei ole vielä huudeltu riittävästi, tarjoamme ilmaista alustavaa auditointia, joka perustuu välittöminpien ja pahimpien turvallisuuteen liittyvien ongelmien tsekkaukseen. Täällä voit tilata Aloitustarkastuksen, johon tarvitset vain sivustosi verkko-osoitteen, sekä sähköpostin, johon haluat vastaanottaa raportin. Tämä ei ole kattava auditointi, mutta voit ainakin tarkistaa että et vahingossa tarjoa datamurtoa hopeatarjottimella.

Päivitä vahvat salasanat

Käytä aina vahvoja salasanoja, vähintään kahdeksan merkkiä, isoja kirjaimia, numeroita ja mielellään vielä aksenttimerkki bottien kiusaksi. Älä käytä käyttäjätunnuksena “adminia”, vaan valitse oikeasti ainutlaatuinen käyttäjänimi. Sekoita numeroita vielä mukaan, jos haluat kiitettävän arvosanan. Jos olet oikein hurjalla päällä, voit jopa aktivoida kaksivaiheisen tunnistautumisen, niin edes Windows95 Mies ei pääsisi käsiksi datakätköihisi.

Tarkista WordPressin päivitykset

Tsekkaa, onko lisäosille, teemalle tai ytimelle tullut versiopäivityksiä. Jos jokin lisäosa on jäänyt tarpeettomaksi, paina rohkeasti deleteä. Varsinkin vanhentuneet versiot voivat olla pääsy sivustolle turvatoimien ohi.

Tarkista että sivustolla on varmuuskopiointi päällä

Ota säännöllisesti varmuuskopiot kaikista tiedostoista. Näin voit palauttaa sivustosi, jos päivitys menee pieleen ja jumittaa koko sivuston. On myöskin hyvä idea säilyttää varmuuskopioita pidemmältä aikaväliltä – yksi mahdollisuus on, että sivustolle livahtanut botti on lisännyt haitallista koodia sivulle, jonka vaikutuksia ei ehditä heti näkemään, ja koodinpätkä ehtii kopioitua viimeisimpiin varmuuskopioihin. Muista säilyttää myös varmuuskopiota turvallisesti. Niiden jättäminen samalle palvelimelle sivuston kanssa on myöskin huono idea.

Poista ylimääräiset käyttäjät

Älä jätä tarpeettomia käyttäjätunnuksia voimaan, koska jokainen niistä on riski brute force -hyökkäyksille. Muille käyttäjille ei varsinkaan kannata antaa enemmän valtaa kuin tarpeellista, joten esimerkiksi jokaista sisällöntuottajaa ei tarvitse lisätä sivulle täysillä admin-oikeuksilla.

Asenna tietoturvalisäri

Asenna tietoturvaplugineja, kuten varsinkin Wordfence, jotka auttavat suojaamaan sivustoasi.

Jos kaikki nämä on jo valmiiksi, voit lähteä lomille 86% paremmalla mielellä. Jos tarvitset apua tietoturvan kartoittamisessa, syvällisemmässä sivuston tai palvelujen auditoinnissa, tai muussa sivustoosi liittyvässä, voit aina ottaa rohkeasti yhteyttä ja lähettää kysymyksesi.

Hyvää kesää kaikille paitsi hakkereille, boteille ja hybridivaikuttajille!