Organisaation tietoturva vs. yksilön tietosuoja

Centeron asiantuntija, Tuukka Tiainen, kirjoittaa havainnoistaan Trend Cloud App Security -tuotteen käyttöönotosta Centeron omassa Office 365 -ympäristössä. Kyseinen tarina on myös oiva esimerkki siitä, miten organisaation tietoturva ja yksilön tietosuoja saattavat yllättäen näyttäytyä toistensa suhteen ristiriidassa.

Huoli tietoturvasta

Eräs tietoturvan osa-alueista on sähköposti ja siihen liittyvät ilmiöt kuten haittaohjelmat, kiristysohjelmat ja saastuneet linkit. Teemme jatkuvasti Office 365 -käyttöönottoprojekteja, ja olemme huomanneet asiakkaidemme kiinnittävän yhä enemmän huomiota tietoturvaan. Osittain kasvaneeseen huomioon on syynä EU:n tietosuoja-asetus (GDPR), jota aletaan noudattamaan keväällä 2018.

Lisää paksuutta Office 365 -suojaukseen

Mielestämme Microsoftin Office 365 -palveluun sisällytetyt tietoturvatyökalut ovat itsessäänkin hyviä, mutta niitä ei voi välttämättä muokata niin paljon kuin ehkä haluttaisiin. Päätimme kokeilla omassa ympäristössämme Trendin Cloud App Security -tuotetta, joka vahvistaa Office 365:n tietoturvaa usealla eri tavalla. Testijakson tarkoituksena oli nimenomaan saada realistinen kuva tuotteesta, jotta voimme tilanteen mukaan suositella sitä asiakkaillemme.

Cloud App Security on mainio ratkaisu, koska se ei tarvitse omaa infrastruktuuria vaan se toimii pilvestä ja ottaa yhteydet suoraan Office 365:een. Tein tuotteelle esikonfiguroinnin, joka sisälsi liitokset seuraaviin tuotteisiin Exchange Online, Sharepoint ja Onedrive for Business. Seuraavassa vaiheessa otin Centeron tietoturvavastaavan mukaan ja kävimme yhdessä läpi Trendin tuotteen käytännöt, ilmoitukset ja tarkemmat asetukset.

Millaiset käytännöt?

Sovimme pääasiallisesti, että laitetaan alussa tiukemmat säännöt ja määritellään ilmoitukset estetyistä viesteistä, estetyistä tiedoista ja mahdollisista karanteeneista tulemaan itse käyttäjälle sekä meidän tiketöintijärjestelmän omaan sisäisen IT:n työjonoon. Tarkoituksena oli siis selvittää oman organisaation lähtötilanne ja käyttäytyminen samalla kertaa. Asetukset koskivat edellä mainittujen teknologioiden osalta haittaohjelmia, spämmin estoa, virtuaalista hiekkalaatikkoa ja web-mainetta. Tämän lisäksi määrittelimme, että henkilötunnuksia saa käsitellä salaamattomana ympäristössämme.

Kun tuulettimeen osuu jotain

Jo vuorokauden sisällä tuotteen käyttöönotosta alkoi kuulua kysymyksiä liittyen sähköpostin kulkuun.  Ainakin kaksi meiltä päin lähtenyttä sähköpostia oli joko mennyt roskakoriin tai jäänyt karanteeniin. Pian tämän jälkeen kollegani sähköpostiin tuli ilmoitus estetystä viestistä sisältäen viestin otsikon, koska työjonomme uudet työt tulevat hänen sähköpostiinsa. Tämä viesti oli toiselta kollegaltani ja sisälsi henkilökohtaista ja yksityistä informaatiota jo pelkästään otsikkotasolla.

Seuraavaksi sain kuulla, että yksi erittäin tärkeä viesti oli jäänyt karanteeniin. Ymmärrettävästi huolestuneet kollegani tivasivatkin, että mistä viestit vapautetaan karanteenista ja ovatko nuo viestit muiden tarkasteltavissa.

Selittelyä, ei silittelyä

Edellisillä esimerkeillä haluan täsmentää, miten suuri vaikutus yksinkertaisella työkalulla voi olla pienessäkin organisaatiossa. Kaikki edellä mainitut tapaukset menivät oikein määriteltyjen sääntöjen mukaisesti. Sähköpostiviestissä oli lähetetty CMD-tiedosto liitetiedostona, yhdessä sähköpostiviestissä oli lisäsovelluksen tuoma Trendin epäilyttäväksi toteama linkki ja suomalainen henkilötunnus oli lähetetty salaamattomana viestinä.

Vaikka työkalulla oli tarkoitus parantaa tietoturvaa ja aiheuttaa hyvää niin samalla vahingossa kajottiin yksittäisen henkilön tietosuojaan. Sähköposti on todella henkilökohtainen viestinnän väline ja suurimmassa osassa tapauksista sitä ei käytetä pelkästään työasioiden hoitoon.

Mitä olisi pitänyt tehdä toisin?

Viestinnän puute oli mielestäni tässä tapauksessa suurin virhe. Kaikille käyttäjille, joihin koekäyttö vaikutti olisi pitänyt viestiä tulevasta ja kertoa miten se saattaa vaikuttaa O365 työkalujen käyttöön. Yksi paljon harmia tuonut asia oli ilmoitukset Trendin toimenpiteistä ja miten ne muun muassa otsikkotasolla paljastivat henkilökohtaista informaatiota.

Nämä ilmoituksetkin olisi pitänyt määritellä siten, että sähköpostiviestin otsikkoa niissä ei olisi näkynyt. Tämän lisäksi on syytä määritellä kenelle mahdolliset ilmoitukset väärinkäytöksistä tai haittaohjelmista laitetaan eteenpäin. Yhtä tärkeää on myös päättää kenellä on oikeudet vapauttaa viestejä karanteenista tai lukea niitä ongelmatilanteissa.

Kaiken tämän jälkeenkin Trendin Cloud App Security jää ainakin omaan mieleeni hyvänä tuotteena, mutta sen käyttöönotto on syytä suunnitella ja toteuttaa huolellisesti.

Kokemustemme perusteella meillä on nyt kuitenkin keinot välttää sudenkuopat ja osaamme entistä paremmin auttaa asiakkaitamme parantamaan oman ympäristönsä tietoturvaa. Jos Office 365 -ympäristön tietoturvan petraaminen kiinnostaa Cloud App Securityn avulla, ota yhteyttä. Trendin Cloud App Securityn koekäyttö onnistuu meidän kauttamme.

Tutustu myös tietoturvan tilannekartoitukseemme.

Laske säästösi

Automatisoi sovelluspäivitykset ja lopeta pikkusoftien kanssa painiminen. Centero Software Manager säästää aikaa, rahaa ja hermojasi.

« Edellinen artikkeli: App-V 5.1 Hotfix 8 ja UE-V 2.1 SP1 Hotfix 3 julkaistu
» Seuraava artikkeli: SCCM 1704 Technical Preview uudet ominaisuudet