10 tietoturvavinkkiä etätöihin

Lapsi uittaa läppärin mehussa. Koira järsii koneen virtajohtoa. Sukulainen haluaa näyttää ”yhden hyvän jutun netistä” … klik klik, yes hyväksyn. Puoliso sentään shoppaa omalla koneellaan.

Ihan perus etätyöpäivä? Toivottavasti ei.

Etätyö laajentaa yrityksen IT-ympäristöä työntekijöiden koteihin. Tämä luo erilaisia haasteita tietoturvallisuudelle niin organisaation kuin työntekijänkin näkökulmasta. Suurin uhka ei aina ole rahan perässä kärkkyvät verkkorikolliset.

Etätyön tietoturva muodostuu monesta asiasta. Erityisesti korostuvat työntekijän osaaminen ja oma vastuu ympäristön fyysisestä ja teknisestä turvallisuudesta. Kotitoimistolla on huomioitava eri asioita kuin työpaikalla.

Ohessa kymmenen käytännön vinkkiä tietoturvallisempaan etätyöhön. Tutustu vinkkien sisältöön tarkemmin Turun AMK:n Talk-verkkolehden artikkelissa Etätyön tietoturva – 10 käytännön vinkkiä.

Vinkit:

  1. Käytä työtehtävien tekemiseen työantajan tarjoamia laitteita.
  2. Suojaa laitteiden fyysistä turvallisuutta etätyöpisteessä.
  3. Hyödynnä suojattuja verkkoyhteyksiä ja -laitteita.
  4. Tiedosta kodin muista älylaitteista aiheutuvat riskit.
  5. Asenna tietoturvapäivitykset ajallaan.
  6. Tiedosta IT-palveluiden normaali toiminta etätyöympäristössä.
  7. Tallenna työtiedostot sovittuun paikkaan.
  8. Jaa tietoa järkevästi ja turvallisesti.
  9. Käytä etätöissä työnantajan tarjoamia ja ohjeistamia IT-palveluita.
  10. Ota selvää, miten varmuuskopiointi toimii.

Tietoturva ei ole pelkästään tiedon piilottelua ulkopuolisilta. Yhtä tärkeää on varmistaa tiedon saatavuus ja laitteiden toimivuus silloin, kun niitä oikeasti tarvitaan.

Pari hyvää lisätietosivua:
Kyberturvallisuuskeskus: Tee etätyöstä turvallista vinkkiemme avulla.
SANS Security Awareness Work-from-Home Deployment Kit.

ps. koiralle ei käynyt mitään.

Miksi yrityksiä hakkeroidaan?

Päivittäinen tietoturvauutisointi pistää miettimään. Verkkorikollisuus on jatkuvasti pinnalla. Onko olemassa yritystä, joka ei kelpaisi kohteeksi?

Rikollisia kiinnostaa meidän rahat, resurssit ja osaaminen.

Rahaa yritetään saada monin eri tavoin. Rahaa rosvotaan väärennetyillä laskuilla ja maksutiedoilla, varastettuja (henkilö)tietoja myymällä ja kiristämällä.

Resursseista rikollisia kiinnostavat esimerkiksi erilaiset tietojärjestelmät. Verkkomedioissa on uutisoitu esimerkiksi siitä, että eri korkeakoulujen kirjastoihin on tehty kohdennettuja tietoturvahyökkäyksiä, joilla tavoitellaan pääsyä kirjastojen tietokantoihin.

Kyllä, kirjatkin viedään käsistä!

IT-resurssejamme (läppärit, puhelimet, palvelimet, IoT-laitteet jne.) yritetään puolestaan valjastaa osaksi laajempia verkkohyökkäyksiä. Osaamisen varastaminen on käytännössä vakoilua. Onneksi vanha vitsaus ”meillä ei ole mitään salattavaa” jäi viime vuosikymmenelle. Toteamusta ei ole hetkeen kuulunut.

Välillä tuntuu siltä, että verkkorikollisille kelpaa kaikki.

Kyberturvallisuuskeskuksen julkaisema Kybersää-raportti avaa hyvin suomalaisten organisaatioiden tietoturvahaasteita. Tässä muutama lumettoman talven värinen poiminta nykytrendeistä:

  • ”Office 365 -tilien kalastelu johtaa edelleen tietomurtoihin päivittäin.” (Kybersää 10/2019)
  • Tietomurroissa ”…Office-365-tapaukset ovat uusi normaali”. (Kybersää 1/2020)

On siellä Kybersäässä myös aurinkoisempia uutisia. Kannattaa tutustua!

Miksi yrityksellä kannattaa olla tietoturvasäännöt?

Yrityksissä on monenlaisia tietoturvasääntöjä. Etätyösäännöt, internetin käyttösäännöt, sosiaalisen median käyttösäännöt, tietojärjestelmien käyttösäännöt, palveluiden ylläpitosäännöt jne. Työntekoa hankaloitetaan säännöllisen säännönmukaisesti?

Tietoturvasääntöjen tarkoituksena ei ole rajoittaa tai hankaloittaa työntekijöiden toimintaa. Tietoturvasäännöt mahdollistavat turvallisen toimintaympäristön luomisen.

Tietoturvasäännöt on negatiivinen käsite?

Kannattaako tietoturvasääntöjä kutsua säännöiksi? Onko termi negatiivinen? Sääntöä voidaan pitää kieltona. Positiivisemmin ajateltuna sääntö on reunaehto tai toimintamalli.

Mitä vaihtoehtoja termille sääntö on? Jos puhutaan esimerkiksi tietojärjestelmien käytöstä:

Tietojärjestelmien käyttöpolitiikka. Joku voisi ajatella, että onpas virallista. Politiikka on jotain yleistä jargonia. Kuulostaa johtotason jutuilta.

Tietojärjestelmien käyttöohjeet. ”Joo joo, käytän tietojärjestelmiä turvallisesti, fiksusti jne. Luen ohjeet, jos tarvitsen ohjeita.” Ohje on säännöistä johdettu tarkempi toimintatapa.

Tietojärjestelmien tietoturvaperiaatteet. Tällä päästään jo lähelle tarkoitusta. Ei kuullosta niin negatiiviselta? Tuntuu mielekkäämmältä sitoutua noudattamaan periaatteita kuin sääntöjä.

Tietojärjestelmien käyttösäännöt on kuitenkin selkeä käsite. Näin toimitaan. Piste.

Tietoturvasäännöistä on hyötyä!

Yrityksellä kannattaa olla yritysjohdon hyväksymät tietoturvasäännöt. Niistä on konkreettista hyötyä päivittäisessä toiminnassa.

Tietoturvasäännöt kertovat, millaista toimintaa työntekijöiltä odotetaan. Yhteiset säännöt ja niiden mukaan toimiminen auttaa turvallisemman toimintaympäristön luomisessa. Tietoturvadokumentaatiota voidaan hyödyntää myös esimerkiksi uuden työntekijän perehdyttämisessä.

Säännöt ja muut tietoturvadokumentit osoittavat yrityksen toimintaperiaatteet muille toimijoille. Ulkopuoliset näkevät, mitä vaadimme itseltämme. Se voi puolestaan nostaa luottamusta ja parantaa yrityksen mainetta.

Yhteistyökumppanit voidaan velvoittaa toimimaan samojen sääntöjen mukaisesti. Ei ole mitään järkeä, että yritys pyrkii laadukkaaseen toimintaan, kun samaan aikaan alihankkija sählää, sooloilee ja sekoilee.

Säännöt auttavat täyttämään lakipykälistä ja standardeista muodostuvat vaatimustenmukaisuusvelvoitteet. Työntekijöiden voi olla helpompi ymmärtää tietoturvasäännöissä kuvattua periaatetta kuin eri lakipykäliin piilotettuja vaatimuksia.

Tietoturvastandardi ISO 27001 asettaa vaatimuksia esimerkiksi suojattavan omaisuuden (tietopääoma, laitteet jne.) käyttösäännöistä sekä ohjelmistojen asennukseen liittyvistä säännöistä. VAHTI 2/2010 dokumentaatiossa kuvatun tietoturvallisuuden perustason saavuttaminen puolestaan edellyttää, että säännöt ja ohjeistukset ovat olemassa (Lähde: VAHTI 2/2010 liite 5, s. 106, osa-alue 1.3.1).

Kyberkaries iskee alle kahdessa kuukaudessa

Tietoturvafirma Kenna tutki tunnettujen tietoturvareikien paikkaamiseen liittyviä aikaikkunoita. Siinä missä hammaslääkäri paikkaa reiät 15 minuutissa,
kuluu yrityksillä keskimääräisesti 100-120 päivää tietoturvareikien tukkimiseen.

Samaisen tutkimuksen mukaan yrityksellä on arviolta 40-60 päivää aikaa tukkia aukot. Muuten kyberkaries iskee 90% todennäköisyydellä.

Tietoturvareikiin hyökätään automaattisten työkalujen avulla. Niitä hyödyntäviä tahoja ei ensisijaisesti kiinnosta mihin hyökätään, kunhan onnistutaan.
Sitten pöllitään kaikki, mikä irti lähtee. Lopuksi vasta katsotaan, mitä on saatu.

Tietoturva-aukoista johtuvia riskejä voidaan pienentää. Kenna suosittelee käyttämään samoja työkaluja kuin vastapuolikin. Toisin sanoen yritysten kannattaa kartoittaa omien järjestelmiensä aukkoja systemaattisesti ja automatisoidusti.

Ellei IT-palveluiden ammattimainen ylläpito ole ydinliiketoimintaasi, niin anna homma jollekin muulle. On hölmöläisen hommaa koittaa hallita tietoturvapäivityksiä muun toiminnan ohella.