🌿 Kattava kyberturvallisuusopas kannabisapteekeille ja -viljelijöille

Verkon segmentointi

• Eristä POS-järjestelmät erilliseen verkkosegmenttiin yleisestä liiketoiminta-IT:stä
• Käytä VLAN-verkkoja tai fyysistä verkkoeroitusta mahdollisten tietomurtojen hallitsemiseksi
• Rajoita POS-verkon pääsy vain välttämättömiin järjestelmiin ja henkilöstöön

Pääsynhallinta

• Toteuta roolipohjainen pääsynhallinta POS-käyttäjille
• Vaadi yksilölliset kirjautumiset jokaiselle työntekijälle (ei jaettuja tilejä)
• Ota käyttöön monivaiheinen tunnistautuminen hallinnolliselle pääsylle
• Tarkista ja auditoi käyttöoikeudet säännöllisesti

Järjestelmän suojaus

• Poista käytöstä tarpeettomat palvelut ja portit POS-päätteistä
• Pidä POS-ohjelmistot ja käyttöjärjestelmät ajan tasalla tietoturvakorjauksilla
• Käytä virustorjunta-/haittaohjelmatietoturvaohjelmistoa kaikissa POS-laitteissa
• Määritä automaattiset päivitykset mahdollisuuksien mukaan

Valvonta ja lokitus

• Ota käyttöön kattava lokitus kaikista POS-tapahtumista ja pääsyyrityksistä
• Toteuta reaaliaikainen valvonta epäilyttäville toiminnoille
• Säilytä lokit auditointi- ja rikostutkintatarkoituksiin (suositus: yli 12 kuukautta)
• Aseta hälytykset epätavallisille tapahtumakuvioille tai pääsyrikkomuksille

Maksutietojen suojaus

• Älä koskaan tallenna täydellisiä maksukorttinumeroita, CVV-koodeja tai magneettinauhan tietoja
• Käytä tokenisointia toistuvissa tapahtumissa tai tallennetuissa maksutavoissa
• Salaa maksutiedot siirron ja tallennuksen aikana
• Toteuta turvalliset viestintäkanavat (TLS 1.3) maksunkäsittelyyn

Petosten esto

• Valvo epätavallisia tapahtumakuvioita (nopeustarkistukset, summien rajat)
• Toteuta tapahtumien hyväksyntätyönkulut korkean arvon ostoksille
• Käytä osoitteen vahvistuspalvelua (AVS) soveltuvin osin
• Seuraa ja tutki takaisinveloituksia välittömästi

Kolmannen osapuolen maksunkäsittelijät

• Tutki maksunkäsittelijät perusteellisesti ennen integrointia
• Tarkista turvallisuussertifioinnit ja vaatimustenmukaisuuskehykset
• Ymmärrä tietojenkäsittelykäytännöt ja vastuu
• Ylläpidä dokumentaatiota kolmansien osapuolten turvallisuusarvioinneista

Tietojen minimointi

• Kerää vain liiketoiminnan ja vaatimustenmukaisuuden kannalta välttämättömät tiedot
• Määrittele säilytysajat ja poista tiedot, kun niitä ei enää tarvita
• Dokumentoi tiedonkeruun tarkoitukset ja oikeusperusta

Pääsynhallinnat

• Toteuta vähimmäisoikeudet – käyttäjät pääsevät vain rooliinsa tarvittaviin tietoihin
• Käytä vahvaa todennusta (salasanat + monivaiheinen tunnistautuminen) asiakastietoja sisältäviin järjestelmiin
• Valvo ja lokitoimista kaikkea arkaluonteisten asiakastietojen käyttöä
• Tarkista pääsyoikeudet säännöllisesti ja poista tarpeettomat käyttöoikeudet

Salaus

• Salaa asiakastiedot levossa vahvoilla algoritmeilla (AES-256)
• Salaa tiedot siirrossa TLS 1.3:lla tai vastaavalla
• Toteuta asianmukainen avaimenhallintamenetelmät
• Harkitse tietokantatason salausta erittäin arkaluonteisille tiedoille

Tietosuoja suunnitteluperiaatteena

• Rakenna tietosuojanäkökulmat järjestelmiin alusta alkaen
• Anna asiakkaille hallinta heidän tiedoistaan (pääsy, korjaus, poisto)
• Ylläpidä läpinäkyvyyttä tiedonkeruusta ja käytöstä
• Kouluta henkilöstöä tietosuojavelvoitteista ja asiakkaiden oikeuksista

Verkon segmentointi (OT/IT-erottelu)

• Erottele operatiivisen teknologian (OT) verkot IT-liiketoimintaverkoista
• Käytä palomuureja ja pääsynhallintalistoja liikenteen hallitsemiseksi segmenttien välillä
• Toteuta hyppyisännät tai bastioni-palvelimet hallinnolliselle pääsylle

IoT-laitteiden turvallisuus

• Vaihda oletussalasanat kaikista IoT-laitteista välittömästi
• Poista käytöstä käyttämättömät palvelut ja portit IoT-laitteista
• Pidä laiteohjelmistot ajan tasalla tietoturvakorjauksilla
• Vaihda laitteet, jotka eivät enää saa tietoturvapäivityksiä

Valvonta ja havaitseminen

• Valvo IoT-verkon liikennettä poikkeavuuksien varalta
• Aseta hälytykset luvattomille laiteliitännöille
• Ylläpidä inventaariota kaikista IoT-laitteista ja niiden verkkosijainnista
• Skannaa säännöllisesti villejä tai luvattomia laitteita

Järjestelmäintegraation turvallisuus

• Käytä turvallisia API:ita todennuksella ja valtuutuksella (OAuth 2.0, API-avaimet)
• Validoi ja puhdista kaikki ulkoisista järjestelmistä tuleva syötetieto
• Salaa tiedot integroitujen järjestelmien välisessä siirrossa
• Valvo API-käyttöä epätavallisten kuvioiden tai luvattoman pääsyn varalta

Tietojen eheys

• Toteuta eheystarkistukset (tarkistussummat, digitaaliset allekirjoitukset) varastotiedoille
• Ylläpidä auditointiketjuja kaikista varastoliikkeistä ja muutoksista
• Käytä roolipohjaisia oikeuksia varastosäädöille
• Säännöllinen täsmäytys fyysisen varaston ja järjestelmätietojen välillä

Kolmannen osapuolen toimittajaturvallisuus

• Arvioi siemenestä myyntiin -alustojen ja toimittajien turvallisuuskäytännöt
• Tarkista toimittajien turvallisuussertifioinnit ja vaatimustenmukaisuusvakuutukset
• Sisällytä turvallisuusvaatimukset toimittajasopimuksiin
• Valvo toimittajien turvallisuusasemaa jatkuvasti

Poikkeamien hallinnan suunnittelu

• Kehitä kirjalliset poikkeamien hallinnan menettelytavat
• Määrittele poikkeamien hallinnan tiimin roolit ja vastuut
• Vahvista viestintäprotokollat (sisäiset ja ulkoiset)
• Harjoittele poikkeamien hallintaa pöytäharjoitusten avulla

Varmuuskopiointi ja palautuminen

• Toteuta automaattiset varmuuskopiot kriittisistä liiketoimintatiedoista
• Tallenna varmuuskopiot offline-tilassa tai erillisiin, eristettyihin järjestelmiin (ilmaväli)
• Testaa varmuuskopioiden palauttamista säännöllisesti
• Dokumentoi palautumisaika- ja palautumispistatavoitteet (RTO ja RPO)

Kiristyshaittohjelmien puolustus

• Ota käyttöön päätelaitteen havaitsemis- ja vastepalvelut (EDR)
• Toteuta sovellusten sallittujen luettelointi mahdollisuuksien mukaan
• Poista makrot käytöstä ja rajoita skriptien suorittamista
• Kouluta henkilöstöä tunnistamaan tietojenkalastelu ja sosiaalinen manipulointi

Turvajärjestelmien segmentointi

• Sijoita valvontakamerat ja pääsynhallinta erilliseen verkkosegmenttiin
• Käytä vahvaa todennusta videohallintajärjestelmiin (VMS)
• Salaa videovirrat ja tallennettu materiaali
• Päivitä kameroiden ja turvalaitteiden laiteohjelmistot säännöllisesti

Pääsynhallintajärjestelmät

• Integroi pääsynhallinta identiteettihallintajärjestelmiin
• Valvo ja lokitoimista kaikki pääsytapahtumat (onnistuneet ja epäonnistuneet)
• Peruuta pääsy välittömästi irtisanotuille työntekijöille
• Käytä vahvoja tunnuksia (ei oletustunnuksia, heikkoja salasanoja)