Vesa Rinne: Monen työnteon uusi normaali on etätyö – Miten työskentelet tietoturvallisesti?

Lehtori Vesa Rinne kirjoitti Tuote- ja palveluvirittämö -hankkeeseen liittyen blogin tietoturvallisuudesta etätyötä tekeville. 

Covid-19 on muuttanut monien kohdalla työnteon paikkaa. Useimmilla tämä uusi työnteon paikka on kotona tai loma-asunnossa. Tässä kirjoituksessa herättelen miettimään ja tarvittaessa päivittämään etätyötapojamme tietoturvallisemmiksi.

Tässä kirjoituksessa käsittelen aihetta seuraavan neljän eri osakokonaisuuden osalta:

1. Ihmiset
2. Tekniset laitteet ja sovellukset
3. Ohjeet
4. Lait ja asetukset

Ihmiset

Ensimmäinen huomioitava kohde on tietoturvan viimeinen palomuuri, ihminen. Yleensä ajatellaan, että osaamme huolehtia tietoturvasta ja organisaatiossa käytössä olevat tekniset suojaukset huolehtivat lopusta. Parhaimmillaan näin asiat ovatkin.

Erilaisia ohjeistuksia ja koulutuksia eri sovellusten käyttöön on runsaasti, mutta näissä ei läheskään aina huomioida työskentelyä etätyöpisteissä. Olisikin tärkeää miettiä ja ohjeistaa millä laitteella ja millaisilla yhteyksillä etätöitä tehdään. Lisäksi olisi tärkeää miettiä, millaisessa työpisteessä etätöitä tehdään.

Mielestäni yksi perusasia etätyön tekemisessä onkin asiaan kuuluvan ja rauhallisen työpisteen löytäminen. Tällä varmistetaan se, etteivät muut perheenjäsenet tahtomattaankaan joudu olemaan kuulolla työasioissa. Aina se ei toki tilaratkaisullisesti ole mahdollista, mutta silloin olisi hyvä keskustella asiasta yhdessä perheenjäsenten ja työnantajan edustajan kanssa toimivamman ratkaisun löytämiseksi.

Tekniset laitteet ja sovellukset

Toinen huomioitava asiakokonaisuus liittyy teknisiin laitteisiin ja välineisiin. Meillä on nykyään monenlaisia laitteita, joilla voimme työhön liittyviä asioita hoitaa, mutta kuinka paljon meillä tulee mietittyä näiden laitteiden turvallisuutta? Toivottavasti päivä päivältä enemmän.

Työnteko etätyöpisteessä pitäisi lähtökohtaisesti tapahtua työantajan laitteilla, joiden teknisestä tietoturvasta työantaja huolehtii. Näihin laitteisiin, on sitten kyse tietokone tai mobiililaite, on työnantajalla mahdollisuus asentaa tietoturva- ja etähallintasovellukset sekä VPN-yhteydet, joiden avulla on mahdollisuus luoda vahvempi suojaus kuin mikä käyttäjien henkilökohtaisissa laitteissa yleensä on.

Etätyössä olisi hyvä pystyä hyödyntämään työnantajan tarjoamaa verkkoyhteyttä, jolloin työnteko keskittyy tämän verkon kautta toteutuvaksi. Tämä onnistuu helposti hyvin toimivalla työantajan puhelimesta jaettavalla yhteydellä tai laitteeseen erikseen asennettavalla SIM-kortilla. Mikäli kuitenkin joudut etätyössä käyttämään ns. kotiverkkoa, on olennaista muistaa päivittää modeemi säännöllisesti, vaihtaa modeemin oletussalasana turvallisemmaksi sekä huomioida muidenkin samassa verkossa olevien laitteiden tietoturvan laatu.

Etätyön tekeminen on myös lisännyt tarvetta laajentaa sähköistä viestintää sähköpostista videoneuvottelusovelluksiin ja erilaisiin pikaviestintäsovelluksiin. Jo sähköpostin osalta on moni voinut tuudittautua turvallisuuden tunteeseen, mutta yritysturvallisuudesta huolehtiaksemme olisi yrityksen työntekijöiden ja asiakkaiden välinen viestintä yrityssalaisuuksista viestittäessä hyvä hoitaa turvapostipalvelua käyttäen. Pikaviestintäpalveluiden osalta on myös hyvä miettiä niiden tarjoama tietoturva ja tutustua erityisesti ilmaisten viestintäsovellusten loppukäyttäjän lisenssisopimukseenkin.

Verkkokokoukset ovat myös sellaisia, joiden käyttötarve on etätyön teon aikana lisääntynyt. Näiden tietoturvallisen käytön osalta olisi hyvä huomioida ainakin kolme eri asiaa:

1. Käytettävän palvelun turvallisuus ylipäätään
2. Kamerakuvan ja mikrofoniyhteyden tarjoama sisältö
3. Sovellusten ja työpöydän jakamisesta mahdollisesti seuraavat ”väärien” sovellusikkunoiden tarjoamat näkymät.

Tärkeää on myös varmistaa, että verkossa oleva viestintäkumppanimme on juuri se, kuka hän väittää olevansa. Mikäli saat tutulta yhteyshenkilöltä viestin, joka on normaalista viestinnästä poikkeava, älä avaa tai vastaa siihen ennen kuin olet varmistanut lähettäjätiedon oikeellisuuden. Sama epäilys on hyvä muistaa puhelinkeskusteluissakin erityisesti tuntemattomista numeroista tulevien puheluiden osalta.

Laitteisiin ja palveluihin liittyen ei pidä myöskään unohtaa tunnistautumisen merkitystä. Yleensä työkoneille vaaditaan erillinen kirjautuminen, mutta kuinka sitten varmistetaan turvallinen kirjautuminen, jos joskus on tarvetta kirjautua palveluihin jollain muulla laitteella? Tähän suositeltava ja varsin yksinkertainen ratkaisu on kaksivaiheinen tunnistautuminen. Ellei kaksivaiheista tunnistautumista ole käytössä, kasvaa hyvän salasanan merkitys, eikä luonnollisestikaan tule käyttää samaa salasanaa eri palveluissa.

Ohjeet

Tietoturvallisuutta etätyössä lisäävät myös selkeät ohjeet. Nämä voivat liittyä laitteiden ja sovellusten käyttöön ja ylläpitoon tai esimerkiksi tulosteiden säilyttämiseen ja hävittämiseen. Varsinaisissa työnantajan tarjoamissa työpisteissä on yleensä selkeästi määritetty toimintatapa ei arkistoitavien tulosteiden hävittämiseen ja muiden tulosteiden säilyttämiseen lukittavissa kaapeissa, mutta kuinka näistä asioista huolehditaan ja ohjeistetaan etätyöpisteiden osalta?

Lait ja asetukset

Tämän kirjoituksen alkuun kirjasin yhdeksi tietoturvallisuuden osakokonaisuudeksi lait ja asetukset. Lakien ja asetusten avulla ja niitä kehittämällä pyritään omalta osaltaan lisäämään tietoturvaa myös etätyöskentelyn osalta. Lait ja asetukset eivät kuitenkaan, kuten ei mikään yksittäinen laite tai sovelluskaan, takaa täyttä turvallisuutta vaan viime kädessä me ihmisinä oikein toimiessamme olemme tietoturvan viimeiset ja parhaat palomuurit.

Loppuun vielä lukusuositus etätyötä tekeville. Tutustu Kyberturvallisuuskeskuksen etätyön tietoturvallisuusohjeisiin.