Kestääkö organisaatiosi tietoturva lomakauden?
Juhannuksena Suomi sulkeutuu kolmeksi päiväksi. Toimistot hiljenevät, puhelimet menevät äänettömälle ja avainhenkilöt siirtyvät laiturinnokkaan, ansaitusti.
Verkkorikolliset tietävät tämän tasan tarkkaan. Heille lomakausi ei ole hiljaista aikaa, vaan vuoden parasta sesonkia.
Kun vakituinen henkilöstö lomailee, organisaation arkinen turvaverkko on ohuimmillaan. Se tuttu kollega, jolta voisi nopeasti kysyä "näyttääkö tämä lasku sinusta oudolta?", on tavoittamattomissa. Esihenkilö, joka normaalisti hyväksyisi maksun, grillaa juuri silloin makkaraa. Ja se ainoa henkilö, joka tietää, miten poikkeamatilanteessa toimitaan, lukee ohjeen sijaan dekkaria riippumatossa.
Juuri tähän hetkeen rikolliset iskevät.
Miksi lomakausi on vuoden riskialtteinta aikaa?
Lomakauden riskit eivät synny tekniikasta, vaan ihmisistä ja prosesseista tai oikeammin niiden poissaolosta.
Huijaukset ajoitetaan tietoisesti pyhiin ja lomiin. Toimitusjohtajahuijaukset ja kiireelliset laskutuspetokset toimivat parhaiten silloin, kun normaali sisäinen valvonta on tauolla. Tyypillisessä tilanteessa taloushallinnon sijaiselle tai kesätyöntekijälle saapuu johdon nimissä kiireellinen viesti: maksa tämä lasku tänään, tilinumero on muuttunut. Kun ketään tuttua ei ole paikalla varmistamassa, kynnys maksun suorittamiseen laskee.
Sijaisilla ja kesätyöntekijöillä ei ole rutiinia tunnistaa poikkeavaa. Kokenut työntekijä huomaa vaistomaisesti, että jokin viestissä on pielessä kuten sävy, ajoitus tai pyyntö itsessään. Talossa kaksi viikkoa ollut kesätyöntekijä ei vielä tiedä, mikä on normaalia ja mikä ei. Se ei ole hänen vikansa. Se on perehdytyksen ja prosessien tehtävä.
Havaitsematta jäänyt tietomurto ehtii kasvaa. Jos järjestelmiin isketään juhannusaattona ja asia huomataan vasta seuraavalla viikolla, vahinko on ehtinyt moninkertaistua. Kyse ei ole vain tekniikasta, vaan rahasta, maineesta ja asiakkaiden luottamuksesta – siitä, jonka rakentaminen vie vuosia ja menettäminen yhden iltapäivän.
Viisi asiaa kuntoon ennen juhannusta
Hyvä uutinen on, että lomakauden riskit ovat hyvin ennakoitavissa. Suurin osa niistä torjutaan yksinkertaisilla, ennen lomia tehtävillä toimenpiteillä.
1. Rajaa kesätyöntekijöiden ja sijaisten oikeudet tarvittavaan. Yleinen virhe on antaa uudelle työntekijälle laajat käyttöoikeudet "varmuuden vuoksi", jotta työt eivät pysähtyisi kenenkään lomaillessa. Noudata sen sijaan minimioikeuksien periaatetta: pääsy vain niihin järjestelmiin ja tietoihin, joita tehtävien hoitaminen välttämättä vaatii. Asiakaspalvelun kesätyöntekijä ei tarvitse pääsyä taloushallinnon järjestelmiin. Oikeuksien rajaaminen suojaa sekä organisaatiota että työntekijää itseään.
2. Tee poikkeamaohjeesta niin tiivis, että se mahtuu yhdelle sivulle. Monimutkainen dokumentti verkkolevyn perukoilla ei auta kriisitilanteessa. Ohjeen pitää vastata kahteen kysymykseen: mitä tehdään aivan ensimmäiseksi, jos epäillään tietomurtoa tai tietovuotoa – ja kuka asiasta vastaa pyhien aikana ja mistä hänet tavoittaa. Varmista, että ohje on saatavilla myös silloin, kun työntekijä ei ole kirjautuneena organisaation sisäiseen verkkoon.
3. Vaadi maksuihin ja tilinumeromuutoksiin aina kahden henkilön varmistus. Tämä yksi sääntö torjuu valtaosan toimitusjohtajahuijauksista. Olennaista on, että sääntö pätee poikkeuksetta myös lomakaudella – ja että jokainen maksuja käsittelevä, myös sijainen, tietää sen. Kiire ei ole koskaan peruste ohittaa varmistusta. Päinvastoin: aito kiireen tuntu viestissä on itsessään varoitusmerkki.
4. Sovi sijaisuudet ja päivystysvastuut kriittisiin toimintoihin. Kuka vastaa, jos juhannuksena pamahtaa? Jos vastaus on "katsotaan sitten", vastausta ei ole. Kriittisille toiminnoille – maksuliikenne, järjestelmävalvonta, poikkeamien käsittely – tarvitaan nimetyt vastuuhenkilöt ja varahenkilöt myös pyhien ajaksi. Hyvään riskienhallintaan kuuluu, että homma toimii silloinkin, kun johto on tavoittamattomissa.
5. Perehdytä jokainen kesätyöntekijä tietoturvaan heti ensimmäisenä päivänä. Ei "sitten kun ehditään", vaan ennen kuin tunnukset annetaan käteen. Perehdytyksen ei tarvitse olla raskas: olennaista on, että uusi työntekijä tunnistaa yleisimmät huijausyritykset, tietää keneltä kysyä epäselvissä tilanteissa ja uskaltaa ilmoittaa havainnoistaan matalalla kynnyksellä. Turha hälytys on aina parempi kuin tekemättä jäänyt ilmoitus.
Osoitusvelvollisuus ei jää lomalle
On vielä yksi syy, miksi lomakauden valmistelut kannattaa ottaa vakavasti: lainsäädäntö ei tunne juhannusta.
GDPR velvoittaa ilmoittamaan henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle 72 tunnin kuluessa siitä, kun loukkaus on havaittu. Määräaika juoksee pyhistä ja lomista riippumatta.
Juuri tämä tekee lomakauden havaitsemiskyvystä kriittisen. Jos organisaatiossa ei ole ketään, joka huomaa poikkeaman, tunnistaa sen merkityksen ja tietää, miten prosessi käynnistetään, määräaika voi paukkua jo ennen kuin kukaan on ehtinyt edes reagoida. Ja jos loukkaus havaitaan juhannusaattona, selvitystyön on käynnistyttävä silloin – ei seuraavana arkipäivänä.
Tässä palataan samaan kysymykseen, jota käsittelimme edellisessä blogissamme: mistä tiedätte, että henkilöstö oikeasti osaa toimia, kun tilanne on päällä? Lomakausi on tälle osaamiselle vuosittainen stressitesti. Se paljastaa armottomasti, onko tietoturva organisaatiossa kulttuuria vai pelkkä kuitattu kurssi.
Turvallinen kesä ei synny tuurilla
Parhaimmillaan lomakausi sujuu niin, ettei kukaan edes huomaa, että puoli organisaatiota oli poissa. Se ei ole sattumaa, vaan seurausta ennen lomia tehdystä työstä: selkeistä prosesseista, rajatuista oikeuksista ja henkilöstöstä, joka tunnistaa riskit ja osaa toimia – myös se kesätyöntekijä, joka aloitti kaksi viikkoa sitten.
Navisec auttaa rakentamaan organisaatioon tietoturvakulttuurin, joka kestää myös lomakauden. Koulutuksemme varmistavat, että jokainen työntekijä – vakituisesta kesätyöntekijään – tunnistaa riskit ja tietää, miten toimia silloinkin, kun esihenkilö on lomalla.
Turvallista kesää!
Onko henkilöstön tietosuojakouluttaminen ajankohtaista? Navisecin avulla se hoituu helposti ja tehokkaasti.
Asiakkaitamme
