Teams on vallannut työkalupakin tietotyön saralla monissa organisaatioissa. Sen sujuvuus tuo etuja, mutta tietoturvaa ei saa unohtaa.

Teams on vakiintunut yritysten viestinnän käyttöön, mutta sen käytön ohjauksen, rajauksen ja suojauksen merkitystä ei ole ymmärretty. Monet M365-ympäristön työkalut integroituvat Teamsiin, minkä takia organisaatioiden tulisikin tarkastella käytön turvallisuutta kriittisesti.

Teamsin käyttöä ei ole oletuksena suojattu tai rajattu. Inhimilliset vahingot tapahtuvatkin helposti juuri Teamsissä, koska sen käyttöä ei juurikaan opeteta tai ohjata organisaatioissa. Käyttäjät eivät tahallaan aiheuta riskejä, vaan se tapahtuu pienien asioiden kautta, mikäli suojaus ei ole kunnossa. Vahingot eivät ole välttämättä tietomurtoriskejä, vaan puhtaasti inhimillisiä: käyttäjä ei esimerkiksi ymmärrä jakavansa tietoa väärästä paikasta tai sitä, että on vahingossa kutsumassa vieraskäyttäjää väärään tiimiin.

Valtaosa Teamsin tietosuojaan ja tietoturvaan liittyvistä riskeistä voidaan ehkäistä yksinkertaisilla käyttöä ohjaavilla määrityksillä.

Edistä Teamsin suojausta käyttäjät edellä

Kun Teamsin käyttöä lähdetään rajaamaan, tulisi se tehdä käyttäjät huomioiden niin, että käytön ja yhteistyön helppous säilyy. Teamsin suojausta tulisi rakentaa loppukäyttäjät edellä. Suojausten ei tulisi näkyä arkea hidastavina ja yhteistyötä rapauttavina tekijöinä. Lisäksi tulisi kiinnittää huomiota tietoturvallisen tietotyön ohjeistamiseen ja kouluttamiseen loppukäyttäjille.

Teamsiin on tuotu hienoja ominaisuuksia, joiden avulla käyttäjän toimintaa saadaan ohjattua tietosuoja mielessä pitäen. Teamsiin on mahdollista tuoda erilaisia käyttäjää helpottavia sääntöjä, joilla sensitiivisen datan jakamista vääristä paikoista voidaan rajoittaa ja näin ehkäistä inhimillisten virheiden vaikutuksia. Sääntöjen avulla voidaan esimerkiksi tarttua siihen, jos joku yrittää Teamsissä jakaa henkilötietoa sisältävää dataa. Kun Teamsissä jakaa kollegalle tietoa sovellus voi muistuttaa, että sen tyyppistä dataa voi jakaa vain sisäisesti.

Jos taas käyttäjä on jakamassa tietoa ulkoisesti, voi Teams estää tiedon jakamisen oletuksena ja kertoa, että käyttäjä on jakamassa henkilötietoja sisältävää arkaluontoista dataa. Perustelun antamalla säännön voi kuitenkin ohittaa, mikä mahdollistaa sen, että tietoa voidaan tarvittaessa jakaa harkitusti.

Käyttäjää voidaan siis muistuttaa, ettei tietynlaista tietoa saisi jakaa ulospäin, mikäli tällainen tietynlainen tietotyyppi tunnistetaan viestistä. Tätä kautta käyttäjiä voidaan hellästi arjen keskellä opettaa jakamaan tietoa oikein.

Tiimien luokitteluilla parannusta tietoturvaan

Kun Teamsin tietoturvaa lähdetään parantamaan, tulisi lähteä liikkeelle siitä, että havainnoidaan minkälaisiin käyttötarpeisiin Teamsiä hyödynnetään. Tarpeen määrittelyn kautta Teamsiin voidaan tuoda erilaisia luokituksia, joiden avulla käyttöä voidaan jälleen kerran hellästi rajata.

Organisaatioiden tulisi tunnistaa minkä tyyppistä Teams-käyttöä heidän organisaatiossaan on. Todennäköisesti suurin osa tiimeistä on pelkästään organisaation sisäiseen käyttöön tarkoitettuja tiimejä, joista yksinkertaisesti tieto ei saisi vuotaa ulospäin.

Lisäksi voi olla sidosryhmäkäyttöön tiimejä, joihin pitää pystyä kutsumaan ulkopuolisia käyttäjiä ja mahdollisesti myös jakamaan tietoa ulos sieltä. Näiden lisäksi voi olla väliaikaisia sisäiseen käyttöön tarkoitettuja tiimejä. Voi olla, että näissä tiimeissä on tarve jakaa tietoa ulospäin, mutta ei tarvita mahdollisuutta kutsua ulkopuolisia käyttäjiä itse tiimiin.

Kun organisaatiossa on tunnistettu erilaiset tarpeet tiimeille, voidaan Microsoft 365 -ympäristöön määrittää Teams-tiimeissä hyödynnettävät sensitiivisyysluokittelut, joiden avulla rajataan tiimeissä toimimista. Jokaiselle tunnistetulle luokittelulle voidaan rakentaa omanlaisensa asetukset, kuten saako kutsua ulkopuolisia käyttäjiä tai voidaanko tietoa jakaa ulos vai onko käyttö puhtaasti sisäiseen käyttöön. Lisäksi voidaan esimerkiksi rajoittaa käyttöä, jos laite ei ole organisaation oma. Ulkopuolisilla laitteilla voidaan rajata käyttö vain selainpohjaiseksi.

Kun halutut määritykset on asetettu tiimille, ohjaavat ne tiimien käyttöä tehokkaasti. Kun luokituksia on asetettu tiimeille, näkyvät ne käytännössä käyttäjälle niin, ettei loppukäyttäjä esimerkiksi pysty enää tietyissä tiimeissä kutsumaan tiimiin ollenkaan ulkopuolisia vieraita tai jakamaan tietoa edes vahingossakaan ulospäin.

Luokittelut ovat perustason asiaa, jotka olisi hyvä tunnistaa ja ottaa käyttöön miltei kaikissa organisaatioissa.​ Jos kuitenkaan organisaatiossa ei syystä tai toisesta haluta laatia luokitteluja, olisi hyvä tunnistaa ainakin tiimien omistajien rajaaminen. Oletuksena tiimien omistajat pystyvät tekemään määrityksiä tiimeissä. Vaikka organisaatiossa ei lähdettäisi tekemään luokitteluja, olisi hyvä vähintäänkin tunnistaa tiimien omistajat, joilla on enemmän valtuuksia tehdä muutoksia. Jokaisella käyttäjällä ei tarvitse eikä pidä olla oikeuksia tehdä muutoksia organisaation eri tiimeihin.

Pääsyn rajaus tiimeihin

Organisaatioiden olisi hyvä huomioida tiimien asetuksissa myös sisäinen pääsyn rajaus. Esimerkiksi osastokohtaisten tiimien kohdalla olisi tärkeää tunnistaa, onko niiden tarpeellista olla kaikille julkisia, vai pitäisikö tiettyyn tietoon ja dataan pääsy rajata vain tietylle porukalle. Etenkin sensitiivisen datan kohdalla tulisi rajata pääsy vain tietoa tarvittaville henkilöille. Esimerkiksi HR:n ja talouden osalta vain kyseisten tiimien työntekijöillä tulee olla pääsy tietoon ja muilla ei saisikaan olla.

Sensitiivisyysluokitteluilla voidaan jo rajata sitä, minkälaisilla laitteilla Teamsiin ja sen tietoihin päästään käsiksi, mutta asiaa tulisi lähestyä myös pääsynhallinnan näkökulmasta. Ehdollisella pääsynhallinnalla voidaan tuoda vahvaa tunnistautumista tietoturvan ja tietosuojan tueksi. Jos miettii, että kaikilla organisaatioilla on sensitiivistä dataa Teamsissä niin GDRP-mielessä pääsynhallinta on asia, mikä tulisi olla kunnossa.

On tärkeää tietää, kuka voi päästä dataan kiinni ja että kyseiset henkilöt on suojattu vahvalla tunnistautumisella.

Pelikirjasta apua suojauksen kehittämiseen

Tietotyön pelikirja ja tietoturvatyöpajat auttavat organisaatioita kehittämään Teamsin tietoturvallista käyttöä. Jos organisaatiossa ei olla vielä tarkasteltu Teamsin tietoturvaa, liikkeelle kannattaa lähteä pelikirjan laatimisesta tietotyöhön ja Teamsin tietoturvalliseen hyödyntämiseen. Näin koko henkilökunnalle saadaan yhteinen toimintamalli Teamsin käyttöön ja tietotyöhön.

Jos taas halutaan pohtia konkreettisemmin puhtaasti tietoturvaa, voi apua saada tietoturvatyöpajasta.