Kirjoittaja
Lauri Ylimaa

Nosta yrityksesi tietoturva samalle tasolle kuin Joe Bidenilla

Silmiimme osui kiinnostava uutinen Yhdysvalloista, jossa kerrotaan tulevan presidentin Joe Bidenin ja hänen kampanjaväkensä käyttävän Google Workspacea. Uutisessa kerrotaan, että Bidenin tiimi on luonnollisesti valinnut parhaat mahdolliset IT-ratkaisut etätyön sujuvoittamiseksi ja turvaamiseksi. Käytössä on Google Workspacen lisäksi muun muassa suojausavaimet, jotka parantavat tietoturvan tasoa.

Uutisen innoittamana toimitusjohtajamme Kasper kysyi LinkedInissä, millaisia monivaiheisen tunnistautumisen menetelmiä ihmisillä on käytössä. Pienen otannan perusteella näyttää siltä, että ainakin mobiililaitteiden avulla tehtävä tunnistautuminen on hanskassa.

Onko vahva tunnistautuminen käytössä?

Bidenin tiimi sekä Kasperin kyselyyn vastanneet ovat ottaneet vahvan tunnistautumisen haltuun, mutta millaisessa jamassa teidän yrityksenne tietoturva on tällä hetkellä? Mikäli parantamisen varaa löytyy, ja kaipaatte konkreettisia keinoja, jaamme muutaman keskeisen tietoturvavinkin tässä artikkelissa.

 

Ensiaskel tietoturvan parantamiseen on vahva tunnistautuminen

Monessa organisaatiossa käyttäjän tunnistautuminen turvautuu ainoastaan koneelle asetettuun varmenteeseen. Käytännössä tämä tarkoittaa, että jos kyseessä on yrityksen tietokone ja sisäänkirjautuminen tapahtuu luotetusta verkosta, pääsee kirjautunut henkilö tekemään koneella mitä tahansa, missä tahansa tilillä vain on käyttöoikeudet. Tällaisessa perinteisessä ratkaisussa ei ole mahdollisuutta vahvaan tunnistautumiseen, tai jos onkin, sitä ei valitettavasti useinkaan ymmärretä käyttää.

Vahva tunnistautuminen on kuitenkin yksi yksinkertaisimmista keinoista parantaa tietoturvaa. Monilla asiakkaistamme on asetettu kaksivaiheinen kirjautuminen pakotettuna kaikille loppukäyttäjille.

Vahvaan tunnistautumiseen on useita tapoja, ja Google-ympäristössä turvallisesta vähiten turvalliseen ovat

  1. Turva-avaimet (fyysiset tai älypuhelin)
  2. Puhelimeen tulevat Google-kehotteet (vaatii tilin asentamisen puhelimeen)
  3. Authenticator-sovellus
  4. Tekstiviestillä tai puhelussa saadut kertakäyttökoodit.

Näistä aktiivisena kannattaa olla useampi backupina, mutta jos luotat vain yhteen, kannattaa tunnistautumiseen valita Joe Bidenin ja tiimin tapaan turva-avaimet. Ne ovat joko tietokoneen porttiin liitettäviä dongleja (esim. YubiKey tai Googlen Titan Security Key) tai Android tai iOS-puhelimia, jotka tarkistavat Bluetooth-yhteyden avulla tietokoneeltasi yritätkö varmasti kirjautua aidon sivuston kautta etkä ole joutumassa verkkourkinnan uhriksi.

Vaikka tekstiviestitunnistautuminen onkin monelle tuttu, ja ns. parempi kuin ei mitään -vaihtoehto, emme voi suositella sitä sen haavoittuvaisuuden takia. Tekstiviestien välittämiseen käytetty SS7-järjestelmä nimittäin mahdollistaa epärehellisiä keinoja hankkia pääsy toisen henkilön liittymään lähetettyihin tekstiviesteihin.

Vinkkinä Google-käyttäjille: oman tilin tietoturva-asetukset voi tarkistaa ja päivittää osoitteessa myaccount.google.com/security.

 

Miten Google parantaa yrityksen tietoturvaa?

Jokainen yritys määrittää oman tietoturvallisuustasonsa itse ja johtaa sen pohjalta tarvittavat käytännön toimenpiteet ja vaatimukset. Keskeistä tietoturvan parantamisessa on kuitenkin loppukäyttäjien kouluttaminen ja ohjaaminen tietoturvalliseen toimintaan vaikkapa viestinnän osalta. Sähköposti on tyypillisin paikka, josta tietoa vuotaa ulos, ja tämän tiedon valossa selvät viestinnän pelisäännöt ovat paikallaan. Loppukädessä tehokkain ja paras tietoturva on tehty loppukäyttäjille helpoksi, ja siinä Google Workspace onnistuu.

Käyttöoikeuksien hallinta palvelutasolta alkaen on Google Workspacessa helppoa. Admin-käyttäjät voivat määrittää esimerkiksi mitä ja kenellä on lupa jakaa tietoa Google Drivestä organisaation ulkopuolelle, eli näin loppukäyttäjän inhimilliset virheet voidaan minimoida. Myös automatiikkaa kannattaa hyödyntää tietoturvan parantamiseksi: käyttöoikeuksia voi asettaa vanhenemaan määrättynä päivänä ja laitekohtaisia määrityksiä ja rajoituksia on mahdollista asettaa esimerkiksi Google Drive File Stream -palvelun lataamiseen liittyen.

 

Tukea tietoturva-asioihin

Tietoturvan kehittäminen tulisi olla jokaisen yrityksen agendalla – kannattaisikohan yrityksenne hyödyntää Googlen palveluita Joe Bidenin tapaan? Erinomaisen tietoturvan ohella Google tarjoaa yrityksille paljon muitakin toimintaa tehostavia ominaisuuksia ja työkaluja, tutustu tarkemmin Google Workspacen tarjontaan.

Tietoturva-asioihin on kyllä apua tarjolla, esimerkiksi me Gappsilla auditoimme asiakkaidemme tietoturvaa pyydettäessä, ja tuomme tietoturvanäkökulmaa aktiivisesti esille ihan pyytämättäkin. Annamme asiakkaillemme muun muassa tietoturvasuosituksia, kerromme uusista turvallisuutta parantavista ominaisuuksista ja konsultoimme organisaation tietoturvapolitiikkaa laajemmin. Ota yhteyttä – katsotaan, miten Google voisi vastata teidän yrityksenne tietoturvatarpeisiin.

Lauri Ylimaa
Technical Project Manager