Etätyö ja tietoturva: turvallinen työympäristö toimiston ulkopuolella

Nykyään etätyö on tullut oleelliseksi osaksi työelämää, tarjoten joustavuutta ja tehokkuutta monelle alalle. Kuitenkin tämä siirtymä perinteisestä toimistoympäristöstä kotikonttoriin ja tien päälle tuo mukanaan omat haasteensa, erityisesti tietoturvaan liittyen. Laiminlyönnin takia voi syntyä merkittäviä riskejä, joita ei välttämättä ole mahdollista aina edes korjata ja palauttaa ennalleen. Tässä kirjoituksessa käsittelemme, miten voit varmistaa tietoturvallisen etätyöskentelyn.

1. Etätyön tietoturvassa huolehdi suojatuista yhteyksistä

Kun käytät kannettavaa tietokonetta 4G/5G-yhteyden yli esimerkiksi sisäänrakennetun SIM-kortin avulla, on yhteys pääsääntöisesti turvallinen käyttää. Mikäli kytket puhelimestasi langattoman tukiaseman päälle, johon otat WLAN-yhteydellä langattomasti yhteyden, kannattaa varmistaa, että salaus on käytössä, ja ettei salasana ole mikään helppo ja lyhyt arvata kuten ”12345678”.

Tietoturvan osalta heikoin lenkki edelleen tänä päivänä on käyttää suojaamatonta avointa WLAN-yhteyttä. Tällaisia on usein tarjolla hotelleissa, kahviloissa ja lentokentillä. Ongelmaksi muodostuu suojaamaton yhteys: kuka tahansa lähellä laitteita voi ”kuunnella” langatonta yhteyttä ja nähdä pahimmillaan kaikki suojaamattomat yhteydet, joita muodostat. Silloin myös suojaamattomana lähetetyt sähköpostiviestit, kirjautumiset suojaamattomiin palveluihin ja näiden salasanat ovat helppo kaapata.

Tätä on onneksi vaikeutettu jonkin verran: valtaosa nettiselaimen liikenteestä kulkee HTTPS-yhteyden eli salatun yhteyden yli. Myös hakukone kuten Google pitää siitä: siksi omaan WordPress-sivustoonkin kannattaa HTTPS-suojaus kytkeä päälle.

Yksi hyvä keino lisätä turvallisuutta langattomien verkkojen käyttäjälle ovat VPN-yhteydet.

VPN-yhteys salaa liikenteen tietokoneelta koko internetiin, tai rajatusti pelkästään yrityksen verkkoon. Vaikka käyttäisitkin suojaamatonta WLAN-yhteyttä langattomasti siellä lentokentän aulassa, VPN-yhteys tekee yhteydestä tietoturvallisemman.

Myös kotiverkkoon kannattaa valita vähän uudempi modeemi/reititin, jossa on ajanmukainen langattoman verkon salaus ja tässäkin sama kuin mobiililaitteen tukiasemassa: helppoa oletussalasanaa parempi salasana.

2. Etätyö korostaa tietoturvallisia laitteistoja

Mikäli yritykselläsi ei ole IT-tukipalvelua, joka sisältää tietokoneiden ja oheislaitteiden ylläpidon ja päivitykset, kannattaa työntekijöitä muistuttaa asentamaan aina kaikki tietoturvapäivitykset. Tämä koskee sekä tietokoneita että mobiililaitteita.

Monessa laitteessa päivitykset ovat onneksi oletuksena päällä, mutta jos työntekijä käyttää yrityksen oman tietokoneen lisäksi jotain omaa, yli 5-6 vuotta vanhaa tietokonetta, voi olla, että päivitysten tuki on päättynyt jo käyttöjärjestelmään. Lisäksi – ikävä kyllä – osa käyttäjistä eivät välttämättä asenna päivityksiä, vaikka käyttöjärjestelmä niitä tarjoaisi. Puhumattakaan muista riskeistä mitä perheen yhteiskäytössä oleva tietokone voi tarjota.

Ajankohtaista: Windows 10 tietokoneille tietoturvapäivityksiä on tarjolla lokakuulle 2025 asti, jonka jälkeen käyttöjärjestelmän käyttäminen koti- tai yrityskäytössä ei ole enää suositeltavaa.

Käyttöjärjestelmän ylläpidon lisäksi käyttäjähallinta ja erityisesti käyttöoikeudet sekä tietoturvaohjelmat auttavat estämään tilanteita, joissa käyttäjä yrittää avata linkin tai asentaa ohjelmiston, joka ei välttämättä ole tietoturvallinen käyttää. Matkassa kulkevan tietokoneen kuten kannettavan koneen tallennustilan salaaminen (kryptaaminen) auttaa turvaamaan pääsyn arkaluonteisiin tiedostoihin tilanteessa, jossa tietokone varastetaan tai se katoaa.

Lue myös 4 yleistä tilannetta missä tietoturvahyökkäys voi yllättää käyttäjän.

3. Säännölliset koulutukset etätyön tueksi

Vaikka yrityksen laitteet sisältävä IT-ympäristö olisi kuinka ajan tasalla ja tietoturvasovellukset asennettuina, aina voi käydä haavereita siitä huolimatta. Suurin syyllinen on tyypillisesti käyttäjä itse. Tällöin paras keino ennaltaehkäistä tällaisia ongelmia ovat henkilöstön säännölliset koulutukset. Koulutuksen avulla pystytään ennalta tunnistamaan ja ehkäisemään monien tietoturvariskien syntyminen.

Perinteisesti oudot linkit, oudot liitetiedostot epämääräisistä sähköpostiosoitteista ovat ne helpoimmat keinot, joilla yritetään kalastella (phishing) tietoja käyttäjältä. Nämä ovat niitä yleisiä huijausyrityksiä, joista usein mediassakin saa lukea. Pankkitietojen lisäksi käyttöoikeudet erilaisiin järjestelmiin ovat haluttuja apukeinoja päästä kiristämään rahaa yritykseltä.

Tänä päivänä on käytössä aika luovia keinoja, miten haittaohjelmia voi päätyä yrityksen laitteille. Sellaisia voivat olla reissaavalle työntekijälle jopa julkisissa tiloissa olevat USB-latausportit, joihin kaikki tietotekniikan ammattilaiset eivät halua omia mobiililaitteitaan kytkeä lataukseen.

Oveliakin keinoja on uutisoitu: esimerkiksi messu- tai seminaarivieraalle tarjolla olevan lahjapussin sisään on joku ulkopuolinen tiputtanut oman USB-tikkunsa toivoen, että sen avulla pääsee käsiksi yritysten sisäverkkoihin tai järjestelmiin.

Mikäli yrityksen dataa kuten tiedostoja ja sähköposteja ei ole varmuuskopioitu, pahimmillaan haittaohjelma voi ylikirjoittamalla salata eli kryptata kaiken datan paitsi yhdellä tietokoneella, myös koko yrityksen sisäverkossa. Tämän jälkeen yritetään saada uhrilta lunnaita. Tällaisia ransomware-ohjelmia eli kiristysohjelmia leviää edelleen paljon. Ne aiheuttavat sekä mittavia rahallisia että ajallisia haittoja monille yrityksille ja yrittäjille ympäri maailman.

Lahjaksi saatu USB-tikku voi olla tietoturvariski. Kuvan USB-tikku ei liity tapaukseen.

4. Varmuuskopiointi kannattaa aina – etenkin etätyötä tekevälle

Edellä mainittuun kiristysohjelman ennaltaehkäisyyn auttaa koulutuksen lisäksi myös varmuuskopiointi. Mikäli yrityksen tiedostot ja sähköpostit ylikirjoitetaan ja niihin pääsy estetään, varmuuskopiointi pelastaa päivän.

On kuitenkin tärkeää muistaa, että pelkästään pilvitallennustilaan tallennettu data ei ole synonyymi varmuuskopiolle. Tämän takia Microsoft OneDrive- ja Google Drive -tyyppisten pilvitallennustilojen käyttäjien kannattaa aina varmuuskopioida tiedostot siten, että varmuuskopiot sisältävät versiohallinnan. Tällöin kiristysohjelman ylikirjoittamasta tiedostosta löytyy useita eri versioita, joista löytyy aina jokin on toimiva ja käyttökelpoinen versio.

Lue lisää aiheesta kirjoituksestamme kolme esimerkkiä varmuuskopioinnin toteuttamisesta pk-yrityksessä.

Yhteenveto etätyöhön liittyvän tietoturvan parantamisesta

Monet etätyöhön liittyvät riskit ovat ratkaistavissa teknisillä ratkaisuilla kuten suojatuilla yhteyksillä, tietoturvallisilla laitteilla, tietokoneen levyjen salauksella sekä käyttäjien koulutuksella. Koulutuksen hyötynä ovat hyvien käytäntöjen ulottuminen paitsi toimistossa tapahtuvaan työskentelyyn, myös kotitoimistolle sekä työmatkalle asti erilaisiin tilanteisiin joissa etätyön kannalta tietoturva kannattaa huomioida.

Yksi helpottava tekijä on osaaminen. Mikäli yrityksen IT-ympäristöä ei haluta tai osata hallinnoida itse, kannattaa turvautua ulkoiseen kumppaniin. Yksi sellainen on emoyhtiömme Xetpointin IT-tukimies Jaakko Leino. Ota yhteyttä Jaakkoon, mikäli etätyön aiheuttamat tietoturvakysymykset herättävät kysymyksiä yrityksessänne. Tutustu: https://www.xetpoint.fi/

Jaa kirjoitus: