Teamsin tietoturva haltuun käyttäjäystävällisellä ohjauksella
Teams on vallannut työkalupakin tietotyön saralla monissa organisaatioissa. Harva kuitenkaan tietää, että sen käyttöä ei ole oletuksena suojattu tai rajattu. Teamsin tietoturva onkin siksi ensiarvoisen tärkeää ottaa työlistalle heti.
Kirjoittaja
Rami Tamminen
Ensisilmäyksellä
Tässä blogissa kerrotaan, kuinka Teamsin käyttöä voidaan ohjata ja suojata niin, että yhteistyö pysyy helppona mutta tietoturva vahvistuu. Käytännön vinkkien ja luokittelujen avulla organisaatio voi estää vahinkoja ja suojata sensitiivistä tietoa tehokkaasti.
Teams on vakiintunut yritysten viestinnän käyttöön, mutta sen käytön ohjauksen, rajauksen ja suojauksen merkitystä ei ole ymmärretty. Monet M365-ympäristön työkalut integroituvat Teamsiin, minkä takia organisaatioiden tulisi tarkastella käytön turvallisuutta kriittisesti.
Teamsin käyttöä ei ole oletuksena suojattu tai rajattu. Inhimilliset vahingot tapahtuvatkin helposti juuri Teamsissä, koska sen käyttöä ei juurikaan opeteta tai ohjata organisaatioissa. Käyttäjät eivät tahallaan aiheuta riskejä, vaan se tapahtuu pienien asioiden kautta, mikäli suojaus ei ole kunnossa.
Vahingot eivät ole välttämättä tietomurtoriskejä, vaan puhtaasti inhimillisiä: käyttäjä ei esimerkiksi ymmärrä jakavansa tietoa väärästä paikasta tai sitä, että on vahingossa kutsumassa vieraskäyttäjää väärään tiimiin.
Valtaosa Teamsin tietosuojaan ja tietoturvaan liittyvistä riskeistä voidaan ehkäistä yksinkertaisilla käyttöä ohjaavilla määrityksillä.
Edistä Teamsin suojausta käyttäjät edellä
Kun Teamsin käyttöä lähdetään rajaamaan, tulisi se tehdä käyttäjät huomioiden niin, että käytön ja yhteistyön helppous säilyy. Teamsin suojausta tulisi rakentaa loppukäyttäjät edellä. Suojausten ei tulisi näkyä arkea hidastavina ja yhteistyötä rapauttavina tekijöinä. Lisäksi tulisi kiinnittää huomiota tietoturvallisen tietotyön ohjeistamiseen ja kouluttamiseen loppukäyttäjille.
Teamsiin on tuotu hienoja ominaisuuksia, joiden avulla käyttäjän toimintaa saadaan ohjattua tietosuoja mielessä pitäen. Teamsiin on mahdollista tuoda erilaisia käyttäjää helpottavia sääntöjä, joilla sensitiivisen datan jakamista vääristä paikoista voidaan rajoittaa ja näin ehkäistä inhimillisten virheiden vaikutuksia. Sääntöjen avulla voidaan esimerkiksi tarttua siihen, jos joku yrittää Teamsissä jakaa henkilötietoa sisältävää dataa. Kun Teamsissä jakaa kollegalle tietoa sovellus voi muistuttaa, että sen tyyppistä dataa voi jakaa vain sisäisesti.
Jos taas käyttäjä on jakamassa tietoa ulkoisesti, voi Teams estää tiedon jakamisen oletuksena ja kertoa, että käyttäjä on jakamassa henkilötietoja sisältävää arkaluontoista dataa. Perustelun antamalla säännön voi kuitenkin ohittaa, mikä mahdollistaa sen, että tietoa voidaan tarvittaessa jakaa harkitusti.
Käyttäjää voidaan siis muistuttaa, ettei tietynlaista tietoa saisi jakaa ulospäin, mikäli tällainen tietynlainen tietotyyppi tunnistetaan viestistä. Tätä kautta käyttäjiä voidaan hellästi arjen keskellä opettaa jakamaan tietoa oikein.
Tiimien luokitteluilla parannusta
Kun Teamsin tietoturvaa lähdetään parantamaan, tulisi lähteä liikkeelle siitä, että havainnoidaan minkälaisiin käyttötarpeisiin Teamsiä hyödynnetään. Tarpeen määrittelyn kautta Teamsiin voidaan tuoda erilaisia luokituksia, joiden avulla käyttöä voidaan jälleen kerran hellästi rajata.
Organisaatioiden tulisi tunnistaa minkä tyyppistä Teams-käyttöä heidän organisaatiossaan on. Todennäköisesti suurin osa tiimeistä on pelkästään organisaation sisäiseen käyttöön tarkoitettuja tiimejä, joista yksinkertaisesti tieto ei saisi vuotaa ulospäin.
Lisäksi voi olla sidosryhmäkäyttöön tiimejä, joihin pitää pystyä kutsumaan ulkopuolisia käyttäjiä ja mahdollisesti myös jakamaan tietoa ulos sieltä. Näiden lisäksi voi olla väliaikaisia sisäiseen käyttöön tarkoitettuja tiimejä. Voi olla, että näissä tiimeissä on tarve jakaa tietoa ulospäin, mutta ei tarvita mahdollisuutta kutsua ulkopuolisia käyttäjiä itse tiimiin.
Kun organisaatiossa on tunnistettu erilaiset tarpeet tiimeille, voidaan Microsoft 365 -ympäristöön määrittää Teams-tiimeissä hyödynnettävät sensitiivisyysluokittelut, joiden avulla rajataan tiimeissä toimimista. Jokaiselle tunnistetulle luokittelulle voidaan rakentaa omanlaisensa asetukset, kuten saako kutsua ulkopuolisia käyttäjiä tai voidaanko tietoa jakaa ulos vai onko käyttö puhtaasti sisäiseen käyttöön. Lisäksi voidaan esimerkiksi rajoittaa käyttöä, jos laite ei ole organisaation oma. Ulkopuolisilla laitteilla voidaan rajata käyttö vain selainpohjaiseksi.
Kun halutut määritykset on asetettu tiimille, ohjaavat ne tiimien käyttöä tehokkaasti. Kun luokituksia on asetettu tiimeille, näkyvät ne käytännössä käyttäjälle niin, ettei loppukäyttäjä esimerkiksi pysty enää tietyissä tiimeissä kutsumaan tiimiin ollenkaan ulkopuolisia vieraita tai jakamaan tietoa edes vahingossakaan ulospäin.
Luokittelut ovat perustason asiaa, jotka olisi hyvä tunnistaa ja ottaa käyttöön miltei kaikissa organisaatioissa. Jos kuitenkaan organisaatiossa ei syystä tai toisesta haluta laatia luokitteluja, olisi hyvä tunnistaa ainakin tiimien omistajien rajaaminen. Oletuksena tiimien omistajat pystyvät tekemään määrityksiä tiimeissä. Vaikka organisaatiossa ei lähdettäisi tekemään luokitteluja, olisi hyvä vähintäänkin tunnistaa tiimien omistajat, joilla on enemmän valtuuksia tehdä muutoksia. Jokaisella käyttäjällä ei tarvitse eikä pidä olla oikeuksia tehdä muutoksia organisaation eri tiimeihin.
Pääsyn rajaus tiimeihin parantaa Teamsin tietoturvaa
Organisaatioiden olisi hyvä huomioida tiimien asetuksissa myös sisäinen pääsyn rajaus Teamsin tietoturvaa parantaessa. Esimerkiksi osastokohtaisten tiimien kohdalla olisi tärkeää tunnistaa, onko niiden tarpeellista olla kaikille julkisia, vai pitäisikö tiettyyn tietoon ja dataan pääsy rajata vain tietylle porukalle. Etenkin sensitiivisen datan kohdalla tulisi rajata pääsy vain tietoa tarvittaville henkilöille. Esimerkiksi HR:n ja talouden osalta vain kyseisten tiimien työntekijöillä tulee olla pääsy tietoon ja muilla ei saisikaan olla.
Sensitiivisyysluokitteluilla voidaan jo rajata sitä, minkälaisilla laitteilla Teamsiin ja sen tietoihin päästään käsiksi, mutta asiaa tulisi lähestyä myös pääsynhallinnan näkökulmasta. Ehdollisella pääsynhallinnalla voidaan tuoda vahvaa tunnistautumista tietoturvan ja tietosuojan tueksi. Jos miettii, että kaikilla organisaatioilla on sensitiivistä dataa Teamsissä niin GDRP-mielessä pääsynhallinta on asia, mikä tulisi olla kunnossa.
On tärkeää tietää, kuka voi päästä dataan kiinni ja että kyseiset henkilöt on suojattu vahvalla tunnistautumisella.
Pelikirjasta apua suojauksen kehittämiseen
Jos organisaatiossa ei olla vielä tarkasteltu Teamsin tietoturvaa, liikkeelle kannattaa lähteä pelikirjan laatimisesta tietotyöhön ja Teamsin tietoturvalliseen hyödyntämiseen. Näin koko henkilökunnalle saadaan yhteinen toimintamalli.
Jos taas halutaan pohtia konkreettisemmin puhtaasti tietoturvaa, voi apua saada tietoturvatyöpajasta.
Teamsin tietoturva yhteenvetona
- Teams ei oletuksena tarjoa riittäviä suojaus- tai ohjausmekanismeja vaan ne on otettava erikseen käyttöön.
- Inhimilliset virheet ovat yleisin riski. Vahingot tapahtuvat usein huomaamatta, esimerkiksi tiedon jakamisen tai vieraskäyttäjien kutsun yhteydessä.
- Käyttöä voidaan ohjata käyttäjäystävällisesti mm. säännöillä, jotka varoittavat sensitiivisen datan jakamisesta.
- Sensitiivisyysluokittelut auttavat määrittämään, mitä missäkin tiimissä saa tehdä (esim. ulkopuolisten kutsuminen, tiedon jakaminen, käyttöehdot).
- Pääsynhallinta, vahva tunnistautuminen ja laiterajoitukset täydentävät tietoturvaa erityisesti GDPR:n näkökulmasta.
- Pelikirjat ja tietoturvatyöpajat tukevat henkilöstön osaamista ja yhtenäistä toimintakulttuuria.
