Näin suojaat modernin työympäristösi

Modernin työympäristön suojaamisessa keskeisiä asioita ovat palveluiden pääsynhallinta, käyttäjän digitaalisen identiteetin, laitteiden ja tiedon suojaaminen. Ja näiden lisäksi käyttäjä itse. Miten moderni työympäristö tulisi siis suojata? Tässä omia näkemyksiäni aiheesta.

Pääsynhallinta ja digitaalisen identiteetin suojaaminen

Tehokas pääsynhallinta on yksi modernin työympäristön suojaamisen kulmakiviä. Pääsynhallinnalla huolehditaan siitä, että tietoon pääsevät käsiksi vain ne kenellä siihen on oikeasti oikeus. Vahva tunnistautuminen on pääsynhallinnan perusasioita ja sen avulla saadaan estettyä valtaosa tietoturvauhkista. Sen varaan ei kannata kuitenkaan laskea kaikkea. Myös itse identiteettien turvallisuudesta on huolehdittava.

Digitaalisen identiteetin suojaamiseen on olemassa useita keinoja. Kaikki lähtee identiteettien asianmukaisesta elinkaarenhallinnasta sekä käyttöoikeuksien hallinnasta. Käyttöoikeudet tulisi minimoida ja sallia pääsy vain niihin kohteisiin, joihin se oikeasti tarvitaan. Lisäksi on suositeltavaa hyödyntää teknologiaa, jonka avulla tunnistetaan identiteettien väärinkäytökset ja normaalista poikkeava käyttö. Näin potentiaaliset identiteettivarkaudet kyetään havaitsemaan ja estämään niiden väärinkäyttö jopa automaattisesti reaaliajassa. Tähän asiaan apuja tuo esimerkiksi Azure AD:n Identity Protection.

Identiteettivarkauksiin liittyviä riskejä voidaan pienentää moderneilla kirjaustumistavoilla ja vähentämällä tarvetta käyttää salasanoja. Näistä hyviä esimerkkejä ovat Ubikeyn kaltaiset fyysiset avaimet sekä biometristen tunnisteiden käyttö.  Nämä mahdollistavat sen, että käyttäjä voi kirjautua työasemaansa ja palveluihin turvallisesti ilman salasanaa. Salasana voidaan pitää näin ollen hyvinkin pitkänä ja kompleksisena, ilman käyttökokemuksen heikentymistä, koska sitä tarvitsee käyttää vain todella harvoin.

Pääsynhallinnassa voidaan hyödyntää lisäksi myös käyttäjän laitetta sekä sen terveydentilaa. Laitteen tunnistetta voi esimerkiksi käyttää vahvan tunnistautumisen komponenttina. Näin saadaan lisäksi rajattua pääsy palveluihin ainoastaan tunnetuille laitteille. Kirjautumisen yhteydessä on mahdollista tarkistaa, onko laite yrityksen hallinnoima, onko laitteen konfiguraatio vaatimusten mukainen ja laitteen terveydentila pääsyn edellyttämällä tasolla.

Käyttämällä moderneja kirjautumismekanismeja oikein, palveluiden käyttökokemuskin voi parantua huomattavasti.

Kuuntele podcast: Kybervaara vaanii kotikonttorilla

Laitteiden suojaaminen

Entä sitten itse laitteiden suojaaminen? Laitteiden suojaaminen alkaa niiden hallinnasta. Niin työasemat kuin mobiililaitteet tulisi olla keskitetyn hallinnan piirissä. Tämän avulla saadaan varmistettua, että niiden konfiguraatio on asianmukainen ja tietoturvapäivitykset ajantasaiset. Yksikin tietoturvahaavoittuvuus voi altistaa laitteen tietomurrolle. Liikkuvassa työssä laitteet ovat myös alttiita katoamiselle ja varkauksille. Keskitetyn hallinnan avulla laitteet voidaan tyhjentää etänä laitteen kadotessa.

Keskitetty hallinta mahdollistaa myös päätelaitteiden suojausohjelmistojen jakelun. Niin työasemissa kuin mobiililaitteissa on suositeltavaa käyttää ajantasaista päätelaitteiden suojausohjelmistoa, joka tarjoaa laitteille suojan yleisimpiä tietoturvauhkia vastaan. Nykyaikaiset suojausohjelmistot tunnistavat haittaohjelmia ja muita tietomurtotekniikoita useilla eri tavoilla. Kerroksellinen suojaus on jo sisäänrakennettu hyvin pitkälti itse ohjelmistoon.

Paraskaan päätelaitesuojaus ei toki kykene suojaamaan kaikelta, ja kehittyneemmät tietoturvauhkat on myös syytä huomioida. Nykyisin tietomurrot tapahtuvat usein hyödyntämällä käyttöjärjestelmien sisäänrakennettuja ominaisuuksia ja tämän tyyppisiä tietomurtoja on vaikea havaita tavallisilla päätelaitesuojausohjelmistoilla. Kehittyneempien tietoturvauhkien havaitsemiseen löytyy omat työkalunsa, jotka auttavat valvomaan laitteiden tapahtumia ja tunnistamaan hyökkääjän toimet. Tähän apuja tuovat mm. nykyaikaiset EndPoint Detection and Response (EDR) -teknologiat.

Nykyaikaiset EDR teknologiat integroituvat myös päätelaitesuojaukseen ja kykenevät estämään tunnistetut tietomurtoyritykset myös automaattisesti. Korostaisin vielä sitä, että teknologian lisäksi tarvitaan tietoturva-ammattilaisen osaamista, joka kykenee käsittelemään tietomurtohavainnot sekä reagoimaan tilanteen edellyttämällä tavalla.  

Informaation suojaaminen

Suuri osa yrityksen tiedoista tallennetaan modernissa ympäristössä pilvipalveluihin. Salaamalla pilvipalveluihin tallennettavat tiedot saadaan parhaimmillaan suojattua tieto niin, ettei pilvipalvelun toimittajakaan pääse tietoihin käsiksi. Tiedot voidaan suojata myös niin, että ne pysyvät salattuna myös silloin, kun ne siirretään pilvipalvelun ulkopuolelle esim. käyttäjän laitteeseen. Tästä hyvänä esimerkkinä Azure Information Protection, jonka avulla voit suojata esim. SharePoint hakemistosi tiedostot automaattisesti haluamallasi tavalla.

Tiedonsiirtokanavat tulisi myös olla salattuja, etteivät tiedot pääse vuotamaan niitä siirrettäessä palveluiden ja päätelaitteiden välillä verkon (yleensä Internet-yhteyden) ylitse. Mielestäni kuitenkin erityisesti tiedon tulisi olla suojattua itse laitteissa, joilla on suuri riski päätyä vääriin käsiin. Minimivaatimus on se, että laitteiden massamuistit ovat salattuja ja laitteiden pääsynhallinta kunnossa. Tämä on helpointa toteuttaa Microsoftin Bitlockerin avulla.

Mikäli käyttäjät käsittelevät paljon arkaluontoista tietoa, on heille suositeltavaa tarjota työkaluja, joiden avulla he voivat lähettää sähköpostinsa salatusti ja halutessaan suojata itse varsinaiset tiedostot. Tiedostojen ja sähköpostien suojaamista on nykyisin mahdollista tehdä myös niiden sisältöön perustuen automaattisesti. Tässäkin työkaluja avuksi tuo Azure Information Protection ja sähköpostin salausratkaisut.

Informaation suojaamiseen liittyy myös tietojen varmistaminen. Tietojen katoaminen voi tapahtua vaikkapa kirityshaittaohjelmien seurauksena tai ihan vain järjestelmävirheiden tai laiterikkojen seurauksena. Myös pilvipalveluihin tallennetut tiedot ovat alttiita tuhoutumiselle vaikkapa tietomurtojen tai inhimillisten virheiden seurauksena. On suositeltavaa varmistaa niin pilvipalveluiden tiedot kuin myös käyttäjien työasemien tiedot. Näihin molempiin löytyy nykyisin edullisia ja helppokäyttöisiä ratkaisuja. Office 365:n tietojen varmistusta voi ostaa myös palveluna.

Käyttäjien kouluttaminen

Vaikka tekniset suojaukset olisi miten hyvin rakennettu, niin täytyy muistaa, että hyökkääjät pyrkivät usein hyödyntämään ihmisten heikkouksia. Huijaukset ovat tätä päivää ja niihin on syytä varautua. Yksi varautumiskeinoista on käyttäjien tietoisuuden kasvattaminen jatkuvalla kouluttamisella. Kertaluontoinen koulutus ei riitä, koska ihminen on taipuvainen unohtamaan asioita ja uhkatkin muuttuvat jatkuvasti. Muistia on syytä virkistää aika ajoin ja tehdä käyttäjät tietoisiksi heihin kohdistuvista uhkista.

Käyttäjien kouluttamiseen on monia eri tapoja, kuten perinteiset luokkahuonekoulutukset ja webinaarit. Nämä vievät kuitenkin henkilöstön työaikaa, eikä niiden järjestäminen toistuvasti ole aina erityisen tehokasta.   
Suosittelen käyttämään koulutusta varten tehtyjä palvelualustoja, joiden avulla käyttäjiä voidaan kouluttaa lyhyiden videoiden, harjoitteiden ja testien avulla. Toimivana ratkaisuna nostaisin esille Proofpoint Security Essentialsin, joka kytkeytyy myös sähköpostin suojausmekanismeihin. Sen avulla voidaan simuloida tietojenkalastelua ja opettaa käyttäjiä tunnistamaan huijausviestit. Koulutusta voidaan kohdentaa tunnistamalla henkilöt, joihin huijausyritykset usein kohdistuvat. Lisäksi koulutus voidaan räätälöidä niin, että koulutettavat oppivat varomaan ajankohtaisimpia tietoturvauhkia.

Jatkuvalla kouluttamisella on saatu hyviä tuloksia. Parhaassa tapauksessa haittaohjelmatartunnat on saatu minimoitua jo pelkällä käyttäjien kouluttamisella, ja säästetty niistä seuraavia kustannuksia. On huomattavasti tehokkaampaa ennakoida, kuin käyttää resursseja tulipalojen sammutteluun.

Teksti: Anttu Pekkarinen, Security Architect