Tietoturva ja tietosuoja etätyössä
Koronaviruskriisi mullisti keväällä yritysten ja organisaatioiden työskentelytavat hyvin nopeassa tahdissa. Monet työntekijät siirtyivät pitkäkestoiseen etätyöhön ensimmäistä kertaa elämässään. Lisäksi näyttää siltä, että koronaviruksen aiheuttamat poikkeusolot tulevat kestämään vielä pitkään. Tämä tulee johtamaan merkittävään murrokseen työelämässä. Etätyö on lyönyt itsensä lopullisesti läpi, ja etätyön osuus kokonaistyöajasta tulee olemaan koronavirusepidemian päättymisen jälkeenkin huomattavasti aiempaa korkeampi. Osa yrityksistä kykenee tulevaisuudessa luopumaan yhteisistä toimitiloista jopa kokonaan ja siirtymään täysin hajautettuun toimintaan.
Perinteisten työskentelymenetelmien aika on ohi
Tilitoimistot ovat jo vuosikymmeniä hyödyntäneet laajamittaisesti informaatioteknologiaa omassa työssään. Itse työ on kuitenkin viime aikoihin saakka tehty pitkälti työpaikalla ja kenties kiinteää työasemaa käyttäen. Etätyötä ovat tehneet lähinnä yrittäjät itse ja osa työntekijöistä. Vastaavasti etätyössä vallitseva käytäntö on yrityksen toimialasta riippumatta ollut pitkälti se, että työntekijän käytettävissä on pelkkä kannettava tietokone ja kenties matkapuhelimen mobiilidatayhteys. Henkilöstö voi myös itse ajatella, että etätöissä työskentely keittiön pöydän ääressä kannettavan tietokoneen varassa on täysin normaalia. Tämä on kuitenkin työtehon ja työntekijän hyvinvoinnin kannalta kestämätön ratkaisu.
Oikea tapa tehdä etätyötä tehokkaasti on varustaa etätyöpiste vähintään yhtä hyvin kuin työpaikalla. Tämä tarkoittaa käytännössä sitä, että kannettavan tietokoneen lisäksi etätyöpisteessä on vähintään yksi, mielellään useampi iso näyttö, näppäimistö, hiiri ja tarvittavat muut ergonomiatuotteet. Myös hyvään tietoliikenneyhteyteen, työpöytään ja työtuoliin on syytä panostaa. Työnantaja voi voimavarojensa mukaan tarjota ainakin osan näistä työsuhde-etuna. Nämä investoinnit ennaltaehkäisevät työntekijöiden fyysistä rasittumista ja maksavat itsensä varmasti takaisin myös työtehon olennaisena kohenemisena.
Etätyöskentelyn parhaat käytännöt
Nykyaikainen työelämä perustuu luottamukseen ja itseohjautuvuuteen. Siitä huolimatta sekä työnantajan että työntekijän etu on, että etätyön tekemisestä sovitaan kirjallisella sopimuksella. Työnantajan on myös hyvä antaa henkilöstölle selkeät toimintaohjeet etätyön tekemisestä. Selkeillä toimintamalleilla työnantaja pitää huolta työntekijöistään ja ennaltaehkäisee mahdollisia ongelmatilanteita. Kaikki etätyön tekemiseen liittyvät yksityiskohdat eivät ole aina selviä taloushallinnon ammattilaisillekaan.
On sekä työnantajan että työntekijän etu, että etätyön tekemisestä sovitaan kirjallisella sopimuksella.
Etätyöohjeissa on tietoturvaan ja tietosuojaan liittyvien käytäntöjen lisäksi hyvä ohjeistaa työaikaan ja työtehtävien hoitamiseen liittyvistä parhaista käytännöistä. Esimerkiksi ylitöiden tekeminen etänä on asia, josta on syytä sopia selkeästi erikseen. Työnantajan on myös hyvä harkita vapaaehtoisen vapaa-ajan tapaturmavakuutuksen hankkimista työntekijöilleen. Lakisääteinen työnantajan tapaturmavakuutus korvaa kyllä etätyössä tapahtuneet tapaturmat, mutta sen rajat ovat hyvin tarkkoja.
Haasteet tietoturvalle ja tietosuojalle
Etätyö muodostaa yritysten tietoturvan ja tietosuojan ylläpidolle myös haasteita etenkin fyysisen tietoturvan osalta. Yritysten toimipisteissä fyysiseen tietoturvaan on parhaimmillaan panostettu jo vuosia. Yrityksen toimitiloissa on ihannetilassa esimerkiksi kulunvalvonta, paloilmaisimet, kameravalvonta, turvallinen tietoverkko, asianmukainen turvalukitus ja vartiointi. Asiakkaiden ja muiden ulkopuolisten pääsy tuotantotiloihin on estetty ja myös kollegoiden läsnäolo tuo työntekijöille turvaa.
Etätyössä lähes kaikki edellä kuvatut fyysisen tietoturvan keskeiset elementit ovat pääsääntöisesti poissa. Etätyössä työtä tehdään useimmiten työntekijän kotona, mökillä tai jopa jossakin julkisessa tilassa. Etätyössä työntekijän ympärillä voi olla vähintään perheenjäseniä, mutta usein myös muita ulkopuolisia henkilöitä. Tämä asettaa erityisiä vaatimuksia puhelimitse ja etäneuvotteluina käsiteltävien asioiden hoitoon. Etätyössä onkin välttämätöntä panostaa päätelaitteiden teknisen tietoturvan kehittämiseen, tietoliikenneyhteyksien suojaamiseen ja henkilöstön tietoturvataitojen kehittämiseen.
Lähtökohtaisesti mikä tahansa etätyössä käytettävissä oleva tietoliikenneyhteys soveltuu myös etätyöskentelyyn, jos vain sen suorituskyky on riittävä. Työnantajan etu on varmistua siitä, että työntekijät käyttävät etätyössä riittävän suorituskykyistä tietoliikenneyhteyttä. Tarvittaessa työntekijälle voi tarjota tehokasta tietoliikenneyhteyttä myös työsuhde-etuna. Sen sijaan julkisia ja avoimia tietoverkkoja, kuten hotellien, ravintoloiden tai kirjastojen tietoverkkoja ei kannata käyttää laajamittaisesti etätyöskentelyyn. Toteutustapansa vuoksi ne ovat alttiita huijauksille, kuten valetukiasemille ja tietoliikenteen vakoilulle. Tämä on onneksi Suomessa varsin epätodennäköistä.
Merkittävä osa tavanomaisesta verkkoselailusta on nykyään TLS-salattua. Tästä huolimatta etenkin julkisissa tietoverkoissa toimittaessa kannattaa käyttää lisäturvana VPN-yhteyttä, joka ohjaa kaiken päätelaitteen tietoliikenteen salatun yhteyden lävitse. Jos työnantajan oma VPN-yhteys suojaa vain organisaation sisäverkkoon suuntautuvaa tietoliikennettä, kannattaa etätyöskentelijöiden turvaksi tarjota myös kokonaisvaltaista VPN-palvelua. Modernit kaupalliset VPN-palvelut salaavat kaiken tietoliikenteen, suodattavat verkkoliikenteestä mahdollisia haittaohjelmia ja estävät pääsyn haitallisille sivustoille. Tämä tuo työntekijöiden päätelaitteille lisäturvaa vieraissa tietoverkoissa toimittaessa.
Myös työntekijän kotiverkko muodostaa työpaikan tietoverkkoon nähden pienimuotoisen riskin. Kotiverkkoihin kytketään nykyään monenlaisia laitteita televisioista pesukoneisiin, ja niiden tietoturva on paikoitellen erittäin heikko. Mahdollinen haittaohjelmatartunta tai tietomurto voi saada alkunsa kotiverkon huonosti suojatusta IoT-laitteesta. Työntekijän kotiverkossa kannattaa varmistua siitä, että kotiverkon aktiivilaitteiden (modeemit ja reitittimet) tietoturvapäivitykset ovat automaattisia ja laitteet ovat valmistajan tuotetuen piirissä.
Laitteiden hallintakäyttöliittymän ja langattomien verkkojen oletussalasanat on tärkeää vaihtaa pois oletusarvoista. Langattomien verkkojen suojauksessa taas tulee käyttää vähintään WPA2-tasoista salausta. Työnantajan päätelaitteet kannattaa myös eriyttää omaan langattomaan verkkoonsa. Useimmilla työntekijöillä kotiverkon aktiivilaitteet tulevat suomalaiselta teleoperaattoreilta. Ne huolehtivat omien asiakkaidensa tietoturvasta kiitettävästi. Niinpä päätelaitteiden oletusarvoiset konfiguraatiot ja automaattiset päivitykset ovat nykyään yleensä hyvällä tasolla.
Työntekoon vain työnantajan laitteilla ja järjestelmillä
Työnteossa on turvallisinta käyttää ainoastaan työnantajan osoittamia työvälineitä. Työntekijän henkilökohtainen tietokone tai päätelaite voi olla itsessään jopa suorituskykyisempi kuin työnantajan tarjoama vaihtoehto. Työnantajan on kuitenkin hyvin vaikea varmistua henkilökohtaisen tietokoneen tietoturvasta ja pitää työasiat erillään yksityisasioista. Henkilökohtaisten työvälineiden käyttö on työnantajalle merkittävä riski. Henkilökohtainen päätelaite soveltuu korkeintaan tilanteisiin, jossa varsinainen työ tehdään virtuaalityöpöydän kaltaisessa ratkaisussa (VDI), jossa henkilökohtaiseen päätelaitteeseen ei tallenneta työnantajan tietoja lainkaan. Tämäkään ratkaisu ei suojaa esimerkiksi käyttäjätunnuksia ja salasanoja mahdolliselta päätelaitteessa olevalta haittaohjelmalta.
Kaikki työnantajan tarjoamat päätelaitteet kuten tietokoneet, tabletit ja älypuhelimet on puolestaan tärkeää salata ja suojata salasanakyselyillä. Päätelaitteen salaus (sisällön salakirjoitus, eli kryptaus) estää laitteen tietojen päätymisen vääriin käsiin, jos laite katoaa tai varastetaan. Laitteiden katoamis- ja varastamisriski kasvavat, kun kaikki päätelaitteet ovat työnantajan toimipisteen sijaan hajautettuna henkilöstön koteihin. Useimmat nykyaikaiset päätelaitteet tarjoavat salausta jo oletuksena. Työnantajan on kuitenkin huolehdittava siitä, että salaus otetaan käyttöön asianmukaisella tavalla.
Kaikki työnantajan tarjoamat päätelaitteet kuten tietokoneet, tabletit ja älypuhelimet on tärkeää salata ja suojata salasanakyselyillä.
On myös tärkeää, että kaikki työhön liittyvät dokumentit ja tiedot tallennetaan työnantajan osoittamiin yhteisiin tietojärjestelmiin ja tallennustiloihin joko työnantajan omassa tietoverkossa tai pilvipalvelussa. Jos dokumentteja tallennetaan päätelaitteiden paikalliseen tallennustilaan, kuten työpöydälle, näiden tietojen varmuuskopioinnista ja käytettävyydestä esimerkiksi tuuraustilanteissa on tärkeää huolehtia.
Vielä muutamia vuosia sitten VPN-yhteydet työnantajan tietoverkkoon vaativat monimutkaisia järjestelyitä ja kalliita investointeja. Tilanne on kehittynyt parempaan suuntaan, ja yhä suurempi osa työnantajan tietojärjestelmistä toimii pilvipalveluna ilman erillisiä VPN-yhteyksiä. Mahdollisten VPN-yhteyksien riittävästä kapasiteetista on tärkeää huolehtia etenkin nyt, kun suurin osa henkilöstöstä työskentelee etätöissä. Työnantajan ICT-asioista vastaavan tahon on myös syytä huolehtia siitä, että tietoturvapäivitykset ja vastaavat asetusmuutokset tavoittavat myös etätyössä olevien työntekijöiden päätelaitteet.
Etätöissä joudutaan usein kuljettamaan työnantajan päätelaitteiden lisäksi myös asiakkaiden luottamuksellisia asiakirjoja. Päätelaitteiden ja asiakastietojen turvalliseen kuljettamiseen on syytä kiinnittää erityistä huomiota. Kannettavaa tietokonetta ei ole mahdollisesta salauksesta huolimatta syytä jättää matkustettaessa vartioimatta. Myös etätyöpiste esimerkiksi kotona on hyvä järjestää siten, että luottamukselliset tiedot kantautuisivat mahdollisimman vähän muiden asunnossa oleskelevien tahojen kuulolle ja nähtäville. Työhön liittyvät asiakirjat on tärkeää pitää erillään muista kodin papereista.
Tuhottavat asiakirjat on tärkeää hävittää asianmukaisesti myös kotona, tai tuoda ne toimistolle tuhottavaksi. Työhön liittyvistä asioista on hyvä keskustella puhelimitse ja etäneuvotteluissa siten, että kuulolla ei ole ylimääräisiä korvapareja.
Lisätty 25.11. kappale tietoverkkojen salaamisesta.