Etätyöloikka aiheutta tietoturvariskejä – osa ei ole vieläkään korjannut ongelmia: "On ollut sellainen ajatus, että vauhti korjaa virheet"

Etätyö polkaistiin monin paikoin käyntiin äkkiarvaamatta ja melko lailla tyhjistä.

Siinä on riskinsä, F-Securen tietoturvajohtaja Erka Koivunen kertoo. Hänen mukaansa moni etätyön mahdollistava muutos verkkoinfrastruktuuriin tehtiin tietoturvasta tinkien ja mutkia oikoen.

– Muutokset on tehty välittömänä tavoitteena saada palvelut toimimaan, ei niinkään yläpidettäviksi tai turvallisiksi. On ollut sellainen ajatus, että vauhti korjaa virheet, ja myöhemmin voidaan palata rakentamaan systeemit kuntoon, hän muotoilee.

– Väitän, että yhdellä jos toisellakin organisaatiolla on vieläkin korjaamatta.

Koivunen peräänkuuluttaa nyt verkkojen valvontaa ja sitä, että yritykset tarkistaisivat, onko kiireessä päädytty avaamaan työntekijöille turhankin laajoja pääsyjä firman verkon palveluihin.

Suojaamattomien laitteiden määrä kasvoi

Hätäratkaisut ovat näkyneet myös kyberturvallisuuskeskukselle. Tietoturva-asiantuntija Aino-Maria Väyrynen kertoo, että maaliskuussa suojaamattomien laitteiden määrä Suomen verkoissa kasvoi neljänneksellä vuoden alusta.

Tällä hän tarkoittaa esimerkiksi sitä, että tyypillisesti toimiston suojatussa sisäverkossa käytettävä tiedostojenjakopalvelu tuli nyt näkyville julkiseen internetiin. Näin niin laitteet kuin käyttäjät altistuvat väärinkäytöksille.

Väyrynen kehottaakin painokkaasti organisaatioita varmistamaan, että niillä on tiedossa, mikä osa niiden verkkoliikenteestä kulkee salatun VPN-yhteyden kautta ja mikä on avoimessa verkossa.

Epäonnistunut päivitys pelottaa

Ongelmat voivat lisääntyä etätyön jatkuessa. Koivunen arvelee seuraavaksi haasteeksi tietokoneiden ja puhelimien päivittämisen, joka on tietoturvan kannalta keskeistä.

Monissa organisaatioissa päivitykset on aiemmin hoidettu sisäverkoissa tai fyysisesti työpaikalla.

– Nyt kun ollaan Rymättylässä tai toisella puolella maailmaa, ei olekaan mikrotukea apuna.

Asiaa hankaloittaa se, että pieleen mennyt päivitys voi pahimmassa tapauksessa saattaa työvälineen käyttökelvottomaksi.

– Osalla organisaatioita tämä on johtanut siihen, että ne eivät uskalla tehdä muutoksia eli asentaa ohjelmistopäivityksiä, kun ne pelkäävät kuollakseen rikkovansa sen ympäristön, Koivunen kuvaa.

– Tällaisia jälkiä alkaa aivan varmasti näkyä nyt kun ollaan yli puoli vuotta eletty poikkeustilassa.

Pulmat kertautuvat Koivusen mukaan kansainvälisissä firmoissa, joissa laitteiden kuljettaminen turvallisesti työntekijältä toiselle on hankalaa ja kallista. Lisäksi matkalla oleva kone saattaa vielä juuttua kuukausiksi tulliviranomaisten varastoihin.

”Ei kyberuhka eikä tietotekninen ongelma”

Koivunen painottaa kuitenkin, että koronaviruksessa on ennen kaikkea kyse sairaudesta – ja sitä kautta uhkana häilyy myös henkilöstön sairastuminen.

– Firmoille haluaisin muistuttaa, että korona ei lähtökohtaisesti ole kyberuhka eikä tietotekninen ongelma, hän huomauttaa.

– Jos merkittävä osa työvoimasta lakoaa sairaaksi, alkaa esiintyä kokonaan toisenlaisia liiketoiminnan jatkuvuusuhkia. Jos ei tähän mennessä organisaatiossa ole tehty selvitystä siitä, ovatko jotkut liiketoiminnan prosessit tai järjestelmät ainoastaan yhden henkilön varassa, niin nyt on viimeistään syytä ruveta miettimään, onko ne dokumentoitu kunnolla ja onko varahenkilöitä koulutettu.