arrow left Ajankohtaista

Näin varmistat pilvipoh­jai­sen Microsoft Teamsin tietoturvan

Nopeasti lisääntyneen etätyön seurauksena yhä enemmän liiketoiminnallesi arvokasta ja luottamuksellista tietoa siirtyy käyttäjien vanavedessä Microsoft Teamsiin sekä muihin pilvipohjaisiin järjestelmiin. Microsoft Teams, tai mikään muukaan pilvipalvelu, ei itsessään ole turvaton - päinvastoin. Sen sijaan käyttäjätunnusten turvaaminen on kaiken A ja O, kun tietoa käsitellään Microsoft Teamsin ja muiden vastaavien pilvipalveluiden sisällä. Toisin sanoen, Teams on yhtä turvallinen kuin sen käyttäjätunnus.

nain-varmistat-pilvipohjaisen-microsoft-teamsin-tietoturvan.jpg

Monissa yrityksissä käyttäjätunnusten turvaaminen jätetään käyttäjien harteille ja samalla mahdollistetaan inhimilliset virheet, joita voi sattua kenelle tahansa meistä. Käyttäjätunnusten turvaamiseen on kuitenkin olemassa helppoja ja automaattisia ratkaisuja, jotka eivät perustu käyttäjien aktiivisuuteen tai muistiin.

Lue, kuinka yrityksen tietoturvasta vastaavana ammattilaisena voit varmistaa, että Teamsiin liittyvät tietoturvan perusteet ovat sinunkin yrityksessäsi kunnossa ja, kuinka poistat turhia riskejä siitä, että ulkopuolinen pääsisi käsiksi käyttäjätunnuksiin ja tietoihin.

”Palomuuri riittää” - väärinkäsi­tyk­set Microsoft Teamsin ja pilven tietoturvasta

Microsoft Teamsin tietoturva ei ole itsenäinen ominaisuus vaan kiinteä osa koko Microsoft 365:n ja pilvipalveluiden tietoturvaa. Siinä missä voit suojata esimerkiksi yrityksesi tietokoneita ja palvelimia palomuurilla ja virustentorjuntaohjelmistoilla, Teamsin tietoturvassa on kyse suurelta osin käyttäjätunnusten turvaamisesta. Kuka pystyy kirjautumaan mihinkin palveluun milläkin tiedoilla, ja mihin tietoihin kullakin käyttäjätunnuksella on käyttöoikeus? Pilvitunnusten turva syntyy siis vahvasta tunnistautumisesta.

On tavanomainen harhaluulo, että yrityksen pilvijärjestelmiin murtauduttaisiin voimalla. Yleensä pilvipalveluihin ei kuitenkaan tarvitse edes murtautua – siis sanan varsinaisessa merkityksessä. Tyypillinen tilanne nimittäin on se, että käyttäjä itse on epähuomiossa luovuttanut tarvittavan salasanan tunkeutujalle.

Tietomurto voikin näin olla näennäisesti täysin tavanomainen kirjautuminen, jonka vain tekee täysin väärä ihminen. Kun väärällä henkilöllä on tiedossa jonkun kollegasi käyttäjätunnus ja salasana, voi hän pahimmassa tapauksessa päästä samalla tunnuksella kaikkiin käytössä oleviin järjestelmiin.

“Ketä nyt edes kiinnostaisi meidän tiedot?”

Kuulen usein, että yrityksissä tietoturva jätetään vain perustasolle sillä verukkeella, että oman yrityksen tietoja ei pidetä salaisina tai ulkopuolisia kiinnostavina. Vaikka tietojenkalastelut kohdistetaankin usein suurimpiin yrityksiin, voivat pienemmät organisaatiot toimia välietappina ja väylänä tietoturvamurrossa suurempiin organisaatioihin ja niiden luottamuksellisiin tietoihin.

Vaikka yrityksesi omia tietoja ei vuodettaisi, voi yrityksesi tahattomasti toimia väylänä isomman yrityksen tietomurtoon esimerkiksi niin, että yrityksesi sähköpostista lähetetään uskottavia kalasteluviestejä asiakkaasi tai yhteistyökumppanisi sähköpostiosoitteisiin. Tämä voi tietysti olla ikävä kolaus maineellesi, mutta se voi myös johtaa yhteystyönne päättymiseen.

Varmista huipputason tietoturva yrityksellesi – poimi kokoamamme neljä neuvoa!

Käyttäjätun­nus­ten turvaaminen on kaiken A ja O

Vaikka tietoturvakäytännöistä viestiminen sekä käyttäjien koulutukset ovat tärkeä osa aukottoman tietoturvan rakentamista, yrityksesi tietojen ja tunnusten turvallisuuden ei pitäisi koskaan riippua vain käyttäjistä. Käyttäjillekin on varmasti mukavampaa, että työnantajayritys on huolehtinut tietoturvasta heidän puolestaan ja auttaa estämään inhimilliset virheet.

Microsoft on kehittänyt Teamsin ja muiden pilvipalveluidensa tietoturvaa paljon ja ominaisuudet ovat monipuolisia. Työyhteisöso tietoturvavastaavilla ja IT-ammattilaisilla on nykyään monia mahdollisuuksia luoda sääntöjä, jotka parantavat yrityksesi tietoturvaa ja tekevät epäluotettavat käyttäjätunnuksien väärinkäytökset mahdottomiksi.

Lue lisää, miksi Microsoft on tietoturvaltaan pilvipalveluiden ykkönen.

Käyttäjätunnuksien turvaaminen on siis kaiken A ja O pilvessä. Yrityksesi käyttäjätunnuksille kannattaa luoda ainakin tällaisia automaattisia sääntöjä ja rajauksia:

  • Vaadi vahvaa tunnistautumista kirjautuessa ja aseta oletukseksi se, että laitteet vaativat pin-koodia tai salasanaa jo lyhyen käyttämättömyyden jälkeen.

  • Salli kirjautuminen ainoastaan luotettaviksi todetuilta laitteilta. Näin pahantahtoinen tietojenkalastelija ei pääse sisään, vaikka tietäisikin salasanan. Pelkästään tämä auttaa estämään valtavan osan vääristä kirjautumisyrityksistä.

  • Salli kirjautuminen ainoastaan niistä maista, joissa työntekijäsi ovat.

  • Estä kirjautuminen, jos kirjautumissijainnit vaihtelevat nopeasti. Useimmat meistä eivät voi siirtyä tunnissa Euroopasta Pohjois-Amerikkaan. Uusista paikoista tulevat kirjautumisyritykset kannattaa siis estää automaattisesti.

Vinkit nopeaan tietoturvako­hen­nuk­seen Microsoft Teamsissä

Kun suojaat käyttäjienne tunnukset ilman, että se näkyy käyttäjille, yrityksesi tietoturva on varmemmissa käsissä. Älä siis jätä vastuuta tietoturvasta yrityksesi käyttäjille, vaan ennakoi ja estä haitalliset kirjautumiset Teamsin asetuksista käsin.

Poimi tästä neuvomme nopeaan tietoturvakohennukseen Microsoft Teamsissä:

  • Ota käyttöön monivaiheinen tunnistautuminen eli MFA (Multi-factor authentication). Kun käytössä on vahva tunnistautuminen, tarvitaan kirjautumiseen käyttäjätunnuksen ja salasanan lisäksi aina jotain muutakin. Vaihtoehtoisia tunnistautumistapoja voivat olla esimerkiksi puhelimeen saatava vahvistuskoodi tai kirjautumisen kuittaus erillisestä sovelluksesta.

  • Rakenna tehokas tietoturvan valvonta, joka huomaa poikkeavat kirjautumiset reaaliaikaisesti. Keskimäärin kestää jopa puoli vuotta, että yritys huomaa ulkopuolisen päässeen kirjautumaan yrityksen tilille ja käsiksi yrityksesi tietoihin. Oikein suunniteltuna järjestelmä auttaa yritystäsi havaitsemaan tietomurrot välittömästi ja ryhtymään toimenpiteisiin ilman turhaa viivettä.

  • Hyödynnä rohkeasti myös maksullisia tietoturvaa parantavia toiminnallisuuksia. Kaikkein vaivattomimmat ja monipuolisimmat tavat luoda sääntöjä käyttäjätunnuksille ja tunnistautumiselle löytyvät yleensä maksullisten omanaisuuksien puolelta.

  • Tarvittaessa pyydä ammattilaista kartoittamaan yrityksesi tietoturvan tila. Asiantuntija voi varmistaa, missä kunnossa yrityksesi pilviympäristön, käyttäjätunnusten ja sähköpostin tietoturva on ja millä toimenpiteillä sitä on mahdollista parantaa entisestään. Monipuolinen kartoitus on hyvä tapa saada konkreettinen tehtävälista tietoturvanne kehittämiseen.

Yrityksen tietoturva huipputerään – kartoita tietoturvan tila

Kun varmistat, että käyttäjätunnuksilla voi todella kirjautua vain oikeat ihmiset, yrityksesi käyttäjien tai sinunkaan ei tarvitse huolehtia Teamsiin tallennettujen tietojen turvasta.

Teams-tunnusten tietoturvan perustukset luodaan automaattisilla säännöillä ja käyttäjille vaivattomalla, vahvalla tunnistautumisella. Edistyneiden ja erityisesti suurten organisaatioiden vaatimuksiin löytyy lisäksi paljon mahdollisuuksia vahvistaa esimerkiksi Teamsin kanavakohtaisia suojauksia. Mitä pidemmälle viet tietoturvaa yrityksessäsi, sitä enemmän toiminta perustuu zero trust -periaatteeseen ja automatiikkaan.

Haluatko varmistaa, että yrityksessäsi noudatetaan tietoturvan parhaita käytäntöjä? Fellowmindin näppärän tietoturvakartoituksen avulla saatte selkeän kuvan Microsoft 365 -pilvenne tietoturvan tilasta ja, suosituksemme siitä, mitä se pitäisi olla sekä miten pääsette haluamaanne tavoitteeseen. Voimme myös valvoa tietoturvaasi ja reagoida nopeasti mahdollisiin väärinkäytöksiin puolestasi.

Atte Ljungqvist

Atte auttaa asiakasyrityksiä modernien pilvityökalujen hyödyntämisessä Fellowmind Finlandin infrapalveluiden tiimissä. Ota yhteyttä: atte.ljungqvist@fellowmind.fi