Tietoturvatietoisuuden kuukausi 2023

Tietoturvatietoisuuden kuukausi 20 vuotta

Lokakuussa 2023 tulee kuluneeksi 20 vuotta Kyberturvallisuuden tietoisuuskuukaudesta, joka on omistettu tietoisuuden lisäämiselle digitaalisesta turvallisuudesta ja joka antaa kaikille mahdollisuuden suojella henkilötietojaan digitaalisilta rikollisuuden muodoilta.

Tänä vuonna hallitusten johtajat ja alan johtajat tarkastelevat, miten pitkälle olemme päässeet viimeisten 20 vuoden aikana ja mihin meidän on mentävä turvataksemme digitaalisen tulevaisuutemme.

Lue blogimme: Avaintekijät menestyksekkääseen 20-vuotiseen kumppanuuteen: Exclusive Networks ja Fortinet jakavat salaisuutensa

Digitaalisen infrastruktuurin maailmanlaajuisena kyberturvallisuuden asiantuntijana Exclusive Networks on sitoutunut nopeuttamaan siirtymistä täysin luotettuun digitaaliseen maailmaan. Jatkamme yhteistyötä toimittajiemme ja kumppaneidemme kanssa turvataksemme teknologiaa, suojellaksemme kriittistä infrastruktuuria ja kuroaksemme umpeen kyberturvallisuuden urakuilua huippuluokan ratkaisuilla, palveluilla ja koulutuksella, jotta maailmassamme olisi huomisen kriittisesti tarvitsemat kybervartijat. Tähän kuuluu Exclusive Academy -aloitteemme, joka on erikoistunut koulutusohjelma, jonka tarkoituksena on tuoda mukaan nuoria lahjakkuuksia ja antaa käytännön kenttäkokemusta sekä teoriakoulutusta Exclusive Networksin asiantuntijoilta.

Olemme iloisia voidessamme virallisesti tukea Cybersecurity Awareness Month 2023 -tapahtumaa.

Tänä vuonna Cybersecurity Awareness Month edistää seuraavia neljää keskeistä kyberturvallisuuskäyttäytymistä, jotka on luotu yksinkertaisiksi ja toimiviksi sekä yksityishenkilöille että yrityksille:

1. Luo vahvoja salasanoja ja käytä salasanahallintaa.
2. Ota käyttöön monitekijätodennus
3. Päivitä ohjelmistosi
4. Tunnista phishing-yritykset ja ilmoita niistä

Vaikka autamme kumppaneita ja heidän asiakkaitaan pitämään tietonsa suojattuina monin tavoin, näiden muutaman yksinkertaisen toimenpiteen noudattaminen voi auttaa kaikkia pysymään turvassa verkossa.

Luo vahvoja salasanoja ja käytä salasanahallintaa

Heikot tai varastetut salasanat ovat syynä 81 prosenttiin tietomurroista. Uskoisitko, että yleisimmät salasanat vuonna 2023 ovat edelleen "123456789" ja "password"? Verkkorikolliset voivat murtaa heikon tai helposti arvattavan salasanan muutamassa tunnissa. Monimutkaisempien, "vahvojen" salasanojen murtaminen voi sen sijaan viedä yli elinikäisen ajan.

Microsoft määrittelee vahvan salasanan seuraavasti:

• Vähintään 12 merkkiä pitkä, mutta vähintään 14 merkkiä on parempi.
• Yhdistelmä isoja ja pieniä kirjaimia, numeroita ja symboleja.
• Ei sana, joka löytyy sanakirjasta tai henkilön, hahmon, tuotteen tai organisaation nimi.
• eroaa merkittävästi aiemmista salasanoista - varastettuja salasanoja jaetaan usein verkossa muiden verkkorikollisten käyttöön.
• Sinun on helppo muistaa, mutta muiden on vaikea arvata, esim. mieleenpainuva lause kuten "6MonkeysRLooking^".

Jos haluat pitää tilit ja laitteet turvassa, älä koskaan jaa käyttäjätunnuksia tai salasanoja kenenkään kanssa ja vältä niiden kirjoittamista ylös. Kun otetaan huomioon, että keskivertokäyttäjällä on 27 eri työsovellusta, jotka on varmennettava, salasanahallinta voi olla suuri apu, jos sinulla on monia tilejä ja sinulla on vaikeuksia muistaa useita salasanoja. Monet salasanahallintaohjelmat päivittävät tallennettuja salasanoja automaattisesti, pitävät ne salattuina ja vaativat monitekijätodennuksen käyttöä varten.

Huonon salasanahygienian aiheuttamien riskien vuoksi monet yritykset ovat nyt siirtyneet salasanattomaan todennukseen.

Lue lisää Thalesin FIDO2-salasanattomista laitteista.

Lue lisää

Ota käyttöön monitekijätodennus

Monitekijätodennus (Multi-factor authentication, MFA) tarjoaa salasanojen lisäksi ylimääräisen turvakerroksen, jolla estetään asiattomien käyttäjien pääsy tileille ja laitteisiin, vaikka salasana olisi arvattu tai varastettu. Se edellyttää kirjautumiseen useamman kuin yhdenlaista tunnistetietoa. MFA:ta on useita eri muotoja, jotka kaikki varmistavat, että olet ainoa henkilö, joka voi käyttää tiliäsi.

MFA-menetelmiä ovat mm:

• Jotain, jonka tiedät: Salasanat, PIN-koodit ja turvakysymykset
• Jotain, joka sinulla on: Laitteisto- tai ohjelmistotunnisteet, varmenteet, sähköposti, tekstiviestit ja puhelut.
• Jotain, mitä olet: Sormenjäljet, kasvojentunnistus, iiris- ja kädenjälkiskannaus.
• Sijaintisi: Lähde-IP-alueet ja maantieteellinen sijainti

Pilvipalvelujen, mobiililaitteiden ja laajennettujen toimitusketjujen lisääntynyt käyttö saa organisaatiot etsimään vahvoja MFA-ratkaisuja. Edellä mainitut menetelmät perustuvat erilaisiin tekniikoihin, joista merkittävimpiä ovat kertakäyttösalasanat (OTP) ja julkisen avaimen infrastruktuuri (PKI). Thalesin mukaan nämä teknologiat toimivat seuraavasti.

Kertakäyttösalasanat ovat symmetrisen todennuksen muoto, jossa kertakäyttösalasana luodaan samanaikaisesti kahdessa paikassa - todennuspalvelimella ja hallussasi olevalla laitteisto- tai ohjelmistotunnisteella. Jos tunnistimesi tuottama OTP vastaa todennuspalvelimen tuottamaa OTP:tä, todennus onnistuu ja sinulle myönnetään pääsy.

PKI-todennus on eräänlainen "epäsymmetrinen" todennus, koska se perustuu pariin erilaiseen salausavaimeen, nimittäin yksityiseen salausavaimeen ja julkiseen salausavaimeen. Laitteistopohjaiset PKI-sertifikaattipohjaiset tunnisteet, kuten älykortit ja USB-tunnisteet, on suunniteltu säilyttämään salainen yksityinen salausavain turvallisesti. Kun esimerkiksi tunnistaudut organisaatiosi verkkopalvelimelle, palvelin antaa numeerisen "haasteen". Haaste allekirjoitetaan yksityisellä salausavaimellasi. Jos allekirjoitetun haasteen ja julkisen salausavaimesi (joka on verkkopalvelimen tiedossa) välillä on matemaattinen korrelaatio tai "vastaavuus", todennus onnistuu ja sinulle myönnetään pääsy verkkoon.

Katso The Science of Secrecy ja Simon Singh, jos haluat lisätietoja julkisen avaimen salakirjoituksesta.

Katso tästä

Päivitä ohjelmistosi

Monet käyttäjät olettavat, että ohjelmistopäivitykset julkaistaan uusien tuoteominaisuuksien käyttöön ottamiseksi, mutta ne sisältävät myös tärkeitä korjauksia, joilla korjataan tietoturva-aukkoja ja -virheitä. Sama pätee myös laitteiden käyttöjärjestelmiin. Ajantasaiset ohjelmistot ovat olennainen keino pysyä askeleen edellä uhkatekijöitä, jotka hyödyntävät ohjelmistojen haavoittuvuuksia.

Useimmat IT-tiimit jakavat automaattisia ohjelmistopäivityksiä organisaatiosi yrityssovelluksiin ja laitteiden käyttöjärjestelmiin. Tämä aiheuttaa yleensä laitteen uudelleenkäynnistymisen. Kun päivität ohjelmistoja itse, tarkista aina, että lataat ne virallisesta lähteestä, sillä epäviralliset ohjelmistot sisältävät usein haittaohjelmia. Monissa laitteissa ja sovelluksissa on automaattinen päivitysvaihtoehto, joten sinun ei tarvitse huolehtia vanhentuneista versioista tai tärkeiden tietoturvakorjausten puuttumisesta.

Etsi haavoittuvuuksia koko organisaatiossasi Tenable Nessus -ohjelmalla.

Lisätietoja

Tunnista phishing-yritykset ja ilmoita niistä

Phishing on huijaus, jonka tarkoituksena on varastaa arkaluonteisia tietoja tai salasanoja, vaarantaa laitteita tai lähettää rahaa verkkorikollisille. Se tapahtuu yleensä sähköpostin muodossa, mutta se voi tapahtua myös harhaanjohtavina tekstiviesteinä (smishing, joka on yhdistelmä tekstiviestistä ja phishingistä), sosiaalisissa verkkoyhteisöissä, ponnahdusikkunoissa, puhelinsoittajina (vishing eli voice phishing) ja jopa yhteistyövälineissä, kuten Microsoft Teamsissa - uudenlainen riski.

Lue lisää aiheesta: Estä virukset, haittaohjelmat ja tietojenkalastelu Mimecast Protection for Microsoft Teams -ohjelmalla.

Lue lisää

Phishingissä verkkorikolliset käyttävät sosiaalista manipulointia huijatakseen sinut jakamaan yksityisiä ja luottamuksellisia tietoja, kuten pankkitilin numeroita tai kirjautumistietoja. He saattavat pyytää nimeäsi, tilitietojasi, syntymäaikaasi, salasanojasi ja muita arkaluonteisia tai salaisia tietoja. He houkuttelevat sinut usein avaamaan linkin tai tiedoston lailliselta näyttävässä viestissä. Varmista aina ensin, että viet hiiren kursori linkin päälle tarkistaaksesi, että se näyttää lailliselta, ja jos sinulla on epäilyksiä, älä napsauta sitä, vaan ilmoita siitä. Varo:

Tietokonerikolliset käyttävät tietojenkalastelussa sosiaalista manipulointia huijatakseen sinut jakamaan yksityisiä ja luottamuksellisia tietoja, kuten pankkitilin numeroita tai kirjautumistietoja. He saattavat pyytää nimeäsi, tilitietojasi, syntymäaikaasi, salasanojasi ja muita arkaluonteisia tai salaisia tietoja. He houkuttelevat sinut usein avaamaan linkin tai tiedoston lailliselta näyttävässä viestissä. Varmista aina ensin, että viet hiiren kursori linkin päälle tarkistaaksesi, että se näyttää lailliselta, ja jos sinulla on epäilyksiä, älä napsauta sitä, vaan ilmoita siitä. Varo:

• Lähettäjä on epäselvä, joku, jota et tunne tai joka ei vastaa lähettäjän osoitetta.
• Tuntemattomat, epätavalliset tai yleiset tervehdykset.
• Oikeinkirjoitus- ja kielioppivirheet
• Epäilyttävä linkki, joka ei vastaa sähköpostin verkkosivun URL-osoitetta.
• Linkki kuviin tai videoihin, jotka ovat peräisin tuntemattomilta henkilöiltä.
• Linkki tai liitetiedosto, jonka avulla voi tarkastella jotain odottamatonta, esim. seurata tuntematonta pakettia.
• Liitteet, joissa on virheellisiä tai epäilyttäviä tiedostonimiä tai epäilyttäviä tiedostopäätteitä (.bin, .com, .exe, .html, .pif, .vbs, .zip, .zzx).
• matalan resoluution kuvat

Jos haluat seurata ja salata arkaluonteisia tietoja sisältäviä yrityssähköposteja, harkitse RPostia.

Lisätietoja

Yleinen, jokapäiväinen phishing ei yleensä ole kohdennettua ja se on helpompi havaita. Muita phishing-tyyppejä ovat mm:

• Spear phishing: kohdistetaan tiettyyn henkilöön ja tutkitaan häntä, jotta voidaan kirjoittaa vakuuttavampi, lailliselta näyttävä viesti, jolla huijataan hänet laskemaan varansa ja jakamaan arkaluonteisia tietoja.
• Whaling: kohdistuu erityisesti toimitusjohtajiin ja ylempiin johtoryhmän jäseniin.
• Jaettujen asiakirjojen kalastelu: jäljittelee sähköpostiviestiä tiedostojen jakamissivustoilta, kuten Dropboxista, Google Drivesta tai OneDrivesta, jossa kerrotaan, että asiakirja on jaettu kanssasi, mutta linkki johtaa väärennetylle kirjautumissivulle, joka varastaa tilisi tiedot.

Phishingin torjumiseksi monet organisaatiot panostavat merkittävästi työntekijöidensä tietoisuutta kyberturvallisuudesta koskevaan viralliseen koulutukseen ja tekevät heistä arvokkaimman puolustuslinjan kyberhyökkäyksiä vastaan.

Lue lisää Proofpointin tietoturvatietoisuuskoulutuksesta ja phish-simulaatioalustasta.

Lue lisää

Kyberturvallisuuden ei tarvitse olla monimutkaista tai ylivoimaista. Jo pelkkä näiden neljän perusaskeleen harjoittelu auttaa kehittämään turvallisia tapoja, jotka voidaan helposti sisällyttää jokapäiväiseen elämään. Kun jokainen ihminen ja organisaatio tekee oman osuutensa, vähennämme yhdessä kyberriskejä ja pidämme digitaalisen elämäntapamme suojattuna ja luotettavana.

Lue lisää

Lue lisää siitä, miten organisaatiot voivat tukea kyberturvallisuustaitojen omaksumista:

• Exclusive Networks -koulutuskurssit
• Seuraavan sukupolven kyberturvallisuuden ammattilaisten rakentaminen - Exclusive Academy -malli.
• Tietoa kyberturvallisuuden tietoisuuskuukaudesta