Monissa työpaikoissa etätyö on tullut jäädäkseen ja monet yritykset ovat siirtyneet joko täysin etätyöskentelyyn tai ainakin osittain, jolloin osa työviikosta ollaan toimistolla ja osa työviikosta tehdään etänä. Tämä tarkoittaa, että yritysten tulee kiinnittää erityistä huomiota tietoturvallisuuteen myös etätyön kohdalla suojatakseen yrityksen elintärkeitä tietoja.
Tietoturva on lähtökohtaisesti yrityksen vastuulla, mutta viime käden vastuu on aina loppukäyttäjillä. Tässä blogitekstissä käymme läpi yleisesti, minkälaisia asioita yrityksen tulisi huomioida etätyön tietoturva-asioissa sekä minkälainen vastuu kuuluu työntekijälle.
Miten etätyön tietoturvariskit eroavat toimistolla työskentelystä?
Tietoturvalla tarkoitetaan tietojen kokonaisvaltaista suojelemista, esimerkiksi tietojärjestelmien ja tietoliikenteen turvallisuutta yrityksessä. Tietoturvaan kuuluu lukuisia eri riskejä, joita tulee huomioida jatkuvasti ja laaja-alaisesti. Suurin osa tietoturvariskeistä tapahtuu, kun käyttäjä painaa linkkiä, joka paljastuukin tietojen kalastelulinkiksi tai käyttäjä lataa esim. puutteellisen tiedon vuoksi haittakoodiohjelman koneelleen ja ulkopuolinen toimija pääsee tätä kautta käsiksi yrityksen järjestelemiin.
Yrityksen tietoturva varmistaa yrityksesi tietojen kokonaisvaltaisen suojelemisen ja liiketoiminnan jatkuvuuden.
Etätyön tietoturvaan liittyy paljolti samoja riskejä kuin toimistolla työskentelyssä. Etätyössä ympäristö on kuitenkin erilainen, mikä tarkoittaa joitakin lisähuomioita tietoturvan toteutumiseksi. Ensinnäkin, kun työntekijät tekevät töitä yrityksen toimitiloissa on yrityksen helpompaa seurata ja valvoa käyttäjien tietoturvaa, mutta toisin on työntekijöiden työskennellessä etänä eri sijainneilla erilaisilla verkkoratkaisuilla.
Lue lisää tietoturvan riskeistä aikaisemmasta blogikirjoituksestamme.
Yrityksen tulee huolehtia teknisten asioiden toteutuksesta
Yrityksen vastuulla on huolehtia loppukäyttäjän kone mahdollisimman turvalliseksi. Tämä tarkoittaa mm. päätelaitteiden teknisen tietoturvan kehittämistä sekä tietoliikenneyhteyksien ja työhön liittyvän aineiston suojaamista. Alla on listattu muutamia tärkeimpiä asioita, joista yrityksen tulisi vähintään pitää huolta kehittääkseen käyttäjille turvallisempaa käyttöympäristöä.
- Yrityksellä tulee olla mahdollisuus hallita myös etätyötä tekevien päätelaitteita
- Yrityksen tulee huolehtia oikeiden ohjelmistojen ja asetusten asentamisesta loppukäyttäjän koneelle
- Yrityksen tulee huolehtia ajantasaisista päivityksistä – osa päivityksistä on loppukäyttäjän vastuulla ja tästä tulee muistuttaa käyttäjiä
- Päätelaitteet tulee suojata -esimerkiksi palomuurin ja ajantasaisen virustorjunnan käytöllä
- Myös pilvessä palvelut tulisi olla turvattu -tämä tarkoittaa esimerkiksi kaksivaiheista tunnistautumista ja suojattuja palveluita
Lisää etätyön tietoturvasta organisaatioille ja yrityksille Kyberturvallisuuskeskuksen sivuilta.
“Päätelaitteiden valvontaan liittyvät työkalut tosi tärkeitä nykypäivänä”
– Marko Nousiainen
Loppukäyttäjätaidot avainasemassa
Kuten olemme aikaisemmassa blogitekstissämme tuoneet esille – suurimpana riskinä yrityksen tietoturvassa voidaan pitää puutteellista ymmärrystä käytössä olevasta toimintaympäristöstä ja siihen kohdistuvista uhkista. Tämä tarkoittaa, että laitteistoihin ja ohjelmistoihin liittyvä ymmärrys ei ole välttämättä riittävällä tasolla, jotta uhkakuvat, joista kuitenkin ollaan tietoisia, näyttäytyisivät erityisen uhkaavina tai todellisina käyttäjälle.
Se, että yritys on huolehtinut erilaiset tekniset asiat kuntoon tietoturvan osalta ei riitä vielä takaamaan turvallista ympäristöä käyttäjille. Jos loppukäyttäjille ei ole ohjeistettu, miten saa toimia ja miten ei, sekä miten tulisi toimia havaitessa poikkeamia ja minkälaisia riskejä yrityksen tietoturvaan liittyy, ei käyttäjää voida syyllistää riskien tapahtuessa.
Loppukäyttäjätaidoilla tarkoitetaan sitä, että loppukäyttäjät osaisivat tunnistaa uhkakuvia ja toimia niiden kanssa oikein. Tämä tarkoittaa, että loppukäyttäjät tulee kouluttaa. Loppukäyttäjänkoulutus on iso osa tietoturvallisuutta.
“Tietoturva on nykypäivänä kansalaistaito, eli meillä kaikilla pitäisi olla sellaiset digitaidot että osattaisiin välttää uhkakuvia ja havaita niitä poikkeamia.”
– Marko Nousiainen
Loppukäyttäjäohjeistus on yrityksen vastuulla
Jotta etänä työskentelevä loppukäyttäjä osaisi huomioida tietoturvan kannalta oleelliset asiat ja osaisi toimia oikein havaitessaan poikkeamia tai epäillessään tietoturvariskiä, on erityisen tärkeää antaa loppukäyttäjille etätyöohjeistus. Ilman ajankohtaisia ja kattavia ohjeistuksia, ei voida olettaa tietoturvan toteutuvan, vaikka yritys olisi huolehtinut tekniset asiat täysin kuntoon.
Loppukäyttäjälle olisi tärkeää painottaa, ettei esimerkiksi työkonetta ei tulisi käyttää mihinkään muuhun kuintyöasioihin, eikä konetta saa antaa muiden käyttöön, edes perheenjäsenten. Loppukäyttäjälle on korostettava päivitysten tekemisen tärkeyttä ajoissa sekä etätyöohjeiden noudattamisen tärkeyttä. Lisäksi etätyössä tulisi käyttää vain luotettuja ja suojattuja verkkoja. Lisäksi työkoneen kanssa tulee olla varovainen, jotta ei esimerkiksi kaada koneen päälle kahveja ja tätä kautta vaaranna tärkeiden tietojen häviämistä.
Loppukäyttäjille on tärkeää painottaa, että omatoimisia ratkaisuja ei saisi ikinä lähteä tekemään. Jos käyttäjä havaitsee poikkeamia, niistä tulisi aina ilmoittaa esihenkilölle tai IT-tukeen. Vaikka havaittu ongelma tuntuisi pieneltä, siitä tiedottaminen voi estää ongelman paisumisen suureksi koko yritystä koskevaksi ongelmaksi.
“Käyttäjän tulisi kertoa aina havaitusta poikkeamasta tai ongelmasta eteenpäin, jotta myös kollegat osaavat välttää saman ongelman eikä ongelma paisu.”
– Marko Nousiainen
Nämä ovat esimerkkejä etätyön tietoturvasta loppukäyttäjän osalta. Voit lukea lisää vinkkejä etätyön tietoturvasta työntekijöille Kyberturvallisuuskeskuksen sivuilta.
Kokonaisuuden huomioiminen ratkaisee
Usein etenkin pienissä yrityksissä ollaan usein niin keskittyneitä saamaan liiketoiminta ylipäätään pyörimään, että unohdetaan tietoturvaan liittyvien riskien huomioiminen ja suunnitelmat, miten riskeihin varaudutaan ja miten riskien tapahtuessa toimitaan. Valitettavan monelta yritykseltä puuttuu tietoturvasuunnitelma eikä sen merkitystä voi korostaa liikaa. Suunnitelma auttaa varautumaan erilaisiin riskeihin ja auttaa toimimaan oikein tilanteissa, kun on havaittu uhkia.
Yksi tärkeimmistä asioista on muistaa huomioida kokonaisuus. Ei voi siis ajatella, että yrityksen tietoturva-asiat on kunnossa, jos yrityksellä on käytössä tietoturvaohjelmisto, mutta ei mietitä uhkakuvia tai kouluteta loppukäyttäjää.
“Laiminlyöntiä on se, jos et ole miettinyt asiaa kokonaisuutena, etkä ole miettinyt esimerkiksi, sitä miten loppukäyttäjä käyttää turvallisesti niitä palveluita”
– Marko Nousiainen
Tietoturvariskien välttäminen osaavan kumppanin avulla
Etätyöhön liittyy lukuisia erilaisia tilanteita, joissa tietosuoja on uhattuna. Tilanteet voivat olla joskus hyvin yllättäviäkin, etenkin henkilölle jolla ei ole alla koulutusta tai ohjeistusta On ensisijaisen tärkeää pyrkiä torjumaan uhat ennen kuin isompia peruuttamattomia vahinkoja tapahtuu.
Tietoturvariskien hallinta on laaja kokonaisuus, jossa tulee pysyä mukana kehityksessä ja havainnoida yrityksen IT-ympäristöä aktiivisesti. VoiceLinkin asiakkaana voit olla meihin aina yhteydessä epäillessäsi pienintäkin tietoturvauhkaa. Meiltä voit varata ajan tapaamiseen asiantuntijamme kanssa.