10 tietoturvavinkkiä etätöihin

Lapsi uittaa läppärin mehussa. Koira järsii koneen virtajohtoa. Sukulainen haluaa näyttää ”yhden hyvän jutun netistä” … klik klik, yes hyväksyn. Puoliso sentään shoppaa omalla koneellaan.

Ihan perus etätyöpäivä? Toivottavasti ei.

Etätyö laajentaa yrityksen IT-ympäristöä työntekijöiden koteihin. Tämä luo erilaisia haasteita tietoturvallisuudelle niin organisaation kuin työntekijänkin näkökulmasta. Suurin uhka ei aina ole rahan perässä kärkkyvät verkkorikolliset.

Etätyön tietoturva muodostuu monesta asiasta. Erityisesti korostuvat työntekijän osaaminen ja oma vastuu ympäristön fyysisestä ja teknisestä turvallisuudesta. Kotitoimistolla on huomioitava eri asioita kuin työpaikalla.

Ohessa kymmenen käytännön vinkkiä tietoturvallisempaan etätyöhön. Tutustu vinkkien sisältöön tarkemmin Turun AMK:n Talk-verkkolehden artikkelissa Etätyön tietoturva – 10 käytännön vinkkiä.

Vinkit:

  1. Käytä työtehtävien tekemiseen työantajan tarjoamia laitteita.
  2. Suojaa laitteiden fyysistä turvallisuutta etätyöpisteessä.
  3. Hyödynnä suojattuja verkkoyhteyksiä ja -laitteita.
  4. Tiedosta kodin muista älylaitteista aiheutuvat riskit.
  5. Asenna tietoturvapäivitykset ajallaan.
  6. Tiedosta IT-palveluiden normaali toiminta etätyöympäristössä.
  7. Tallenna työtiedostot sovittuun paikkaan.
  8. Jaa tietoa järkevästi ja turvallisesti.
  9. Käytä etätöissä työnantajan tarjoamia ja ohjeistamia IT-palveluita.
  10. Ota selvää, miten varmuuskopiointi toimii.

Tietoturva ei ole pelkästään tiedon piilottelua ulkopuolisilta. Yhtä tärkeää on varmistaa tiedon saatavuus ja laitteiden toimivuus silloin, kun niitä oikeasti tarvitaan.

Pari hyvää lisätietosivua:
Kyberturvallisuuskeskus: Tee etätyöstä turvallista vinkkiemme avulla.
SANS Security Awareness Work-from-Home Deployment Kit.

ps. koiralle ei käynyt mitään.

Miksi yrityksiä hakkeroidaan?

Päivittäinen tietoturvauutisointi pistää miettimään. Verkkorikollisuus on jatkuvasti pinnalla. Onko olemassa yritystä, joka ei kelpaisi kohteeksi?

Rikollisia kiinnostaa meidän rahat, resurssit ja osaaminen.

Rahaa yritetään saada monin eri tavoin. Rahaa rosvotaan väärennetyillä laskuilla ja maksutiedoilla, varastettuja (henkilö)tietoja myymällä ja kiristämällä.

Resursseista rikollisia kiinnostavat esimerkiksi erilaiset tietojärjestelmät. Verkkomedioissa on uutisoitu esimerkiksi siitä, että eri korkeakoulujen kirjastoihin on tehty kohdennettuja tietoturvahyökkäyksiä, joilla tavoitellaan pääsyä kirjastojen tietokantoihin.

Kyllä, kirjatkin viedään käsistä!

IT-resurssejamme (läppärit, puhelimet, palvelimet, IoT-laitteet jne.) yritetään puolestaan valjastaa osaksi laajempia verkkohyökkäyksiä. Osaamisen varastaminen on käytännössä vakoilua. Onneksi vanha vitsaus ”meillä ei ole mitään salattavaa” jäi viime vuosikymmenelle. Toteamusta ei ole hetkeen kuulunut.

Välillä tuntuu siltä, että verkkorikollisille kelpaa kaikki.

Kyberturvallisuuskeskuksen julkaisema Kybersää-raportti avaa hyvin suomalaisten organisaatioiden tietoturvahaasteita. Tässä muutama lumettoman talven värinen poiminta nykytrendeistä:

  • ”Office 365 -tilien kalastelu johtaa edelleen tietomurtoihin päivittäin.” (Kybersää 10/2019)
  • Tietomurroissa ”…Office-365-tapaukset ovat uusi normaali”. (Kybersää 1/2020)

On siellä Kybersäässä myös aurinkoisempia uutisia. Kannattaa tutustua!

Tietovirtojen kuvaaminen – miksi se kannattaa tehdä?

Tietovirtojen kuvaaminen on toimenpide, joka auttaa organisaatiota ymmärtämään ja hallitsemaan tietojaan paremmin. Toimenpide auttaa myös EU:n tietosuoja-asetusten vaatimusten täyttämisessä.

Tarkoitus on, että yritys selvittäisi itselleen, miten sen hallussa olevat henkilötiedot kulkevat paikasta toiseen.

Monesti on niin, että jokin asia vaikuttaa täysin selkeältä… kunnes sen pistää paperille. Saan itseni kiinni tästä ajatusharhasta jatkuvasti. Tietojärjestelmäympäristöissä mikään ei ole niin, kuin ensin luulee olevan. Avaan ajatuksiani oheisten kuvioiden kautta.

Kuviossa 1 asiakas tekee tilauksen yrityksen verkkokaupassa. Tilauksen yhteydessä kysytään henkilötietoja, jotta tiedetään, mihin paketti toimitetaan. Kaupankäynnin jälkeen yritys lähettää vielä markkinointiviestintää asiakkaalle sähköpostitse.

Henkilötietoja menee siis verkkokauppaan, paketin toimittajalle ja sähköpostiin. Kohtuullisen yksinkertainen kokonaisuus, joka on helposti selitetty!

Kuvion 1 tietovirtojen kuvaaminen toi kuitenkin mieleen kaikenlaisia yksityiskohtia. Ne ovat seuraavassa kuviossa.

Kuviossa 2 on todellisuus. Verkkokauppasovellus käsittelee vain tilauksen ja tietojen siirron toimittajalle. Sen jälkeen tiedot siirtyvät yrityksen asiakkuudenhallintajärjestelmään (CRM). Uutiskirjeiden lähetyksessä puolestaan hyödynnetään erillistä palvelua. Tekninen kokonaisuus varmuuskopioidaan erilliseen paikkaan. Mikä tahansa kokonaisuuden osa on voitu tilata EU:n ulkopuolella toimivalta palveluntoimittajalta pilvipalveluna, joka puolestaan tuo kokonaisuuteen lisää huomioitavaa.

Tietovirtojen kuvaaminen auttoi hahmottamaan, ettei kyseessä ollutkaan ihan yksinkertainen kokonaisuus.

Henkilötietoinventaario – kaiken hyvän ja pahan alku

Henkilötietoinventaario on henkilötietojen käsittelyn kartoitus, jossa yritys selvittää, missä kaikkialla henkilötietoja käsitellään. Inventaario on kaiken hyvän ja pahan alku. Tieto todellakin lisää tuskaa, mutta samalla mahdollistaa asioiden kehittämisen.

Käytännössä yritysten ja organisaatioiden kannattaa tehdä henkilötietoinventaario, jotta ne pystyvät täyttämään EU:n tietosuoja-asetuksen vaatimukset. Henkilötietoinventaarion toteuttamisesta on kuitenkin muutakin hyötyä.

Suurin hyöty on tulokset, jotka kertovat, missä kaikkialla organisaatio käsittelee tietojaan. Inventaarion avulla saa näkymän omaan organisaatioon sekä sen toimintaan:

Nyt tiedät, mitä et tiennyt.

Näkymästä voidaan tuottaa osia, jotka hyödyttävät muita. Esimerkiksi yhdellä yleisdokumentilla voidaan osoittaa:

  • millaista henkilötietojen käsittelytoimintaa yrityksellä on,
  • mitä tietoja yritys käsittelee, ja
  • mihin tiedot on tallennettu.

Inventaarion tuloksista ilmenee, jos organisaatiossa on päällekkäisiä tietojenkäsittelytoimia. Esimerkiksi kahta eri järjestelmää käytetään yhden ja saman asian toteuttamiseen. Miksi maksaa molemmista?

Inventaarion tulokset auttavat priorisoimaan asioita. Esimerkiksi asiakasdata on olennaista yritykselle. Jos havaitaan, että asiakasdata on ripoteltuna ympäri levyalueita, pilvipalveluita ja vanhoja järjestelmiä, kannattaisi asialle varmasti tehdä jotain. Priorisoidaan tekeminen asiakasdatan keskittämiseen ja vanhojen järjestelmien hallittuun alasajoon sen sijaan, että puuhasteltaisiin jotain muka-olennaista.

Henkilötietoinventaariosta luvatut hyödyt nostavat intoa ja tuovat hymyn naamalle. Let’s do this! Inventaarion työmäärää ei kuitenkaan kannata aliarvioida. Keskisuurissa ja suurissa organisaatioissa naama palautuu peruslukemille hyvinkin nopeasti. Pienet yritykset pääsevät todennäköisesti vähemmällä.

Tuska paatissa muodostuu siitä, että tietoa on paljon. Valtavasti. Eri järjestelmissä. Eri tallennuspaikoissa. Kotimaassa. Ulkomailla. EU:ssa ja sen ulkopuolella. Omalla vastuulla. Muiden vastuulla. Kohta huomaa taas pyörivänsä GDPR:n kauhun kehässä!

Inventaario avaa silmät. Nyt pitää enää uskaltaa katsoa. Käännä katse tuskasta tulokseen. Kun hyväksyy sen, että kaikki ei ole täydellistä ja tekemistä riittää, voi tuloksia hyödyntää moneen asiaan.

Nolosta nohevaksi ja muita vinkkejä tilaturvallisuuteen

Yle A-studion turvatestissä testattiin suomalaista tee-se-itse näkymättömyysviittaa: keltaiset liivit, kypärä ja tikkaat. Tällä yhdistelmällä varustettu toimittaja onnistui kävelemään sisään merkittäviin yrityksiin ja valtion laitoksiin. Testin perusteella organisaatioiden tilaturvallisuus ei ollut kunnossa.

Testin kohteeksi joutuneet päässeet organisaatiot perustelivat tapahtunutta seuraavasti:

  • Valvonta on hankalaa, koska rakennuksessa on muitakin toimijoita.
  • Aulapalvelun toimintaa on kehitettävä.
  • Tapahtui inhimillinen virhe.

Perustelut saattavat kuulostaa selittelyltä. Karu totuus on kuitenkin se, että monitoimijaympäristössä on hankala vahtia henkilöiden liikkeitä. Olit sitten vartiointiliikkeen kouluttama aulapalveluhenkilö tai rakennuksessa toimivan yrityksen työntekijä.

Ja onhan se nyt hemmetin noloa mennä utelemaan toisilta, että mitäs täällä teet?

Kaikkia alueita ei ole kuitenkaan tarvetta vahtia samalla tavalla. Voi olla ihan perusteltua, että yrityksen aulatiloissa saa liikkua vapaasti.

Henkilöstön pitää kuitenkin tietää ne tilat, joihin ulkopuolisilla ei ole asiaa. Jos näissä tiloissa liikkuu ulkopuolisia, on nolosta tultava noheva.

Miksi tilaturvallisuus on tärkeää?

Tilaturvallisuus on tärkeää, koska sillä on vaikutusta moneen eri asiaan. Ohessa esimerkkejä.

Verkkolaitteiden ja muiden IT-laitteiden tietoturvariskit. Tiloihin voidaan asentaa vakoilulaitteita tai verkkolaitteita, joilla päästään yrityksen sisäverkkoon. Tietokoneisiin voidaan asentaa ohjelmistopohjaisia tai fyysisiä näppäimistönkuuntelijoita. Kyllä, nämä on juuri niitä agenttileffojen vimpaimia, jotka saa ostettua netistä muutamalla kympillä.

Varkauksiin liittyvät riskit. Yrityksen laitteita tai paperimuodossa olevia tietoja voidaan varastaa. Toki myös työntekijöiden kukkarot, puhelimet ja muu omaisuus ovat vaarassa. Huom! Varas ei aina ole yrityksen ulkopuolinen henkilö.

Kohteen ydintoimintaan liittyvät riskit. Häiritsemällä esimerkiksi yhteiskunnalle merkittävien kohteiden (lentokentät, voimalaitokset, vesilaitokset) toimintaa, voidaan tehdä haittaa koko yhteiskunnalle.

Yrityksen vierailukäytännöt voivat myös kertoa jotain yrityksen tietoturvallisuudesta kokonaisuutena. Lue esim. 1) Vierailukäytännöt viestittävät yritysturvallisuudesta, ja 2) Kadonnut vierailijakortti on tietoturvauhka?

Kolme vinkkiä tilaturvallisuuden parantamiseksi

1) Mieti tilaturvallisuutta kokonaisuutena. Mihin vieraat saavat kulkea omatoimisesti, mistä eteenpäin vaaditaan saattaja, mihin ei ole vierailla laisinkaan asiaa. Tilaturvallisuus on osa yrityksen kokonaisturvallisuutta. Kaikki uhat eivät ole kyberuhkia.

Tilaturvallisuutta on hyvä tarkastella esimerkiksi silloin, kun palaa lomalta. Lue lomalta palaajan tietoturva-aiheinen muistilista.

Tutustu myös VAHTI 2/2013 Toimitilojen tietoturvaohje.

2) Muista puhtaan pöydän politiikka ja Win + L kun poistut tilasta. Ei ole myöskään huono ajatus laittaa läppäriä lukittuun kaappiin, kun poistuu päivän päätteeksi työpaikalta.

3) Millä asialla olet? Hyvä kysymys niille, joilla ei ole yrityksen henkilökorttia tai joita et tunnista. Tätä kysymystä studion asiantuntijatkin suosittelivat. Ihan sama, mitä henkilö vastaa. Kysymys ei ole koskaan turha!

Nolostelut sikseen!

Lähteitä:
Yle A-studio 25.7.2018.
Studion asiantuntijaraati: Mikko Hyppönen F-Securesta, Ville Salonen Securitaksesta, Jouni Mustonen Valtorista sekä turvallisuuskouluttaja Jari Stolt. Juontajana Jan Andersson. Toimittaja Pasi Peiponen.

VAHTI 2/2013 Toimitilojen tietoturvaohje