Tietoturva - FAQ
Päivitetty viimeksi: 10.5.2022
Vismalle tietoturva on erittäin tärkeä asia, ja siksi pidämme huolta, että Visman palveluiden käyttö on aina turvallista. Visma Enterprise Oy:n Wilma-ohjelma on saanut tietoturvasertifikaatin (ISO/IEC 27001:2013). Tämä tarkoittaa, että palvelun tietoturva on standardissa määritellyllä tasolla. Tämä tarkoittaa käytännössä ulkopuolisen auditoijan todistusta siitä, että Wilman tietoturvan kehittäminen on jatkuvaa työtä, ja tietoturvan riskienhallintaa toteutetaan parhaiden käytäntöjen mukaisesti. Lisätietoa Wilman tietoturvasta: https://www.wilma.fi/tietoturvallinen-wilma
Alla on usein kysyttyjä kysymyksiä Wilman tietoturvaan liittyen ja vastaukset niihin.
Me Vismalla teemme jatkuvasti töitä sen eteen, että järjestelmämme ovat turvallisia käyttää. Wilman testauksessa hyödynnetään yhteistyötä myös "hyvishakkereiden" kanssa. Olemme järjestäneet mm. Hackday-tapahtuman, jossa valkohattuhakkerit saivat yrittää murtaa Wilman. Wilma on myös mukana Bug Bounty -ohjelmassa, jossa jatkuvasti yritetään ammattilaisten avulla löytää aukkoja järjestelmästä. Näin saamme arvokasta tietoa suoraan tietoturvan asiantuntijoilta. Bug Bounty -ohjelman aikana olemme saaneet useita erilaista havaintoja, joiden kautta olemme voineet parantaa tietoturvaa.
SaaS-palvelu tarkoittaa käytännössä sitä, että palvelimet sijaitsevat Visman palvelintiloissa, ja asiakkailla on aina uusin versio ohjelmista käytössä. Jos jokin tietoturvaongelma ilmenee, niin ohjelmat päivitetään Visman toimesta automaattisesti korjattuun versioon. Jos palvelin sijaitsee kunnan kunnan omissa palvelintiloissa, on riskinä, että tietoturvapäivitystä ei heti saada päivitettyä.
SaaS-palvelun osalta on toki huomioitava, että tietoturvaa kokonaisuudessaan pysty ulkoistamaan Vismalle, vaan vastuu tietoturvasta kattaa koko ketjun aina palvelun käyttäjästä palveluntarjoajaan asti. Tämä koskee erityisesti henkilötietojen käsittelyä, varsinkin tietosuoja-asetuksen arkaluonteiseksi määrittelemiä tietoja. Näitä ovat esimerkiksi uskonnollinen ja filosofinen vakaumus sekä terveyttä koskevat tiedot.
Wilman ja selaimen välinen yhteys on lähtökohtaisesti salattu. Tietoliikenteen suojaus tehdään käyttäen HTTPS-verkkoviestinnän protokollaa, jonka avulla pystytään varmistumaan tietojen eheydestä ja luottamuksellisuudesta. Lisäksi Wilman palvelut ovat korkean käytettävyyden piirissä, jota valvotaan viikon jokaisena päivänä.
Hyvä salasana on riittävän vaikea. Salasanan tulee olla vähintään 8 merkkiä pitkiä. Sen tulee sisältää vähintään kolmea seuraavista: isoja kirjaimia, pieniä kirjaimia, numeroita tai erikoismerkkejä. Nämä kaikki ehdot pätevät myös Wilman salasanan osalta.
Salasanaa on hyvä myös vaihdella. Oppilaitos voi pakottaa Wilman käyttäjät vaihtamaan salasanansa tietyin väliajoin, esim. kuukauden tai puolen vuoden välein.
Vinkkejä salasanan luomiseksi ja Wilman turvalliseen käyttöön
- Valitse salasana, jota edes sinut tuntevien ihmisten on mahdoton tietää tai arvata. Voit myös käyttää kokonaista lausetta, sen muistat itse helposti, mutta sitä on muiden vaikea arvata.
- Älä kirjoita sanaa lapulle. Jos kuitenkin kirjoitat, niin älä ainakaan säilytä lappua paikassa, josta joku sen helposti löytää.
- Älä uusiokäytä samaa salasanaa muissa palveluissa.
- Älä koskaan kerro salasanaasi kenellekään, älä edes oppilaitokselle tai Vismalle.
- Tyhjennä selaimen välimuisti käytettyäsi muuta kuin omaa konettasi. Sulje selain poistuessasi koneelta.
- Kirjaudu aina ulos, kun lopetat Wilman käytön.
Jos epäilet tai tiedät, että jonkun henkilön Wilma-salasana on paljastunut, ilmoita siitä välittömästi tunnuksen haltijalle sekä turvallisuudesta vastaavalle henkilölle. Vaihda salasana heti ja ilmoita uusi salasana tunnuksen haltijalle. Tämän jälkeen tunnuksen haltijan tulee vielä kirjautua Wilmaan ja vaihtaa salasanansa.
Selvitä Wilman lokitiedostosta, miten tunnusta on käytetty esim. viimeisen viikon aikana. Jos epäilet rikosta, ilmoita asiasta poliisille ja ole yhteydessä myös asiakaspalveluumme.
Wilma tukee Suomi.fi-tunnistautumista, joka vaatii käyttäjää todistamaan oman henkilöllisyytensä pankkitunnuksen tai mobiilivarmenteen avulla. Riippuu asiakkaastamme, onko Suomi.fi-tunnistautuminen tarjolla Wilmassa.
Monivaiheinen tunnistautuminen (MFA) on Wilma-käyttäjän turvallisuutta parantava toiminto. Tämä tarkoittaa käytännössä, että käyttäjätunnuksen ja salasanan lisäksi tarvitaan vielä erillinen tunnistautuminen, esimerkiksi Google Authenticator tai Suomi.fi-tunnistus. Näin monivaiheinen tunnistus tuo käyttäjätunnus-salasana -parilla kirjautumiseen merkittävän turvallisuustekijän lisää. Tietoturvan taso on selvästi parempi ja tiedot ovat huomattavasti paremmin suojattu, kun kirjautumiseen käytetään useampaa todennustapaa. MFA:n myötä hyökkääjä ei pääse hyödyntämään varastamaansa käyttäjätunnusta ja salasanaa, vaan hän tarvitsisi näiden lisäksi myös kolmannen tavan tunnistautua.
Monivaiheinen tunnistautuminen ei ole automaattisesti päällä, vaan se vaatii ensin kyseisen toiminnon käyttöönoton asiakkaaltamme.
Wilmaan voi kirjautua myös YubiKeyn avulla. YubiKey on fyysinen avain, muistitikun näköinen pieni laite, joka kytketään tietokoneen usb-porttiin. YubiKeytä käytettäessä Wilmaan kirjaudutaan ilman tunnuksen ja salasanan syöttämistä: käyttäjän tarvitsee vain painaa YubiKeyn painiketta ja antaa nelinumeroinen pin-koodi. Yubikey ei kuitenkaan ole oletuksena tarjolla käyttäjille, vaan se riippuu asiakkaastamme, onko Yubikey-kirjautumismahdollisuus käytettävissä.
YubiKey-avainta tulee säilyttää huolella, esimerkiksi samassa avainnipussa oman kotiavaimen kanssa. YubiKeytä EI saa jättää oppitunnin ajaksi esim. usb-porttiin, opettajan pöydälle tms. paikkaan, josta joku voi saada sen käsiinsä.