8 minuutin lukuaika 27 toukok. 2020
Miten hallitset etätyön kyberriskejä?

Miten hallitset etätyön kyberriskejä?

Kirjoittaja Timo Valonen

EY Finland, Consulting, Cybersecurity lead

EY Helsingin kybertiimin vetäjä. Sertifioitu tietosuoja-asiantuntija. Viikonloppunikkaroija, jolla myös bensaa suonissa.

8 minuutin lukuaika 27 toukok. 2020
Samankaltaisia aiheita COVID-19 Kyberturvallisuus Konsultointi

Kun etätyö on poikkeuksellisten olojen vuoksi lisääntynyt hetkessä ja suurella volyymilla, erilaiset yhteistyö- ja viestintäratkaisut ovat äkisti muuttuneet kriittisiksi yritysten toiminnan kannalta. 

Toimintojen siirtyminen pois konttorilta, jossa tietoturva ja tietosuoja ovat hyvin hallinnassa, aiheuttaa tarpeen tarkastella työn sujumisen lisäksi myös uuden tilanteen kyberriskejä.

Viestinnän turva viestinnän tarkoituksen mukaan

Olennaisessa roolissa etätyössä ovat viestintäsovellukset. Niistä joidenkin tietoturvasta on ollut huolta, jota on myös uutisoitu näyttävästi. Kun moni käyttää eri tarkoituksiin eri sovelluksia – chattiin, viestintään, webinaareihin – tulee varmistua, mitä tietoa ne mahdollisesti välittävät kolmansille osapuolille sekä millä tasolla salaus on. Päästä-päähän-salaus on harvinaista ja teknisesti raskasta toteuttaa, mutta vähintään pitäisi kiinnostua siitä, minkä maiden kautta viestit kulkevat ja mihin ne tallentuvat.

Aina ei tarvitse tarjota yltiöturvallista viestintää. Esimerkiksi valtion julkiseen tiedottamiseen vaikkapa Zoom käy mainiosti, koska esitettävät asiat eivät ole mitenkään luottamuksellisia. Saman asian, kun kuitenkin näkee jopa televisiosta.

Joskus on etätyössäkin kuitenkin tarve luottamuksellisempaan viestintään. Yrityskauppojen tai patenttikeskustelujen yhteydessä kannattaa olla huolissaan esimerkiksi siitä, pääseekö käytettävän viestintäpalvelun tarjoajan valtion hallitus urkkimaan tietoja. Missä valtiossa ja minkä lainsäädännön alaisuudessa käyttämäsi viestisovellus toimii? Välittyykö viestien asiasisältö tai metadata myös mainos- ja muihin tarkoituksiin?

Tietoturva kuntoon myös kotona

Etätyö saattaa saada aikaan työntekijöiden stressaantumista ja ylikuormitusta, kun kotona on melua ja muuta työrutiineja ja tarkkaavaisuutta sekoittavaa. Taukojen ajaksi saattaa tietokoneen lukitseminen unohtua, eikä kotikonttorin fyysinen tietoturvakaan ole samalla tasolla kuin konttorilla, esimerkiksi kulunvalvonnan suhteen. Vaikka luotammekin perheenjäseniimme ja kotona kyläilijöihin, on silti tärkeää luottamuksellisuuden tuntuman välittäminen työnantajan ja asiakkaiden suuntaan. Kotioloissakaan puheluita ei käydä kaikkien kuullen. Lukitaan näytöt, kuten töissä ikään, eikä jätetä papereita lojumaan näkösälle.

Luonnollisesti on huolehdittava siitä, että kotona käytettävien tietokoneiden perustietoturva on kunnossa: kovalevyt kryptattu, ruudun näkösuojat asennettu, wifi-reititin turvallisesti konfiguroitu sekä VPN, palomuurit ja virustorjunta käytössä. Joillain aloilla tähän tietoturvan perushygieniaan saattaa liittyä enemmän myös fyysistä ulottuvuutta. Jos edelleen käsitellään paperia, on syytä ottaa huomioon, millä dokumentteja tulostetaan ja miten paperit tuhotaan elinkaaren päättyessä.

Nyt etätyöaikana viimeistään pitäisi varmistua myös pilvipalveluiden tietoturvasta vähintään ottamalla käyttöön monivaiheinen tunnistautuminen ja huolehtimalla palvelinten sijaitsemisesta EU-lainsäädännön alaisuudessa.

Konttoritehtävät kotona

Uudenlaisia riskejä voi syntyä, kun tehdään etänä tehtäviä, joita ei ole siihen suunniteltu.

Voi olettaa, että etätöissä ihmiset hieman oikovat hyvissä käytännöissä. Kannattaa muistuttaa politiikoista ja käytännöistä sekä rajoittaa käyttöoikeuksia roolipohjaisesti. Perustele viestinnässä aina, miksi mitäkin pitää tehdä. Miksi VPN, kovalevyjen kryptaus tai paperidokumenttien käsittelyvaatimukset. Kerro, miksi kaikissa järjestelmissä ei kannata käyttää samaa salasanaa, kuten ei myöskään yksityiselämässä ja työelämässä. Perustele kertomalla, mitä voi tapahtua huolimattomuudesta.

Onko tiedossa, käytetäänkö järjestelmiä hyväksytyillä työkoneilla vai pilven yli omilla laitteilla? Vaikkapa samalla tabletilla, jolla perheen lapset ehkä pelaavat jotain? Hyvä laitepolitiikka ja hyvät käytännöt mahdollistavat sen, että yrityksen hyväksymät sovellukset toimivat turvallisesti myös työntekijöiden omilla laitteilla, tavallaan omassa ”hiekkalaatikossaan”. Vaihtokaupassa tietenkin joitain oikeuksia laitteeseen siirtyy yritykselle, esimerkiksi etätyhjennyksen mahdollisuus, jos laite joutuu hukkaan. Pilviympäristöt ovat mahdollistaneet sen, että tietojen suojaus ei enää riipu laitteen asetuksista, vaan lähinnä siitä, kuinka luottamukselliseksi tiedoston sisältö on määritelty, joko käsin tai analytiikan tunnistamana.

Teknologia voi katkaista tietovuodot

Kun rajoitukset poistuvat ja ihmiset palaavat työpaikoille, voi silti olla, että etätöitä tekevien määrä jää pysyvästi koholle. Jopa sisäpiiri- ja väärinkäytösten riski voi nousta, jos ihmisten epävarmuus työpaikastaan jatkuu ja esimerkiksi palkanalennukset jäävät pitkäaikaisiksi.

Onko tietohallinnon ja tietoturvan rooli tällöin vain pitää korotettuja kapasiteetteja yllä vai ruveta kaitsemaan, minkä verran etätyötä on ”sallittua”? Entä tuleeko ottaa käyttöön kiristettyjä valvontamekanismeja tietovuotojen estämiseksi?

Viime aikoina on myös Suomessa huomattu, että DLP-ratkaisuilla (Data Loss Prevention) pystytään saavuttamaan hyviä tuloksia vaatimustenmukaisuudessa ja tietovuotojen ehkäisemisessä – tapahtuipa niitä sitten vahingossa tai tarkoituksella. Suomessa voi lakien puitteissa tehdä valvontaa melko rajallisesti, joten toimenpiteet on mietittävä tarkkaan etukäteen. Perusperiaatteena sallittua on ainakin varoittaa käyttäjää ennalta määritellyistä kielletyistä toimenpiteistä, mutta joitain toimintoja voidaan myös estää suoraan.

Teknisesti on mahdollista rakentaa vaikka millainen valvontakoneisto, mutta tulee toki arvioida, mikä on laillista milläkin toiminta-alueella, mikä järkevää, ja mikä yrityskulttuurin mukaista. DLP-ratkaisuihin liittyvässä viestinnässä puolestaan pitää keskittyä ihmisten tukemiseen, sekä korkeamman riskin toimintojen tunnistamiseen ja puutteiden ratkaisemiseen neuvomalla, ei syyllistämällä. Hyvin suunnitellulla DLP-käyttöönotolla mahdollistetaan se, että esimerkiksi henkilötietojen tarpeeton leviäminen voidaan havaita, estää ja katkaista tietosisällön perusteella, eikä jäädä sen varaan, että joku on muistanut merkitä tiedoston luottamukselliseksi.

Paluu uuteen todellisuuteen

Tietoturvainvestointeja perustellessa on entistä tärkeämpää osata perustella hankkeiden liiketoimintahyödyt kvantifioidusti. Miten turvataan digitaalinen liiketoiminta, aikaansaadaan säästöjä, samalla varautuen mahdolliseen uuteen sääntelyyn? Minkä aiotun hankkeen tarkoitus on pienentää riskiä ja mitä riskiä? Onko kyse asiakastiedon vuotamisen estämisestä, liiketoiminnan jatkuvuudesta, sisäpiiripetosten havaitsemisesta vai ehkä teollisuusoikeuksien suojaamisesta? Voiko hanke mahdollistaa uuden liiketoiminnan potentiaalisen uuden markkinan lakien mukaisena tai IT-infran päivittämisen siten että uutta tuotetta tai palvelua voidaan tuottaa turvallisesti?

Mahdollisia investointeja voidaan näiden priorisoitujen tavoitteiden kautta arvottaa keskenään. Samalla päästään johdon kanssa keskusteluun, mihin halutaan panostaa ja miltä kunkin liiketoiminnan ”tietoturva-arvon” halutaan näyttävän 2–3 vuoden päästä.

Liiketoiminnan tukemiseksi on viisasta myös kertoa, mistä voidaan säästää. Mitä hankkeita voidaan panna jäihin tai käynnistää vasta myöhemmin? Mikä liiketoiminnan osa on sellaista, ettei siihen liittyvien järjestelmien, tietojen tai palvelujen tietoturvalla ole niin suurta merkitystä?

Jos tulee lama, leikataanko tietoturvan budjetteja? Olisiko järkevää ajaa hankkeita läpi nyt ennen suurempaa epävarmuutta? Voisi olla hyödyllistä käynnistää projekteja rohkeasti ajoissa ja varata resurssit käyttöön ennen syksyä, jolloin kaikki muut heräävät samaan asiaan yhtaikaa.

Yhteenveto

EY pystyy auttamaan tässä artikkelissa esitettyjen asioiden ratkaisussa: niin ajatusten suuntaamisessa, periaatteiden ja prosessien suunnittelussa konsultoinnin keinoin kuin konkreettisin toimenpitein järjestelmien käyttöönottoon ja ylläpitoon asti. Digitaalisen luottamuksen mahdollistavat palvelumme ulottuvat hallinnollisesta turvallisuudesta aina teknisempiin murtotestauksiin ja jatkuviin palveluihin asti – jopa niiden päästä-päähän salattujen viestintäratkaisujen käyttöönottoon ja ylläpitoon.

Tästä artikkelista

Kirjoittaja Timo Valonen

EY Finland, Consulting, Cybersecurity lead

EY Helsingin kybertiimin vetäjä. Sertifioitu tietosuoja-asiantuntija. Viikonloppunikkaroija, jolla myös bensaa suonissa.