Suojaus hybridityöskentelyn aikana:
Onko organisaatiosi valmistautunut uusiin riskeihin?

Vuoteen 2020 asti, kun työntekijät vielä tapasivat kasvokkain, IT-tiimien oli helpompi ratkaista ongelmia ja se olikin prosessin tukijalka. Jos työntekijät toimivat toimiston ulkopuolella, infrastruktuuri salli työntekijöiden käyttää sisäisiä järjestelmiä VPN-yhteyden kautta. Tavallisesti se oli nopeaa ja turvallista. Pandemian alettua työtavat muuttuivat täysin ja niiden mukana myös IT-ympäristö. Osastojen olikin yhtäkkiä mukauduttava erilaisiin odottamattomiin suojaushaasteisiin.

Käytännön näkökulmasta pääsystä järjestelmiin tulikin suuri haaste. Vaikka hybridi- ja etätyöskentely ei ole uusi ilmiö, VPN-käyttö oli tarkoitettu tilanteisiin, joissa vain muutama henkilö teki töitä kotoa käsin, ei siihen, että kaikki ovat toimiston ulkopuolella. Äkillinen ja jatkuva käyttäjämäärien kasvu sai aikaan ylivarauksen ja kuormitti VPN-vahvistinasemia.

Samalla ongelmia ei voitu enää ratkaista kasvokkain, mikä vaikeutti sen henkilön todentamista, jonka kanssa IT oli tekemisissä. Tämä johti sellaisten käyttäjien manipulointiin perustuvien hyökkäysten määrän kasvuun, joissa kyberrikolliset esiintyivät laillisina lähteinä. Itse asiassa Verizon listasi vuoden 2021 raportissaan tällaiset hyökkäykset yleisimmäksi tahalliseksi tietoturvaloukkaukseksi.

Toinen ongelma oli IT:ksi naamioituneiden uhkien kasvanut todennäköisyys etätyöläisten joukossa. Jos puolet työvoimasta on kotona, on entistä vaikeampaa estää heitä käyttämästä tuttuja kotilaitteitaan ja -sovelluksiaan organisaation hyväksymien sijaan. Toimiston viralliset omien laitteiden käytön (BYOD) ohjelmat ovat yhdenmukaisia ja vaativat työntekijöitä noudattamaan tiettyjä käyttöehtoja. Mutta näitä käytäntöjä on sitten vaikeampi ylläpitää niiden etätyöntekijöiden kanssa, joiden mielestä toimiston käytännöt eivät useinkaan koske kotiympäristöjä.

Nämä huolenaiheet eivät ole katoamassa minnekään. Työnteon nopeasta omaksumisesta on kehittynyt pysyvä hybridityöskentelymalli. Siksi on tärkeää, että myös IT-tiimit mukautuvat ja lähestyvät kutakin työympäristöä sekä erillisenä että kokonaisuutena varmistaakseen joustavan ja monipuolisen reagoinnin tietoturvaongelmiin.

Tuoreen tutkimuksemme mukaan 77 % IT-päätöksentekijöistä on sitä mieltä, että työntekijät lopettavat turvallisuusmenettelyjen seuraamisen toimipaikan ulkopuolella, vaikka organisaatioissa on jo käytössä virallinen hybridityöskentelykäytäntö. Jos IT-tiimit aikovat saada suojauksen kokonaan hallintaansa, niiden on saatava aikaan erittäin tarkat käytännöt työskentelykäyttäytymiselle toimiston ulkopuolella laitteiden tietoturvasta sovellusten lataamiseen, verkkoyhteyksien muodostamisesta tulostettujen asiakirjojen tuhoamiseen silppureilla – tätä ei pidä jättää työntekijän omaan harkintaan.

Tutkimukset osoittavat, että työntekijät eivät välttämättä ymmärrä, mitä asioita säännöt koskevat ja miksi ne ovat tärkeitä. Paras tapa opettaa nämä asiat on pakolliset webinaarit, joissa korostetaan työntekijöiden omaa vastuuta. Koulutuksesta huolimatta työntekijät voivat altistua tarkoituksellisille haitallisille hyökkäyksille, joten organisaation kannattaa harkita investointia kunnolliseen tietoturvakoulutukseen, joka estää työntekijöitä joutumasta tietojenkalastelun kaltaisten huijausten uhriksi.

Jaetut työtilat yleistyvät joustavana ja edullisena vaihtoehtona omistustiloille. On kuitenkin tärkeää huomioida kustannusten ja tilojen lisäksi tietoturvakäytännöt ja käyttöehdot tutustuttaessa yhteistyötilaan. Useissa organisaatioissa saatetaan uskoa, että yhteistyötilat vastaavat tilojen tietoturvasta, mutta todellisuus voi olla toisenlainen.

Varmista kyselemällä, että yhteistyötilojen tietoturva on oman yrityksesi käytäntöjen tasolla: millainen on tilojen fyysinen suojaus? Voiko kuka tahansa kävellä tilaan? Millaiset ehdot koskevat tietojen menetystä tai loukkausta? Kuka on vastuussa rikkomusten sattuessa? Entä millaiset tietoturvakäytännöt koskevat tulostamista? Voiko kuka tahansa päästä käsiksi asiakirjoihin?

On tärkeää, että työntekijät ymmärtävät liikkuvaan työntekoon liittyvät tietoturvauhkat. Esimerkiksi kahviloiden jaettuihin WiFi-verkkoihin pääsee kuka tahansa, joten on ensiarvoisen tärkeää, että työntekijät varmistavat tietoturvan käyttämällä yrityksen asiakirjoja ainoastaan VPN-yhteyden kautta. Lisäksi työntekijät voivat helposti paljastaa tietoja muille jättämällä kannettavan pöydälle hakiessaan kahvia tai istumalla jonkun edessä junassa. Jos yrityksessä tehdään paljon työmatkoja, IT-päätöksentekijöiden on harkittava vähintään näytönsuojusten kaltaisten yksinkertaisten korjausten tekemistä.

Organisaatioissa pitää myös ymmärtää, että ihmiset eivät ole täydellisiä – työnantajan puhelimen hukkaaminen tai kannettavan unohtaminen junaan ei ole ollenkaan harvinaista. Sen huomioon ottaen varotoimenpiteisiin on syytä ryhtyä. Kannattaa ottaa käyttöön BitLocker-lukitus, joka käyttäjän pitää avata ennen kuin voi käyttää käyttöjärjestelmää, kiintolevyjen salaus ja mahdollisuus lähettää mobiililaitteeseen signaali, joka tyhjentää laitteen ennen kuin kukaan pääsee käsiksi yrityksen tietoihin.

Organisaatioiden kaikkialla maailmassa on ollut pakko ottaa käyttöön etä- ja hybridityöskentely odotettua nopeammin. Tästä syystä IT-tiimeillä on ollut täysi työ varmistaessaan, että yritysten toiminta jatkuisi etänäkin. Nyt tilanteen rauhoittuessa on keskityttävä tietoturvaan. Jakaantuneiden työtilojen mukanaan tuomien uusien tietoturvauhkien takia kaikkien organisaatioiden on syytä tarkistaa suojausprotokollansa ja -käytäntönsä. Kun työntekijöiden työolosuhteissa tapahtuu niin paljon muutoksia, on tärkeää ymmärtää, että he eivät välttämättä tiedosta, miten se vaikuttaa suojauskäytäntöihin, tai sitä, miten heidän olisi muutettava omaa käytöstään. Jakamalla tarvittavat tiedot ja kouluttamalla työntekijöitä ahkerasti organisaatio saa parhaan hyödyn hybridityöskentelystä tietoturvan kärsimättä.