Mobiililaitteiden tietoturva työelämässä

Kirjoittaja on viimeisen vuoden tietoverkkopalvelut opintopolun opiskelija Katri Ojaniemi.

Mobiililaitteet ovat tulleet jäädäkseen ja niiden rooli on vakiintunut myös organisaatioympäristöihin. Tämä tarkoittaa sitä, että väistämättä suuri osa mobiililaitteiden käyttäjäkunnasta koostuu sellaisista henkilöistä, joilla ei ole tietoteknistä taustaa eikä välttämättä minkäänlaista ymmärrystä tietoturvasta tai siitä, miten he voivat itse siihen vaikuttaa. Muun muassa Blue Coatin vuonna 2015 tekemä tutkimus osoitti, että työntekijät itsessään ovat omanlaisensa tietoturvariski.

Tietoturvariski kulkee usein käsi kädessä tietämättömyyden tai liiallisen luottamuksen kanssa. Kovinkaan moni ei välttämättä tiedä, miten voisi parhaansa mukaan suojata puhelintaan – pelkkä PIN-koodi kun ei nykyään kanna välttämättä kovin pitkälle, etenkään kun se yhä useissa tapauksissa on 1234. Toisaalta saatetaan myös sokeasti luottaa, että puhelin ei katoa tai joudu varkauden kohteeksi. Varmuuskopiointi tapahtuu useissa tapauksessa automaattisesti (mm. iCloud), mutta muilta osin laitteen tietoja aletaan kaivata useasti vasta sitten, kun vahinko on jo tapahtunut.

Henkilökohtaisen puhelimensa käytöstä ja katoamisesta vastaa luonnollisesti aina käyttäjä itse. Mutta miten on asian laita, kun puhutaan työpuhelimesta? Entä mikäli työntekijä on lisännyt työpaikan sähköpostin omaan henkilökohtaiseen puhelimeensa?

Mobiililaitteiden hallinta puhuttaa monissa yrityksissä, sillä mobiililaitteiden hallinta ei ole aivan yhtä yksinkertaista, kuin vaikka kannettavan tietokoneen hallinta esimerkiksi Active Directoryn kautta. Monissa yrityksissä ei ole vielä lainkaan edes paneuduttu koko asiaan. Mobiililaitteiden hallinta, eli lyhyemmin MDM (mobile data management, modern data management) on kuitenkin jakuvasti kehittyvä osa-alue, jota varten on olemassa useita työkaluja niin kuluttaja-asiakkaita kuin yrityksiäkin varten.

Mobiili laitehallinta mahdollistaa esimerkiksi laitteen lukitsemisen, etäpyyhinnän, etäpaikannuksen ja organisaatioympäristöjä varten myös laitteiden keskitetyn hallinnan, sovellusrajoituksia sekä salaustapojen määrityksiä. Myös laitteiden lisääminen hallintaan (enrollment) voidaan rajata ja sen yhteyteen voidaan lisätä vaatimuksia. Esimerkiksi jos käyttäjä haluaa lisätä yrityksen sähköpostin puhelimeen, voidaan MDM:n avulla luoda sääntö, että työsähköpostin käyttö puhelimella onnistuu vain mikäli sähköpostisovellus suojataan erillisellä salasanalla.

Toistaiseksi on kuitenkin myös joitakin asioita, joita edes MDM ei kykene hallitsemaan, eikä sillä voida esimerkiksi sivuuttaa alustakohtaisia eroavaisuuksia ja laitetunnuksia täysin (esim. Apple ID, Google Account). Myöskään sovelluksia ei voida pakottaa laitteille Group Policyjen tapaan, vaan niitä voidaan ainoastaan tarjota Pull-tyyppisesti käyttäjälle asennettavaksi.

MDM auttaa siis tietoturvan hallinnassa, mutta yksittäisen käyttäjän roolia ei silti voida väheksyä, vaan käyttäjille pitäisi mahdollisesti tarjota jonkinlaista tietoturvakoulutusta. Sama pätee toki kannettaviin tietokoneisiinkin, sillä vaikka niiden hallinta on jo yrityksille tuttua kauraa, myös niiden tietoturva on riippuvainen niiden käyttäjän tavasta käyttää laitettaan.

screenshot.29