Kirjoitettu
tilitoimiston tietoturva on syytä olla kunnossa

Tietoturva. Asia, johon herätään kun vahinko on jo tapahtunut. Ja sitten lähdetään kalliille paniikkiostoksille. Oli kyse mistä tahansa, korjaaminen jälkikäteen on aina kalliimpaa, kuin tehdä kerralla hyvä. Sama pätee myös tietoturvaan. Tässä blogissa kerron muutaman vinkin, miten tietoturvaa voi parantaa ja minkälaisia uhkia tilitoimiston tietoturvaan kohdistuu, jos niistä ei ole huolehdittu. Neuvon myös, mitkä asiat tietoturvan kannalta kannattaa sopimukseen vaatia!

Tietoturvaan herätellään pelottelun kautta ja niin teen minäkin, koska se usein herättää pumpulista todellisuuteen. Listaan muutaman todellisen uhkakuvan ja worst case scenarion, jota leväperäinen suhtautuminen tietoturvaan voi aiheuttaa.

Tilitoimisto käsittelee arvokasta tietoa

Tilitoimisto käsittelee välillä erittäinkin arkaluontoisia tietoja sekä tuhansien, satojenkin tuhansien, arvoisia sopimuksia, patenttihakemuksia yms. Niiden joutuminen vääriin käsiin tietää vähintäänkin hallaa bisnekselle, mutta myös pahimmillaan mittavia taloudellisia vahinkoja. Miksei konkurssejakin, jos yritystoiminta perustuu johonkin uniikkiin, mikä päätyy kilpailijoiden tietoon ennen aikojaan.

Tilitoimiston asiakas voi esimerkiksi valmistella tarjousta jotain julkista hanketta varten ja tarjouksen päätyminen vääriin käsiin käytännössä tarkoittaa etulyöntiasemaa kilpailijalle. Siinä ei pelkästään mene aikaa hukkaan vaan myös mahdolliset kalliin konsultin ja muiden tarjoukseen osallistuneiden tunnit.

Sähköiseen arkistoon tallentuu käytännössä kaikki yrityksen asiakirjat, tositteet ja sopimukset. On siis erityisen tärkeää, että tilitoimisto huolehtii tietoturvasta asiallisesti.

Henkilötietojen käsittelyssä on oltava tarkkana

Henkilötietojen käsittely on GDPR:n myötä hyvinkin säänneltyä, mitä tietoja voidaan käsitellä ja mitä ei. Käytännössä vain palkanmaksuun ja työsuhteeseen liittyviä asioita saa kysyä ja käsitellä. Nekin tiedot kuitenkin riittävät tietomurron sattuessa tekemään vahinkoa niin yritykselle, kuin sen työntekijöille. Mitä tietoja voi päätyä vääriin käsiin?

  • Tietoja työntekijöiden mahdollisista ulosottoveloista
  • Sellaisten henkilöiden tietoja, joilla on turvakielto
  • Henkilötunnuksia, joilla voidaan tehtailla identiteettivarkauksia.
  • Avainhenkilöiden palkkatiedot

Jokainen varmasti muistaa Case Vastaamon. Noh, siinä kävi sillä viisiin, että koko lafka meni tietomurron jälkeen konkurssiin.

Mitä sopimukseen kannattaa vaatia?

Lähdetään perkaamaan tietoturvaa sopimuksen kautta. Lähtökohtaisesti auktorisoidussa tilitoimistossa tietoturva on vähintäänkin kohtuullisella tasolla, sillä auktorisoitu tilitoimisto on sitoutunut noudattamaan TAL2018 - sopimusehtoja ja hyvää taloushallintotapaa, jotka edellyttävät toimia tietoturvaan. Siitä on kuitenkin vielä matkaa kunnolliseen tietoturvaan.

Siksi, vaadi sopimukseen ainakin seuraavat asiat:

  • Tietoturvapolitiikka on dokumentoitu ja henkilökunta on perehdytetty ja sitoutettu toimimaan tietoturvapolitiikan mukaisesti
  • Toimenpiteet työntekijän työsuhteen päättymisen varalle - lukitaanko tunnukset?
  • Onko asiakkaan / sidosryhmän mahdollista lähettää viestit salattuna?
  • Miten etätyössä on huomioitu tietoturva?
  • Onko kulunvalvonta, niin fyysinen, ohjelmiston, kuin tietotekninenkin kulunvalvonta, järjestetty niin että kaikki voidaan jäljittää ja tunnistaa tarvittaessa?
  • Mitä henkilötietoja käsitellään, miten ja miksi?
  • Miten usein tiedot varmuuskopioidaan?

Silloin, kun tietoturvasta on huolehdittu, edellä mainitut kohdat pitäisi olla sopimuksella ilman erillistä vaatimustakin. Muista, kyse on sinun yrityksesi tiedoista, joten on vain ja ainoastaan oikein, että ne pidetään turvassa.

Kuinka tehostat tietoturvaa itse?

Tässä muutama yksinkertainen ohje, kuinka tietoturvaa voi parantaa:

Kaksivaiheinen tunnistautuminen, two-factor authentication

Mikäli palveluntarjoaja, ohjelmisto yms. tarjoaa kaksivaiheista todennusta, se kannattaa ottaa käyttöön. Käytännössä kaksivaiheinen tunnistautuminen, eli 2FA, tarkoittaa sitä, että kirjautuminen tehdään kahteen kertaan. Kirjautuessa ohjelmaan, syötetään tunnus ja salasana normaalisti, jonka jälkeen esimerkiksi tunnukseen liitettyyn puhelinnumeroon lähetetään vaihtuva kertakäyttöinen koodi, joka tulee syöttää kirjautumisen jälkeen.

Kaksivaiheinen tunnistautuminen vähentää tietomurron riskiä oleellisesti, sillä silloin täytyisi myös päästä käsiksi liitettyyn puhelinnumeroon

Eri salasanat eri palveluihin

Tämä on aika no-brainer, mutta silti ehkä laiminlyödyin tietoturvallisuustekijä. Käytetään yhtä ja samaa salasanaa (ja tunnusta/sähköpostia) jokaiseen palveluun. Jokaiseen palveluun tulisi olla oma salasanansa ja mieluiten hyvin vahva sellainen. Vahva salasana sisältää numeroita, isoja ja pieniä kirjaimia ja erikoismerkkejä. Suomalaisilla on etu, nimittäin ääkköset.

Esimerkki salasanan murtamisen helppoudesta

Tämän päivän tietokoneiden laskentateholla numeroiden pyörittämiseen ei mene kauaa. Esimerkiksi, jos käytössä on yhteensä 100 erilaista numeroa, kirjainta ja erikoismerkkiä, erilaisia vaihtoehtoja viiden merkin salasanalla on n. 10 miljardia. Eli todella paljon. Hakkerilta menee sen murtamiseen n. 10 sekuntia.

Kun lisätään salasanan merkkien määrää, salasanan murtamiseen menee huomattavasti kauemmin aikaa:

  • 6 merkkiä: 1000 sekuntia, eli n. 16 minuuttia
  • 7 merkkiä: n. 1 päivä
  • 8 merkkiä: 115 päivää
  • 9 merkkiä: 31 vuotta
  • 10 merkkiä: 3 000 vuotta

Kun tähän lisätään isot ja pienet kirjaimet, alkaa vaihtoehtoja olla niin paljon, että parhaimmankin koneen laskentateho loppuu kesken.

Salasanaholvi

Tänä päivänä tunnuksia eri palveluihin on lukuisia, joten jokaisen salasanan, varsinkin vaikeasti arvattavan ja vahvan salasanan, muistaminen on äärimmäisen vaikeaa. Salasanaholvi voi olla ihan järkevä ratkaisu. Salasanaholviin voi tallentaa tunnukset ja salasanat sekä pankkikorttien tiedot ja ne ovat yhden vahvan tunnistautumisen takana.

Puhelimen tietoturva

Valtaosa verkkoliikenteestä on nykyisin lähtöisin puhelin- ja tablettisovelluksista. Silti älylaitteiden virus- ja haittaohjelmien suojaus on aika retuperällä. Älylaitteiden sovelluksista pääsee ihan samalla tavalla murtautumaan eri palveluihin, kuin tietokoneen kautta. Siksi älylaitteille tulisikin asentaa virus- ja haittaohjelmien torjuntaohjelma.

Bonus: Luo palveluita varten oma sähköposti

Kun teet esimerkiksi Facebookia varten oman sähköpostin, jota käytät vain kirjautuaksesi Facebookiin, näet heti ja suoraan, kenelle tietosi on myyty tai vuodettu. Tämä toimii ihan jokaiseen palveluun. Esimerkiksi osoite voisi olla mikonfacebook@gmail.com tai mikonlinkedin@gmail.com jolloin ko. palvelun tietomurron yhteydessä on pienempi riski siihen, että arkaluontoisia tietoja päätyisi kolmansille osapuolille.


Seuraavan kerran, kun suhtaudut tietoturvaan niin, ettei sinulla ole mitään salattavaa tai yritystoimintasi ei ketään kiinnosta, kannattaa muistaa että ehkä tuttavallasi on eri tilanne, jonka tietoihin sinulle sattunut tietoturvamurto voi avata pääsyn. Välinpitämätön suhtautuminen usein loppuu siihen, kun hattu kourassa soitetaan pankkiin ja pyydetään sulkemaan tilit ja kortit.

Siksi, vaadi tilitoimistoltasi enemmän. Vaadi reilusti vakavaa suhtautumista tietoturvaan!

Lisää luettavaa sinulle

Mikäli tämä kirjoitus oli mielestäsi kiinnostava, sinua voisi kiinnostaa myös seuraavat kirjoitukset samasta aihepiiristä:

Jos joku on varmaa ja jatkuvaa, niin muutos ja EU-direktiivit. Aina se ei kuitenkaan ole huono asia, kuten tämä NIS2-direktiivi. Tässä blogissa avaan hieman, mikä on NIS2-direktiivi ja miksi se on oikeastaan ihan hyvä asia.

Todetaanpa tähän heti alkuun yksi tosiasia - markalla saat markan asioita. Tilitoimiston ja kirjanpitopalveluiden ei tietenkään tarvitse maksaa omaisuuksia, mutta halpa voi tulla yllättävän kalliiksi.