tietoturva

Mitä jokaisen tulisi tietää tietoturvasta (etenkin poikkeusoloissa)

Jari Taskinen
27.04.2020 | Jari Taskinen

konesalipalvelut-tarjouspyntopohja1

Elämme poikkeuksellista kevättä. Osana koronaviruspandemian torjuntaa kaikki julkisen sektorin tietotyöläiset on määrätty etätöihin, ja suuri osa yrityksiä on tehnyt samoin. Digiyhteiskunta tai ei, on yritysten välillä ilmennyt isoja eroja siinä, kuinka kivuttomasti äkilliseen laajaan etätyöhön siirtyminen on onnistunut. Kotitoimistolla on helppo huokailla, kun kirjoituskoneaikana taloon tullut talouspäällikkö ei osaa kolmenkaan viikon jälkeen mykistää mikkiä Teamsissä. Työtehoa suurempi haaste muhii kuitenkin pinnan alla. Kotoa työskentely voi nostaa sellaisia haavoittuvuuksia esiin yrityksen tietoturvassa, joka jää toimistolla puurtaessa huomiotta. Etenkin jos yrityksen kyberturvallisuusinfraa on totuttu lähestymään toimistoympäristöstä käsin, voi sataprosenttisesti etätyöhön siirtynyt työyhteisö olla isojen haasteiden edessä. Koska Valtin Jari Taskisella on pitkä kokemus kyberturva-aukkojen tilkitsemisestä, pyysimme häntä kertomaan yleisistä kotitoimiston riskeistä ja niiden välttämisestä.

Hyvän tietoturvan kulmakivi on varautuminen ja käyttäjälähtöisyys

Minimivaatimus tietoturvariskeihin varautumisessa on, että yrityksellä on oma säännöllisesti päivitettävä tietoturvaohjeistus, jota kaikki työntekijät sitoutuvat noudattamaan. Jari Taskinen muistuttaa, että heikko lenkki muuten kalliissa tietoturvajärjestelyissä voi hyvin olla puutteellisesti ohjeistettu henkilöstö. Taskinen katsoo kuitenkin, että hyvän tietoturvaohjeistuksen noudattamisen tulisi olla mahdollisimman helppoa ja mukavaa.

”Myös tietoturvaa suunniteltaessa täytyy pitää mielessä loppukäyttäjän näkökulma. Tietoturvaohjeistuksen tulee olla selkokielinen ja yksinkertainen noudattaa. Ohjeistukset tulee myös laatia sillä lailla läpinäkyviksi, että niiden noudattamisen hyödyt on perusteltu työntekijälle. Näin varmistetaan, etteivät hyvät käytännöt lennä heti kiireessä roskiin”, Jari Taskinen opastaa.

Valtin tietoturvapalveluihin kuuluu laajimmillaan kokonainen tietoturvakeskus, jossa seurantatyökalu SIEM tallentaa lokitietoa kaikesta yrityksen kyberturvallisuuteen liittyvästä. Vaikkei näin järeästi ulkoistettuun ratkaisuun olisikaan omassa organisaatiossa tarvetta, kannattaa ainakin tietoturvan haavoittuvuuksien kartoitukseen käyttää säännöllisesti ulkopuolista tukea. Varsinkin pk-yritykselle tietoturvaosaamisen tapaisen erityisalan ostaminen ulkoa voi olla kustannustehokas vaihtoehto.

Vaadi ihmiskontaktia

Aikoina, jolloin asiat hoidetaan pitkälti verkossa ilman ihmiskontaktia, on todella arvokasta, että on ihan konkreettisesti olemassa paikka, johon soittaa ja jossa yhteydenottoosi vastaa oikea ihminen. Tutut yhteyshenkilöt ovat kultaakin kalliimpia, sillä he tuntevat sinut sekä liiketoimintasi ja osaavat tarjota juuri niitä ratkaisuja, jotka ovat kurantteja teidän yrityksellenne.

Odota odottamatonta ja pohdi, miten tietoturvallisten konesalipalveluiden tarjoaja toimii silloin, kun tilanne on kriittinen? Minkälainen suunnitelma kumppanilla on yrityksellenne tarjota? Ilman poikkeustilanteen suunnitelmaa on vaikea toimia suunnitellusti. Suunnitelmallisuus tarjoaa mahdollisuuden tarttua toimeen nopeasti.

Tavallisia laajan etätyön tietoturvahaavoittuvuuksia

Vaadi kumppaniltasi näkemyksiä ja proaktiivista otetta. Osaavan konesalipalvelun tarjoajan asiantuntijoiden on syytä olla perillä alan trendeistä, kehityksestä ja viimeisimmistä teknologioista. Sen lisäksi on ymmärrettävä lainsäädännön muutoksia. Uskalla rohkeasti vaatia uusia ideoita omaan liiketoimintaan ja palveluiden tuottamiseen. Esimerkiksi monipilviympäristössä, eli multicloudissa yhdistetään eri pilvitoimittajia – olivat ne sitten hybridiratkaisuja yksityisen ja julkipilven välillä tai useampia julkipilviä. Tällaisilla ratkaisutarjouksilla IT-kumppanisi osoittaa todellisen arvonsa sen osalta, miten monipuolisesti he pystyvät juuri sinun yrityksesi tarpeisiin vastaamaan.

Tavallisia laajan etätyön tietoturvahaavoittuvuuksia

Moni kotiin lukittautunut konttorirotta ei tule ajatelleeksi, että työskentelyyn käytetty verkkoyhteys voi olla merkittävä tietoturvariski. Suurilla organisaatioilla on tavallisesti käytössä VPN-yhteys, jota ohjeistetaan käyttämään etätöissä. VPN-yhteys saattaa olla hieman muita yhteyksiä hitaampi, etenkin kun poikkeusaikana suurin osa organisaatiosta voi joutua kirjautumaan työnsä äärelle sitä kautta. Siksi kiusaus työskennellä puutteellisesti suojatussa Wi-Fissä voi käydä suureksi, vaikka esimerkiksi luottamuksellisia työhön liittyviä asiakastietoja kannattaisi käsitellä vain VPN-yhteydellä. Pk-yrityksiltä luotettava etäyhteys on saattanut puolestaan jäädä hankkimatta kustannussyistä.

”Myös erilaiset vahvan tunnistautumisen ratkaisut voivat olla paikallaan yritykselle, jossa käsitellään arkaluonteista dataa”, Jari Taskinen huomauttaa.

2020-luvulla on tavallista, että työtiedostot eivät ole laitekohtaisia. Jos etätöissä työntekijät käyttämään henkilökohtaisia laitteitaan, voi tietoturvahaasteita tulla tilanteessa, jossa jollain toisella on pääsy laitteelle. Yleisempi haaste on kuitenkin kotikoneiden riittämättömän päivitystahti tai vanhentunut virusturva.

”On ehdottoman tärkeää antaa laitteiden suorittaa päivitykset aina kun ne niitä ehdottavat”, muistuttaa Taskinen.

Mobiililaitteiden tietoturva on syytä myös syynätä. Kaikissa laitteissa pitää olla käytössä lukitus, ja laitteisiin saa asentaa ainoastaan luotettavista sovelluskaupoista ladattuja luotettavien kehittäjien tuotteita. Mobiililaitteiden käytön lisäännyttyä ovat lisääntynyt myös niille räätälöidyt haittaohjelmat, joten valppaus kannattaa.

Poikkeusajat tarvitsevat rutiineja ja perusasioiden hallintaa

Inhimillinen tekijä on merkittävä tietoturvapoikkeaman riski kotitoimistollakin. Osaavatkin asiantuntijat saattavat vanhasta tottumuksesta noudattaa vanhentuneita tietoturvaohjeita tai ottaa tarpeettomia riskejä työskennellessään paineen alla. Nyt jos koskaan on erittäin tärkeää suorittaa käyttöjärjestelmän pyytämät päivitykset, huolehtia säännöllisestä varmuuskopioinnista ja lakata käyttämästä joka paikassa salasanana ”Salasana123”. Salasanoja ei myöskään pidä kotonakaan kirjoittaa paperilapuille ja jättää lojumaan ympäriinsä, vaikka luottaisi puolisoonsa, lapsiinsa tai kämppiksiinsä. Myöskään luottamuksellisia keskusteluja ei voi käydä kotona työskennellessä niin, että joku ulkopuolinen voisi kuulla yksityiskohtia. Luonnollisestikaan omia työlaitteita ei saa antaa muiden perheenjäsenten käyttöön.

”Monet järkevät rivityöntekijän tietoturvakäytänteet ovat oikeastaan samat etä- ja lähityössä, etätyössä niiden merkitys vain korostuu”, sanoo Jari Taskinen.

”Olennaisinta on, että yrityksen tietoturvan periaatteita ja niistä johdettuja ohjeistuksia on mahdollisimman vaivatonta seurata missä ja milloin vain.”

Haluatko suojata työyhteisöäsi paremmin näkymättömiltä uhilta? Katso Valtin Tietoisku tietoturvaan -webinaaritallenne! Webinaarissa perehdytään tietoturvan kehittämiseen aikana, jolloin työtä voidaan tehdä missä ja milloin vain.

Katso Tietoisku tietoturvaan -webinaaritallenne tästä!

 

Jari Taskinen
Kirjoittaja Jari Taskinen