10 heinä Salasanat mahdollistavat liiketoiminnan
Nykyisten yritysten ja organisaatioiden liiketoiminta perustuu monilta osin salasanojen takaa löytyviin järjestelmiin, palveluihin ja tietoihin. Salasanojen laatuun ei kuitenkaan panosteta, vaikka pahimmillaan ulkopuolisen pääsy tietoihin tai järjestelmiin saattaa aiheuttaa valtavaa vahinkoa liiketoiminnalle.
Monien mielestä salasanoja on liian paljon ja usein salasanat tuntuvat olevan jopa kiireisen työn esteenä. Mutta kannattaisiko niihin panostaa?
Salasanoille löytyy ottajia
Viestintäviraston Kyberturvallisuuskeskus on tiedottanut tänä vuonna useamman kerran tietojenkalastelusta, salasanamurroista ja muiden erilaisten haittaohjelmien yleistymisestä. Rikolliset tahot etsivät yritysten heikkoa kohtaa ja heillä on usein selvä suunnitelma siitä, mihin tietoja käytetään. Yhä useammin salasanoja ja tietoja halutaan myös kerätä tietyn alan tai organisaation henkilöiltä.
Haasteita riittää siinä kohtaa, kun salasanoja joutuu vääriin käsiin. Ulkopuoliset tahot voivat kerätä, muuttaa, levittää tai jopa tuhota salassa pidettävää tai muuten liiketoiminnan kannalta tärkeää tietoa. Myös järjestelmistä löytyy rikollisille tietoa, mutta sen lisäksi koko järjestelmän toimivuus voi olla vaakalaudalla. Pahimmassa tapauksessa ulkopuolinen taho pääsee hankkimallaan salasanalla useampaan järjestelmään tai tietolähteeseen käsiksi.
Tietoturvaohjeissa ja -koulutuksissa tulisi ehdottomasti mainita organisaation salasanakäytännöistä.
Millainen on hyvä salasana?
- sisältää yli 12 merkkiä
- sisältää isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä
- yhtä salasanaa käytetään vain yhdessä paikassa
Viestintäviraston Kyberturvallisuuskeskus kampanjoi tällä hetkellä parempien salasanojen puolesta, joten esimerkkejä toimivien salasanojen luomiseen ja niiden muistamiseen saa Viestintäviraston Kyberturvallisuuskeskuksen Pidempi parempi -salasanalingosta.
Saako salasanoja kirjoittaa ylös?
Salasanojen määrä ja esimerkiksi loma-ajat houkuttelevat kirjoittamaan käyttäjätunnuksia ja salasanoja johonkin ylös. Yleisneuvo kuitenkin on, että salasanat tulee muistaa eikä niitä saa kirjoittaa paperille tai koneelle. Jos salasanan unohtaa, voi käyttää salasanan palautustoimintoa tai ottaa yhteyttä oman organisaation IT-toiminnoista vastaavaan tahoon. Salasanojen kirjoittaminen julkisesti näkyvään paikkaan ei ole koskaan järkevää, vaikka kyseessä olisi ns. yleinen salasana.
Jos salasanoja on ehdottomasti saatava talteen, tulee ne piilottaa hyvin. Yksi vaihtoehto on tallentaa salasanoja niille tarkoitettuun pilvipalveluun tai muutoin niille soveltuvaan sijaintiin. Tällainen palvelu tulee suojata erityisen hyvällä salasanalla, koska sen takaa löytyy joukko muita salasanoja. Salasanojen tallennussijaintiin kirjautumisessa on hyvä käyttää 2-vaiheista autentikointia, jotta käyttäjän identiteetti voidaan todentaa salasanoja hakiessa. Piilottaminen ei siis tässä tapauksessa tarkoita, että salasanoja voisi säilyttää näppäimistön tai edes patjan alla.
Kirjoitimme muutama viikko sitten, kuinka tutkimusten mukaan ihmisten käyttäytyminen ja inhimilliset virheet mahdollistavat jopa 80-90 % tietoturvaloukkauksista. Jos tarvitset apua organisaation tietoturvaohjeiden luomisessa tai henkilökunnan kouluttautumisessa, ota yhteyttä kokeneisiin tietoturva-asiantuntijoihimme.