Office 365:n modaus turvalliseksi on nyt jo välttämätöntä

Nyt ei juuri mietintäaikaa taida olla – puhumme turvallisuustasosta yhdessä kaikkein yleisimmistä toimisto-, tallennus- ja tiedostonjako-ohjelmistoista Microsoft Office 365:stä. Sen turvatasoa tulee nostaa omin toimin.

Kyberturvallisuuskeskus säilyttää hälyn Microsoft Office 365 –järjestelmään kohdistuneesta kalastelusta toiseksi korkeimmalla, keltaisella tasolla, vaikka tämä varoitus on jatkunut vuodenpäivät. Näin ei pitäisi tietenkään olla.

Kyberturvallisuuskeskuksen analysoimassa kyberrikollisten toimintamallissa lähetetään pdf-sähköpostinliitetiedosto, joka sisältää oikeasti vain ansalinkin toimintoon Open Document/Avaa dokumentti.

”Linkkiyhteyden kautta uhri ohjautuu hyökkääjän määrittelemälle sivustolle”, Kyberturvallisuuskeskus jatkaa.

Uhrien nimissä jaetaan linkkejä heidän OneDrive- tai Sharepoint-tilastaan, tai mahdollinen Dropbox-tili kaapataan salasanan nollauksella. Sitten saastunut tili valjastetaan kalasteluviestien edelleenlähettämiseen.

Ilmeisesti kentällä on yhä vaikeuksia ymmärtää, mistä oikeasti on kyse, mikä on pilvipalvelu, miten se toimii, mitkä ovat pilvelle tyypilliset haavoittuvuudet.

On suojauduttava.

Ne organisaatiot, joilla ei vielä ole käytössä kaksivaiheista tunnistautumista, tulisi nyt viimeistään selvittää itselleen, mistä on kyse. On varmaankin käynyt jo selväksi, että tunnistautumiseen liittyvät ongelmat eivät ratkea itsestään.

Yksi seikka selvästi liittyy terminologian haltuunottoon. Kaksivaiheisesta tarkistuksesta, todentamisesta tai tunnistuksesta puhuttaessa tarkoitetaan kuitenkin aivan samaa asiaa.

Kun asia on selvä, voimme edetä järjestelmäkonffaukseen.

  • Ensimmäisenä tarkistamme, onko Office 365:n järjestelmänvalvoja ottanut tilimme käyttöön kaksivaiheisen tunnistuksen/tarkistuksen/todentamisen option. Jos näin ei ole, emme näe tunnistukseen liittyviä asetuksia Office 365:ssä, kun yritämme muuttaa sen kirjautumisasetuksia.

Asia saadaan kuntoon puhumalla järkeä pääkäyttäjän päähän. Ja jos ei auta, myös minä voin valaista asian akuuttia luonnetta, pyyntö vain esim. tuohon alle kommentti laatikkoon.

  • Kun tunnistautuminen on avattu, napsautamme normaalisti Kirjaudu sisään -valikkoa,

Näemme pop up-sivun, jossa lukee:

”Tietoturvasyistä meidän on tehtävä tilillesi lisävahvistus”, sekä lisäksi:

”Järjestelmän valvojasi edellyttää, että määrität tähän tilisi ylimääräisen suojausvahvistuksen.”

Sitten selvää suomea ”Määritä se nyt”.

  • Tämän jälkeen valitsemme todentamismenetelmän ja noudatamme velhon antamia toimintaohjeita suojauksen lisätarkistuksessa. Saamme vaihtoehtoisen yhteydenottomenetelmän, ja jatkamme:
  • Käyttöön saamme sovellussalasanan. Kopioimme salasana leikepöydälle kopiointikuvakkeen avulla. Tämä salasana on väliaikainen: kopiointikuvakkeesta sovellussalasanan siis kopioimme leikepöydälle. Hyvä.

Kun olemme määritelleet, miten haluamme vastaanottaa tarkistuskoodin, meiltä pyydetään koodia, kun seuraavan kerran kirjaudumme Office 365:een. Koodi voidaan lähettää sinulle tekstiviestinä tai puhelimitse.

Tässä vaiheessa emme käytä WhatsAppia tai muita tietoturvatasoltaan alhaisia pikaviestipalveluja kriittisen tason merkkijonojen käsittelyyn.

Julkisilla palveluilla näkyy taas jonkin verran haavoittuvuusongelmia. VR ei välitä juuri asiakkaistaan, ei uutta.

Suomen ympäristökeskuksen teknisesti vanhentuneet sivut oli kaapattu haittaohjelman jakoon järjestelmäpäivitysten puutteessa. Laitoin asiasta viestin Sykeen. Selainturva-aukko näemmä korjattiin, havaitsin, kun lähdin hakemaan kaappauskuvaa tähän blogiin saastuneesta sivusta.

Sykelle palvelua tuottava Fujitsu lupasi ottaa yhteyttä eli tapausta selvitetään.

VIIMEISIN ARTIKKELI

Kadonneen datan arvet – Varmuuskopioinnilla vältyt katastrofilta

18.3.2024 |

Varmuuskopiotko tarpeelllisia? Turhaa ajan haaskausta, lisää kustannuksia, ohjelmien asennusta, vaivannäköä, ei meille kuitenkaan mitään satu … LUE LISÄÄ…

PK-yrityksen tuet ja rahoitus vuonna 2024

18.3.2024 |

Kaupallinen yhteistyö Sortter Oy Vuonna 2024 yrityksille on tarjolla useita eri rahoituskanavia ja tukimuotoja. Yritystuella … LUE LISÄÄ…

Sähköpostimarkkinointi ohjelma yrityksille – ActiveCampaign

18.3.2024 |

Yrityksille suunnatut sähköpostimarkkinointi ohjelmat tarjoavat monipuolisia työkaluja kampanjoiden suunnitteluun, toteuttamiseen ja seurantaan. Tässä kirjoituksessa tarkastelemme … LUE LISÄÄ…

Kesäharjoittelijana

18.3.2024 |

Hei vaan! Olen Laura, opiskelen Ingmanedu Kulttuurialan ammattiopistossa Media-alan ja kuvallisen ilmaisun perustutkintoa. Etsin itselleni … LUE LISÄÄ…

Verkkokaupan saavutettavuus mahdollistaa shoppailun kaikille asiakasryhmille

18.3.2024 |

Verkkokaupan saavutettavuus tarkoittaa, että verkkokauppa on suunniteltu niin, että kaikki käyttäjät voivat käyttää sitä yhtä … LUE LISÄÄ…

Canvasta apua ja helpotusta yrityksen graafiseen ilmeeseen

18.3.2024 |

Kaipaatko työkalua, jolla saat luotua näyttäviä somepostauksia, esityksiä ja muuta visuaalista materiaalia yritykselle? Kannattaa ehdottomasti … LUE LISÄÄ…

Harjoittelijasta työntekijäksi – Oonan työntekijätarina

18.3.2024 |

Keväällä 2021 kirjoitin Sollertiksen blogiin blogitekstin harjoittelujaksostani, jonka suoritin opiskellessani kolmatta vuotta Savonian Ammattikorkeakoulussa muotoilun … LUE LISÄÄ…