Kun tietoturvasta puhutaan, ajatellaan yleensä palvelimia ja verkkoa ja niiden puolustamista. Työasemathan ovat suojatussa sisäverkossa. Paitsi etteivät enää tänä päivänä ole.

Palveluiden ja palvelinten siirtyessä pilveen, usein paremman tietoturvan piiriin, on hyökkääjien ja sitä kautta puolustajien huomio siirtymässä työasemiin. Samalla niiden tietoturva on tärkeä osa digitaalista työntekijäkokemusta.

Miten tietoturva on osa digitaalista työntekijäkokemusta?

Kysymys on aiheellinen, sillä usein tietoturva ja sen vaatimukset nähdään ulkoa tai ylhäältä annettuina:

• laki määrää
• asiakkaat edellyttävät
• tai lakiosasto vaatii

 Turvallisuus ja tietoturvallisuus ovat kuitenkin myös perustarpeitamme.

Jos työntekijä epäilee käyttämänsä tietotekniikan tai oman toimintansa tietoturvallisuutta, on selvää, että tuottavuus ja tyytyväisyys kärsivät.

Digitaalinen työntekijäkokemus kun tarkoittaa, kuinka hyvin tietotekniikka palvelee työntekijää tehtävänsä suorittamisessa ja tavoitteisiinsa pääsemisessä.

Hyvä vai paha tietoturva?               

Monet työntekijät kokevat kuitenkin tietoturvan työtä hankaloittavaksi.

Monesti tietoturvaa toteutetaan työntekijäkokemuksesta välittämättä ja sitä ymmärtämättä. Ulkoa ja ylhäältä annettuina vaatimuksina. Siitä tulee työtä ja elämää hankaloittava asia.

Parhaimmillaan tietoturvallisuus on kuitenkin sujuvaa ja näkymätöntä. Puhutaan muun muassa oletusarvoisesta ja sisäänrakennetusta tietoturvasta.

Etätyö vie puolustautumisen keskiajalta avoimeen yhteiskuntaan

Ennen korona pandemiaa työntekijät työskentelivät pääsääntöisesti työpaikalta suojatusta sisäverkosta käsin. Etätyö oli poikkeus ja silloinkin ehkä päivä viikossa.

Nyt tilanne on aivan toinen. Etätyöstä on tullut keskeinen osa työkulttuuria. Useimmat ovat varmastikin lukeneet lehtijuttuja, että jos etätyöskentely ei olisi mahdollista vähintään parina päivänä viikossa, niin työntekijät vaihtaisivat työpaikkaa.

Siten myös tietoturvan puolustusdoktriini on muuttunut. Esimerkiksi keskiajalla kaupungit pyrkivät suojautumaan muureilla hyökkääjiä vastaan. Niiden sisällä suojaus ei sitten ollutkaan kummoista. Jos Troijan hevosella pääsi sisään, se oli sitten siinä.

Organisaatiot pyrkivät ennen pandemiaa vielä samaan. Luomaan suojatun sisäverkon seinien, kulunvalvonnan ja palomuurien avulla. Ja virtuaalisesti VPN:ien avulla.

Nyt tietoturvassa on ollut pakko siirtyä avoimeen yhteiskuntaan, suojautumaan sisältäpäin eikä muureilla, kun pääosa työntekijöistä työskentelee etänä, kuka mistäkin, eikä VPN:ien suorituskyvyt riitä alkuunkaan.

Tänä päivänä lähtökohtana on oltava, että työasema on jatkuvasti, ei satunnaisesti, avoimessa verkossa vihulaisten saavutettavissa. Ei siis voida tuudittautua muurin suojaan, vaikka palveluita VPN:n yli käytettäisiinkin. Jos kone korkataan, päästään sieltä käsin sisäverkkoon.

Paikkaa ja rukoile eli niiden pitäisi olla päivitetty

Konditionaali kertoo kaiken. Pitäisi mutta varmuutta ei ole.

Asennuspakettien jakelu- ja konfiguraatiohallintajärjestelmillä saadaan kyllä levitettyä paikkoja ja asetuksia, mutta varmuutta niiden asentumisesta ei ole. Kuin posti tänä päivänä. Lähti mutta menikö perille?

Siksi on erityisen tärkeää, että päivitysten asentumista valvotaan erikseen.

Läppäri karkuteillä 

Kun tietokoneet ovat pääsääntöisesti “ulkona” eikä toimitilojen seinien suojassa, riskit katoamisille kasvavat.

Tärkeimpiä huolehdittavia tietoturvan perusfundamentteja on varmistua, että koneissa on Bitlocker tai Filevault varmasti päällä ja käyttäjillä ei ole admin-oikeuksia (jotka pitäisi olla vain hyvin harvoilla ja valituilla).

Hallittu kaaos         

Tiukan standardoinnin aika on monessa organisaatiossa ohi. Yksi koko, eli kone ja softavalikoima, ei useinkaan sovi kaikille, jos kellekään, erityisen hyvin.

Mutta mitä enemmän softia, sitä enemmän hyökkäyspintaa ja päivitettävää. Kyse onkin valikoiman aktiivisesta hallinnasta. Tuodaan uutuuksia, tarjotaan vaihtoehtoja, mutta siivotaan aktiivisesti vähän käytettäviä pois.

Vähän siis kuin Alepan korttelitoive, jonka alta joku muu nimike luultavasti joutuu väistymään. Kyse ei kuitenkaan ole vain softanimikkeistä, vaan myös niiden (ja käyttöjärjestelmän) eri versioista.

Todellisuus on usein hyvin erilainen kuin virallinen totuus. Kolmen sijaan onkin kymmenen versiota, joista puolet reikäisiä kuin sveitsiläinen juusto.

Mitä softaa ja versioita löytyy ja miten aktiivisesti niitä käytetään (vai käytetäänkö edes)? Ajantasaisen tilannekuvan avulla on helppo nähdä, mistä voidaan karsia ja missä on vielä versioita, joita ei enää pitäisi olla. Tai löytyykö softaa, joita ei pitäisi olla asennettuna ollenkaan.

Aiheeseen liittyy toki paljon muuta, kuten oikeaa asennetta, tietoisuutta ja toimintatapoja. Mutta palataan niihin joskus toisten.

Tiivistäen

Työaseman tietoturvallisuuden perusta on oikein konfiguroitu ja päivitetty kone, jossa on kaikki ne, mitä työntekijä tarvitsee muttei mitään turhaa (hyökkäyspintaa) eikä ylimääräisiä (admin)oikeuksia. Kun kaikki toimii, kuten se kuuluisa Buick, on työntekijä tyytyväinen kuin Hangon keksi.

Ja siihen päästään, kun IT:llä on ajantasainen tilannekuva:

• Mitä rautaa, käyttiksiä, softaa ja niiden versioita meillä on? Onko meillä esim. paljon sovelluksia, joita ei pitäisi/saisi olla käytössä?
• Miten aktiivisesti niitä käytetään eli mitkä ovat hyödyllisiä, mitkä taas turhia?
• Kuinka ne toimivat tai eivät toimi?
• Onko bitlockerit päällä ja admin-oikeudet poistettu?
• Ja missä olemme tavoitetasomme alapuolella, esimerkiksi missä päivitykset eivät olekaan asentuneet.

Tietoturvakatsaus 2024 -seminaarissa kuulet lisää

Harri Turtiainen Applixure Oy:stä puhuu digitaalisesta työntekijäkokemuksesta ja sen parantamisesta. Tietoturva on tässä keskeisiä elementtejä. Tule kuuntelemaan Tietoturvakatsaus 2024 -seminaariin.

Osta lippu!

Kumppanit