Kun työntekijän läppäri on konffattu kestämään vaikka matoiset kotiverkot, konttorilla tarjoutuu yllättävä säästömahdollisuus.
Etä- ja hybridityö yleistyi yhdessä yössä pandemian puhjettua, kohta kolme vuotta sitten. WithSecuren tietoturvajohtaja Erka Koivusen mukaan yhden asian tulisi olla viimeistään nyt selvää joka ikisessä organisaatiossa.
”Työntekijöiden läppärit ja kännykät pitää varustaa niin, että niitä voi käyttää missä vain. Vaikka sitten haittaohjelmia kuhisevassa kotiverkossa”, Koivunen sanoo. Teinien tietokoneet ovat pahimpia matolaatikoita, koska ”pelit ja antivirus vain eivät sovi yhteen”.
Työnantaja ei voi vastata joka ikisen kotiverkon suojaamisesta. Sen sijaan sen kannattaa koventaa päätelaitteet niin, että edes niiden varastamisesta ei koidu tietoturvaongelmaa.
Turva on pakollista
Kaikki lähtee päätelaitteiden keskitetystä hallinnasta.
”Tiettyjen turva-asetusten on oltava pakotetusti päällä, jotta loppukäyttäjä – tai sellaisena esiintyvä murtautuja – ei pysty kytkemään niitä pois”, Koivunen sanoo.
Levyn salauksen pitää olla aktivoituna. Jos laite unohtuu jonnekin tai varastetaan niin, että valtuutettu käyttäjä ei sitä näpelöi, laitteen on mentävä tilaan, jossa kryptausta ei voi sivuuttaa.
”Valmiustila ei riitä, koneen pitää mennä vähintään talviunille [hibernate] tai pois päältä”, Koivunen sanoo.
Palomuuri on konffattava niin, että laite ei saa vastata huhuiluihin.
”Epäluotettavassa verkossa joukkueellinen hakkereita ja botteja yrittää heti avata keskustelua”, Koivunen kuvailee. Tällaiseen keskusteluun ei pidä millään tavalla antautua. Päätelaite sivuuttaa kylmästi lähentelyt ja ottaa itse yhteyttä pilveen, kun ottaa.
Perinteisen virustorjunnan rinnalla tarvitaan Koivusen mukaan EDR- (endpoint detection and response) tai MDM-palvelu (mobile device management), joka havaitsee epäilyttävää toimintaa laajemmin kuin perinteinen viruksentorjuntaratkaisu. Monivaiheinen käyttäjäntunnistus on välttämättömyys.
Monta tapaa toteuttaa
Perinteisessä mallissa koneen koventaa tietohallinto, joka asentaa laitteen alusta asti itse uudestaan, tarvittavilla sovelluksilla ja oikeellisilla konfiguraatioilla.
”Asetukset voi tarvittaessa myös ajaa verkon yli koneeseen, jonka työntekijä on ostanut”, Koivunen sanoo. Tosin näin ei päästä yhtä perusteelliseen lopputulemaan kuin hands-on-mallissa, jossa kaikki BIOS-asetuksista alkaen on tietohallinnon näpeissä.
Jos yrityksessä ei ole omaa tietoturvaosaamista, suojan voi ostaa palveluna. Esimerkiksi WithSecure ja DNA tarjoavat DNA Endpoint Protection -palvelun, joka kattaa kaikkien päätelaitteiden erilaiset tietoturvatarpeet.
Vain paranoidit pärjäävät
Päätelaitteiden lisäksi on syytä huomioida myös järjestelmien soveltuvuus etätyöhön. Niin sanottu zero trust -arkkitehtuuri on tarpeen. Sen mukainen järjestelmä on koko ajan hieman epäluuloisessa moodissa.
”Jokainen sovellus haluaa erikseen varmistaa, että olihan tämä luotettu käyttäjä se, kuka väittää olevansa”, Koivunen kuvailee. Zero trust avaa näkymän luottamusketjun muutoksiin ja disruptioihin. Nykyaikaiset pilvipalvelut ja sovellukset ovat käytännössä zero trustin mukaisia.
Lisäksi myös päätelaitteiden hallinnoinnin on oltava modernia.
”Kun käytössä on Azure Active Directory, ja työasemia sekä kännyköitä hallitaan Microsoft Intune -tyyppisellä MDM-palvelulla, kasvaa kontrolloitavuus ja ymmärrys siitä, mitä luonnollisia henkilöitä palveluissa on kiinni, ja missä tilassa heidän käyttämänsä päätelaitteet ovat”, Koivunen summaa.
Jo 5–10 vuotta vanhan järjestelmäarkkitehtuurin vääntäminen zero trust -moodiin on Koivusen mukaan ”tuskallista ja epävarmaa”. Silloin tietohallinnon kannattaa vakavasti harkita teknologialoikkaa pois vanhalta alustalta.
Sillä aikaa toimistolla
Työnteon valuminen työpaikan ulkopuolelle vaikuttaa myös toimistoihin.
”Kun päätelaitteet on kovennettu kestämään matoiset verkot, miksi rakentaa ja ylläpitää kalliilla rahalla rinnakkaista turvallisuuskehikkoa omassa verkossa”, Koivunen kysyy.
Sikäli kun mobiilioperaattorilla vain riittää kapasiteettia ja konttorin sisätilakuuluvuudessa ei ole ongelmia, organisaatio voi pärjätä ilman omaa verkkoa. Läppärit ja kännykät kytkeytyvät toimistolla suoraan 5G-internetiin, aivan kuin kotona – tai missä tahansa.
Jos 5G ei kanna sisätiloihin paksujen ulkoseinien tai tiivisikkunoiden vuoksi, ulkoantenni ja WiFi-verkko -yhdistelmä tai 5G-sisätilatoistimien asentaminen operaattorin kanssa on kuitenkin fyysistä kaapelointia edullisempi ratkaisu.
”Kannustankin pohtimaan, onko omaan verkkoon investoiminen todella tarpeen”, Koivunen sanoo.
Lue lisää: Pääsynhallinta on yritysverkon oma portsari
