Tarinoita tietoturvasta, osa 4

Aktivisti yrityksen verkossa

Yrityksen 20 hengen toimistossa on laadukas ja nopea nettiyhteys, koska nykyaikainen tietotyö vaatii luotettavan yhteyden pilvipalveluihin. Eräänä aamuna nettiyhteys ei kuitenkaan toimi, vaikka laskut on maksettu ja palomuuri vaikuttaa toimivan kuten pitääkin. Yrityksen IT-henkilön sähköpostilaatikossa on viesti operaattorilta - yrityksen IP-osoitteesta lähtee operaattorin sähköpostipalvelimen kautta jatkuvasti roskapostia ja jotta operaattorin muut asiakkaat eivät kärsisi, nettiyhteys on ollut pakko katkaista.

Yrityksen liiketoiminta kärsii merkittävästi 20 hengen ihmetellessä nettiongelman kanssa, eikä IT-henkilö tiedä miten tilanteen voisi korjata. Meille tulee soitto ja tulemme selvittämään tilannetta. Analysoituamme verkon liikennettä syylliseksi paljastuu vanha verkkolevypalvelin, johon on onnistuttu istuttamaan haittaohjelma. Vian korjaus on yksinkertainen - irrotetaan laite verkosta ja pyydetään operaattoria avaamaan liikenne uudelleen. Haasteelliseksi tilanteen tekee se, että levypalvelimella on arkaluonteista materiaalia eikä ole takeita siitä, etteivät dokumentit ole joutuneet vääriin käsiin.

Mitä tästä opimme?

Ensinnäkin yrityksessä laiminlyötiin laitteiden ohjelmistojen päivitys. Kuviteltiin että riittää kun tietokoneiden virustorjunta ja päivitykset ovat ajan tasalla. Myöskään henkilötietojen käsittely ei ollut riittävän huolellista. Salaiseksi luokiteltua tietoa ei pitäisi pitää levypalvelimella, johon on edes teoreettinen pääsy Internetistä.

Arkaluonteisia tietoja sisältävät tietokoneet ja tallennuslaitteet kannattaa merkitä selkeästi eikä niitä ei pidä tarpeettomasti kuljettaa yrityksen tiloista pois. Laitteiden jälleenmyynti-, kierrätys- tai edelleenluovutustilanteissa tallennusmediat tulee poistaa ja tuhota tai ylikirjoittaa luotettavasti. USB-tikkuja tai irtokovalevyjä ei pitäisi käyttää lainkaan. On myös hyvä muistaa että kopiokoneet voivat tallentaa kopioitavia dokumentteja kovalevyilleen. 

Kysymyksiä, joihin sinulla on hyvä olla vastaus:

  1. Miten luokittelette tallennettavat tiedot ja kuinka salassapidettävä aineisto säilytetään?
  2. Kuinka varmistatte tietojen luotettavan hävittämisen laitteiden elinkaaren päättyessä? 
  3. Jos käsittelette henkilötietoja, onko henkilörekisteristä olemassa rekisteriseloste?