Vuosi 2020 on ollut mullistava. Etätyökulttuuri rantautui isosti työntekijöiden arkeen, ja siitä tuli yhdessä yössä tietotyöläisten arkea.

Muutos siirsi yritykset ryminällä pilveen, ja jo nyt työskentelemme pilviratkaisujen parissa nopeammin ja tehokkaammin kuin koskaan aiemmin. Yrityksissä tehtiinkin suuria ponnistuksia, jotta liiketoiminta saatiin rullaamaan uudessa normissa.

On vain yksi iso mutta: kaiken kiireen keskellä tietoturva on jäänyt monella organisaatiolla huomioimatta.

Etätyö aiheuttaa uusia tietoturvariskejä

Etätyöhön ja pilveen siirtymisen myötä organisaatioista tuli maalitauluja kansainvälisille murtautujille.

Toisin kuin usein luullaan, koko ei ole merkittävä tekijä kohteen valinnassa, vaan myös pienet yritykset ovat hyökkääjien mielenkiinnon kohteena – jos ei muuten, niin välietappina isompiin kohteisiin.

Huonoja uutisia lisää se, että liiketoiminnan siirtyessä pilveen, paikalliset suojauskeinot eivät ole enää yhtä tehokkaita. Tehokas virustorjunta tai järkähtämätön palomuuri ei auta, jos työntekijän identiteetti ja data varastetaan pilven kautta. (Jep, auts.)

Identiteetti on uusi palomuuri

Sisäverkossa työskentelyssä täytyy turvallisuuden puolesta huomioida se, että työasemien ja palvelimien palomuurit on asetettu oikein haitallisen verkkoliikenteen torjumiseen sekä se, että sisäverkon suojaus on kunnossa

Pilvessä työskennellessä palomuurit eivät ole suojauksen ensimmäinen linja, vaan käyttäjän identiteetti ja käyttäjätunnus toimivat avaimena yrityksen tietoihin. Tämä näkyy muun muassa räjähdysmäisenä kalasteluviestien kasvuna, joissa käyttäjiä yritetään huijata tunnuksiensa luovuttamiseen. Varastettujen tunnusten myynti- ja ostobisnes kukoistavat verkossa.

Tarvittavat työkalut löytyvät M365-paketistasi: Microsoft 365 Business Premium

Mutta sitten hyviin uutisiin: Pilveen siirtyminen vaatii uusia työkaluja tietoturvan osalta. Tarvittavat ratkaisut saa kuitenkin suoraan Microsoft 365:n kautta.

Tietoturvaominaisuudet vaihtelevat käytössä olevan M365-lisenssin mukaan, mutta myös pienemmät toimijat saavat Enterprise-tason tietoturvaominaisuuksia ottamalla käyttöön Microsoft 365 Business Premium -lisenssin.

Microsoft 365 Business Premium tarjoaa PK-yrityksille yhdistelmän tehokkaita pilvipohjaisia työkaluja, ja tietoturvaratkaisuja lyömättömään hintaan.

Avaintekijänä M365:n tietoturvaratkaisuissa on se, että koska käyttäjän identiteetti ja data ovat pilvessä, myös tietoturvaratkaisut toimivat pilvessä ja skaalautuvat globaalisti. Näin myös PK-yritykset saavat ruuvattua tietoturva-asetuksensa pilvimaailman vaatimalle tasolle.

 

Näillä ominaisuuksilla se onnistuu:

MFA eli monivaiheinen tunnistautuminen estää tunnetusti yli 99 % identiteettivarkauksista. Se onkin yksi tehokkaimpia yksittäisiä tietoturvan parantajia, ja siksi se pitäisi olla ehdottomasti käytössä.

Aktiivista puolustautumista uhkia vastaan ei kuitenkaan kannata rajoittaa vain MFA:n käyttöönottoon. Koska Microsoft 365 on globaali kirjautumisalusta, ja kirjautumisia voi tulla useista eri sijainneista, on M365:llä työkaluja myös näiden hallintaan.

Microsoft 365 Business -lisenssiin kuuluvan Azure AD Premium P1 -tuotteen myötä käyttäjien kirjautumistiedot ovat paremmin ylläpitäjän nähtävillä Azure AD -hallintapaneelissa.

Haitallisten kirjautumisyritysten löytäminen voi olla haastavaa ja aikaa vievää puuhaa erityisesti isommissa ympäristöissä. Siksi pakettiin kuuluu myös Risky Users -ominaisuus, joka kaivaa kirjautumisista tutkimisen arvoisia tapahtumia.

Näitä voi olla vaikkapa käyttäjän normaalikäytöksestä poikkeavat kirjautumiset (esim. yleensä Helsingissä kirjautuva käyttäjä kirjautuukin yhtäkkiä palveluun Lontoosta) tai anonyymiosoitteista tapahtuvat kirjautumiset. Tai sitten kyseessä voi olla tietomurtojen seurauksena nettiin vuodettujen tunnusten löytäminen, jotka toimivat myös Microsoft 365 -kirjautumistunnuksina.

Riskikäyttäjien tunnistamisen lisäksi Microsoft 365 Business Premium pitää sisällään myös nipun muita näppäriä työkaluja käyttäjien identiteetin hallintaan. Palvelu sisältää muun muassa Self Service Password Reset -tuotteen, joka on varmasti monen lomilta palaavan työntekijän mieleen.

Jos salasana on unohtunut, asia voidaan hoitaa kätevästi kuntoon salasananvaihtoportaalissa. Palveluun tunnistautuminen voidaan hoitaa kätevästi esimerkiksi puhelimeen tai Authenticator-sovellukseen tulevalla viestillä, jolla varmistetaan että salasanaa vaihtava henkilö on oikealla asialla.

Password Writeback hoitaa homman kuntoon myös käyttäjille, joiden käyttäjätunnus sijaitsee Active Directoryssa.

Organisaatio on myös mahdollista suojata heikoilta salasanoilta Password Protection -tuotteella, jolla voidaan kieltää ne kaikkein helpoimmat salasanat (kuten viikonpäivät, kuukaudet yms.). Listaan voidaan määrittää yli 1000 kiellettyä salasanaa.

Tämänkin tuotteen voi ulottaa Active Directoryyn tarvittaessa.

Microsoft 365 Business Premium sisältää herkkuja myös laitehallintaan. Jokainen käyttäjä saa lisenssin Intuneen, pilvipohjaiseen laitehallintaan, jolla voidaan hallinnoida mm. Android- ja Apple-laitteita, sekä tietysti myös Windows 10 -työasemia.

Intune antaa mahdollisuuden hallinnoida yrityksen tietokoneita. Vaikka paikallinen laitehallinta jo löytyisikin, Intunella voi laajentaa hallintaa puhelimiin ja tabletteihin, jotka usein ovat tietoturvan sokea piste.

Intuneen vietyjä laitteita voi hyödyntää osaltaan myös Conditional Access -tuotteessa, jolla voidaan määrittää skenaariopohjaisia kirjautumisia.

Haluatko esimerkiksi että firman sähköpostia voi lukea vain Intunen hallitsemilta laitteilta? – Onnistuu!

Tai haluatko että MFA:ta kysytään vain laitteilla, jotka eivät ole yrityksen hallinnassa? – Onnistuu sekin!

Vai haluatko että Sharepointia voi käyttää vain selaimella? – Arvasit oikein, tämäkin onnistuu!

Conditional Accessilla on tärkeä rooli, kun luodaan sääntöjä siitä, kuka pilvessä saa käyttää mitäkin resurssia ja millä tavalla.

Organisaatioiden tallentaessa jatkuvasti enemmän dataa pilveen, nousee datan riittävä suojaus yhdeksi tärkeimmistä prioriteeteista.

Microsoft 365 sisältää jo itsessään monia tiedon suojaamisen tekniikoita, mutta esimerkiksi Azure Information Protection -tuote antaa organisaatiolle mahdollisuuden suojata ja luokitella tiedostoja siten, että vaikkapa yritysjohdon sisäinen muistio ei aukea kuin johtoryhmän henkilöillä, vaikka tiedosto päätyisikin väärän henkilön haltuun.

Näin data on varmasti vain niiden henkilöiden käytettävissä, joille se kuuluu.

Azure Information Protection tarjoaa myös mahdollisuuden sähköpostien suojattuun lähettämiseen, joka on varmasti monelle organisaatiolle mieluisa ominaisuus.

Lisenssiin kuuluva Data Loss Prevention -tuote tulee varmasti hyödylliseksi vaikkapa siinä vaiheessa, kun joku on vahingossa lähettämässä kaikkien työntekijöiden sosiaaliturvatunnukset sisältävää sähköpostia.

Data Loss Prevention tunnistaa kielletyt materiaalit niiden rakenteen perusteella (esim. luottokorttinumerot, sosiaaliturvatunnukset, pankkinumerot jne.), jolloin niiden jakaminen ulkomaailmaan voidaan estää.

Yksi Microsoft 365 Business Premiumin valttikortti on kehittynyt tietoturvaratkaisu  Office 365 ATP, joka valvoo käyttäjien turvallisuutta useiden eri tekniikoiden voimin.

Yleensä Office 365 ATP täytyy hankkia erillisenä lisenssinä, tai osana E5-tason Enterprise -lisenssejä. Business Premium -käyttäjille käyttöoikeus kuitenkin kuuluu kaupan päälle.

Safe Attachments -ominaisuus skannaa sähköpostien liitetiedostot ja päättelee niiden käytöksen perusteella ovatko ne turvallisia vai ei.

Safe Links puolestaan tarkkailee käyttäjien klikkaamia linkkejä ja varoittaa, mikäli linkin takana lymyää jotain haitallista.

Anti-phishing taas tarkkailee osaltaan käyttäjien saamia viestejä ja estää havaitsemansa tietojenkalasteluryitykset käyttäen kehittyneitä tekniikoita.

Onko yrityksesi suojauksessa aukkoja?

Identiteetin ja tietojen tehokkaan suojaaminen on jokaisen tietoturvatietoisen organisaation ykkösprioriteetteja.

Siispä mikäli Microsoft 365 Business Premium ei ole vielä PK-yritykselläsi käytössä, siihen siirtymistä kannattaa todellakin harkita.

Sen tuotteilla saatte käyttöönne pilvimaailman vaatimat tehokkaat suojaukset, jotka eivät häviä laadussa isoille organisaatioille tarjotuissa palveluissa.

Ja jos lisenssi on jo hankittu, muista, että tietoturvan täyteen timanttiin hiominen vaatii työtä, koska kaikki tuotteet ja ominaisuudet eivät ole oletuksena käytössä. Hyvä uutinen on se, että pilvipohjaisten tuotteiden käyttö ei vaadi isoa vaivaa, joten jo parissa päivässä saat paljon aikaiseksi.

 

Lisää aiheesta webinaaritallenteessa  💻 🎧

Kävimme Peten kanssa Microsoft 365 -tietoturvaominaisuuksia läpi 13.8.2020 webinaarissa

Katso tallenne

 

Janne Nevalainen

#Konsultti

Janne toimii Tietokeskuksessa senioritason konsulttina ja kouluttajana. Hänen erikoisosaamisaluetta ovat Teams, O365 ja muut Microsoftin viestintäratkaisut.