Meidän kaikkien on nyt petrattava tietoturvassa. Kotitoimistolla jokainen on oman elämänsä tietoturvajohtaja.
37 prosenttia kaikista EU-alueen työikäisistä alkoi tehdä töitä kotoa pandemian aikana.1 Dustinilla luku nousi 15 prosentista lähes sataan prosenttiin.
Etätyöhön siirtymisessä on myös haasteensa, ja niin IT-infrastruktuuri kuin tietoturvatyö on sopeutettava uuteen tilanteeseen.
– Meillä Dustinilla keskityttiin lisäämään turvallisuuden tietotaitoa. Valtaosa hyökkäyksistä on niin sanottuja social engineering -hyökkäyksiä: ne eivät kohdistu tekniseen infrastruktuuriin, vaan hakkerit yrittävät houkutella työntekijät klikkaamaan linkkiä sähköpostissa ja antamaan salasanansa tai muuta vastaavaa tietoa. Meidän täytyy luoda kulttuuri, jossa kaikki ajattelevat ennen kuin toimivat, kertoo Dennie Karlsson, Dustinin CISO.
Aikaisemmin Dustinilla järjestettiin isoja verkkokursseja kvartaaleittain ja vuosittain. Näin pitkä väli koulutuksissa johti kuitenkin siihen, että asiat tuppasivat unohtumaan. Suuritöisten kurssien sijaan työntekijät osallistuvat nyt muutaman minuutin mittaisille mikro-oppimiskursseille monta kertaa kuussa.
– Niiden avulla voimme pitää asiat tuoreena mielessä ja rakentaa jatkuvuutta, Karlsson sanoo.
Onko koti turvallinen?
Yksi etätyön haasteista on, että on entistä vaikeampi hallita sitä, millaisilla laitteilla työtä tehdään. Ovatko ne yhteydessä yrityksen verkkoon ja dataan? Tehdäänkö töitä yrityksen laitteilla vai omilla laitteilla?
– Yritykset ovat onnistuneet luomaan turvallisen IT-infrastruktuurin konttorille. Mutta kun lähes kaikki tekevät työtä kotoa, jokainen on oman elämänsä tieturvajohtaja. Kenen vastuulla on, että kodin reitittimen tietoturva-aukot on tukittu? pohtii Jens Christian Høy Monrad, tietoturva-asiantuntija Fireeyeltä.
Nykypäivän kodeissa on valtava valikoima erilaisia verkkoon kytkettyjä laitteita. Älylamppujen, kodinkoneiden ja lelujen tietoturvan taso vaihtelee. Jotkut laitteet tallentavat salasanan tekstimuodossa, toiset taas eivät päivity, vaikka turvallisuusaukkoja on löytynyt. Høy Monradin mukaan on kuitenkin epätodennäköistä, että rikollinen etsisi tällaisia haavoittuvuuksia päästäkseen yrityksen omistamalle koneelle.
– On mahdollista, että tällaisia iskuja kohdistetaan yrityksen avainhenkilöihin. On kuitenkin paljon yksinkertaisempaa lähettää kalasteluviestejä ja pyytää käyttäjätietoja.
Turvallisuus lisääntyy, kun töitä tehdään yrityksen omilla koneilla
Yksi etätyön tietoturvahaaste on, että moni käyttää henkilökohtaisia laitteitaan työtehtävien hoitamiseen. Joidenkin mielestä kotikoneella on mukavampi tehdä töitä.
– Olemme esimerkiksi nähneet, kuinka työntekijät lähettävät yrityksen dokumentteja siviilisähköpostiinsa ja avaavat ne kotikoneella. Kun työ on valmis, he lähettävät dokumentit takaisin työkoneelle. Tämä on riski, jos kotikone on saastunut.
Yksi ratkaisu tähän on hallitut pääteohjelmat eli koneet, joita ei voi käyttää mihinkään muuhun kuin yrityksen hyväksymiin tehtäviin. Kun laitteistoa valvotaan jatkuvasti, myös hyökkäykset havaitaan nopeammin.
– Kun näemme reaaliajassa, mitä tapahtuu kaikilla yrityksen laitteilla, voimme mallintunnistuksen avulla havaita poikkeavan toiminnan. Saamme kokonaiskuvan ja näemme, onko yritys hyökkäyksen kohteena. Jos kone häviää tai varastetaan, mikä on yleisempää nyt kun moni tekee töitä toimiston ulkopuolella, voimme pyyhkiä tiedot etänä, jotta ne eivät joudu vääriin käsiin, Karlsson kertoo.
Mieluummin monimutkaista kuin haavoittuvaa
Mitä useampi kirjautuu yrityksen verkkoon ja pilvipalveluihin kotoa, sitä tärkeämpää ja yleisempää on monivaiheinen tunnistautuminen.
– Se on käyttäjille hieman vaivalloisempaa, mutta kaikki kyllä ymmärtävät, että kun sisäänkirjautuminen vie hieman kauemmin esimerkiksi tekstiviestillä tulevan pin-koodin avulla, turvallisuus lisääntyy merkittävästi, Karlsson kertoo.
Hän uskoo, että jatkossa kirjautumisia vaaditaan yhä tiheämmin.
– Jatkossa kenties kirjautuminen vaaditaan aamulla, jonka jälkeen pääsee sisään kaikkiin yrityksen järjestelmiin päivän ajaksi. Koodi vain täytyy kirjata useammin, esimerkiksi aina puolen tunnin välein, hän pohtii.
– Access management on entistä tärkeämpää. Yksinkertaisempiin ja riskittömiin palveluihin riittää jatkossa kenties käyttäjätunnus ja salasana, mutta yrityksen liiketoimintaan suoraan liittyvään tietoon vaaditaan kaksivaiheinen tunnistautuminen, ja sessio on voimassa vain puoli tuntia.
Haluatko tietää, kuinka huolehdit tietoturvasta kokonaisvaltaisesti?
Dennie Karlsson, Dustinin CISO.
Jens Christian Høy Monrad, tietoturva-asiantuntija Fireeyeltä.Teksti: Johan Wallén
Kuva: Glenn Carstens-Peters, Unsplash
Lähde: Eurofound, Living, working and COVID-19First findings – April 2020