Salassapitovelvoitteet painavat – miten parannan tietoturvaa?

Tietoturva kiinnostaa entistä enemmän jokaista tietojärjestelmän käyttäjää. Etenkin siinä tapauksessa, että käsiteltävä materiaali on salassa pidettävää tai arkaluontoista.

Oman mielenrauhan takaamiseksi muutama laitteita, verkkoja ja myös CSI-ohjelmistoon kirjautumista koskeva perusasia kannattaa laittaa kuntoon joko itse tai IT-tuen avustuksella.

Maksimoi työasemasi tietoturva

Etätöiden yleistyessä on hyvä miettiä selväksi, pitääkö työssä käyttämänsä koneen vain omassa käytössään ja puhtaasti työkäytössä. Riskien minimoimiseksi suositeltavaa on hankkia erilliset laitteet vapaa-ajalle ja muun perheen käyttöön.

Ellei työkonetta ole liitetty yrityksen toimialueeseen, siihen kannattaa asettaa käyttäjätunnus sekä riittävän pitkä ja vaikea salasana. Mikäli laite silloin katoaa tai se varastetaan, se ei ainakaan ole helposti avattavissa. Tietoturvaa parantaa myös laitteen kiintolevyn kryptaaminen.

Lisäksi on tärkeää pitää huoli siitä, että koneen päivitykset ja virustorjunta ovat ajan tasalla. Matkustellessa internet-yhteyksiin on usein tarjolla avoimia WLAN-yhteyksiä, mutta tuntemattomien verkkojen sijaan varminta on käyttää yhteyden ottamiseen oman puhelimen verkkoa.

Palvelinten ja verkkojen tietoturvasta vastaa IT-toimittaja

Palvelinten ja verkkojen tietoturvan varmistaminen vaatii lähes aina IT-osaston tai -toimittajan erikoisosaamista.

Yleensä yrityksillä on käytössään toimialue, johon pääsee kirjautumaan vain käyttäjätunnuksella ja vahvalla salasanalla. Toimialueen ylläpitäjä voi silloin tehdä tietoturvan yleiset perusasetukset määrittämällä mm. minimivaatimukset salasanan pituudelle ja monimutkaisuudelle sekä sen, montako kertaa käyttäjän annetaan syöttää väärä salasana ennen kuin tunnus lukittuu. Yrityksissä, jossa etätyöt ovat yleisiä, käyttäjät pääsevät toimialueen palveluihin yleensä suojatun VPN-yhteyden kautta.

Yhä useampi yritys on luopunut omista fyysisistä palvelimistaan. Palvelinten siirto palveluntarjoajan konesaliin ja asiantuntevan ylläpidon piiriin ei yleensä ainakaan heikennä tietoturvaa. Tällaiseen ulkoistettuun palvelinympäristöön käyttäjä kirjautuu samalla tavalla kuin paikalliselle palvelimellekin.

Mikäli tietojärjestelmä on rakennettu täysin Microsoftin M365/O365-palvelujen päälle, yrityksen toimialue sijaitsee Microsoftin Azuressa. Käyttäjän näkökulmasta Azure AD vastaa perinteistä Active Directorya (käytännössä toimialuetta) tunnus- ja salasanakirjautumisineen, vaikka Azuressa AD/toimialue sijaitseekin pilvessä.

Azure AD:ta käytettäessä ylläpitäjän on helppo lisätä tietoturvaa täydentämällä kirjautumismekanismia vielä monivaiheisella MFA-kirjautumisella. Ellei MFA vielä ole käytössä, asia kannattaa ottaa esiin IT-asioista vastaavan henkilön kanssa.

Olipa palvelin- ja verkkoratkaisu mikä tahansa, varmuuskopioinnin merkitystä ei voi korostaa liikaa. Liiketoimintakriittinen tieto on varmistettava niin verkkorikollisten kuin puhtaiden laitehaavereidenkin varalta. Mikään järjestelmä ei ole sataprosenttisen varma.

Varmista myös CSI-ohjelmistosi tietoturva

CSI-ohjelmistoon pätevät samat yleiset tietoturvasäännöt kuin muihinkin ohjelmistoihin; sen työasema-, verkko- ja palvelinympäristöt on pidettävä mahdollisimman hyvin suojattuina. Lisäksi tietoturvaa voi maksimoida muutamalla toimenpiteellä siltä varalta, että kone sattuisi joutumaan vääriin käsiin.

Azure AD -autentikoinnin käyttöönotto kirjautumisessa
Ehdottomasti suositeltavin kirjautumistapa CSI-ohjelmistoon on Azure AD:hen perustuva tunnistautuminen. Kun Azure AD -ylläpitäjä on lisännyt toimiston käytössä olevan CSI-tietokannan tiedot CSI:n ylläpitämään palveluun ja tarvittavat parametrit ohjelmistoon, kirjautuminen CSI-ohjelmistoon onnistuu ainoastaan Azure AD -tunnuksella.

Salasanan arvattavuuden eliminointi
Jos ohjelmistoon kirjautumiseen käytetään tunnus + salasana -yhdistelmää, on tärkeää varmistaa, että salasana on riittävän pitkä ja vaikeasti arvattava.

”Muista minut tässä koneessa” -toiminnon poistaminen käytöstä
Muista minut…-valinta on monien CSI-käyttäjien suosikki, koska se helpottaa ja nopeuttaa ohjelmiston avaamista. Tietoturvasyistä suosittelemme kuitenkin poistamaan valinnan käytöstä. Vaikka kone joutuisikin ulkopuolisen käsiin ja tämä saisi sen avattua, CSI-ohjelmistoon ei silloin voi kirjautua ilman käyttäjätunnusta ja salasanaa.

M-Files-tietovaraston kryptaus
Toimeksiantoihin liittyvät asiakirjat tallennetaan usein erilliseen, CSI-ohjelmistoon liitettyyn M-Files-dokumentinhallintajärjestelmään. Dokumenttivarastoissa oleva tieto on yleensä luonteeltaan enemmän salassa pidettävää kuin CSI-ohjelmistoon tehdyt toimenpidekirjaukset. M-Files-tietovarasto on mahdollista kryptata AES-256-algoritmia käyttäen, jolloin mahdollinen tunkeutuja ei pääse lukemaan salatun tietovaraston sisältöä ilman salausavainta.

Ethän ole tietoturvan heikoin lenkki?

Täysin turvallista tietojärjestelmää lienee mahdotonta saavuttaa. Tietojärjestelmien toimittajat tekevät kuitenkin jatkuvasti töitä ohjelmistojensa yleisen turvallisuuden parantamiseksi, ja tietoturvaa voi parantaa myös monilla muilla keinoilla.

Silloinkin, kun palvelinten, verkon ja työaseman tietoturva on kunnossa, järjestelmän loppukäyttäjälle jää edelleen iso vastuu tietoturvasta. Tilanteissa, joiden turvallisuusvaikutuksista ei voi olla täysin varma, asia kannattaa aina varmistaa arvailun sijaan.

Tietokoneen loppukäyttäjänä jokainen tietää, miten houkuttelevaa on hieman oikaista, jotta asiat saadaan tehtyä mahdollisimman nopeasti ja helposti. Helpoin tie ei kuitenkaan aina ole paras tie. Ainakaan, jos se merkitsee kompromisseja tietoturvan kannalta.

Mikäli olet kiinnostunut Azure AD -autentikoinnin käyttöönotosta tai M-Files-tietovaraston salauksesta, ole yhteydessä CSI-tukeen, support@csihelsinki.zendesk.com.

 

Jari Loiri

CSI Helsinki, IT-päällikkö
Elämä on muutakin kuin teknologiaa. Silloin, kun teknologia helpottaa ihmisen eloa, olen sen ystävä.