Vieraskynä: Tietoturva etätöissä ei ole yksinkertainen asia edes etätyön konkareille

    Juha-Matti Heljaste
    Kirjoittaja: Juha-Matti Heljaste 17.4.2020

    Aihe: Tietosuoja, Tietoturva, F-Secure, etätyö

    COVID-19-pandemia, tuttavallisemmin koronapandemia, laittoi kertarysäyksellä monen ihmisen arjen sekaisin jos ei välittömästi niin ainakin välillisesti. Koronapandemia ei ole kuitenkaan aikansa ainoa tarttuva asia ja se riivaa nimenomaan koteihinsa ajettuja tietotyöläisiä. Kumppaniblogissamme F-Securen Juha-Matti Heljasteelta löytyy kuitenkin hyvät tavat havainnollistaa ja tehdä näkyväksi etätyön vaaroja, joilta voi myöskin välttyä omaa käytöstä peilaamalla.

    Suomessa on suositusten mukaisesti tehty etätöitä olosuhteiden salliessa jo noin kuukausi. Tietotyöläisten työt siirtyivät koteihin pois toimistoista ja toimitiloista rytinällä eikä näin ollen ole ihmekkään, ettei joiltakin huvittavammilta sattumuksilta ole voitu sen seurauksena välttyä. Huvittavat tilanteet kuitenkin nimenomaan huvittavat ja niistä saa hyviä kahvipöytäkeskusteluja niin etänä kuin toimistojen kahvipöytiin palatessa. Tietoturvaan liittyvät sattumukset kuitenkaan eivät lukeudu niihin, joita mielellään joutuisi muistelemaan ja kertaamaan myöhemmin.

    Tietoturvauhat yleisellä tasolla eivät ole puolessa vuodessa muuttuneet miksikään. Etätyöt ovat kuitenkin luoneet yritysten ja yksilöiden tietoturvaan uudenlaisia ongelmakohtia. 

    Monille meistä etätyöt ovat jo pidempään olleet osa normaalia arkea. Pienellä otannalla tekemämme kyselyn mukaan kuitenkin selvisi, että jopa neljäsosa ihmisistä tekee nyt ensimmäistä kertaa elämässään etätöitä. Näin ollen ei voida pitää ilmiselvänä, että ihmiset tietävät etätyön normikäytännöistä. Laajemmalti sovellettuna ei voida olettaa, että etätyö on aina tietoturvallista – heilläkään, jotka ovat jo tottuneet tekemään etätöitä.

    Kaikki lähtee siitä, millä laitteilla etätöitä tehdään. Kotikone ei vastaa monessakaan suhteessa työkonetta, niin ominaisuuksiltaan kuin ohjelmiltaan. Tämä koskee myös tietoturvaa, jonka pitäisi olla kunnossa työnantajan puolesta. Niin myös etätöissä, vaikka työntekijä ei olisikaan toimistolla. 

    Työkoneen käyttö voi hyvinkin vaatia kirjautumista, identiteetin vahvistamista ja kaksivaiheista tunnistautumista. Käytön aikana puolestaan taustalla voi olla koko ajan VPN-yhteys ja omat tietoturvaohjelmansa. Tietokoneella tehtävä työ ja data ovat siis lähtökohtaisesti vahvasti suojattuja. Onko näin kotikoneella? Tietoturva voi olla ajan tasalla mutta mihin tieto kulkeutuu koneelta. Teetkö paikallisia tai pilvivarmuuskopioita – miten varmistat niiden tietoturvan? Lähtökohta on, että työkone on työkone ja kotikone on kotikone eikä sotketa niitä keskenään.

    Tutustu tietoturvapakettiin Microsoft-sovelluksia käyttäville yrityksille banner

    Valveutuneitakin reaktioita etätyöhön on kuitenkin havaittavissa esimerkiksi juuri VPN-luvuissa. VPN-palveluiden myynti nousi koronapandemian ensimmäisten viikkojen aikana kaksinkertaiseksi ja myös F-Securen asiakkaissa VPN-käyttö jopa nelinkertaistui samalla aikajaksolla. Tällaista kehitystä voi sanoa jo hyvinkin positiiviseksi.

    Tiedätkö mitä kaikkea jaat muille etätöissä?

    Toinen julkisessakin keskustelussa esiin noussut etätyön tietoturva-asia on käytettävät viestimet. Zoomin tietoturvaongelmat ovat olleet paljon otsikoissa, osittain syystäkin, mutta usein työasioista viestimiseen käytetään myös Whatsappia, mikä ei välttämättä ole hyvä asia.

    Whatsapp on Facebookin omistama palvelu. Perehtymällä palvelun EULA:an (loppukäyttäjän lisenssisopimus) voi huomata, että palvelusta kerättävää dataa voidaan käyttää miten heitä huvittaa.

    Monet toki osaavat jo ollakin skeptisiä ilmaisten palveluiden käytön suhteen mutta sitä moni ei tule välttämättä ajatelleeksi, mitä kaikkea oikeasti jakaa silloin, kun käyttää vaikkapa Teamsin näytönjakoa esitystä jakaakseen.

    Virtuaalipalavereihin kannustetaan jo jopa ministeritasolla. Ensimmäiseksi tulee miettiä sitä, että käytetäänkö kameraa. Henkilökohtaisesti pidän siitä, että niitä käytetään niin voi nähdä myös työkavereitaan. Mutta mitä muuta sinä näytät kameran kautta? Entä näyttöä jakaessa? Silloin monesti vilahtelee ihmisten sähköposteja, aukinaisia exceleitä ja tekstitiedostoja, pikaviestimien ilmoituksia tai vaikkapa selaimen kirjanmerkkejä tai selaushistoriaa selaimelta jotain näyttäessä. Kuinka moni tulee oikeasti näitä asioita ajatelleeksi ja tulee tahtomattaan paljastaneeksi jakaneensa salassapidettäviä asioita tai vaihtoehtoisesti jotain noloa omasta selaushistoriastaan? Tähän asiaan soisi useampien kiinnittävän huomiota etätöissä.

    Kotini on linnani – mutta onko se tietoturvallinen?

    Toimistoilla ja toimitiloissa työntekijät käyttävät yhteistä verkkoa, joka on kaikille sen käyttäjille ja sen kautta jaettavalle tiedolle yhtä turvallinen. Etätöissä kotona tilanne kuitenkin muuttuu ja verkot eriarvoistuvat. Ensimmäisenä monille näkyy kaistan riittävyys, mitä syövät jo mahdollisesti käytettävät VPN:t sekä etäpalavereiden aikana päällä olevat kamerat. Ongelmat eivät kuitenkaan lopu siihen.

    Etätöissä kotona ollaan kuitenkin nimenomaan kotona, ja monilla meistä kotona on myös muita ihmisiä. Jo ihan ‘perushygienian’ puolesta olisi hyvä, etteivät muut kotona olevat joudu kuuntelemaan toistensa työasioita mutta sekin on jo oma tietoturvakysymyksensä vieraskoreuden lisäksi. Työasiat ovat kuitenkin nimenomaan työasioita ja harvemmissa tapauksissa ne kuitenkaan ovat kaikkien tai useampien saman katon alla asustavien asioita.

    Optimitilannehan olisikin, että työkoneessa kaikki on tietoturvan kannalta kunnossa ja käyttäjä tietoinen siitä, mitä kaikkea verkkoon – ja lähiympäristöönsä jakaa. Viimeisenä lenkkinä etätyön tietoturvassa on kotiverkon yhteys ulospäin. Vaikka kone olisikin tietoturvallinen, niin onko oma verkkosi turvallinen? Kotona olevat modeemit kannattaa päivittää ja viimeistään nyt pitäisi myös vaihtaa modeemin oletussalasana johonkin tietoturvallisempaan, oli sitten kyseessä uudempi tai vanhempi modeemi. Näin kotonakin tehtävä työ on vähän tietoturvallisempaa, kaiken muun kotoa lähtevän tietoliikenteen ohella.

    Korona-haku ei ole välttämättä turvallinen haku

    Etätyöhön ajamisen ja sairastumisriskin lisäksi koronapandemialla on muita sivuvaikutuksia. Tietoa koronapandemiasta löytyy kyllä niin valtamediasta kuin netin syövereistä enemmän tai vähemmän eikä kaikkea toki pidä purematta niellä. Tietoähkyllä on kuitenkin omat haittapuolensa.

    Tammikuun alusta lähtien maailmalla on luotu yhteensä yli 16 000 korona-aiheista verkko-domainia. Niistä lähes 20 prosenttia on epäilyttäviä tai haitallisia. Google-haulla ‘Korona’ voi siis altistaa itsensä tietoturvauhille eikä näin ollen ole välttämättä maailman fiksuin haku tällä hetkellä.

    Tämä on hyvä muistaa, koska tutkimuksen mukaan, jopa 23 prosenttia ihmisistä klikkaavat kaikkia sähköpostiin tulevia linkkejä. Tämä siitäkin huolimatta, että linkkien klikkauksilla ei ole aina hyviä seurauksia.

     

    Mikäli yrityksesi tietoturva ja etätyölaitteet tarvitsevat freesausta, Sisäistyspalvelumme voi auttaa. 

    Jaa kirjoitus eteenpäin: