Blogi
Written by
Telia Inmics-Nebula Anttu Pekkarinen
Anttu Pekkarinen
Security Architect

Moderni työ vaatii huippuluokan käytettävyyttä ja tietoturvaa

Moderni työ vaatii huippuluokan käytettävyyttä ja tietoturvaa

 

Modernissa työympäristössä töiden on sujuttava tehokkaasti ajasta, paikasta, laitteesta ja jopa verkosta riippumatta. Väitän, että modernin työn suojaaminen on ajankohtaisempaa ja tärkeämpää kuin koskaan, sillä palvelut ja käytettävät sovellukset ovat siirtynyt pitkälti pilveen eikä niihin pääsyä ole enää rajattu vain omaan verkkoon. Perinteiset IT-ympäristöt väistyvät vauhdilla pilvitoimistojen tieltä.  

Liikkuva työ asettaa työvälineille tietoturvankin osalta uusia vaatimuksia. Modernissa työympäristössä käyttäjät voivat usein valita itselleen sopivat työkalut. Tämä kasvattaa laitekirjoa ja tekee niiden hallinnasta entistä haasteellisempaa. Pilvipalveluiden suojaaminen vaatii myös uudenlaista lähestymistapaa. Palomuurit eivät ole enää ratkaisu palveluiden sijaitessa yrityksen oman verkon ulkopuolella. Pilvitoimiston avain on usein käyttäjän identiteetti. Näin ollen pilvitoimiston suojaamisessa keskiöön nousevat pääsynhallinta sekä kyvykkyys suojata käyttäjän digitaalista identiteettiä, laitteita ja itse tietoa yhä tehokkaammin. Modernissa ympäristössä ensiluokkainen käytettävyys ja korkeatasoinen tietoturva kulkevat käsi kädessä. Työn tuottavuus paranee ja käyttäjien tyytyväisyys lisääntyy.  

Ihanteellisessa maailmassa kirjautuminen laitteisiin ja palveluihin on käyttäjälle helppoa ja vaivatonta. Käyttäjä pääsee laitteeseensa kasvojentunnistuksen sekä PIN-koodin avulla, ja palveluihin edelleen kertakirjautumisella. Useita käyttäjätunnuksia ei tarvita, koska samaa identiteettiä hyödynnetään kaikkiin liiketoimintasovelluksiin kirjauduttaessa. Taustalla tarkistetaan myös yhteyksien turvallisuus, laite sekä sen terveydentila. Tämä helpottaa käyttäjän arkea ja lisää työn tehokkuutta. Kukaan ei halua tuhlata aikaa salasanojen muisteluun. 


Yritykset altistuvat tietomurroille 

Pilvitoimistossa tietoa tallennetaan niin pilvipalveluihin kuin loppukäyttäjien laitteisiin sekä siirretään jatkuvasti myös julkisen verkon ylitse. Ahkerassa käytössä oleviin kuluttajapilviin sisältyy myös riskejä, sillä tiedot voivat päätyä suojaamattomiin ympäristöihin. Laitteiden ja itse tiedon suojaamisen vaatimukset kasvavat pilvipalveluita käytettäessä.

Pilvipalveluiden ja laitteiden suojaustasoissa on usein paljon parannettavaa. Puutteellinen tietoturva altistaa yritykset tietomurroille ja tietovuodoille. Yrityksissä ei useinkaan tiedetä miten toimia tietomurron tapahtuessa, eli reagointivalmiudet ovat varsinkin pienemmissä ja keskisuurissa yrityksissä useimmiten heikot. Tietomurrot jäävät usein havaitsematta tai ne havaitaan liian myöhään.

Useimmiten tietomurrot tapahtuvat varastamalla käyttäjän identiteetti. Office 365 tietomurrot ovat todella yleisiä ja käyttäjiä huijataan yhä ovelammilla keinoilla. Suuri osa tietomurroista alkaa sähköpostista. Rikolliset murtautuvat myös suoraan palveluihin sekä laitteisiin hyödyntämällä niiden heikkouksia. Tietomurtotekniikat ovat myös kehittyneet ja niiden havaitseminen on perinteisillä suojausmekanismeilla yhä vaikeampaa. Nykyaikaisilla suojaustavoilla riskejä on kuitenkin mahdollista pienentää huomattavasti.

Liikkuvan työn lisääntymisen myötä myös mobiililaitteiden käyttö ja niihin liittyvät riskit ovat kasvaneet. Haitallisia mobiilisovelluksia on yhä enemmän ja hakkeri voi saada esimerkiksi väärennetyllä QR-koodilla työntekijöiden mobiililaitteet haltuunsa. Lisäksi tietojen kalastelua kohdistetaan entistä enemmän mobiililaitteisiin. Pieneltä näytöltä huijaukseen lankeaa helpommin.

Olen havainnut, että mobiililaitteiden suojaus on monissa yrityksissä unohdettu käytännössä lähes täysin. Tämä on mielestäni hämmentävää, sillä älypuhelimilla ja tableteilla pääsee tietokoneiden lailla käsiksi yrityksen sähköpostiin, pikaviestintäsovelluksiin ja mahdollisesti SharePoint-hakemistoihin. Nämä pitävät sisällään luottamuksellista tietoa ja jopa liikesalaisuuksia. Tyypillisesti läppärit on kyllä suojattu, mutta mobiililaitteet eivät ole. Tietoturvayhtiö Check Pointin mukaan Suomessa noin neljäsosa kaikista kyberuhkista kohdistuu mobiililaitteisiin.


Onko kyberturvasi lähelläkään 2020-luvun vaatimuksia?  

Modernin työympäristön tehokas suojaaminen lähtee siitä ajattelusta, että hakkeri olisi jo päässyt verkkoon. Yksi toimivimmista modernin työympäristön suojausstrategioita on Zero trust -malli, jossa käyttäjän identiteetti, laite ja yhteyksien turvallisuus varmistetaan aina ennen pääsyn sallimista palveluihin. Tietoon pääsevät käsiksi vain ne kenellä siihen on oikeus, ja identiteettivarkauksiin voidaan reagoida automaattisesti jopa reaaliajassa tunnistamalla normaalista poikkeava käyttäytyminen. Pääsynhallinnassa tulisi hyödyntää myös käyttäjän laitetta ja sen terveydentilaa.

Palveluiden sekä laitteiden suojausmekanismien on oltava sillä tasolla, että sovellusten käyttö on turvallista minkä tahansa verkkoyhteyden yli. Keskitetyn hallinnan avulla työasemat ja mobiililaitteet voidaan pitää ajan tasalla myös tietoturvapäivitysten osalta, jolloin laitteiden tietoturva-aukkojen määrä saadaan minimoitua. Lisäksi se mahdollistaa myös tietoturva-asetuksien hallinnan sekä tietoturvaohjelmistojen jakelun laitteisiin, joiden avulla laitteet saadaan suojattua yleisimmiltä uhkilta.  

Tiedot tulee myös suojata salauksella niin palveluissa, tiedonsiirtokanavissa kuin myös päätelaitteissa. Salatuilla tiedonsiirtokanavilla ja sähköposteilla estetään tietojen vuotaminen niitä siirrettäessä palveluiden ja päätelaitteiden välillä verkon, tyypillisesti Internet-yhteyden, ylitse. Arkaluontoiset tiedot on hyvä myös suojata niin, että suojaus pysyy tietojen mukana riippumatta siitä mihin ne tallennetaan. Tietojen varmistuksesta on myös hyvä huolehtia, etteivät tiedot pääse katoamaan odottamattomasti.

Pilvitoimisto on mahdollisuus, kunhan tietoturva on päivitetty 2020-luvulle. Seuraavassa blogissani kerron konkreettisia vinkkejä, miten yritykset voivat päivittää tietoturvan vastaamaan modernin työn, käyttäjien ja liiketoiminnan vaatimuksia. 

Haluatko kuulla lisää moderneista tietoturvaratkaisuista? - Ota meihin yhteyttä.

Written by
Telia Inmics-Nebula Anttu Pekkarinen
Anttu Pekkarinen
Security Architect