Monivaiheinen tunnistus käyttöön ohjelmistoissa
Tietoomme on tullut tapauksia, joissa rikollinen on saanut haltuunsa yrityksen tai tilitoimiston käyttäjän salasanan ja päässyt kirjautumaan taloushallintojärjestelmään. Eräissä tapauksissa rikollinen on ehtinyt tehdä taloushallintojärjestelmästä maksuja yrityksen tai tilitoimiston asiakkaiden tileiltä. Tällaisissa tilanteissa riskinä on myös yritysten työntekijöiden henkilötietojen ja yritysten liikesalaisuuksien päätyminen rikollisen käsiin.
Rikollinen voi saada haltuunsa taloushallinto-ohjelmiston käyttäjän käyttäjätunnuksen esimerkiksi seuraavilla tavoilla:
- Käyttäjällä on ollut sama käyttäjätunnus ja salasana toiselle verkkosivustolle, ja rikolliset ovat saaneet haltuunsa nämä toisen tietomurron yhteydessä TAI
- rikollinen on harhauttanut käyttäjän taloushallinto-ohjelmiston kirjautumista jäljittelevälle verkkosivulle ja käyttäjä on “kirjautuessaan” huijaussivustolle antanut käyttäjätunnuksen ja salasanan.
Tämän tyyppinen tietomurto on mahdollinen kaikissa ohjelmistoissa, joissa käytössä ei ole niin sanottua monivaiheista tunnistautumista. Vastaavaa rikoksen tekotapaa on sovellettu myös Microsoft-tilien kaappaamisessa. Moni teistä on esimerkiksi saanut sähköpostin “haluan jakaa asiakirjan kanssasi” tutulta tai puolitutulta yhteyshenkilöltä. Pääsy taloushallintojärjestelmän maksatustoimintoon antaa uhalle kuitenkin uutta konkretiaa.
Monivaiheinen tunnistautuminen tekee tietomurrosta rikolliselle huomattavasti vaikeamman, koska pelkkä käyttäjätunnus ja salasana ei riitä. Lisäksi tarvitaan käyttäjän esimerkiksi matkapuhelimellaan antama ylimääräinen varmistus. Monivaiheinen tunnistus estää tai vähintään hidastaa ja hankaloittaa rikollisten maksutapahtumien toteuttamista myös niissä tilanteissa, joissa rikollinen on jo saanut käyttäjätunnuksen ja salasanan hallintaansa.
Lue lisää monivaiheisesta tunnistautumisesta esimerkiksi Kyberturvallisuuskeskuksen sivuilta.
Taloushallintoliiton jäsentoimistoissa monivaiheisen tunnistautumisen käyttö on pakollista, jos toiminto on käytettävissä talous- tai palkkahallinnon järjestelmässä. Jos ohjelmisto ei pakota työntekijää käyttämään kirjautumisessa monivaiheista tunnistautumista, johdon tulee varmistaa, että kaikki työntekijät kuitenkin käyttävät sitä. Jos oma ohjelmisto ei vielä mahdollista monivaiheista tunnistautumista, kannattaa lähettää ohjelmistotoimittajalle painavia kehitystoiveita.
Tilitoimiston tietohallinnosta vastaavien tulee myös huolehtia, että käyttäjien käyttöoikeudet on rajattu asianmukaisesti. Pääkäyttäjätunnuksia ei tule myöntää kaikille käyttäjille. Käyttäjien pääsy tulee myös rajata vain niihin asiakasyrityksiin, joita käyttäjät tosiasiallisesti hoitavat.
Teknisten hallintatoimien ohella jokaisen käyttäjän kannattaa olla valppaana epäilyttävien tai arveluttavien tapahtumien osalta. Parhaatkaan tietoturvan hallintatoimet eivät voi ehkäistä kaikkia uhkia, joten ihmisen rooli lenkkinä tietoturvan ketjussa on tärkeä. Käyttäjien on syytä matalalla kynnyksellä varmistaa kirjautumispyyntöjen aiheellisuus, linkkien todenperäisyys tai maksutapahtumien aitous. Jos jokin tilanteessa epäilyttää, aina kannattaa soittaa tai kysyä pyynnön lähettäjältä asiasta.
Lue aiheesta Elias Alangon artikkeli Tilisanomista. Artikkeli on vapaasti kaikkien luettavissa.
Taloushallintoliiton sivuilta löydät Ville Vuorihuhdan tiiviin muistilistan.
