Päätelaitteiden suojaaminen

Julkaistu 5.9.2019.
Artikkelin lukuaika n. 5 minuuttia.

Verkkoon ja Internetiin kytketyt laitteet ovat vaarassa ilman asianmukaista suojausta, koska niihin voidaan hyökätä verkon yli mistä päin maailmaa tahansa, ilman että käyttäjä edes huomaa hyökkäystä. Aina haitallinen taho ei ole kiinnostunut laitteella olevista tiedoista, vaan hyökkääjän tarkoitus on päästä hyödyntämään laitteiden resursseja, tai käyttää laitetta reittinä muihin järjestelmiin, jolloin varsinaista hyökkääjää ei voida jäljittää ja hyökkäyksen lähde johtaa murrettuun laitteeseen. Laitetta voidaan käyttää esimerkiksi roskapostin lähettämiseen, teollisuusvakoiluun, palvelunestohyökkäyksiin tai kryptovaluuttojen louhintaan.

Joissakin tapauksissa hyökkääjää kiinnostaa laitteen sisältämät käyttäjän tiedot. Tiedot voivat olla esimerkiksi henkilökohtaisia tallenteita, joilla käyttäjää voidaan kiristää, tai ne voi olla henkilötietoja, joiden avulla hyökkääjä voi hyödyntää käyttäjän identiteettiä vaikkapa hakemalla käyttäjän nimiin luottokortin tai passin. Pahimmillaan tämä voi johtaa käyttäjän luottotietojen menettämiseen tai identiteetin käyttämiseen rikollisiin tarkoituksiin, josta voi seurata vakavia oikeustoimia käyttäjää kohtaan. Kiinnostaviin tietoihin voi kuulua myös yrityssalaisuuksia, kuten sopimuksia, tuotannonohjaukseen liittyvää informaatiota tai tuotekehityksen tuottamaa tuotetietoa. Tietojen menetyksen lisäksi yritys voi samalla menettää myös mahdollisen kilpailuetunsa tai maineen aleneman myötä asiakkaita. Kukaan ei siis voi ajatella pärjäävänsä ilman suojausta vain sen vuoksi, että laitteelle ei olisi tallennettu mitään tärkeää.

Monessa yrityksessä käytetään ilmaisia tietoturvasovelluksia, jotka tarjoavat vain perussuojaa, kun taas kehittyneemmät suojaustekniikat löytyvät maksullisista yritystuotteista. Ilmainen suoja voi riittää kotikoneissa, mutta yrityksessä tietoturva on oltava jokaisessa päätelaitteessa kunnossa. Laitteen ollessa sisäverkossa, yksikin suojaamaton laite voi mahdollistaa muiden suojauksien kiertämisen.

Työasemien suojaaminen

Työasemiin kuuluvat esimerkiksi Windows- ja Macintosh -käyttöjärjestelmillä toimivat kannettavat ja pöytäkoneet. Usein kuulee sanottavan, ettei Mac -laitteita tarvitsisi suojata, koska niille ei olisi haittaohjelmia. Tämä on erittäin yleinen ja väärä käsitys, Mac-laitteet ovat nykyään yhtä suosittuja hyökkäyskohteita kuin Windows -laitteetkin ja niiden suojaaminen tietoturvasovelluksella on pakollista.

Perinteisesti haittaohjelmia on torjuttu päivittämällä virustorjuntaohjelmiston haittaohjelmatietokanta useita kertoja päivässä, mutta tällaisen suojan perässä pysyminen ei ole enää mahdollista; yhdessä päivässä voi tulla tuhansia uusia haittaohjelmia. Yleensä ne ovat pieniä variaatioita aiemmista haitakkeista, jotta tunnistesuojaus pystytään kiertämään. Kehittyneissä turvaohjelmistoissa hyödynnetään sovelluksen käyttäytymisen analysointia ja jos sovellus tekee jotain epänormaalia, se estetään. Sovellus voi myös hyödyntää valmistajan pilvipalvelua, josta tietoturvasovellus kysyy uuden ohjelman haitallisuudesta. Tällaiset edistyneet ominaisuudet puuttuvat monesti ilmaistuotteista.

Mobiililaitteiden suojaaminen

Mobiililaitteilla tarkoitetaan tyypillisesti matkapuhelimia ja tabletteja sekä muita laitteita, jotka toimivat  Android- tai iOS-mobiilikäyttöjärjestelmällä. Mobiililaitteisiin kohdistuvat uhat ovat yleistyneet räjähdysmäisesti älypuhelinten yleistyttyä yrityksissä. Älypuhelinten käyttäminen on perusteltua, koska se helpottaa työn-, tuotannon- ja taloudenohjausta sekä viestintää. Mobiililaitteet ovat kuitenkin usein vailla mitään suojaa, vaikka ne ovat kytkettynä yrityksen langattomaan verkkoon. Tämä mahdollistaa hyökkääjän etenemisen yrityksen tietoverkkoihin suojaamattoman mobiililaitteen kautta. Lisäksi mobiililaitteet sisältävät usein pääsyn yrityksen sähköpostiin sekä sisäisiin järjestelmiin, kuten asiakasrekisteriin ja työnohjaukseen.

Mobiililaitteet kulkevat mukana myös yrityksen tilojen ulkopuolella, joten on mahdollista, että laite katoaa tai se voidaan varastaa. Puhelimen PIN-koodi on helppo tapa estää asiaton pääsy tällaisissa katoamistapauksissa. Laitteen normaalia käyttöä voidaan helpottaa biometrisellä tunnistautumisella, kuten sormenjälki- tai kasvojentunnistuksella.

Koska älypuhelin on käytännössä pieni tietokone, siinä tulee olla vähimmillään haittaohjelmasuojaus. Lisäksi langaton yhteys tulisi suojata automaattisella VPN-tunneloinnilla, jolloin puhelin muodostaa suojatun yhteyden palveluntarjoajan VPN-päätepisteeseen ja tunneloi kaiken liikenteen sen kautta. VPN-toteutus voi olla myös yrityksen oma. Tämä mahdollistaa sen, että puhelinta on turvallista käyttää myös julkisissa langattomissa verkoissa.

Mobiililaitteisiin ei myöskään tule asentaa mitä tahansa sovelluskaupasta löytyviä sovelluksia ja kannattaakin aina harkita varsinkin pienten ohjelmistotekijöiden tuotteiden kohdalla, haluaako asentaa laitteeseensa sovelluksen, jonka käyttäytymisestä ei ole varmaa tietoa. Sovelluksen haluamat resurssit kannattaakin käydä läpi ennen asennusta, esim. taskulamppusovellus ei tarvitse toimiakseen laitteen sijaintitietoa tai pääsyä kalenteri- ja yhteystietoihin. Tällaiset sovellukset tulee jättää asentamatta.

Keskitetty hallinta

Tietoturvan toteutus saattaa kuulostaa mutkikkaalta, mutta onneksi tehokkaat suojakeinot ovat edullisia ja helppoja käyttää, erityisesti silloin, kun tietoturva on toteutettu keskitettynä IT-tuen toimesta. Tällöin tietoturvan tuntevat ammattilaiset pystyvät seuraamaan tietoturvan kokonaistilaa ja reagoimaan syntyviin tietoturvauhkiin sekä huolehtimaan siitä, että kenenkään käyttäjän laitteisiin ei jää huomaamattomia tietoturva-aukkoja. Keskitetty hallinta mahdollistaa ylläpidolle näkymän koko laitekantaan ja tietoturvan kokonaisvaltaiseen tilaan.