Etätyöläisen tietoturva

etätyö tietoturva

Kaikki ovat varmaan jo tähän mennessä kuulleet tai nähneet moneen otteeseen muun muassa seuraavat lauseet "Korona ajaa etätöihin" ja "Korona muuttaa tapaamme työskennellä" tai ainakin jotakin niiden kaltaista.

 

Tottahan ne kaikki ovatkin, sitä ei voida kiistää. Mutta se, miten korona on muuttanut työelämää, riippuu varmasti mistä kulmasta asiaa tarkastellaan. On ymmärrettävää, että satunnaisesti etätöitä tekevä työntekijä näkee asian eri tavalla kuin vaikka yrityksen tietohallintojohtaja.

 

Kevät oli varmasti monessakin mielessä kaoottista aikaa. Harvempi oli tullut ajatelleeksi sitä vaihtoehtoa, että suuri osa tulee tekemään töitä kotoa käsin. Osa oli varmasti tehnyt etätöitä jo ennen kevättäkin, mutta työskentely on ollut satunnaisempaa ja sen luonne on ollut erilaista. Joillekin etätyö saattoi aiemmin tarkoittaa työskentelyä esimerkiksi junissa, busseissa, kahviloissa ja hotelleissa, mutta nyt monelle etätyön uusi normaali on työskentely omasta kodista käsin, eikä tähän moni ollut valmis, ei yrityksen tai yksilön tasolla.

 

Tilanne 1. Koronan alkuaika.

Eletään kevättä 2020 ja työntekijä on ensimmäisiä päiviä etänä töissä, mitä hän kaipaa? Ensimmäisenä hän varmasti huomaa, että työskentely pelkältä läppäriltä on pidemmän päälle puuduttavaa hommaa, joten tarvitaan lisälaitteita. Laitetaan siis tilaukseen näyttöä, näppäimistöä, hiirtä ja muuta härpäkettä. Samalla asennellaan Teams, Zoom, Google Meet ja mitä näitä nyt on."

 

Useassa yrityksessä etätöihin siirryttiin sellaisella kiireellä, että varsinaiset etätyöskentelypolitiikat ja säädökset tulivat useasti jälkijunassa, pääasia oli, että työskentely jatkui niin normaalina, kuin se vain siinä tilanteessa oli mahdollista. Myös tietoturva saattoi unohtua käytännön asioiden edeltä, vaikka perusasetelma työntekijöiden työasemien osalta olikin kunnossa eli työasemilta löytyi haittaohjelmien estoa, palomuuria ja kovalevyn kryptausta. Nyt kun koronan toinen aalto on iskemässä, ollaan kuitenkin vielä siinä tilanteessa, että etätyöläisten tietoturva-asiat ovat vieläkin suunnittelu- tai käyttöönottovaiheessa monessa paikassa.

 

Tilanne 2. VPN-yhteydet. 

"Seuraavaksi työntekijä varmasti huomaa, että olisi myös tärkeä päästä käsiksi samoihin tiedostoihin, mihin hän pääsi ollessaan konttorilla. Hänellä on ollut ehkä aiemmin käytössään VPN, eli Virtual Private Network, jolla tämä on onnistunut, mutta tunnukset tai ohjelman nimi, jolla yhteys luotiin on unohtunut."

 

Vaikka VPN on tekniikkana jo vanha, ei se ole silti vielä kaikille tuttu, keväällä tämä oli monelle uusi terminä ja tekniikkana, mutta tuli käytön myötä varmasti tutuksi. VPN:n hyvä puoli on siinä, että sillä voidaan luoda tietoturvallinen yhteys yrityksen verkkoon, mistä tahansa verkosta käsin. Lähtökohtaisesti moni varmasti pitää omaa kotiaan turvallisempana paikkana kuin vaikka junaa tai bussia. Tietoturvan kannalta nämä ovat, jos ei nyt täysin yhdenvertaisessa, niin ainakin lähes yhdenvertaisessa asemassa, sillä harvempi panostaa kotonaan verkon tietoturvaan, vaan käytössä on operaattorin toimittamat verkkolaitteet, joista useasti löytyykin erilaisia tietoturvahaavoittuvuuksia. Tämä asetelma on täysin ymmärrettävä, eivät nämä ole sellaisia asioita, joita kukaan aktiivisesti miettisi, pääasia että yhteys toimii.

 

Tilanne 3. Tiedon turvaaminen.

"Nyt kaikki on varmasti siinä kunnossa, että työnteko vastaa asetelmaa työpaikalla. Tosin tässä vaiheessa työntekijä saattaa huomata, että useamman gigan kuvatiedoston työstäminen ei onnistukaan aivan samalla vauhdilla kuin konttorilla. Joten parempi kopioida tiedosto ensiksi omalle koneelle, niin homma hoituu varmasti."

 

Varsinkin aloilla, joissa työstettävät tiedostot ovat kooltaan suuria, on etätyön ongelma usein verkon nopeus etätyöpisteessä. Tiedoston kopioiminen omalle työasemalle on loogisesti ymmärrettävä vaihtoehto. Usein tässä tilanteessa unohdetaan se seikka, että onko meillä tässä tilanteessa tiedostosta minkäänlaista varmuuskopiota­­­, joten jos kone kaatuu tai hajoaa, niin mitä tiedostolle tapahtuu tässä tilanteessa? Pahimmassa tilanteessa voidaan menettää useamman päivän työ. Vaikka tämä ei olekaan periaatteessa tietoturvaa, niin myös tiedon turva on hyvä muistaa etätyöskentelyssä. Edellä mainitun kaltaisia ongelmia varten on olemassa ratkaisuja, joissa myös työasemasta otetaan varmuuskopioita, tasaisin väliajoin, ja näin saavutetaan tarvittava turva.

 

Tilanne 4. Surffaaminen internetin loputtomilla aalloilla.

"Kotona työskentely on leppoisampaa kuin työpaikalla istuminen, joten välillä voi ottaa vähän rennommin ja surffailla tiedon valtaväylillä."

 

Tottahan se on, että ei kukaan pysty tekemään töitä 7,5h ilman keskeytyksiä ja välillä on hyvä nollata ajatuksia. Satunnaisen surffailun uhka etätöissä on se, että työkoneella tapahtuva surffailu, ei ole suojattu yrityksen järeiden palomuurien taakse. Vaikka VPN olisikin päällä, niin usein tekniikka on toteutettu siten, että ainoastaan sellainen liikenne, jonka täytyy mennä yrityksen verkkoon, reitittyy VPN:n yli ja kaikki muu liikenne kulkee VPN:n ulkopuolella. Käytännössä tämä tarkoittaa sitä, että yrityksellä ei ole keinoa hallita verkon tietoturvaa työasemalla eli suodattaa haitallisia sivustoja tai phishing-viestejä. Cisco Umbrella tarjoaa ratkaisun tähänkin ongelmaan. Vaikka palvelua voidaankin hyödyntää yrityksen koko verkossa, niin se saadaan myös asennettua yksittäiselle työasemalle. Palvelun tarkoitus on suodattaa liikennettä DNS-tasolla, eli se tarkkailee haitallisia domaineja, käyttäen useita eri kriteereitä, ja estää pääsyn näille sivuille. Taustalla on järjestelmä, joka tutkii jatkuvasti verkon uhkia ja tarjoaa tämän tiedon työasemille. Umbrellan avulla työaseman Internet-liikenne on täten suojattu myös kotona.

 

Tilanne 5. Tietoturvapolitiikka ja sen noudattaminen.

"Nyt viimeistään pitäisi etätyöskentelyn olla sekä tehokasta että turvallista!"

 

Etätyöskentelyn tietoturva on monivaiheinen prosessi ja tässä käsitellyt asiat ovat vain osa tehokasta tietoturvaa. Peruasiat täytyy olla kunnossa ja tärkein niistä on yhtenäinen tietoturvapolitiikka, joka sisältää käytännöt ja ohjelmistot. Loppupelissä hyvin mietityllä tietoturvapolitiikalla ja sen noudattamisella voidaan estää niitä ongelmia, joita lisääntynyt etätyö aiheuttaa. Toki pelkät käytännöt eivät itsessään tee autuaaksi, joten verkon uhkia ja ihmisen tekemiä virheitä tulee torjua hallitusti eri ohjelmien avulla.

 

Takaisin sivustolle "Cisco Umbrella yrityksen tietoturvan tukena"

Yhteydenotto