Office 365:n modaus turvalliseksi on nyt jo välttämätöntä

Nyt ei juuri mietintäaikaa taida olla – puhumme turvallisuustasosta yhdessä kaikkein yleisimmistä toimisto-, tallennus- ja tiedostonjako-ohjelmistoista Microsoft Office 365:stä. Sen turvatasoa tulee nostaa omin toimin.

Kyberturvallisuuskeskus säilyttää hälyn Microsoft Office 365 –järjestelmään kohdistuneesta kalastelusta toiseksi korkeimmalla, keltaisella tasolla, vaikka tämä varoitus on jatkunut vuodenpäivät. Näin ei pitäisi tietenkään olla.

Kyberturvallisuuskeskuksen analysoimassa kyberrikollisten toimintamallissa lähetetään pdf-sähköpostinliitetiedosto, joka sisältää oikeasti vain ansalinkin toimintoon Open Document/Avaa dokumentti.

”Linkkiyhteyden kautta uhri ohjautuu hyökkääjän määrittelemälle sivustolle”, Kyberturvallisuuskeskus jatkaa.

Uhrien nimissä jaetaan linkkejä heidän OneDrive- tai Sharepoint-tilastaan, tai mahdollinen Dropbox-tili kaapataan salasanan nollauksella. Sitten saastunut tili valjastetaan kalasteluviestien edelleenlähettämiseen.

Ilmeisesti kentällä on yhä vaikeuksia ymmärtää, mistä oikeasti on kyse, mikä on pilvipalvelu, miten se toimii, mitkä ovat pilvelle tyypilliset haavoittuvuudet.

On suojauduttava.

Ne organisaatiot, joilla ei vielä ole käytössä kaksivaiheista tunnistautumista, tulisi nyt viimeistään selvittää itselleen, mistä on kyse. On varmaankin käynyt jo selväksi, että tunnistautumiseen liittyvät ongelmat eivät ratkea itsestään.

Yksi seikka selvästi liittyy terminologian haltuunottoon. Kaksivaiheisesta tarkistuksesta, todentamisesta tai tunnistuksesta puhuttaessa tarkoitetaan kuitenkin aivan samaa asiaa.

Kun asia on selvä, voimme edetä järjestelmäkonffaukseen.

  • Ensimmäisenä tarkistamme, onko Office 365:n järjestelmänvalvoja ottanut tilimme käyttöön kaksivaiheisen tunnistuksen/tarkistuksen/todentamisen option. Jos näin ei ole, emme näe tunnistukseen liittyviä asetuksia Office 365:ssä, kun yritämme muuttaa sen kirjautumisasetuksia.

Asia saadaan kuntoon puhumalla järkeä pääkäyttäjän päähän. Ja jos ei auta, myös minä voin valaista asian akuuttia luonnetta, pyyntö vain esim. tuohon alle kommentti laatikkoon.

  • Kun tunnistautuminen on avattu, napsautamme normaalisti Kirjaudu sisään -valikkoa,

Näemme pop up-sivun, jossa lukee:

”Tietoturvasyistä meidän on tehtävä tilillesi lisävahvistus”, sekä lisäksi:

”Järjestelmän valvojasi edellyttää, että määrität tähän tilisi ylimääräisen suojausvahvistuksen.”

Sitten selvää suomea ”Määritä se nyt”.

  • Tämän jälkeen valitsemme todentamismenetelmän ja noudatamme velhon antamia toimintaohjeita suojauksen lisätarkistuksessa. Saamme vaihtoehtoisen yhteydenottomenetelmän, ja jatkamme:
  • Käyttöön saamme sovellussalasanan. Kopioimme salasana leikepöydälle kopiointikuvakkeen avulla. Tämä salasana on väliaikainen: kopiointikuvakkeesta sovellussalasanan siis kopioimme leikepöydälle. Hyvä.

Kun olemme määritelleet, miten haluamme vastaanottaa tarkistuskoodin, meiltä pyydetään koodia, kun seuraavan kerran kirjaudumme Office 365:een. Koodi voidaan lähettää sinulle tekstiviestinä tai puhelimitse.

Tässä vaiheessa emme käytä WhatsAppia tai muita tietoturvatasoltaan alhaisia pikaviestipalveluja kriittisen tason merkkijonojen käsittelyyn.

Julkisilla palveluilla näkyy taas jonkin verran haavoittuvuusongelmia. VR ei välitä juuri asiakkaistaan, ei uutta.

Suomen ympäristökeskuksen teknisesti vanhentuneet sivut oli kaapattu haittaohjelman jakoon järjestelmäpäivitysten puutteessa. Laitoin asiasta viestin Sykeen. Selainturva-aukko näemmä korjattiin, havaitsin, kun lähdin hakemaan kaappauskuvaa tähän blogiin saastuneesta sivusta.

Sykelle palvelua tuottava Fujitsu lupasi ottaa yhteyttä eli tapausta selvitetään.

Reijo Holopainen

VIIMEISIN ARTIKKELI

PiKa Puhtaus – oppeja digimarkkinoinnista ja helpotusta arkeen 

25.03.2024 |

PiKa Puhtaus Oy on vuonna 2011 perustettu siivouspalveluja tarjoava yritys. PiKa Puhtaus tarjoaa koti-, toimitila- … LUE LISÄÄ…

Miten voin hyödyntää Microsoft Copilottia – työkaverina tekoäly

21.03.2024 |

Microsoft Copilot on tekoälyavustaja, joka voi auttaa säästämään aikaa ja tehostamaan työtä. Se on digitaalinen … LUE LISÄÄ…

Kadonneen datan arvet – Varmuuskopioinnilla vältyt katastrofilta

15.03.2024 |

Varmuuskopiotko tarpeelllisia? Turhaa ajan haaskausta, lisää kustannuksia, ohjelmien asennusta, vaivannäköä, ei meille kuitenkaan mitään satu … LUE LISÄÄ…

PK-yrityksen tuet ja rahoitus vuonna 2024

02.02.2024 |

Kaupallinen yhteistyö Sortter Oy Vuonna 2024 yrityksille on tarjolla useita eri rahoituskanavia ja tukimuotoja. Yritystuella … LUE LISÄÄ…

Sähköpostimarkkinointi ohjelma yrityksille – ActiveCampaign

28.12.2023 |

Yrityksille suunnatut sähköpostimarkkinointi ohjelmat tarjoavat monipuolisia työkaluja kampanjoiden suunnitteluun, toteuttamiseen ja seurantaan. Tässä kirjoituksessa tarkastelemme … LUE LISÄÄ…

Kesäharjoittelijana

07.07.2023 |

Hei vaan! Olen Laura, opiskelen Ingmanedu Kulttuurialan ammattiopistossa Media-alan ja kuvallisen ilmaisun perustutkintoa. Etsin itselleni … LUE LISÄÄ…

Verkkokaupan saavutettavuus mahdollistaa shoppailun kaikille asiakasryhmille

31.05.2023 |

Verkkokaupan saavutettavuus tarkoittaa, että verkkokauppa on suunniteltu niin, että kaikki käyttäjät voivat käyttää sitä yhtä … LUE LISÄÄ…

Saavutettavuus verkkoympäristössä

15.05.2023 |

Kaikilla on varmasti ollut hetkiä, jolloin on tarvinnut apuvälineitä tai muiden ihmisten apua pärjätäkseen päivittäisissä … LUE LISÄÄ…