”Työntekijöiden läppärit ja kännykät pitää varustaa niin, että niitä voi käyttää missä vain. Vaikka sitten haittaohjelmia kuhisevassa kotiverkossa”, sanoo WithSecuren tietoturvajohtaja Erka Koivunen. Kuva: Erka Koivunen.

Vain paranoidit pärjäävät? Hybridityö vaatii tujumpaa tietoturvaa

Kun työntekijän läppäri on konffattu kestämään vaikka matoiset kotiverkot, konttorilla tarjoutuu yllättävä säästömahdollisuus.

Etä- ja hybridityö yleistyi yhdessä yössä pandemian puhjettua, kohta kolme vuotta sitten. WithSecuren tietoturvajohtaja Erka Koivusen mukaan yhden asian tulisi olla viimeistään nyt selvää joka ikisessä organisaatiossa.

”Työntekijöiden läppärit ja kännykät pitää varustaa niin, että niitä voi käyttää missä vain. Vaikka sitten haittaohjelmia kuhisevassa kotiverkossa”, Koivunen sanoo. Teinien tietokoneet ovat pahimpia matolaatikoita, koska ”pelit ja antivirus vain eivät sovi yhteen”.

Työnantaja ei voi vastata joka ikisen kotiverkon suojaamisesta. Sen sijaan sen kannattaa koventaa päätelaitteet niin, että edes niiden varastamisesta ei koidu tietoturvaongelmaa.

Turva on pakollista

Kaikki lähtee päätelaitteiden keskitetystä hallinnasta.

”Tiettyjen turva-asetusten on oltava pakotetusti päällä, jotta loppukäyttäjä – tai sellaisena esiintyvä murtautuja – ei pysty kytkemään niitä pois”, Koivunen sanoo.

Levyn salauksen pitää olla aktivoituna. Jos laite unohtuu jonnekin tai varastetaan niin, että valtuutettu käyttäjä ei sitä näpelöi, laitteen on mentävä tilaan, jossa kryptausta ei voi sivuuttaa.

”Valmiustila ei riitä, koneen pitää mennä vähintään talviunille [hibernate] tai pois päältä”, Koivunen sanoo.

Palomuuri on konffattava niin, että laite ei saa vastata huhuiluihin.

”Epäluotettavassa verkossa joukkueellinen hakkereita ja botteja yrittää heti avata keskustelua”, Koivunen kuvailee. Tällaiseen keskusteluun ei pidä millään tavalla antautua. Päätelaite sivuuttaa kylmästi lähentelyt ja ottaa itse yhteyttä pilveen, kun ottaa.

Perinteisen virustorjunnan rinnalla tarvitaan Koivusen mukaan EDR- (endpoint detection and response) tai MDM-palvelu (mobile device management), joka havaitsee epäilyttävää toimintaa laajemmin kuin perinteinen viruksentorjuntaratkaisu. Monivaiheinen käyttäjäntunnistus on välttämättömyys.

Monta tapaa toteuttaa

Perinteisessä mallissa koneen koventaa tietohallinto, joka asentaa laitteen alusta asti itse uudestaan, tarvittavilla sovelluksilla ja oikeellisilla konfiguraatioilla.

”Asetukset voi tarvittaessa myös ajaa verkon yli koneeseen, jonka työntekijä on ostanut”, Koivunen sanoo. Tosin näin ei päästä yhtä perusteelliseen lopputulemaan kuin hands-on-mallissa, jossa kaikki BIOS-asetuksista alkaen on tietohallinnon näpeissä.

Jos yrityksessä ei ole omaa tietoturvaosaamista, suojan voi ostaa palveluna. Esimerkiksi WithSecure ja DNA tarjoavat DNA Endpoint Protection -palvelun, joka kattaa kaikkien päätelaitteiden erilaiset tietoturvatarpeet.

Vain paranoidit pärjäävät

Päätelaitteiden lisäksi on syytä huomioida myös järjestelmien soveltuvuus etätyöhön. Niin sanottu zero trust -arkkitehtuuri on tarpeen. Sen mukainen järjestelmä on koko ajan hieman epäluuloisessa moodissa.

”Jokainen sovellus haluaa erikseen varmistaa, että olihan tämä luotettu käyttäjä se, kuka väittää olevansa”, Koivunen kuvailee. Zero trust avaa näkymän luottamusketjun muutoksiin ja disruptioihin. Nykyaikaiset pilvipalvelut ja sovellukset ovat käytännössä zero trustin mukaisia.

Lisäksi myös päätelaitteiden hallinnoinnin on oltava modernia.

”Kun käytössä on Azure Active Directory, ja työasemia sekä kännyköitä hallitaan Microsoft Intune -tyyppisellä MDM-palvelulla, kasvaa kontrolloitavuus ja ymmärrys siitä, mitä luonnollisia henkilöitä palveluissa on kiinni, ja missä tilassa heidän käyttämänsä päätelaitteet ovat”, Koivunen summaa.

Jo 5–10 vuotta vanhan järjestelmäarkkitehtuurin vääntäminen zero trust -moodiin on Koivusen mukaan ”tuskallista ja epävarmaa”. Silloin tietohallinnon kannattaa vakavasti harkita teknologialoikkaa pois vanhalta alustalta.

Sillä aikaa toimistolla

Työnteon valuminen työpaikan ulkopuolelle vaikuttaa myös toimistoihin.

”Kun päätelaitteet on kovennettu kestämään matoiset verkot, miksi rakentaa ja ylläpitää kalliilla rahalla rinnakkaista turvallisuuskehikkoa omassa verkossa”, Koivunen kysyy.

Sikäli kun mobiilioperaattorilla vain riittää kapasiteettia ja konttorin sisätilakuuluvuudessa ei ole ongelmia, organisaatio voi pärjätä ilman omaa verkkoa. Läppärit ja kännykät kytkeytyvät toimistolla suoraan 5G-internetiin, aivan kuin kotona – tai missä tahansa.

Jos 5G ei kanna sisätiloihin paksujen ulkoseinien tai tiivisikkunoiden vuoksi, ulkoantenni ja WiFi-verkko -yhdistelmä tai 5G-sisätilatoistimien asentaminen operaattorin kanssa on kuitenkin fyysistä kaapelointia edullisempi ratkaisu.

”Kannustankin pohtimaan, onko omaan verkkoon investoiminen todella tarpeen”, Koivunen sanoo. 

 

Lue lisää: Pääsynhallinta on yritysverkon oma portsari 

Avainsanat:

Verkko Yhteydet Muuttuva työ Tietoturva Kyberturvallisuus Etätyö

Lue lisää uudesta työstä

11/2022 DNA Business

Miten metaversumiin pääsee, Marja Konttinen?

Metaversumiin pääsee helposti: siihen tarvitsee vain nettiyhteyden ja hyvän tietokoneen.
11/2022 DNA Business

Itse ja automaatiolla – yritykset haluavat vapautta valita miten ja milloin asiansa hoitavat

Yritysratkaisuilta odotetaan yhä enemmän yhtä sujuvaa käyttöä kuin kuluttajien verkkopalveluilta.
11/2022 DNA Business

ZTNA: Turvaa, tukea ja varmuutta – missä ja milloin vain

Työnantajan tavoitteena on tarjota toimivat digitaaliset työvälineet, mutta myös suojella yrityksen dataa.
11/2022 DNA Business

Suomi ei ole lintukoto kyberturvallisuuden saralla: ”On naiivia ajatella, että meidän ei tarvitsisi varautua ja harjoitella”

On usein helppoa ajatella, että tietoturvaloukkauksia tapahtuu muille ja muualla, ei meille. Tämä on kuitenkin naiivia.

Hyödynnetäänkö teillä jo uuden työn mahdollisuuksia? Ota yhteyttä – katsotaan yhdessä parhaat ratkaisut yrityksellesi.