Tulostusversio

2/2009

Tietoturva: Liikkuva tieto turvaan

Teksti: Kari Keskitalo

Liian usein kuvitellaan, että etätyöhön sopivien päätelaitteiden hankinta ja yhteyksien avaaminen riittää. Liikkuvan työn tietoturvallisuus vaatii kuitenkin monen asian huomioimista.

Varsinkin tietotyöläisten toimistotyö on nykyisin erittäin hektistä ja nopeatempoista. Tekeminen pyörii sähköpostien, teksti- ja pikaviestien sekä sähköisten kalenterien ympärillä vuorokauden koko valveillaoloajan.

Tämä on mahdollista, kun käytettävissä on nykyisin pelit ja vehkeet, joilla on mahdollista jatkuvasti olla yhteydessä organisaation järjestelmiin sijaintipaikasta tai aikavyöhykkeestä riippumatta. Työn tekemisen vieminen perinteisen konttoriympäristön ulkopuolelle on tuonut merkittäviä lisähaasteita järjestelmien tietoturvallisuudelle.

Perinteisessä työpaikassa pöydillä olevien kiinteiden työasemien suojaaminen perustuu hyvin pitkälle tilojen lukitsemiseen. Liikkuvassa työssä, jossa päätelaitteilla on suora yhteys organisaatioiden tietojärjestelmiin, tiedon suojaamisessa tulee ottaa huomioon kolme keskeistä osakokonaisuutta. Käyttäjät on koulutettava ja motivoitava turvallisiin työskentelytapoihin. Suojattava tieto on tunnistettava ja tarvittaessa salattava. Kannettavat tietokoneet ja älypuhelimet on vakioitava ja niiden tietoturvapäivityksistä on huolehdittava myös silloin, kun ne eivät ole lähiverkossa.

Näillä toimilla voidaan turvallisin mielin sallia organisaation tietojen käsittely rajoittamatta sitä maantieteellisesti tai ajallisesti.

Käyttäjä - heikoin lenkki tässäkin

Eräässä auditoinnissa organisaatiosta löytyi yhteiskäyttöinen kannettava tietokone, joka oli tarkoitettu keikkakäyttöön. Tietohallinto oli rakentanut etäkäyttöyhteydet asiallisesti, ja suojauksiin oli kiinnitetty riittävästi huomiota. Käyttäjät vain olivat itsenäisesti nostaneet käytettävyyden huipputasolle, sillä koneen laukusta löytyivät kaikki tarvittavat käyttäjätunnukset salasanoineen ja PIN-koodeineen. Näin koneen löytäjällä olikin yllättäen täydellinen yhteys kyseisen organisaation järjestelmiin. Käyttäjät mursivat tietämättään toiminnallaan kaikki suojaukset.

Tämäkin tapaus osoittaa, että käyttäjien koulutukseen on panostettava. Heidät on perehdytettävä uusien etätyölaitteiden käyttöön ja niiden turvaominaisuuksiin. Laitteet sisältävät paljon ominaisuuksia, ja etäyhteyden ottaminen vaatii usein lukuisia erilaisia toimenpiteitä. Ei pidä olettaa, että kaikki käyttäjät omaavat tarvitsemansa tiedon ilman perehdytystä.

Henkilöstö on motivoitava käyttämään turvaohjelmistoja. Käyttäjille on erikseen korostettava, että heille käyttöön annetuilla laitteilla on suora pääsy organisaation sisäisiin tietojärjestelmiin, ja siksi yhteyksien ja käytön suojaamiseen on kiinnitettävä erityistä huomiota. Etäyhteyksien käyttö edellyttää usein ylimääräisten tunnusten, salasanojen ja PIN-koodien muistamista, mutta ne ovat välttämättömiä turvallisten yhteyksien luomiseksi. Tätä on syytä koulutuksessa korostaa.

Ohjeistuksen on oltava asianmukaista. Etätyön tekeminen voi monella olla hyvin satunnaista, ja selkeät ja kattavat ohjeet helpottavat esimerkiksi etäyhteyden ottamista ulkomailla. Ohjeiden laadintaan saa mukavasti apua esimerkiksi valtiovarainministeriön VAHTI-tietoturvasivustolta. Siellä on neuvoja muun muassa älypuhelimen käyttöön.

Liikkuvalle työntekijälle on hyvä tarjota käytön tukea. Usein käyttäjä on ongelmatilanteessa haasteineen yksin ja tuen saaminen on ensiarvoisen tärkeää. Etäyhteyden onnistuminen voi olla monesti pienestä asiasta kiinni (esimerkiksi operaattorin vaihtaminen voi auttaa). Asianmukainen tuki osaa opastaa asiassa pienellä vaivalla.

Tukea tarvitaan myös päätelaitteiden katoamisen varalta: Tuki voi tarvittaessa sulkea liittymät ja varmenteet sekä huolehtia päätelaitteiden etätyhjennyksestä ja varmistuksien palautuksista.

Tieto ja liikenne suojaan

Ennen etäkäytön aloittamista organisaation pitäisi selvittää omistamansa tiedon suojaustarve. Siinä tulee huomioida tietoaineiston ja tietojärjestelmien luokittelu, lainsäädäntö ja järjestelmien omistajien kannanotot. Kun järjestelmissä käsitellään henkilötietoja, liikesalaisuuksia tai muita luottamuksellisia tietoja, tiedot on salattava. Kaikkea tietoa ei ehkä pitäisi edes käyttää etäällä.

Etätyötä tehdessä on järkevää pitää fyysisesti mukana vain välttämätön tieto. Tämä on kuitenkin haasteellista, koska työpaikan ulkopuolella työskennellessä puuttuu usein juuri se yksi tärkeä tiedosto.

Tiedot suojataan niiden siirtämisen aikana salaamalla tietoliikenne. Etäyhteydet kulkevat usein monien solmupisteiden ja lukuisten eri toimijoiden välityksellä, eikä ole mielekästä siirtää organisaation tietoja ilman asianmukaista salausta. Käytännössä kaikissa liikkuvan työn ratkaisuissa on salausominaisuudet, joista saa lisätietoa VAHTIn tietoturvasivustolta.

Ennen kuin organisaation järjestelmiin on mahdollista päästä, on käyttäjän tunnistauduttava. Mikäli mahdollista, kannattaa käyttää ns. vahvaa tunnistautumista. Pelkkä käyttäjätunnus-salasanayhdistelmä ei ole riittävä suojaus järjestelmien etäkäyttöön. Valitettavasti mobiilikäytössä se on kuitenkin usein ainoa vaihtoehto.

Myös päätelaitteiden eli kannettavien tietokoneiden ja älypuhelinten sisällä olevat tiedot on salattava. Kevyimmillään salaus tehdään salaamalla pelkästään puhelimen saapuneet-kansio ja täydellisimmillään salaamalla kannettavan koko kiintolevy. Ideana on, että laitteen sisältämät tiedot eivät joudu teille tietymättömille, vaikka itse laite joutuisikin. Päätelaitteiden salaaminen on ehdottoman suositeltavaa, vaikka salauksen käyttö aina hidastaakin jonkin verran laitteiden käyttöä. Lisäksi tulee usein yksi muistettava salasana lisää.

Laitteet kuntoon

Päätelaitteiden suojaamiseen on muutenkin kiinnitettävä erityistä huomiota. Tarvittaessa on estettävä laitteilta saatavat yhteydet organisaatioiden tietojärjestelmiin. Tietoturvapäivitysten on oltava ajan tasalla, etätyhjennyksen oltava mahdollista ja varmuuskopioinnista huolehdittava. Nämä toimet on suunniteltava huolellisesti ja testattava käytännössä ennen palvelun käyttöönottoa.

Jos mahdollista, on syytä hyväksyä etäkäyttöön vain organisaation omat päätelaitteet. Niiden vakiointi ja asetusten lukitus siten, ettei käyttäjä pääse niitä edes vahingossa muuttamaan, varmistaa turvalliset yhteydet. Ainoastaan laitteet, joiden tietoturvallisuus on tällä tavalla hoidettu, päästetään etäyhteyden kautta organisaation sisäverkkoon.

Perussääntönä voidaan tietenkin pitää lähtökohtaa, että organisaation laitteita saa käyttää vain oma henkilökunta. Niihin ei ole luvallista asentaa internetistä ohjelmistojen lisäosia, päivityksiä tai vaikkapa pelejä.

Käyttäjille on myös muistettava korostaa, että laitteiden suojaaminen viimeiseen saakka ei ole järkevää. Jos varas puukolla uhaten yrittää anastaa muutaman sadan euron tietokoneen, on se hänelle parempi antaa. Eikä kannata leikkiä sankaria: Eräs suurikokoinen virkamies löi kannettavan laukulla huomattavasti pienempää taskuvarasta niin kauan, että varas katsoi parhaaksi jättää koneen haltijalleen. Onneksi kannettava jäi toimintakuntoon rajusta käytöstä huolimatta.

Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTIn nettisivuilla on ohjeita turvalliseen etätyöhön >>

-----

[KIRJOITTAJA]

Kari Keskitalo on Valtiokonttorin tietoturvapäällikkö.

Lue myös

Tietoturva: Lex Nokia nostaa tietoturvan tapetille »
Tietoturva: Auditointikin on tietoturvakoulutusta »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.