Tietoturva

Miten huolehtia rahaliikenteen tietoturvasta?

Dec 13, 2020 9:52:28 AM
Nomentia 9 min read

Ajatuksia ja vinkkejä maksuliikenteeseen ja kassanhallintaan

Tietoturva


Viime aikoina tietoturva on ollut tapetilla. Näkyvin esimerkki lienee Vastaamon tietomurto, jossa satojen ihmisten henkilötietoja päätyi rikollisten käsiin. Haastattelimme Nomentian varatoimitusjohtajaa Jukka Sallista tietoturva-aiheesta maksuliikenteen ja kassanhallinnan näkökulmasta. Tässä blogissa hän jakaa meille ajatuksia ja huomioon otettavia asioita, joilla rahaliikenteen tietoturva voidaan varmistaa.

Mitä ajatuksia tietoturva sinussa herättää?

Olen ollut jo pitkään kiinnostunut tietoturvasta, sillä se liittyy myös läheisesti siihen, mitä Nomentia tekee. Asia on erityisen tärkeä, kun ollaan rahan kanssa tekemisissä. Yritysten ja yksityishenkilöiden pitäisi olla kiinnostuneita tietoturvasta ja ennen kaikkea varautua siihen. On tärkeää miettiä, mitä oikeastaan on hyvä tietoturva, ja miten yrityksen toimintatapoja ja prosesseja tulisi kehittää tietoturvan näkökulmasta. On hyvä kuitenkin muistaa, että kysymys ei loppujen lopuksi ole vain tekniikasta ja prosesseista, vaan koko yrityksen kulttuurista. Tärkeää on miettiä, miten rakennetaan tietoturvallinen kulttuuri ja varmistetaan, että asiat ovat kokonaisuudessaan kunnossa.

Mitä asioita tietoturvassa olisi hyvä ottaa huomioon, kun mietitään Nomentian liiketoimintaa ja asiakkaita?

On tärkeää ymmärtää, kenellä on pääsy pankkitileihin ja millä tavalla. Tämä korostuu etenkin silloin, kun yritys on suuri ja kompleksinen. Tällöin yrityksessä on paljon ihmisiä, joilla on pääsy ulospäin suuntautuviin kassavirtoihin. Se ei tarkoita välttämättä suoraa pääsyä pankkitileihin, vaan pääsy voi olla esimerkiksi toimittajan liiketoimintakrittiseen tietoon eli master dataan. Master datassa voidaan muokata esimerkiksi tilinumeroita. Pääsy voi olla myös laskutusketjuun, jossa voidaan luoda väärennettyjä laskuja. Kysymys voi olla myös maksuaineistoista: mihin aineisto muodostetaan, miten se on suojattu kun se muodostetaan tai tuodaan maksutyökaluun, tai millaiset ovat rutiinit maksutyökalun puolella. Ketju on juuri niin vahva kuin sen heikoin lenkki. Tämän vuoksi koko ketju tulee suojata.

Mikä on ihmisten ja työkalujen tai ohjelmiston rooli maksu- ja rahaliikenteen tietoturvassa?

Kun työkaluun rakentaa rutiinin esimerkiksi maksuaineistojen hyväksynnästä, niin lähtökohtaisesti ohjelmisto ei tee virheitä. Jos tietyt hyväksyntärajat ovat olemassa tai käytössä on neljän silmän periaate, ja ohjelmisto vielä rajoittaa näitä, silloin inhimillisen virheen riski jää pois.

Mietitään esimerkkinä niin sanottuja toimitusjohtajapetoksia. Näissä tarkoitus on toimitusjohtajan nimissä saada kiireisesti iso summa maksuun. Tähän vipuun sortuvat yllättävän monet vielä tänäkin päivänä. Kyse on kuitenkin varsin inhimillisestä erheestä, koska tilanne itsessään tuntuu uskottavalta: toimitusjohtajalla on kiire, ja minulle on uskottu tämä tehtävä. Mutta jos järjestelmässä on mekanismi, joka estää tällaisissa tilanteissa väärin toimimisen, niin silloin olet jo huomattavasti paremmin turvassa.

Mitä kontrolleja on olemassa, jotta väärinkäytökset voidaan rahaliikenteessä estää?

Kaksoishyväksyntä eli neljän silmän (tai miksei jopa useamman silmän) periaate on klassikko. Se on yksinkertainen mutta toimiva. Neljän silmän periaatteessa kysymys on siitä, että kaikkiin kriittisiin pisteisiin prosessissa on olemassa vähintään kaksi vastuullista ihmistä. Esimerkkinä tästä voisi olla reskontrasta tuleva maksuerä, jolla pitää olla kahden ihmisen hyväksyntä. Erityisesti tämä koskee manuaalisia maksuja, eli kun puhutaan reskontran ohi maksamisesta. Jos kyseessä on suuremman kokoluokan yritys, niin asia laajentuu monesti esimerkiksi oikeuksiin muutosten tekemiseksi master datassa. Pankkitilin lisäämisessä ja käyttöoikeuksien muuttamisessa on hyvä olla käytössä (vähintään) neljän silmän periaate. Ohjelmiston tarkoitus on suojata paitsi omilta loppukäyttäjiltä, mutta myös siltä, että omat loppukäyttäjät joutuisivat petoksen kohteeksi.

Toinen asia on summarajat. Siinä kysymys on summien suuruudesta ja tyypistä: saako henkilö hyväksyä reskontrasta tulevia maksuja, omien tilien välisiä maksuja, katesiirtoja tai ad hoc -maksuja – ja mihin rajaan asti.

Nämä molemmat on yksinkertaisia mutta toimivia ratkaisuja tietoturvan lisäämiseksi rahaliikenteessä, sillä vastuuta jaetaan useammalle ihmisille.

Mitä tarkoittaa kaksivaiheinen tunnistautuminen?

Moni meistä käyttää kaksivaiheista tunnistautumista päivittäin, jos käytämme esimerkiksi Applen tai Android-pohjaisia laitteita tai Microsoftin ohjelmistoja. Saamme kännykkään tekstiviestin, vahvennuskoodin tai verkkopankin sovellukseen varmistuspyynnön. Ei pidä tuudittautua siihen, että meillä on vahva salasana. Kaksivaiheinen tunnistautuminen on syytä ottaa käyttöön heti. Vaikka voisi ajatella, että siitä on ylimääräistä vaivaa, niin se on mielestäni hinta, mikä pitää maksaa. Rajoituksen eivät tunnu aina mukavilta, mutta digitaalinen maailma on sen luonteinen, että vaiva pitää nähdä – muuten et ole turvassa.

Mitä haluaisit sanoa käyttäjien hallinnasta Nomentian asiakkaille tai tuleville asiakkaille?

Käyttäjien hallinta on laaja kokonaisuus, joka vaihtelee yrityksen koon mukaan. Pienissä yrityksissä haaste on, että haluttaisiin toteuttaa neljän silmän periaatetta, mutta yrityksestä ei löydy riittävästi ihmisiä. Silloin kuitenkin esimerkiksi summarajat voivat olla hyviä. Kehottaisin ensin tarkastelemaan yrityksen tilannetta: paljonko henkilökuntaa on ja millaisissa rooleissa. Nomentia tarjoaa tähän työkaluja. Yksinkertaisimmillaan tämä on excel-mallipohja, johon määritellään, ketkä ovat ensimmäisiä ja ketkä toisia hyväksyjiä ja millaisissa tilanteissa, jotta saadaan muodostettua kuva lähtötilanteesta. Sen jälkeen erilaisia käyttäjärooleja pystytään määrittelemään ja luomaan järjestelmään: kuka saa nähdä tilitietoja, kuka saa maksaa, kuka saa hyväksyä palkka-aineistot ja niin edelleen. Kaikki nämä voidaan erotella toisistaan.

Lokitiedot, tietokannat ja palvelimet. Miten nämä liittyvät tietoturvaan Cash Managementin näkökulmasta?

Nämä asiat ovat toimittajan vastuulla, eli mistä me Nomentialla pidämme huolta. Meillä pitää olla looginen pääsynhallinta siihen 1) kenellä on oikeus päästä tietokantapalvelimille 2) mitä he saavat siellä tehdä 3) ketkä saavat pääsyn meidän pilvipalvelumme taustalla pyöriviin palvelimiin ja 4) minkälaisin käyttöoikeuksin pääsy palvelimille sallitaan (peruskäyttäjät vs. admin-käyttäjät). Tämä on Nomentialla tarkkaan määritelty, ja se myös auditoidaan vuosittain.

Lokitiedot ovat hyödyllisiä, jos väärinkäytöksiä tapahtuu. Lokitiedoista voidaan todentaa, mitä oikeasti on tapahtunut ja kuka oli paikalla. Lokitietojen kohdalla kiinnitetään huomioita niiden säilytysaikaan ja varmuuskopiointiin sekä lokitietojen analysointiin. Samat pääkäyttäjät eivät pääse edellä mainittuihin käsiksi. Nämä vaatimukset tulevat meille sertifiointien kautta.

ISO 27001, ISAE 3402, SWIFT Customer Security Program (CSP). Mitä nämä ovat?

ISO 27001 -standardi on kaiken tietoturvan hallinnan perustana Nomentialla. Sen mukaisesti kehitämme prosessejamme ja hoidamme tietoturvaamme yleisesti. ISAE 3402 -sertifiointi on jatkuva katsaus siihen, miten asiat on hoidettu käytännössä: miten on järjestetty looginen pääsynhallinta palvelimille, miten on hoidettu palomuurit ja varmuuskopiointien ottaminen ja tiketöintijärjestelmä. Auditoijat tarkastavat nämä asiat koko vuoden ajalta. Etenkin ISAE 3402 on monelle taloushallinnon alalla hyödyllinen, koska se auttaa yritystä läpäisemään myös omat vuotuiset auditoinnit, kun toimittajalla on tämä sertifiointi.

SWIFT on erityisesti pankkimaailman oma tietoturvakehys, jota alettiin kehittää muutama vuosi sitten, kun maksupetosten ja tietoturvariskien määrä alkoi kasvaa. Nomentia on SWIFT-kumppani ja tarjoamme asiakkaillemme pääsyn SWIFT-verkkoon. Kumppanina meidät auditoidaan säännöllisesti, jotta olemme yhteensopivia SWITFin tietoturvaohjelman kanssa.

Kaikki nämä sertifikaatit voidaan nähdään yrityksissä pakollisena pahana tai mahdollisuutena kehittää, oppia ja parantaa asioita. Meille etenkin ISAE 3402 -sertifiointi on ollut opettavainen. Olemme oppineet tekemään asioita paremmin, mutta tämä vaatii ehdottomasti johdon jatkuvan sitoutumisen. Sertifioinnit ei ole myynnin tae, vaan niiden avulla voidaan kehittää prosesseja paremmaksi ja turvallisemmaksi.

Mitkä kolme vinkkiä haluaisit antaa tietoturvasta Cash Managementin näkökulmasta?

  1. Ota käyttöön kaksivaiheinen tunnistautuminen. Sen käyttöönotto ei vaadi liikoja.
  2. Tee katselmointi. Montako pankkitiliä meillä on? Missä päin maailmaa ne ovat? Ketkä pääsevät niitä tarkastelemaan? Tässä Nomentia auttaa tuotteena.
  3. Ota työkalu 100-prosenttisesti käyttöön. Verkkopankeista on hyvä siirtää manuaalimaksatus keskitettyyn työkaluun, jotta kaikki maksut lähtevät yhtä kanavaa pitkin pankkeihin, jolloin tietoturvallisuus on huomioitu.

OTA YHTEYTTÄ

COMMENTS