Tulostusversio

2/2012

Työelämä: Turvatikku vai ei tikkuja lainkaan?

Teksti: Päivi Männikkö

Työpaikoilla USB-tikkujen tietoturvaongelmiin on kehitetty erilaisia ratkaisuja.

Verohallinnon linja USB-tikkujen suhteen on tiukka: niitä on turha tökätä työasemiin, sillä työasemien USB-portit eivät toimi. USB-laitteiden käyttäminen on pääsääntöisesti estetty.

"Poikkeuksena on esimiehen arvioima, toistuva työtehtävien hoitamiseen liittyvä tarve, jota ei voi korvata muulla tavalla. Pelkkä PowerPoint-esitysten pitäminen ei riitä. Esimies pyytää tällöin oikeudet USB-laitteiden käyttöön", selittää Verohallinnon turvallisuusjohtaja Petri Puhakainen.

"Esimerkiksi minulla ei ole omassa työasemassani USB-oikeuksia"

Puhakaisen mukaan suurin syy USB-laitteiden kieltämiseen on niihin liittyvä haittaohjelmien uhka, ei tietojen salassapito.

"Haittaohjelmiin ei salaava tikku auta."

USB-laitteiden käyttökielto on ollut voimassa Verohallinnossa jo useita vuosia.

"Itse tulin Verohallintoon vuonna 2007, ja kielto oli jo silloin", Puhakainen kertoo.

"Viime vuoden lopulla tilannetta arvioitiin uudelleen, ja tiukkaa linjaa jatketaan."

Miten työntekijät ovat suhtautuneet kieltoon?

"Linjaus ärsyttää mutta toisaalta saa myös hyväksyntää, kunhan perusteet muistetaan kertoa."

Sama tikkumalli koko talolle

Viestintävirastossa USB-laitteiden hankinnan ja käytön pelisäännöt perustuvat tietoturvallisuuden hallintajärjestelmän mukaiseen yleisohjeeseen, jossa linjataan tikkujen käyttöperiaatteet. Tietohallinto valitsee vaatimukset täyttävän tikkumallin, jota kaikki työntekijät käyttävät.

"Viestintävirastossa käytetään niin sanottua rautasalaavaa tikkua. Se tarkoittaa, että salaus toimii tikun omilla prosessoreilla", turvallisuuspäällikkö Jani Arnell kertoo.

Markkinoilla on myös ohjelmistosalaavia tikkuja. Niiden salauksen toimimiseksi tikku asentaa tietokoneeseen erillisen ohjelman. Arnellin mukaan rautasalaus toimii eri laitteissa varmemmin kuin ohjelmistosalaus.

Viestintäviraston tikuissa on salasanaan tai sormenjälkeen perustuva tunnistusmahdollisuus. Tunnistamisessa suositaan lähtökohtaisesti sormenjälkitunnistusta.

Kertakäyttötikku lisäisi turvaa vierailuilla

Olipa salausmenetelmä millainen hyvänsä, haittaohjelmat ovat iso ongelma tikkujen käytössä. Verkossa liikkuvista haittaohjelmista osa törmää organisaation verkon valvontajärjestelmiin. Tikussa oleva haittaohjelma sen sijaan saapuu suoraan työasemaan ohittaen verkkotason valvonnan.

Haittaohjelmien leviämistä saattaa edistää niin sanottu varjo-IT: työntekijät haluavat käyttää töissä omia laitteitaan ja kytkeä niihin työtikkunsa. Arnellin mukaan Viestintävirastossa työpaikan tikkujen käyttöä omissa laitteissa ei ole kielletty, mutta sitä ei suositella.

Tietoturvan kannalta ongelmallisia ovat myös vierailut työpaikan ulkopuolella. Esimerkiksi usein seminaarien esitelmäaineistot pitää toimittaa muistitikulla, joka sitten kytketään usein luvattoman huonosti suojattuun kokoustilan tietokoneeseen.

”Esityspaikkaan jätettävä ’kertakäyttötikku’ olisi hyvä vaihtoehto, jos organisaation rahkeet vain riittävät”, Arnell pohtii.

Vaatimukset kiristyvät lähivuosina

Valtionhallinnon tietoturvallisuusasetuksen toimeenpano kiristää Viestintäviraston käytäntöjä entisestään lähivuosina. Vuosiin 2014–2015 mennessä luokitukseltaan eritasoisille aineistoille pitää olla erilaiset käsittely-ympäristöt. Silloin luottamuksellista tietoa saa siirtää vain suojaukseltaan samantasoisten laitteiden välillä.

”Esimerkiksi kotikone ei täytä luottamuksellisen tiedon suojausvaatimuksia”, Arnell huomauttaa.

Lue myös

Työelämä: Suuryritykset tietoturvaloukkausten kohteina »
Työelämä: Onko töissäsi USB:n mentävä tietoturva-aukko? »
Työelämä: USB-tikuissa varottava automaattista toistoa »
Työelämä: Toisen kirjettä ei saa avata luvatta »
Työelämä: Tarvitaanko Lex Nokiaa? »
Työelämä: Työtoverin sähköpostiin ei kosketa »
Henkilötiedot: Saako pomo nähdä sairauslomatodistuksen? »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.