Turvallinen etätyö
Yleistä etätyöstä
Etätöissä jokainen on itse vastuussa omasta ja korkeakoulun tietoturvallisuudesta. Etätyötä tehtäessä tulisi noudattaa soveltuvin osin kaikkia samoja turvallisuusperiaatteita kuin varsinaisissa toimitiloissa suoritettavassa työssä.
Keskitymme tässä kirjoituksessa erityisesti tietoturvaan, jonka huomiointi etätyössä on pitkälti jokaisen työntekijän oman valveutuneisuuden varassa: kotona ei ole korkeakoulun turvallisuusorganisaatiota varmistamassa toimitilan turvaratkaisuja kuten kulkuoikeuksia tai työpisteiden sijoittelua. Nostamme esiin hyviä käytäntöjä, joita meidän kaikkien on hyvä huomioida päivittäisessä ”etäilyssämme”.
Huomioi etätyöskentelyssä erityisesti seuraavat asiat:
- Käytä työkonetta vain työtehtävien tekemiseen
- Vältä julkisia langattomia verkkoja
- Käytä VPN-yhteyttä ja vahvaa kirjautumista datan suojaamiseen
- Sijoita etätyöpiste turvalliseen ja rauhalliseen paikkaan
- Varmista, että sivulliset eivät pääse käsiksi luottamukselliseen tietoon
- Tallenna kaikki tiedot pilvipalveluun tai verkkolevylle
- Ole tarkkana huijausyritysten kanssa
Käytä työkonetta vain etätöiden tekemiseen
Edelleen joku saattaisi ajatella, että työdokumenttia voisi työstää kotona omalla kotikoneella ja lähettää yksityisestä sähköpostista eteenpäin työkaverille tai oman työsähköpostiin. Ei kannata. Tämä vaihtoehto pitää unohtaa välittömästi, koska se olisi lähes sama kuin että julkaisisi kaiken avoimesti internetiin kaikkien luettavaksi. Etätöissä pitää siis käyttää vain työnantajan tietokonetta ja sen ohjelmistoja. Näin varmistat lähes saman tasoisen turvallisuuden tietojärjestelmien osalta kuin työpaikalla työskennellessäsi.
Muistathan, että työkone on henkilökohtainen työvälineesi. Sitä eivät saa käyttää muut perheenjäsenet.
Esimerkiksi tietokonepelit, epäluotettavien viihdeverkkosivujen selaaminen tai netistä ladattavien ohjelmien asentaminen työlaitteille voi vaarantaa työnantajan laitteiden turvallisuuden. Ethän siis käytä työnantajan laitteita tai ohjelmistoja sellaiseen toimintaan, joka voi vaarantaa laitteiden tai turvallisuuden. Käytä työtehtävien ulkopuoliseen toimintaan omia laitteitasi ja ohjelmistojasi.
Ethän myöskään liitä työlaitteisiisi lisälaitetta, kuten USB-muistitikkua, jota työnantaja ei ole hyväksynyt. Lisälaitteilta voi tarttua työlaitteille haittaohjelmia, jotka voivat levitä muualle korkeakoulun järjestelmiin.
Etätyössä ja -opiskelussa on erityisen tärkeää, että tietokoneelle asentuvat automaattisesti tarvittavat tietoturva- ja ohjelmistopäivitykset. Huolehdi siis osaltasi siitä, että ohjelmistojen päivitykset tehdään, kun niitä tarjotaan ja ettet käytä päivittämättömiä sovelluksia, myös itse käyttöjärjestelmäpäivitykset.
Opiskelijoillamme yksityinen kone on sekä opiskelutyökalu että vapaa-ajan ja harrastusten väline. Opiskelijakin voi kuitenkin erotella opiskeluun ja vapaa-aikaan käytetyt sovellukset ja välineet niin että opiskelu on mahdollisimman turvallista. Suosittelemme että käytät eri selainta opiskeluun ja muuhun käyttöön, etkä opiskellessa avaisi turhia sovelluksia auki. Ei siis sometusta ja opiskelua samanaikaisesti. Näin todennäköisyys sinulle tärkeiden opintoihin liittyvien tietojen vuotoihin pienenee. Käytä myös mahdollisuuksien mukaan ainoastaan opiskelupaikan sovelluksia ja välineitä äläkä lataa verkosta ilmaissovelluksia, joiden alkuperää ja taustoja et tunne.
VPN-yhteys ja vahva kirjautuminen suojaa datan
Mikäli sinun on etätöissä tarve käsitellä työtehtäviisi liittyviä tietoja muualla kuin kotonasi, vältä julkisia langattomia lähiverkkoja eli WLANia tai Wi-Fi-verkkoja. Myös muilla ihmisillä on pääsy julkiseen Wi-Fi-verkkoon, eikä suojaamattomassa verkossa lähettämiäsi tietoja salata. Jos käytät etätöissä Wi-Fiä, varmista, että se on suojattu salasanalla ja laitteisto on päivitetty. Mikäli suojattua Wi-Fi-yhteyttä ei ole saatavilla, harkitse kannettavan yhteyspisteen (ns. hot spot) luomista omasta työmatkapuhelimestasi.
Pelkällä verkkoyhteydellä ei kuitenkaan pääse turvallisesti kiinni kaikkiin korkeakouluyhteisön palveluihin. VPN-yhteyttä hyödyntämällä saat suojatun yhteyden korkeakoulun sisäverkkoon, josta määrätyt palvelut ovat saatavissa suojattuina. VPN-yhteyden ollessa päällä olet korkeakoulun tietoturvamekanismien suojaamana ja näin riskitasosi on pienimmillään.
Tällä hetkellä sitä ei kuitenkaan kannata käyttää kuin sitä tarvitsevien palveluiden käyttöön. Näin et turhaan kuormita VPN-yhteyksiä ja niiden rajattuja resursseja.
Työkoneella ei muutoinkaan tule seurata esim. valtioneuvoston info-tilaisuutta tai video- tai viihdepalveluita, elleivät ne selvästi kuulu työtehtävien hoitamiseen. Koronaviruksen avulla jaellaan aktiivisesti erilaisia haittaohjelmia ja niitä levitetään mm. ilmaispalveluissa.
Henkilökunnan tulisi ottaa tietokoneella yhteys säännöllisesti (kerran viikossa) korkeakoulun verkkoon, jotta mahdolliset päivitykset ja lisenssitiedot latautuvat koneellesi. Kun saat ilmoituksen päivityksistä, salli ne välittömästi.
Sijoita etätyöpiste turvalliseen ja rauhalliseen paikkaan
Työvälineet ovat kunnossa, kun etäkäytössä on työpaikan tietokone, ohjelmistot ja tietoliikenneyhteys samalla tavalla kuin työskentelisi toimistolla. Etätyössä tulee huolehtia myös työtilan sopivuudesta turvalliseen tiedonkäsittelyyn. Työpisteen sijoittamiseen kannattaa käyttää hetki aikaa, eikä vain istahtaa lähimpään sopivimpaan paikkaan. Ymmärrämme että tämä ei ole aina helppoa, kun nyt kaikki olemme samoissa tiloissa mutta ainakin sensitiivisimpien palavereiden pito rauhallisessa sopukassa olisi toivottavaa. Joku on kuulunut pitävän palaveria jopa saunassa ajoittain.
Turvallisen etätyön kannalta on tärkeää, että työpiste on sellaisessa paikassa, ettei kukaan ulkopuolinen henkilö pääse näkemään tai kuulemaan luottamuksellisia asioita. Käytä kuulokemikrofonia kaiuttimien sijaan ja mykistä mikrofoni tarvittaessa. Näin estät keskustelujen kantautumisen kotoasi.
Työpistettä ei kannata sijoittaa siten, että ulkopuolinen voi nähdä näytön työhuoneen ikkunasta. Nykyaikaisilla kameroilla näkee yllättävän hyvin ja kaukaa lukea työaseman ruudulta tekstit ja esitykset. Sijoita siis työpiste niin, että näyttö ei ole ikkunaan päin.
Pidä työpisteesi puhtaana. Älä jätä papereita lojumaan, vaan suunnittele niille turvallinen säilytyspaikka. Esimerkiksi oma työreppu ja matkalaukkuihin tarkoitettu numerolukko vetoketjuihin on usein riittävä kotiolosuhteisiin.
Toinen helposti etätyötä tehtäessä unohtuva asia on äänieristys. Et voi puhua puhelimessa tai neuvottelussa luottamuksellisista asioista niin, että vaikkapa perheenjäsenet, vieraat tai ohikulkijat kuulevat sinun tai neuvottelun toisen osapuolen puheet. Mieti siis huolella työpisteen sijainti siten, että pystyt vaimentamaan äänet esimerkiksi sulkemalla oven, kun puhut puhelimeen tai olet mukana videoneuvottelussa. Älä käytä henkilöiden nimiä, jos käsittelet arkaluontoisia asioita ja vältä muutenkin keskusteluja, joista yksittäinen henkilö on mahdollista tunnistaa sivullisen kuulijan.
Erota työ ja yksityiselämä niin hyvin kuin olosuhteisiin nähden se on mahdollista, myös ajallisesti.
Perheenjäsenet ja tietosuoja
Etätyön ja etäopiskelun yhteensovittaminen esimerkiksi perhepiirissä tai yhteisasumisessa saattaa olla haasteellista. Etätyön haasteet kannattaa ottaa perheenjäsenten tai muuten samassa tilassa oleskelevien kanssa keskusteltavaksi ja kertoa, että etätyötä suorittaessasi käsittelemäsi tiedot ovat työnantajalle kuuluvia ja voivat olla salassa pidettäviä. Tällaisten tietojen eteenpäin kertominen vaarantaa tietojen luottamuksellisuuden.
Varmista, että perheenjäsenesi tai muut sivulliset eivät käytä työtehtäviesi suorittamiseen tarkoitettuja laitteita (älä anna salasanaasi muille) tai muuten vahingossa pääse näkemään työtietokoneesi tai -puhelimesi näyttöä silloin, kun niillä näkyy luottamuksellisia tietoja.
Mikäli työtietokoneessasi tai -puhelimessasi on näytönsuojakalvo, käytä sitä myös kotioloissa. Lukitse laitteesi (työtietokoneen kohdalla Windows-näppäin + L), kun et ole sen ääressä. Pyri parhaasi mukaan varmistamaan itsellesi rauhallinen tila, jossa voit puhua työasioista. Mikäli sinun on tarpeen käsitellä luottamuksellisia tai salassa pidettäviä asioita, suosi puhelimen sijasta mieluummin salattua sähköpostia, jotta muut eivät pääse kuulemaan puhelua.
Pitäessäsi videopalaveria varmista, mitä taustallasi näkyy. Jos et käytä video-ominaisuutta, on hyvä varmuuden vuoksi peittää kameran ”silmä” esim. paperilapulla tai teipin palalla. Näin ei tule tilanteita, joissa kamera olisi vahingossa päällä tilanteessa, jossa et sitä halunnut.
Tallenna kaikki tiedot pilvipalveluun tai verkkolevylle
Etätyössä ja myös toimistossa työskennellessä on joskus hankalaa pitää huolta aineistojen tietosuojasta. Parhaiten huolehdit siitä varmistamalla, että paperiversioina tai oman tietokoneen levyllä on mahdollisimman vähän luottamuksellista tietoa ja työaseman levy on suojattu salausohjelmistolla.
Tietojen suojaamisvelvollisuus koskee myös mukaan ottamiasi tai etätyöpisteellä tulostamiasi paperimuotoisia asiakirjoja. Vältä mahdollisuuksien mukaan tuomasta paperiaineistoja työpaikalta etätyöpisteellesi ja tulosta työasiakirjoja etätyöpisteellä vain, mikäli se on välttämätöntä. Kun et käytä paperiaineistoja, säilytä ne lukitussa tilassa, johon vain sinulla on pääsy, ja tuhoa paperiaineistot tietoturvallisesti (esimerkiksi tehokkaalla paperisilppurilla) heti, kun niiden käsittely ei ole enää välttämätöntä.
Tallenna tiedot aina verkkolevylle, korkeakouluyhteisön pilvipalveluun, kuten OneDriveen, tai työtiloihin kuten Teamsiin. Tällä toimenpiteellä minimoit etätyössä vahingot, jos tietokone rikkoutuu tai varastetaan.
Varsinkin silloin kun etätöissä on liikkeellä, riski tietokoneen rikkoutumiselle tai häviämiselle on aina suurempi kuin toimistoympäristössä. Kun opettelee hyödyntämään korkeakouluyhteisön keskitettyjä palveluita, säästyy tietokoneen rikkoutumisen tai häviämisen yhteydessä monelta vaivalta. Töitä pääsee myös yleensä jatkamaan varakoneella ilman keskeytyksiä, kun tiedot ovat turvallisesti tallessa pilvessä. Muista että etätyössä noudatamme samaa salassapitovelvollisuutta, jota meiltä työssä ollessa normaalistikin edellytetään. Ollessasi pidempään poissa työpisteeltäsi sijoita kone paikkaan, josta sitä ei heti havaita.
Varaudu hetkellisiin häiriöihin
Laajamittaisen etätyön vuoksi korkeakouluyhteisön järjestelmät ovat tavallisesta poikkeavan käyttökuorman kohteena. Etätyössä on tämän vuoksi hyvä varautua hetkellisiin yhteyksien häiriöihin.
Voit omalta osaltasi vähentää korkeakouluyhteisön järjestelmiin kohdistuvaa kuormaa esimerkiksi kytkemällä kamerasi pois videokokouksista, ellei kameran päällä pitäminen ole välttämätöntä.
Häiriötilanteessa harkitse neuvottelun järjestämistä puhelimitse.
Toimi eturintamana huijausten välttämisessä
Korkeakoulusektori, samoin kuin muutkin toimijat, ovat tällä hetkellä erilaisten internet- ja puhelinhuijausten kohteena. Tällä hetkellä liikkeellä on muun muassa teknisen tuen nimissä soitettuja huijauspuheluita. Vastaavasti koronavirusta hyödynnetään erilaisissa huijausyrityksissä, esimerkiksi vieraasta sähköpostiosoitteesta lähetettävissä uutisissa, joissa pyydetään antamaan henkilökohtaisia tietoja tai klikkaamaan linkkejä.
Miten toimin, jos havaitsen ongelmia tai epäilen tietoturvarikettä?
Työntekijän tulee turvata tietojen luottamuksellisuus sekä raportoida mahdollisista tietoturvaa vaarantavista seikoista esihenkilölleen ja/tai IT-vastaavalle.
Laita viesti myös helpdesk [at] tuni.fi mahdollisissa tietoturvaan liittyvissä ongelmatilanteissa. Arkaluonteisissa tilanteissa ota yhteys tietoturva [at] tuni.fi
Lisätietoa
https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/tee-etatyosta-turvallista-vinkkiemme-avulla
https://www.kyberturvallisuuskeskus.fi/fi/poikkeusoloissa-tukea-kodin-tietoturvaan-ja-turvalliseen-etatyohon