Tietoturvasta puhuttaessa sävy on usein negatiivinen: on riskejä, uhkia ja vaaroja, joihin kaikkiin tulisi reagoida ja olla alati valmiudessa pahimman varalta. Lisäksi tekoäly tekee sivustoihin kohdistuvista hyökkäyksistä aiempaa tehokkaampia ja vaarallisempia.
Näyttäytyykö tietoturva sinulle liikoja vaativana aikasyöppönä, vai suhtaudutko siihen tuiki tarpeellisena rutiinina muiden joukossa? Ovatko yrityksesi nettisivut oikeasti turvalliset? Jos oma sivusto on pieni ja vierailijoita vähän, onko tietoturvasta huolehtimisella ensinkään merkitystä?
Lyhyt vastaus kuuluu, että tietenkin tietoturvasta huolehtimisella on väliä. Vaikka oman yrityksen toiminta olisi pienimuotoista ja sen sivut vain pieni pisara netin suuressa valtameressä, verkkorikollisille ei missään nimessä tulisi antaa pääsyä omiin tietoihin.
Miten tietoturvasta kannattaisi sitten huolehtia PK-yrityksissä tai kasvavissa organisaatioissa? Miten tietoturvan kanssa pääsee niin sanotusti alkuun? Mitä käytännön vinkkejä tietoturva-asiantuntijalla on antaa sivustojen omistajille, admineille, ylläpitäjille ja kehittäjille?
Hyvästä tietoturvasta huolehditaan yhdessä
Jani Räty on kyberturvallisuuden asiantuntija, joka toimii tällä hetkellä tietoturvajohtajana pankkialalla. Rädyn erikoisosaamiseen lukeutuvat mm. turvallisuushallinto, riskienhallinta ja vaatimustenmukaisuus, palautussuunnitelmat (DRP) sekä liiketoiminnan jatkuvuuden suunnittelu (BCP). Hän on syventänyt osaamistaan mm. CISM- ja CISSP-sertifikaateilla, ja on hankkinut niinikään ISO 27001 -pääauditoijan pätevyyden.
Keskustelimme Rädyn kanssa siitä, mikä on tietoturvan tila juuri nyt, ja millaisia uusia uhkia WordPress-sivustoihin kohdistuu. Jaamme vinkkejä myös siitä, miten yrityksen tietoturvasta kannattaa pitää huolta, ja mistä kannattaa aloittaa.
Milloin kannattaa ulkoistaa?
Tänä päivänä kaikilla liiketoimintansa vakavasti ottavilla yrityksillä on nettisivut: ne voivat toimia verkkokauppana, portfoliona, tietopankkina tai käyntikorttina omalle asiakaskunnalle. Omat nettisivut ovat paikka, josta kannattaa löytyä vähintäänkin yrityksen yhteystiedot.
WordPress on siitä hyvä alusta, että sillä voidaan rakentaa yritykselle simppelit esittelysivut, mutta myöhemmin jalostaa sivusto täysin toimivaksi ja hienostuneeksi verkkokaupaksi integraatioineen kaikkineen, jos niin haluaa.
WordPressistä kannattaa pitää hyvää huolta
Sivuston tietoturva voi kuitenkin olla uhattuna, jos WordPressistä ja palvelimen muista ohjelmistoista tai niiden päivityksistä ei huolehdita asianmukaisesti ja ajallaan. Vaikka WordPress on avoimen lähdekoodin ohjelmisto ja sitä voi hostata itse, silloin tulee myös tietää, mitä tekee. Teknisen ylläpidon ja webkehityksen voi kuitenkin ulkoistaa, jolloin ne jäävät osaavien kumppanien huolehdittaviksi.
WordPress on siis helposti lähestyttävä ja moneen taipuva sisällönhallintajärjestelmä sivustojen rakentamiseen – mutta kannattaa pysähtyä ja miettiä, kannattaako aivan kaikkea palvelintilasta lähtien saada aikaan itse.
Pienikin sivusto on tietoturvakriittinen
Vaikka omia nettisivuja ei itse pitäisi sisällöltään merkittävinä, voi verkkorikollinen nähdä sen sisältämät tiedot toisin.
“Vaikka sivusto ei sisältäisi mitään bisneskriittistä, voi niiltä vuotaneita tietoja käyttää esimerkiksi kalasteluhuijauksissa. Pienempien yritysten sivustoilta löytyy tyypillisesti aukkoja, jotka johtuvat siitä, ettei kaikista päivityksistä ole huolehdittu asianmukaisesti“, Räty tietää. Uusia tietoturva-aukkoja löydetäänkin eri ohjelmistoista jatkuvasti, minkä vuoksi aktiivinen päivittäminen on tärkeää.
WordPress-sivustot sisältävät tyypillisesti ainakin sivuston käyttäjien sähköpostiosoitteita. Murtautumalla sivustolle ja yhdistelemällä useiden eri tietomurtojen saaliita rikolliset voivat käyttää vähäisiäkin tietoja suurempien huijausten toteuttamiseksi.
Valvonta on avainasemassa
Jos sivustoa ei valvota, kyberrikollinen pääsee sivustolle murtautumisen jälkeen puuhastelemaan siellä rauhassa. “Päällisin puolin mikään ei näytä olevan sivustolla pielessä: sinne tulee verkkoliikennettä ja käyttäjätunnukset näyttävät normaaleilta. Vasta jälkeenpäin sivuston omistaja tai ylläpitäjä voi huomata, että sivulle on piilotettu haittakoodia, joka ohjaa käyttäjät rikollisen rakentamalle valesivulle. Sivu voi olla hyvin rakennettu ja näyttää aidolta”, Räty summaa.
“Sivustolle upotetun haitallisen linkin kautta käyttäjä voidaan harhauttaa kalastelusivulle, joka voi olla tavalliselta näyttävä, merkitykseltään vähäpätöinenkin sivu.” Esimerkiksi väärennetty tuotesivu voi harhauttaa verkko-ostajaa antamaan lisää omia tietoja, vaikka sivusto itsessään ei sisältäisi mitään kriittistä. Huijaussivustoja rakennetaan jatkuvasti, ja niistä on monia viimeaikaisia esimerkkejä, joita on käsitelty uutisissakin.
Sisään sivustoille koneiden avulla
Haittaohjelmia pyritään alati ujuttamaan yritysten järjestelmiin. Yleensä asialla ei ole ihminen, vaan järjestelmiin pyritään murtautumaan tietokoneen avustuksella: esimerkiksi bottiverkostot voivat lukuisien tietokoneiden voimin kokeilla arvata sivustosi salasanoja. Jos niiden joukosta löytyy tarpeeksi heikko salasana, botit pääsevät sen avulla sisään. Murron jälkeen ihminen voi ottaa ohjat ja tutkia, mitä tietoja sivustolta löytyy.
Tietomurron seuraukset
“Jos halvinta ylläpitopalvelua lähdetään hakemaan, ostaja itse huolehtii kaikesta. Jos tietomurto tapahtuu ja sen jälkiä joudutaan siivoamaan, edessä on iso sotku ja pahimmassa tapauksessa kallis lasku. Tietojen palauttaminen vie aikaa ja rahaa. Kokonaisuudessaan prosessi kestää pitkäänkin, esimerkiksi kuukausia”, Räty luonnehtii.
Tietoturvapoikkeaman selvittelyyn ei kulu ainoastaan aikaa ja energiaa. Räty kuvailee: “Seurauksena on tietysti myös mainehaittaa, jos sivusto saastuu. Murron yksityiskohtia voidaan joutua selvittelemään pitkä aika taaksepäin, jos sivusto on ollut murrettuna kauan.”
Huolehdi kokonaisuudesta
Toinen erityisen haavoittuvainen osa-alue ovat sivustoon liittyvät kolmannen osapuolen palvelut. Näitä ovat esimerkiksi sisällönjakeluverkot (CDN), domain- ja DNS-hallinta tai markkinointityökalut – käytännössä kaikki ulkoiset järjestelmät ja integraatiot, jotka liittyvät sivuston toimintaan.
Työelämä on myös kiireistä, ja monella yrityksellä aikataulu tursuaa dediksiä. Työntekijät voivat joutua pallottelemaan monen kiireellisen asian kanssa, jolloin rutiinit saattavat jäädä taka-alalle. Onko kellään silloin aikaa huolehtia tietoturvasta riittävällä hartaudella?
“Väärässä paikassa ei kannata säästää. Kannattaa valita helpoimmin ylläpidettävä vaihtoehto, ja antaa se hoidettavaksi asiantuntijalle”, Räty toteaa.
WordPressin tietoturva
Sisällönhallintajärjestelmistä Rädyllä on kokemusta sekä Joomlasta että WordPressistä. Hänen mielestään niiden hyviä puolia on niistä löytyvät ominaisuudet, jotka edesauttavat hyvää tietoturvaa: esimerkiksi se, että käyttäjille voidaan määrittää eritasoisia oikeuksia käyttäjärooleilla. WordPress osaa myös ilmoittaa ylläpitäjälle, jos sivustolle luodaan uusi käyttäjä.
Oli sisällönhallintajärjestelmä mikä hyvänsä, tärkeää on, että sitä osataan käyttää, korjata ja päivittää. Koska WordPress-sivustot koostuvat tyypillisesti monesta eri lisäosasta, niiden päivittämisessä voi ilmetä ongelmia. Siksi päivitysten testaaminen on tärkeää ennen niiden tekemistä. Seravo tarjoaakin asiakkailleen testatut päivitykset WordPressiin, jotta sivuston toiminnalle koituisi päivityksistä mahdollisimman vähän haittaa.
Mikä on Joomla?
Joomla on vuonna 2008 julkaistu sisällönhallintajärjestelmä, joka WordPressin tavoin perustuu myös avoimelle lähdekoodille. Käyttäjien mielestä WordPress on kuitenkin helppokäyttöisempi aloittelijoille, mikä voi olla syynä siihen, että WordPress on suositumpi. Myös saatavilla olevien ilmaisten lisäosien määrä houkuttelee käyttäjiä WordPressin pariin, kiitos erittäin aktiivisen kehittäjäyhteisön.
Tietoturva ja avoimen lähdekoodin merkitys
Avoimen lähdekoodin järjestelmissä on se hyvä puoli, että niiden kehitystyö on läpinäkyvää. Tämän vuoksi suurempi joukko ihmisiä on mukana näiden järjestelmien kehityksessä, jolloin mahdolliset koodiongelmat ja tietoturva-aukot pystytään tunnistamaan ja korjaamaan tehokkaasti. Suljetuilla järjestelmillä tätä etua ei ole. Suljettu (engl. proprietary) ei tarkoita sitä, että aukkoja ei ole – niistä ei vain aina tiedetä.
“Palveluista pyritään tietty tekemään mahdollisimman vakioituja, sillä kun järjestelmään tuodaan lisää ominaisuuksia, tulee lisää riskejäkin”, kertoo Räty. Tämän vuoksi myös Seravolla palvelu pyritään pitämään standardoituna.
Yritykset voivat myös “jäädä jumiin” tietyn järjestelmän tai toimittajan kanssa siksi, että päivittäminen tai siirtyminen uuteen järjestelmään on tehty vaikeaksi, ja vaihdos toiseen vaatisi suuria ponnisteluja. Tällöin puhutaan toimittajaloukusta tai toimittajalukosta (engl. vendor lock-in). Jos käykin niin, että järjestelmän ylläpito ja tuki päättyvät, tietoturvaan liittyvät riskit kasvavat entisestään.
Selvitä ennen kuin sitoudut
“Hylättyjä projekteja ja järjestelmiä on paljon – sellaisia, joiden kehittäjät käyttävät aikansa ja työpanoksensa muihin projekteihin, eikä järjestelmää tai ohjelmaa enää kehitetä aktiivisesti. Tällöin on todennäköistä, että aukkoja ei ole aktiivisesti kukaan paikkaamassa. Mutta tällaisissa tilanteissa ratkaisu ei voi olla se, että hyväksy turvattomuus”, Räty naurahtaa.
Räty antaa konkreettisen neuvon järjestelmää tai ohjelmistoa vaihtamassa oleville: “Ennen kuin investointeja uuteen järjestelmään tehdään, arvioikaa sen viimeisintä päivitystilannetta. Milloin se on viimeksi päivitetty? Löytyykö siltä aktiivista ylläpitäjää? Kun käyttää hieman aikaa tutkimiseen, säästytään pidempiaikaisilta ongelmilta.”
Miten pienen tai kasvavan yrityksen kannattaa huolehtia tietoturvasta? Pienille ja keskisuurille yrityksille kokoaikaisen tietoturvajohtajan (CISO) palkkaaminen on usein liian suuri investointi, jolloin avuksi tulevat joustavammat palvelumallit. Räty antaa vinkin organisaatioille, jotka vasta ovat heräilemässä tietoturvasta huolehtimiseen: virtuaalinen CISO.
Virtuaalinen CISO
Virtuaalinen CISO on tietoturva-alan ammattilainen, jolta tietoturvajohtajuutta voi ostaa oman organisaation käyttöön, jos tarvetta kokoaikaiselle tietoturvajohtajalle ei ole. Virtuaalinen CISO käyttää muutaman tunnin kuussa katselmointiin: mitä kannattaa tehdä tietoturvan parantamiseksi, ja mistä olisi yrityksen tietoturvan kannalta hyötyä.
Jos tarve tietoturvajohtamiselle kasvaa, on olemassa myös fractional CISO:n konsepti. Se tarkoittaa yrityksen omaa työntekijää, joka käyttää osan työajastaan tietoturva-asioista huolehtimiseen. “Tietoturva-asiat pitää saada tehtyä alusta asti oikein, sillä niihin puuttuminen voi olla vaikeaa jälkeenpäin. Tällöin ulkopuolisesta avusta on erityisesti hyötyä, kun kyse on kriittisestä alasta, ja tilanne tulee kartoittaa”, Räty alleviivaa.
Tekoälyn vaikutus tietoturvaan
Entä se paljon hehkutettu mutta myös parjattu tekoäly, millainen vaikutus sillä on ollut tietoturva-alaan? Räty antaa napakan arvionsa: “Tekoäly nopeutti hyökkäyksiä huomattavasti, ja hyökkäyspinta-alan löytäminen on helpompaa kuin aiemmin. Tekoälyllä saavutetaan nyt se, että viiden ihmisen työpanos onnistuu yhden päivän aikana.” Esimerkkinä Räty mainitsee Hexstrike-AI:n, jolla voidaan toteuttaa varsin laajoja hyökkäyksiä ilman suurempaa vaivannäköä ihmiseltä.
Aiempaan verrattuna tietoturvaan liittyvät uhat kohdistuvat kasvavissa määrin tuiki tavallisiin PK-yrityksiin. “Ennen jotkin työkalut olivat vain edistyneiden käyttäjien ulottuvilla, mutta nyt ne ovat käytännössä kaikkien käytettävissä. Kohde on hakkereille kiinnostava, kunhan raha liikkuu.”
Hyökkääjien ja kohteiden välille syntyy eräänlainen kilpavarustelu, kun kumpikin taho pyrkii kehittämään käyttämiään työkaluja. Tekoäly tai erilaiset tietoturvan testaustyökalut (esim. pentesting) on tarkoitettu hyvään, mutta mitä tahansa tekniikkaa voidaan käyttää myös pahaan ja haittaa aiheuttamaan. Tällöin mitä tahansa järjestelmää – kuten verkkosivuston toimintaan liittyviä ohjelmistoja – pitää päivittää ja paikkailla aktiivisesti.
Vaikka huomisen maailmassa koodia syntyisi vaivattomammin ja nopeammin – kiitos vibekoodaamisen – on ihmisen tekemällä työllä edelleen merkitystä. Vaikka Seravonkin sivustolla nykyään chatteihin vastaa ensin chatbot, on asiakaspalvelumme helposti tavoitettavissa. Lisäksi Seravon järjestelmäasiantuntijat valvovat sivustojen tilaa 24/7, ja ottavat yhteyttä asiakkaisiin, jos sivuston toiminnassa havaitaan jotakin poikkeavaa.
Mitä on vibekoodaus?
Vibekoodaus, engl. vibe coding eli “fiiliskoodaus” on tekoälyavusteista ohjelmointia, jossa koodiin ei ihminen välttämättä koske itse ollenkaan.
Paras hetki parempaan tietoturvaan on nyt
Tietoturva perustuu ihmisten väliseen luottamukseen, joka pitää ansaita ja pitää salassa. Tietoturvasta huolehditaan verkostoitumalla ja tekemällä töitä yhdessä. Paras hetki parempiin tietoturvatekoihin on juuri nyt. Milloin vaihdoit oman salasanasi? Oletko ottanut käyttöön monivaiheisen kirjautumisen? Entä onko käytössäsi jo salasanamanageri?
Yhteenveto: Vinkit parempaan tietoturvaan yrityksissä
- Kartoita valitsemasi järjestelmän tietoturva. Tarkista säännöllisesti, onko järjestelmässä kriittisiä päivitystarpeita tai onko se elinkaarensa päässä. Jos järjestelmä ei enää tue nykyaikaisia tietoturvastandardeja, harkitse sen vaihtamista kokonaan.
- Mieti, mitkä asiat kannattaa ulkoistaa. Kaikkea ei tarvitse tehdä itse. Esimerkiksi verkkosivujen tekninen ylläpito, järjestelmien kehitys ja tietoturvajohtaminen ovat osa-alueita, joissa asiantuntijakumppanin käyttö vapauttaa yrityksen omia resursseja ydinliiketoimintaan.
- Valitse osaava kumppani. Varmista, että liiketoimintasi kannalta kriittisistä sisällöistä huolehditaan asianmukaisesti. Nettisivujen kannalta tämä tarkoittaa esimerkiksi varmuuskopioita, testattuja päivityksiä ja saatavuuden valvontaa.
- Kouluta henkilöstöä. Järjestelmät ovat vain niin vahvoja kuin niiden käyttäjät. Jaa säännöllisesti tietoa tietoturvallisista toimintatavoista ja esimerkiksi kalasteluyritysten (engl. phishing) tunnistamisesta. Kannusta huolehtimaan hyvästä salasanahygieniasta, käyttämään salasanamanageria sekä monivaiheista kirjautumista järjestelmiin.
- Noudata vähimpien oikeuksien periaatetta. Anna työntekijöille ja kumppaneille pääsy vain niihin järjestelmiin ja tietoihin, joita he välttämättä tarvitsevat työtehtävissään (engl. principle of least privilege). Kaikki eivät tarvitse admin-tunnuksia sivustollesi.
Tietoturvaa Seravolta
Jos tarvitset apua tai neuvoja WordPress-sivustosi tietoturvan kanssa, ota yhteyttä Seravon asiakaspalveluun. Seravolla työskentelevät tietoturva-asiantuntijat vastaavat mielellään verkkosivujen tietoturvaan liittyviin kysymyksiin. Meillä tietoturva ei ole vain yhden tiimin tehtävä tai päälleliimattu ominaisuus – se kuuluu olennaisena osana Seravon yrityskulttuuriin ja hostingpalveluun. Siirtymällä Seravolle saat sivustollesi myös ainutlaatuisen Tietoturvatakuun.
Jos sivustosi ei vielä sijaitse Seravon WordPress-hostingissa jossa tietoturvasta huolehditaan, ota yhteys myyntiin tai tee tilaus, niin aloitetaan! Palvelupakettimme sisältää kaiken oleellisen WordPress-sivuston ylläpitoon.
Seravon WordPress-palvelun sisältö
- Testatut päivitykset WordPressiin ja lisäosiin
- 24/7-valvonta ja reagointi sivuston ongelmien tai hitauden varalta
- Sivuston saatavuuden SLA 99,9 %
- Tietoturvatakuu
- Tehokkaat välimuistit
- WordPress- ja WooCommerce-optimoitu
- Reaaliaikainen tieto palvelun tilasta
- Kehittäjätyökalut ja SMTP valmiina
- Uusiutuvaa energiaa käyttävät palvelimet
- Asiakastuki WordPress-asiantuntijoilta
- …ja paljon muuta!
Lue lisää
- Usein kysyttyä tietoturvasta
- Tietoturvatutkinta Seravolla ja Seravon Tietoturvatakuu
- Seravo Plugin: Tietoturva