Centeron asiantuntija, Tuukka Tiainen, kirjoittaa havainnoistaan Trend Cloud App Security -tuotteen käyttöönotosta Centeron omassa Office 365 -ympäristössä. Kyseinen tarina on myös oiva esimerkki siitä, miten organisaation tietoturva ja yksilön tietosuoja saattavat yllättäen näyttäytyä toistensa suhteen ristiriidassa.

Huoli tietoturvasta

Eräs tietoturvan osa-alueista on sähköposti ja siihen liittyvät ilmiöt kuten haittaohjelmat, kiristysohjelmat ja saastuneet linkit. Teemme jatkuvasti Office 365 -käyttöönottoprojekteja, ja olemme huomanneet asiakkaidemme kiinnittävän yhä enemmän huomiota tietoturvaan. Osittain kasvaneeseen huomioon on syynä EU:n tietosuoja-asetus (GDPR), jota aletaan noudattamaan keväällä 2018.

Lisää paksuutta Office 365 -suojaukseen

Mielestämme Microsoftin Office 365 -palveluun sisällytetyt tietoturvatyökalut ovat itsessäänkin hyviä, mutta niitä ei voi välttämättä muokata niin paljon kuin ehkä haluttaisiin. Päätimme kokeilla omassa ympäristössämme Trendin Cloud App Security -tuotetta, joka vahvistaa Office 365:n tietoturvaa usealla eri tavalla. Testijakson tarkoituksena oli nimenomaan saada realistinen kuva tuotteesta, jotta voimme tilanteen mukaan suositella sitä asiakkaillemme.

Cloud App Security on mainio ratkaisu, koska se ei tarvitse omaa infrastruktuuria vaan se toimii pilvestä ja ottaa yhteydet suoraan Office 365:een. Tein tuotteelle esikonfiguroinnin, joka sisälsi liitokset seuraaviin tuotteisiin Exchange Online, Sharepoint ja Onedrive for Business. Seuraavassa vaiheessa otin Centeron tietoturvavastaavan mukaan ja kävimme yhdessä läpi Trendin tuotteen käytännöt, ilmoitukset ja tarkemmat asetukset.

Millaiset käytännöt?

Sovimme pääasiallisesti, että laitetaan alussa tiukemmat säännöt ja määritellään ilmoitukset estetyistä viesteistä, estetyistä tiedoista ja mahdollisista karanteeneista tulemaan itse käyttäjälle sekä meidän tiketöintijärjestelmän omaan sisäisen IT:n työjonoon. Tarkoituksena oli siis selvittää oman organisaation lähtötilanne ja käyttäytyminen samalla kertaa. Asetukset koskivat edellä mainittujen teknologioiden osalta haittaohjelmia, spämmin estoa, virtuaalista hiekkalaatikkoa ja web-mainetta. Tämän lisäksi määrittelimme, että henkilötunnuksia saa käsitellä salaamattomana ympäristössämme.

Kun tuulettimeen osuu jotain

Jo vuorokauden sisällä tuotteen käyttöönotosta alkoi kuulua kysymyksiä liittyen sähköpostin kulkuun.  Ainakin kaksi meiltä päin lähtenyttä sähköpostia oli joko mennyt roskakoriin tai jäänyt karanteeniin. Pian tämän jälkeen kollegani sähköpostiin tuli ilmoitus estetystä viestistä sisältäen viestin otsikon, koska työjonomme uudet työt tulevat hänen sähköpostiinsa. Tämä viesti oli toiselta kollegaltani ja sisälsi henkilökohtaista ja yksityistä informaatiota jo pelkästään otsikkotasolla.

Seuraavaksi sain kuulla, että yksi erittäin tärkeä viesti oli jäänyt karanteeniin. Ymmärrettävästi huolestuneet kollegani tivasivatkin, että mistä viestit vapautetaan karanteenista ja ovatko nuo viestit muiden tarkasteltavissa.

Selittelyä, ei silittelyä

Edellisillä esimerkeillä haluan täsmentää, miten suuri vaikutus yksinkertaisella työkalulla voi olla pienessäkin organisaatiossa. Kaikki edellä mainitut tapaukset menivät oikein määriteltyjen sääntöjen mukaisesti. Sähköpostiviestissä oli lähetetty CMD-tiedosto liitetiedostona, yhdessä sähköpostiviestissä oli lisäsovelluksen tuoma Trendin epäilyttäväksi toteama linkki ja suomalainen henkilötunnus oli lähetetty salaamattomana viestinä.

Vaikka työkalulla oli tarkoitus parantaa tietoturvaa ja aiheuttaa hyvää niin samalla vahingossa kajottiin yksittäisen henkilön tietosuojaan. Sähköposti on todella henkilökohtainen viestinnän väline ja suurimmassa osassa tapauksista sitä ei käytetä pelkästään työasioiden hoitoon.

Mitä olisi pitänyt tehdä toisin?

Viestinnän puute oli mielestäni tässä tapauksessa suurin virhe. Kaikille käyttäjille, joihin koekäyttö vaikutti olisi pitänyt viestiä tulevasta ja kertoa miten se saattaa vaikuttaa O365 työkalujen käyttöön. Yksi paljon harmia tuonut asia oli ilmoitukset Trendin toimenpiteistä ja miten ne muun muassa otsikkotasolla paljastivat henkilökohtaista informaatiota.

Nämä ilmoituksetkin olisi pitänyt määritellä siten, että sähköpostiviestin otsikkoa niissä ei olisi näkynyt. Tämän lisäksi on syytä määritellä kenelle mahdolliset ilmoitukset väärinkäytöksistä tai haittaohjelmista laitetaan eteenpäin. Yhtä tärkeää on myös päättää kenellä on oikeudet vapauttaa viestejä karanteenista tai lukea niitä ongelmatilanteissa.

Kaiken tämän jälkeenkin Trendin Cloud App Security jää ainakin omaan mieleeni hyvänä tuotteena, mutta sen käyttöönotto on syytä suunnitella ja toteuttaa huolellisesti.

Kokemustemme perusteella meillä on nyt kuitenkin keinot välttää sudenkuopat ja osaamme entistä paremmin auttaa asiakkaitamme parantamaan oman ympäristönsä tietoturvaa. Jos Office 365 -ympäristön tietoturvan petraaminen kiinnostaa Cloud App Securityn avulla, ota yhteyttä. Trendin Cloud App Securityn koekäyttö onnistuu meidän kauttamme.

Tutustu myös tietoturvan tilannekartoitukseemme.

Lisää luettavaa aiheesta:

Mikä sinua ärsyttää tietoturvapäivityksissä?

Tietokoneiden päivitykset voivat saada ihmisen hulluuden partaalle. Kone saattaa buuttailla kesken kaiken, työt voivat jäädä kesken ja pahimmillaan tallentamattomat työt häviävät. Käy kertomassa Facebook-kisassamme, mikä sinua ärsyttää ohjelmistopäivityksissä. Arvomme 10 kpl 2 kpl leffalippupaketteja vastanneiden kesken. Pääset kisaan klikkaamalla alla olevaa ilmoitusta. TeemuErikois-Ässämies Erikois-Ässä sinkoilee salaman lailla Centero Caven propagandaosaston, savumerkkien lähettämiskeskuksen ja erikoishärvelien rakennuspajan […]

Active Directory -ympäristön tietojen synkronointi Azure AD -palveluun

Azure AD palvelu Jos organisaatiossasi on jo käytössä Azure AD -hakemisto ja haaveilet oman sisäisen Active Directory ympäristön tietojen synkronointia Azure AD -palveluun niin lukaiseppa tämä blogi. Azure AD on siis aina käytössä jos esimerkiksi Office 365 -palvelu on käytössä. Tänne on siis tallennettu kaikki käyttäjät, jotka voivat käyttää Microsoftin pilvipalveluita (Office 365, Microsoft Intune, […]