Muutto on mahdollisuus – sössiä tietoturva

Paikallisella firmalla on muutto kesken – ollut jo muutaman kuukauden. Ohessa havaintoja (case 1). Perässä myös pari muuta tapausta tosielämästä.

Case 1: Muutto kesken

Osa asiakastiedoista säilytetään perinteisesti mapeissa ja mapit on nimetty asiakkaittain. Mapit on sijoitettu siististi muuttolaatikoihin. Laatikko on sen verran lähellä ikkunaa, että asiakkaat on helposti tunnistettavissa.

Työpöytä on myös ikkunapaikalla, tottakai. Siinä on (helposti varastettava) läppäri ja työstettävät paperit siistissä järjestyksessä. Näyttöä voi katsella kadulta.

Vaikka papereista ja asiakastiedoista ei mitään luottamuksellista löytyisikään, niin ei tämä toimintamalli ainakaan luotettavuutta lisää. Entäs varmuuskopiot, jos paperit ja läppäri lähtee? Laittaisi nyt vaikka jonkun näkösuojan papereiden ja laatikon päälle. Ja läppärin piiloon.

Muista puhtaan pöydän periaate.

Case 2: Paperiton toimisto

Muutto on hyvä mahdollisuus digitalisoida toimintaa. Kaikki turhat paperit kiertoon. Itsekin olen pari kertaa istunut silppurin vieressä ja pohtinut, mahtuisiko vielä viideskin paperi samalla kerralla silppuriin.

Aina paperishow ei mene yhtä putkeen. Joskus papereita saa jahdata pihalla tuulessa ja sateessa. Tietoturvaa edistävää taukoliikuntaa!

Case 3: Tarkista mihin muutat

Kerran erään yrityksen IT-asiantuntija pohti, missä mahtaa olla toimistotilan datakaappi. Se, mihin perinteiset nettijohdot kytketään. Ilmeni, että kaappi oli toimistotilan ulkopuolella olevalla käytävällä. Samassa kaapissa oli myös toisen toimiston verkkopistokkeet. Käytännössä kuka tahansa rakennuksessa vieraileva henkilö olisi voinut kytkeä itsensä näiden toimistojen tietoverkkoon.

Toimitilojen tietoturvaohjeesta (VAHTI 2/2013) saa hyviä vinkkejä toimiston fyysiseen tietoturvallisuuteen

Muutto on erikoistilanne, joka mittaa yrityksen tietoturvakulttuuria.

10 tietoturvavinkkiä etätöihin

Lapsi uittaa läppärin mehussa. Koira järsii koneen virtajohtoa. Sukulainen haluaa näyttää ”yhden hyvän jutun netistä” … klik klik, yes hyväksyn. Puoliso sentään shoppaa omalla koneellaan.

Ihan perus etätyöpäivä? Toivottavasti ei.

Etätyö laajentaa yrityksen IT-ympäristöä työntekijöiden koteihin. Tämä luo erilaisia haasteita tietoturvallisuudelle niin organisaation kuin työntekijänkin näkökulmasta. Suurin uhka ei aina ole rahan perässä kärkkyvät verkkorikolliset.

Etätyön tietoturva muodostuu monesta asiasta. Erityisesti korostuvat työntekijän osaaminen ja oma vastuu ympäristön fyysisestä ja teknisestä turvallisuudesta. Kotitoimistolla on huomioitava eri asioita kuin työpaikalla.

Ohessa kymmenen käytännön vinkkiä tietoturvallisempaan etätyöhön. Tutustu vinkkien sisältöön tarkemmin Turun AMK:n Talk-verkkolehden artikkelissa Etätyön tietoturva – 10 käytännön vinkkiä.

Vinkit:

  1. Käytä työtehtävien tekemiseen työantajan tarjoamia laitteita.
  2. Suojaa laitteiden fyysistä turvallisuutta etätyöpisteessä.
  3. Hyödynnä suojattuja verkkoyhteyksiä ja -laitteita.
  4. Tiedosta kodin muista älylaitteista aiheutuvat riskit.
  5. Asenna tietoturvapäivitykset ajallaan.
  6. Tiedosta IT-palveluiden normaali toiminta etätyöympäristössä.
  7. Tallenna työtiedostot sovittuun paikkaan.
  8. Jaa tietoa järkevästi ja turvallisesti.
  9. Käytä etätöissä työnantajan tarjoamia ja ohjeistamia IT-palveluita.
  10. Ota selvää, miten varmuuskopiointi toimii.

Tietoturva ei ole pelkästään tiedon piilottelua ulkopuolisilta. Yhtä tärkeää on varmistaa tiedon saatavuus ja laitteiden toimivuus silloin, kun niitä oikeasti tarvitaan.

Pari hyvää lisätietosivua:
Kyberturvallisuuskeskus: Tee etätyöstä turvallista vinkkiemme avulla.
SANS Security Awareness Work-from-Home Deployment Kit.

ps. koiralle ei käynyt mitään.

Nolosta nohevaksi ja muita vinkkejä tilaturvallisuuteen

Yle A-studion turvatestissä testattiin suomalaista tee-se-itse näkymättömyysviittaa: keltaiset liivit, kypärä ja tikkaat. Tällä yhdistelmällä varustettu toimittaja onnistui kävelemään sisään merkittäviin yrityksiin ja valtion laitoksiin. Testin perusteella organisaatioiden tilaturvallisuus ei ollut kunnossa.

Testin kohteeksi joutuneet päässeet organisaatiot perustelivat tapahtunutta seuraavasti:

  • Valvonta on hankalaa, koska rakennuksessa on muitakin toimijoita.
  • Aulapalvelun toimintaa on kehitettävä.
  • Tapahtui inhimillinen virhe.

Perustelut saattavat kuulostaa selittelyltä. Karu totuus on kuitenkin se, että monitoimijaympäristössä on hankala vahtia henkilöiden liikkeitä. Olit sitten vartiointiliikkeen kouluttama aulapalveluhenkilö tai rakennuksessa toimivan yrityksen työntekijä.

Ja onhan se nyt hemmetin noloa mennä utelemaan toisilta, että mitäs täällä teet?

Kaikkia alueita ei ole kuitenkaan tarvetta vahtia samalla tavalla. Voi olla ihan perusteltua, että yrityksen aulatiloissa saa liikkua vapaasti.

Henkilöstön pitää kuitenkin tietää ne tilat, joihin ulkopuolisilla ei ole asiaa. Jos näissä tiloissa liikkuu ulkopuolisia, on nolosta tultava noheva.

Miksi tilaturvallisuus on tärkeää?

Tilaturvallisuus on tärkeää, koska sillä on vaikutusta moneen eri asiaan. Ohessa esimerkkejä.

Verkkolaitteiden ja muiden IT-laitteiden tietoturvariskit. Tiloihin voidaan asentaa vakoilulaitteita tai verkkolaitteita, joilla päästään yrityksen sisäverkkoon. Tietokoneisiin voidaan asentaa ohjelmistopohjaisia tai fyysisiä näppäimistönkuuntelijoita. Kyllä, nämä on juuri niitä agenttileffojen vimpaimia, jotka saa ostettua netistä muutamalla kympillä.

Varkauksiin liittyvät riskit. Yrityksen laitteita tai paperimuodossa olevia tietoja voidaan varastaa. Toki myös työntekijöiden kukkarot, puhelimet ja muu omaisuus ovat vaarassa. Huom! Varas ei aina ole yrityksen ulkopuolinen henkilö.

Kohteen ydintoimintaan liittyvät riskit. Häiritsemällä esimerkiksi yhteiskunnalle merkittävien kohteiden (lentokentät, voimalaitokset, vesilaitokset) toimintaa, voidaan tehdä haittaa koko yhteiskunnalle.

Yrityksen vierailukäytännöt voivat myös kertoa jotain yrityksen tietoturvallisuudesta kokonaisuutena. Lue esim. 1) Vierailukäytännöt viestittävät yritysturvallisuudesta, ja 2) Kadonnut vierailijakortti on tietoturvauhka?

Kolme vinkkiä tilaturvallisuuden parantamiseksi

1) Mieti tilaturvallisuutta kokonaisuutena. Mihin vieraat saavat kulkea omatoimisesti, mistä eteenpäin vaaditaan saattaja, mihin ei ole vierailla laisinkaan asiaa. Tilaturvallisuus on osa yrityksen kokonaisturvallisuutta. Kaikki uhat eivät ole kyberuhkia.

Tilaturvallisuutta on hyvä tarkastella esimerkiksi silloin, kun palaa lomalta. Lue lomalta palaajan tietoturva-aiheinen muistilista.

Tutustu myös VAHTI 2/2013 Toimitilojen tietoturvaohje.

2) Muista puhtaan pöydän politiikka ja Win + L kun poistut tilasta. Ei ole myöskään huono ajatus laittaa läppäriä lukittuun kaappiin, kun poistuu päivän päätteeksi työpaikalta.

3) Millä asialla olet? Hyvä kysymys niille, joilla ei ole yrityksen henkilökorttia tai joita et tunnista. Tätä kysymystä studion asiantuntijatkin suosittelivat. Ihan sama, mitä henkilö vastaa. Kysymys ei ole koskaan turha!

Nolostelut sikseen!

Lähteitä:
Yle A-studio 25.7.2018.
Studion asiantuntijaraati: Mikko Hyppönen F-Securesta, Ville Salonen Securitaksesta, Jouni Mustonen Valtorista sekä turvallisuuskouluttaja Jari Stolt. Juontajana Jan Andersson. Toimittaja Pasi Peiponen.

VAHTI 2/2013 Toimitilojen tietoturvaohje

Servicedesk on osa organisaation tietoturvaa

Organisaation tukipalvelulla, esim. Helpdesk tai Servicedesk, on oma roolinsa organisaation tietoturvallisuuden toteuttamisessa. Lähestyn aihetta kolmen kokonaisuuden kautta: tilannekuva, toiminta ja tietoisuus.

Tilannekuva: Servicedesk tunnistaa tietoturvapoikkeamat

Servicedeskin työntekijät näkevät päivän aikana useita erilaisia palvelupyyntöjä, vikailmoituksia ja häiriötilanteita. Heille muodostuu nopeasti käsitys siitä, mikä on normaalia päivittäistä toimintaa. Servicedesk tuottaa organisaatiolle tilannekuvaa omasta näkökulmastaan.

Tukipalvelun työntekijöillä on hyvä olla tietoa yleisimmistä tietoturvaongelmista ja niiden ilmentymisistä käytännön työssä. Näin heillä on parempi kyky havaita tietoturvaongelmiin liittyvät poikkeamat. Kannattaa pohtia, pitäisikö tukipalvelun työntekijällä olla pääsy myös tietojärjestelmien ja verkkoympäristön tilannekuvaan, jolloin työntekijä voi arvioida, johtuuko vika järjestelmistä vai voisiko kyseessä olla laajempi tietoturvaongelma

Esimerkki
Servicedesk vastaanottaa useita ilmoituksia organisaation tarjoaman palvelun toimimattomuudesta. Asiakkaat eivät pääse palvelun nettisivulle. Verkkoympäristön tilannekuvan mukaan palveluun kohdistuu epänormaalin suuri määrä verkkoyhteyksiä. Ilmenee, että kyseessä on palvelunestohyökkäys. Servicedesk ilmoittaa ongelmasta organisaation verkkosivustolla ja pyrkii näin ollen vähentämään asiakkaiden huolia. Verkosta vastaavat tahot saavat keskittyä tietoturvaongelman ratkaisemiseen.

Toiminta: Varmista Servicedeskin toimintakyky

Tukipalvelun työntekijöillä on oltava velvollisuus ja kyky toimia, kun he saavat tietoonsa tietoturvallisuuteen liittyvän ilmoituksen asiakkaalta. Nopea toiminta on olennaista lisävahinkojen välttämiseksi.

Esimerkki
Asiakas ilmoittaa saaneensa huijaussähköpostin ja asiakas on luovuttanut käyttäjätunnuksensa ja salasanansa huijaussivustolle. Tukipalvelun työntekijä ilmoittaa asiakkaalle lukitsevansa asiakkaan käyttäjätunnuksen ja vaihtavansa salasanan. Näin pyritään estämään tunnuksen välitön väärinkäyttö.

Tietoisuus: Servicedesk nostaa tietoturvatietoisuutta

Jokainen viesti asiakkaalle on mahdollisuus parantaa asiakaskokemusta ja lisätä tietoisuutta eri asioista. Tukipalvelun viestien loppuun voidaan laittaa kevyet kesäterveiset tai viikon tietoturvavinkit. Viestit toimivat hyvänä kanavana tietoturvatietoisuuden lisäämiseksi.

Esimerkki
Asiakas haluaa jakaa tiedostoja usealle vastaanottajalle. Hän pohtii, olisiko Dropbox vai sähköposti parempi vaihtoehto.

Servicedeskin työntekijä kertoo, että sähköpostin liitteenä voidaan jakaa tiedotusluonteisesti muutamia julkisia tiedostoja. Jos tiedostoja pitää jatkossa vielä muokata, niin keskitetty tiedostojen jakopaikka on parempi vaihtoehto. Jos tiedostojen luottamuksellisuus pitää varmistaa, niin tiedostot olisi hyvä jakaa keskitetyn paikan kautta, jossa voidaan asettaa tarvittavia käyttöoikeuksia tiedostojen avaamiselle. Asiakas saa tietoonsa vaihtoehtoisia toimintamalleja sekä näiden hyviä ja huonoja puolia tietoturvallisuuden näkökulmasta. Servicedesk asiantuntija muuttaa asenteita!

Koonti

Servicedeskin työntekijöillä on oltava:

  • tilanneälyä ja osaamista poikkeamien havaitsemiseksi,
  • pääsy tarvittaviin tietoihin ja teknisiin välineisiin, sekä
  • valtuudet toimia nopeutta vaativissa tilanteissa.

Servicedeskillä on olennainen rooli organisaation tietoturvallisuuden toteuttamisessa. Varmista, että tämä mahdollisuus hyödynnetään!

IT-asiantuntija on myös tietoturva-asiantuntija

Yrityksen IT-asiantuntija voi vaikuttaa koko yrityksen tietoturvaan monella eri tavalla. Tietoturvallisuuteen vaikuttaa esimerkiksi tietojärjestelmien suunnittelu ja hankinta, järjestelmien ylläpito. Lisäksi työntekijällä on aina olemassa asiantuntijavastuu.

Turvallisten tietojärjestelmien suunnittelu ja hankinta

Asiantuntija osallistuu tietojärjestelmien suunnitteluun ja hankintaan. Tarkoituksena on hankkia järjestelmä, joka vastaa tarpeeseen, on turvallinen ja täyttää  GDPR Privacy-by-Design vaatimukset. Asiantuntija tietää, että tietojärjestelmää ei vain hankita ja oteta käyttöön.

Esimerkki
Yritykselle suunnitellaan uutta tietojärjestelmää. Asiantuntija muistuttaa, että tietoturvallisuus ja tietosuoja tulee ottaa huomioon. Asiantuntija osallistuu tietoturvavaatimusten kuvaukseen. Lisäksi hän haastaa mahdollisia järjestelmätoimittajia neuvotteluissa: ”Saisinko nähdä palvelun toimittamiseen liittyvät tietoturvakuvaukset sekä tietoturvapolitiikkanne?” Ensimmäinen myyjä ei tiedä näistä mitään. Tuote olisi kyllä ollut todella halpa! Toisen myyjän esittämä tietoturvakuvaus herättää luottamusta. Tästä maksaa mielellään vähän extraa.

Tietojärjestelmien turvallisuuden ylläpito

Järjestelmän ylläpitäjä valvoo järjestelmän turvallisuuden tilaa ja asentaa tarvittavat tietoturvapäivitykset ajallaan. Toiminta on riskilähtöistä. Asiantuntija tietää, mitä hoidetaan heti ja mitä myöhemmin.

Esimerkki
Yrityksen IT-asiantuntija on huomannut, että yrityksen toiminnan kannalta olennaisesta järjestelmästä on löydetty tietoturvahaavoittuvuus. Netin uutisten mukaan haavoittuvuutta hyödynnetään jo hyökkäyksissä. Asiantuntija tutustuu aiheeseen ja tekee alustavan korjauksen järjestelmään. Saatavilla oleva tietoturvapäivitys asennetaan vasta myöhemmin, koska järjestelmäpäivitys johtaa palvelinten uudelleenkäynnistykseen. Sitä ei tehdä keskellä päivää, jotta työt jatkuisivat normaalisti. Viimekertainen ”ihan vaan nopea päivitys ja bootti” johti tilanteeseen, jossa järjestelmä oli pois käytöstä kaksi päivää.

Asiantuntijavastuu

Asiantuntijan velvollisuutena on ottaa kantaa päivittäisiin asioihin. Asiantuntija tuo esiin riskit, kipupisteet ja kehittämiskohteet. ”Oon vaan töissä täällä” ei riitä!

Esimerkki
Yrityksen työntekijöillä on tarve jakaa tiedostoja toisilleen ja yhteistyökumppaneilleen. Erään työntekijän mukaan ilmainen pilvipalvelu toteuttaa tämän tarpeen hyvin. Ehdotus saa kannatusta yrityksessä. Asiantuntija kuitenkin huomauttaa ilmaisen pilvipalvelun lainsäädännöllisistä ja sopimusteknisistä ongelmista sekä jatkuvuuteen liittyvistä riskeistä. Lisäksi hän korostaa, että tiedostojen jakotoiminnot voidaan toteuttaa jo olemassa olevilla työkaluilla. Kehittämällä olemassa olevia järjestelmiä voidaan toteuttaa turvallinen ja tarpeet täyttävä ratkaisu. Ylimääräisiä järjestelmiä ei tarvita. Ja rahaa säästyy. Osa työntekijöistä pitää asiantuntijaa nipottavana ääliönä, osa todellisena ammattilaisena. Yritysjohto punnitsee hyödyt, riskit ja tekee päätöksen.

Jos olet asiantuntija, toimi kuin asiantuntija!