Tahto teki itselleen tietoturva-auditin, jonka tulosten perusteella lähdettiin parantamaan omaa tietoturvamme tasoa. Suutarin lapselle piti saada kiiltävät kengät.
Microsoft 365 -tietoturva ja pääsynhallinta rakentuu kolmen, tai oikeastaan neljän tärkeän elementin ympärille: sähköisen identiteetin, laitteen, sovellusten sekä itse tiedon suojauksen ympärille. Näitä sitten maustetaan sopivassa suhteessa koneälyä ja koneoppimista hyödyntävillä, riskejä ja poikkeavuuksia tunnistavilla teknisillä ominaisuuksilla. Mutta pelkkä identiteetin suojaaminen ei yksin riitä. On myös syytä hallita yritystietoa identiteetin käyttämissä laitteissa, esim. miten yritystietoa käytetään identiteetin käyttämissä sovelluksissa. Lisäksi tulisi määrittää yhteisiä käytäntöjä ja pääsynhallintaa, joiden raameissa yrityksissä identiteetti voi toimia. Jos siis laite on yrityksen käytänteiden mukaisesti määritetty ja vahvasti tunnistautunut, identiteetti käyttää siinä yrityssovelluksia muokatakseen yrityksen hallitsemaa tietoa yhteisesti määritettyjen sääntöjen puitteissa, jolloin kaikki lienee tietoturvan kannalta kokonaisuutena kohtuullisen hyvin hallinnassa.
Miten siis lähdimme vahvistamaan Tahdon omaa tietoturvaa?
Tietoturva-audit kertoo paljon organisaation tietoturvan tilasta. Lähdimme liikkeelle varmistamalla, että kaikkien työntekijöiden työasemat ja mobiililaitteet löytyvät Tahdon omasta pilvipohjaisesta keskitetystä hallinnasta. Halusimme, että laitteet voidaan tarvittaessa tyhjentää yritysdatan osalta. Halusimme varmistaa, että työlaitteidemme massamuistit on salattu ja pääsy laitteille suojattu varmasti suojakoodilla. Tärkeää oli myös, että yritystieto ei vuoda omien tallennuspaikkojemme ulkopuolelle esimerkiksi Applen tai Androidin omien varmistusten mukana.
Toisaalta halusimme jakaa laitteille yleisimmin käytetyt työsovellukset keskitetysti ja sanella työsovellusten tietoturvaan liittyviä asioita. Työasemien osalta olimme tässä jo hyvällä mallilla, mutta mobiililaitteita keskitetyssä hallinnassamme oli vain osalla. Näin ollen työntekijöidemme laitteet tarkistettiin, jotta jokaisen mobiililaitekin on varmasti keskitetyssä hallinnassa.
Sähköiset identiteetit ja niiden suojaus oli seuraava asia, joka piti varmistaa. Azure AD:n tarjoaman vahvan tunnistautumisen käyttö määritettiin ehdollisen pääsynhallinnan avulla järkeväksi. Muu kuin moderni kirjautuminen estettiin. Jatkossa vahva tunnistautuminen on edellytys myös Tahdon resursseja käyttäville vieraskäyttäjille. Lisäksi kaikkien työasemille otettiin laitehallinnasta määrittämällä Windows Hello for Business käyttöön. Windows Hello for Business on laitetason suojausominaisuus, joka korvaa perinteiset salasanat vahvalla monivaiheisella tunnistautumisella. Itse olen jopa innoissani siitä, että voin nyt kirjautua työasemalleni toimivalla kasvojen tunnistuksella, turvallisesti.
Tiedon suojaamisen prosessit aloitimme askel kerrallaan. Azure Information Protection -pohjaisia ominaisuuksia oli jo käytössä, kuten esimerkiksi turvapostiominaisuudet. Tätä lähdemme jatkokehittämään oman modernin työn projektimme myötä ottamalla käyttöön tiedon luokitteluun ja suojaukseen liittyviä ominaisuuksia, sekä DLP (Data Loss Prevention) -automaatioita, joilla käytännössä estetään esimerkiksi tietyn tyyppisten arkaluontoisten tietojen, kuten henkilötietojen, välitys sähköisessä viestinnässä. Haluamme jatkossa tarvittaessa itse päättää, mitä jakamallamme tiedolla voidaan tehdä.
Yhtenä tärkeimmistä tähän projektiin liittyvistä asioista oli kuitenkin Office 365 Advanced Threat Protection -ratkaisujen käyttöönotto Tahdolle itselleen. Nämä ratkaisut suojaavat teknisesti yrityksen sähköistä viestintää suodattamalla ja tutkimalla viestinnässä esiintyvien liitteiden ja linkkien sisältöä ja estämällä teknisesti näin mahdollisen kalastelun tai muut haitakkeet viestinnästä. Tämä, yhdistettynä vahvaan tunnistautumiseen, pitää meidät toivottavasti turvassa Kyberturvallisuuskeskuksenkin varoittamilta Office 365 -palveluihin kohdistuvilta uhkilta.
Yrityksen tietoturva on yhtä vahva kuin…?
Jos mietitään tietoturvaa yleensä, heikoin lenkki on aina ihminen itse. Nykyaikaiset tietoturvauhat kohdistuvatkin suurelta osin meihin ihmisiin. Hyökkäykset saattavat olla pitkälle automatisoituja koneistoja, joiden tehtävänä saattaa olla usein vain levittäytyä ja mahdollistaa jotain muuta. Tekniset suojaukset auttavat usein kyllä suojautumaan, mutta viime kädessä me ihmiset mahdollistamme lopulta hyökkäysten onnistumisen.
Kalastelussakin taustalla voi toki olla jokin suurempi tavoite, mutta sinne päästäkseen hyökkäys kohdistuu aina itse yksittäisiin ihmisiin. Tietoturvahyökkäksiin ja niistä toipumiseen liittyykin aina ikävä stigma, joka estää pahimmassa tapauksessa meitä toimimasta oikein.
Kun havaitsemme joutuneemme rikoksen kohteeksi, häpeä estää meitä usein kertomasta siitä muille ihmisille. Pahimmassa tapauksessa verkkorikollinen on saattanut hyökkäyksen aikana tehdä jonkin kriittisen muutoksen, joka jää korjaamatta, koska salaamme meihin kohdistuneen rikoksen. Jokaisen meidän pitäisi pystyä nostamaan käsi pystyyn tarvittaessa häpeilemättä, mikäli joutuu rikoksen uhriksi. Niin arkipäiväistä tietoturvan pitäisi olla. Avoimuuden ja luottamuksen ilmapiiri on parempi kuin häpeä ja piiloutuminen.
Tahdolla meidän tehtävämme on luoda ja rakentaa näitä tietoturvaratkaisuja myös asiakkaillemme, nyt ja tulevaisuudessa. Autamme organisaatioita esimerkiksi selvittämään oman tietoturvansa tason tietoturva-audit -palvelumme avulla.