Tulostusversio

2/2013

Mobiili tietoturva vaatii säännöt

Teksti: Antti J. Lagus

Omien laitteiden tuominen töihin pakottaa työpaikat tarkentamaan kännyköiden ja tablettien käytön pelisääntöjä.

Omien laitteiden tuominen töihin on ilmiö, josta meillä on pitkään ollut vain vähän käytännön toteutuksia suurissa organisaatioissa. Enemmän on nähty sitä, ettei omia laitteita sallita. Nyt sen sijaan kirjainlyhenteestä BYOD (bring your own device eli tuo oma laitteesi) on tullut iskusana suurissa työpaikoissa. Työntekijät haluavat käyttää töissä hyviksi havaitsemiaan matkapuhelimia ja tabletteja, joita markkinoilla on laaja kirjo erilaisilla käyttöjärjestelmillä varustettuina.

Harmaan alueen käytännöt

Vaikkei ilmiön kehittymisestä mitään tilastotietoa olekaan, tuntuu, että pienemmissä yrityksissä omien laitteiden käyttö on ollut yleistä aina: Sanotaan, että käy ostamassa itsellesi puhelin – toss’on rahat. Sen sijaan monessa suuressa organisaatiossa työntekijöiden toiveita saada valita puhelimensa itse on rajattu siten, että puhelinten hankinta vakioidaan tietynmallisiin laitteisiin.

Viestintäviraston CERT-FI:n tietoturva-asiantuntijan Sauli Pahlmanin mukaan tietoturvapolitiikassa saattaa kuitenkin olla eräänlaisia harmaita sävyjä. Tämä johtuu siitä, että työpuhelinten hankinnan rajaamisesta huolimatta yhteyttä sähköpostiin omilla laitteilla ei ole erikseen kielletty. Näin se on siis tavallaan sallittu.

”Kahden viime vuoden aikana alalla on tapahtunut paljon muutoksia. Matkapuhelimia pyritään hallitsemaan etähallinnan keinoin. Tämä tosin koskee useimmiten suuria organisaatioita. Pk-yrityksissä käytäntö on hajanaisempaa, eikä niissä ole pakotettuja salauksia”, Pahlman sanoo.

Yrityskäytössä oleviin mobiililaitteisiin erikoistuneen Smartphone Solutions Oy:n toimitusjohtaja Veli Holm korostaa hallintaohjelman käyttöä.

”Kun omia laitteita käytetään, niissä pitää ottaa käyttöön organisaatioon hallintaohjelma. Ennen laitteen kytkemistä organisaation tietojärjestelmään käyttäjän on hyväksyttävä hallintaohjelman tarjoama ja organisaation määrittämä lisenssisopimus, jossa tarkemmin täsmennetään vastuut ja velvoitteet”, Holm sanoo.

Lisenssisopimus määrittää vastuut

Pahlman näkee, että tietoisuus mobiililaitteiden tietoturvariskeistä on jo kohtuullisen hyvällä tasolla. Mobiileista uhista on ollut niin paljon puhetta.

Veli Holm ei sen sijaan anna yritysten mobiilitietoturvalle hyvää yleisarvosanaa. Se johtuu hänen mukaansa osin tietämättömyydestä ja osin huonosta resursoinnista.

”Mobiililaitteiden hankinnasta päättävät monessa yrityksessä tietohallintoihmiset, jotka ovat ylityöllistettyjä ja aliresursoituja. Yrityksillä ei myöskään välttämättä ole mobiilisuuteen liittyviä linjauksia”, Holm sanoo.

Holmin mukaan esimerkiksi mobiilistrategia on tapa linjata laitteiden käyttösäännöt talon sisällä ja ulkomailla. Strategiassa pitäisi ottaa kantaa siihen, miten laitteita hallitaan, millaisia sovelluksia niissä saa käyttää, ja kuka päättää niiden käytöstä.

Ihminen on heikoin lenkki

TeliaSoneralla on nähty, että mobiililaitteiden kirjo kasvaa koko ajan. Yrityksessä on käytössä kaikkien kolmen suuren käyttöjärjestelmäperheen – Androidin, Applen ja Windows Phonen – mukaisia laitteita. TeliaSoneran tietoturva-asiantuntija Osmo Soinio sanoo, että laitteissa käytetään aina perustietoturva-asetuksia, kuten suojakoodeja ja laitteen tietojen salausta.

Teleoperaattori voi yrittää parantaa asiakkaiden tietoutta riskeistä, mutta kuten Soinio huomauttaa, ihminen on heikoin lenkki. Käyttäjä saattaa ladata tietämättään hyödylliseksi luulemansa sovelluksen myötä sinne istutetun ohjelman, joka esimerkiksi lähettää kalliita tekstiviestejä tai kopioi koko laitteen sisällön ohjelmantekijälle.

CERT-FI:n Sauli Pahlman huomauttaa, että eri käyttöjärjestelmien uudet versiot ovat varsin turvallisia, kunhan sovellukset muistaa ladata ns. valtuutetusta kaupasta.

Kännykkä on tablettia suurempi riski

Kännykkää Pahlman pitää vielä tablettiakin suurempana riskinä, sillä matkapuhelin kulkee sinnekin, minne tablettia ei kuljeteta: ravintolaan, matkoille ja muualle, minne puhelin saattaa unohtua. Jos kännykässä ei ole käytössä suojausta, sillä pääsee helposti sähköpostiin. Lisäksi unohtuneessa kännykässä ovat vaarassa tekstiviestit, kuvat ja muut tiedostot.

”On olemassa myös sovelluksia, jotka nauhoittavat matkapuhelimella puhuttavat puhelut ja tallettavat nauhoitteet internetiin sovelluksen asentajan käytettäviksi. Jos hävinnyt puhelin palautuu esimerkiksi yrityksen vastaanottoon, siihen on syytä suhtautua varauksella ja varmuuden vuoksi tyhjentää puhelin ennen käyttöönottoa”, Pahlman sanoo.

Hyvä keino estää puhelimen luvaton käyttö on käyttää puhelimessa suojakoodia. Pahlman neuvoo, että suojakoodin pitää olla riittävän monimutkainen ja pitkä, jottei sitä heti arvata. Monessa puhelimessa on myös ominaisuus, joka ylikirjoittaa puhelimen muistin, kun suojakoodi on arvattu väärin liian monta kertaa.

Lue myös

Mobiili tietoturva: Työntekijän muistilista »

Bookmark and Share
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.