Näin saat Wilmasta entistä turvallisemman

Wilma on turvallinen järjestelmä. Me Vismalla teemme jatkuvasti töitä sen eteen, että järjestelmät ovat turvallisia käyttää. Wilman testauksessa hyödynnetään yhteistyötä myös “hyvishakkereiden” kanssa. Olemme järjestäneet mm. Hackday-tapahtuman, jossa valkohattuhakkerit saivat yrittää murtaa Wilman. Wilma on myös mukana Bug Bounty -ohjelmassa, jossa jatkuvasti yritetään ammattilaisten avulla löytää aukkoja järjestelmästä. Näin saamme arvokasta tietoa suoraan tietoturvan asiantuntijoilta.  

Jokainen käyttäjä voi myös omalta osaltaan vaikuttaa siihen, miten hyvin suojattuna oma Wilma pysyy. Tässä tärkeässä roolissa ovat salasanat.  Nykyisin, kun lähes kaikki palvelut ja järjestelmät ovat tunnuksen ja salasanan takana, käy helposti niin, että salasanoja on liikaa muistettavaksi. Silloin tulee monesti  valinneeksi joko helpon salasanan, tai käyttää kaikissa palveluissa samaa salasanaa muistaakseen sen paremmin.

Hyvä salasana on  riittävän vaikea. Salasanan tulee olla vähintään 8 merkkiä pitkiä. Sen tulee sisältää vähintään kolmea seuraavista: isoja kirjaimia, pieniä kirjaimia, numeroita tai erikoismerkkejä. Nämä kaikki ehdot pätevät myös Wilman salasanan osalta.

Salasanaa on hyvä myös vaihdella. Oppilaitos voi pakottaa Wilman käyttäjät vaihtamaan salasanansa tietyin väliajoin, esim. kuukauden tai puolen vuoden välein.

 

Kuusi vinkkiä Wilman salasanoista

  1. Valitse salasana, jota edes sinut tuntevien ihmisten on mahdoton tietää tai arvata. Voit myös käyttää kokonaista lausetta, sen muistat itse helposti, mutta sitä on muiden vaikea arvata.  
  2. Älä kirjoita sanaa lapulle.  Jos kuitenkin kirjoitat, niin älä ainakaan säilytä lappua paikassa, josta joku sen helposti löytää.
  3. Älä uusiokäytä samaa salasanaa muissa palveluissa.
  4. Älä koskaan kerro salasanaasi kenellekään, älä edes oppilaitokselle tai Vismalle.
  5. Tyhjennä selaimen välimuisti käytettyäsi muuta kuin omaa konettasi. Sulje selain poistuessasi koneelta.
  6. Kirjaudu aina ulos, kun lopetat Wilman käytön.

 

Muita vinkkejä turvallisempaan Wilmaan

Wilmassa on myös paljon muita keinoja parantaa tietoturvaa ja vähentää riskiä siitä, että joku pääsisi juuri sinun tunnuksella sisään.

1.Monivaiheinen tunnistautuminen (MFA) on Wilma-käyttäjän turvallisuutta parantava toiminto. Monivaiheinen tunnistus tuo käyttäjätunnus-salasana -parilla kirjautumiseen merkittävän turvallisuustekijän lisää. Tietoturvan taso on selvästi parempi ja tiedot ovat huomattavasti paremmin suojattu, kun kirjautumiseen käytetään useampaa todennustapaa.

Toiminto ei ole kaikkien Wilma-käyttäjien käytettävissä automaattisesti, vaan se riippuu siitä, onko kunta tai oppilaitos ottanut toiminnon käyttöön.

Kun monivaiheinen tunnistautuminen on käytössä, Wilmaan kirjautuminen vaatii käyttäjätunnuksen ja salasanan lisäksi numerokoodin, jonka saa mobiilisovelluksesta (Google Authenticator tai vastaava). MFA:n myötä hyökkääjä ei pääse hyödyntämään varastamaansa käyttäjätunnusta ja salasanaa, vaan hän tarvitsee näiden lisäksi myös kolmannen tavan tunnistautua.

 

2.Wilmaan voi kirjautua myös YubiKeyn avulla. YubiKey on fyysinen avain, muistitikun näköinen pieni laite, joka kytketään tietokoneen usb-porttiin. YubiKeytä käytettäessä Wilmaan kirjaudutaan ilman tunnuksen ja salasanan syöttämistä: käyttäjän tarvitsee vain painaa YubiKeyn painiketta ja antaa nelinumeroinen pin-koodi.

YubiKey-avainta tulee säilyttää huolella, esimerkiksi samassa avainnipussa oman kotiavaimen kanssa. YubiKeytä EI saa jättää oppitunnin ajaksi esim. usb-porttiin, opettajan pöydälle tms. paikkaan, josta joku voi saada sen käsiinsä.

 

3.Lisäksi Wilma tukee Suomi.fi-tunnistautumista, joka vaatii käyttäjää todistamaan oman henkilöllisyytensä pankkitunnuksen tai mobiilivarmenteen avulla.

Visman tarjoama SaaS-palvelu jättää muutaman huolenaiheen vähemmän kuntien ja oppilaitosten harteille. SaaS-palvelu  tarkoittaa käytännössä sitä, että palvelimet sijaitsevat Visman palvelintiloissa, ja asiakkailla on aina uusin versio ohjelmista käytössä. Jos jokin tietoturvaongelma ilmenee, niin  ohjelmat päivitetään Visman toimesta automaattisesti korjattuun versioon. Jos palvelin sijaitsee kunnan kunnan omissa palvelintiloissa, on riskinä, että tietoturvapäivitystä ei heti saada päivitettyä.

Jos kunnassa havaitaan väärinkäyttöä, kannattaa asiasta aina tiedottaa kunnan pääkäyttäjää. Visma avustaa ongelmien selvittämisessä, mutta monesti selvitys vaatii tietopyynnön joko kunnalta tai poliisilta.

 

Jos salasana paljastuu?

Jos epäilet tai tiedät, että jonkun henkilön Wilma-salasana on paljastunut, ilmoita siitä välittömästi tunnuksen haltijalle sekä turvallisuudesta vastaavalle henkilölle. Salasana tulee vaihtaa mahdollisimman nopeasti.  Wilman tapahtumahistoriasta selviää miten tunnusta on käytetty esim. viimeisen viikon aikana. Jos epäilet rikosta, ilmoita asiasta poliisille.

Huolellisuus ja hyvät salasanakäytännöt takaavat, että Wilmassa voit viestiä turvallisin mielin!

Joakim vastaa Visman kouluhallinon ja varhaiskasvatuksen tuotteista. Joakim seuraa innokkaana uutta teknologiaa ja suunnittelee tulevaisuuden Wilmaa asiakkaiden toiveet ja tarpeet huomioiden.
Connect with Joakim: