Ratkaisu yrityksen hallituksen BYOD-vaatimukseen

BYODista (Bring Your Own Device) eli omien työkalujen käyttämisestä työnteossa on puhuttu paljon. Tässä kirjoituksessa tarjotaan yhtä ratkaisua ongelmaan ja kehotetaan täydellisen kontrollin tavoittelun sijasta luottamaan käyttäjän omaan päätelaitteeseen vain tarpeellisilta osin.

Keskustelut BYODista alkoivat kuluttajistumisen myötä, kun työntekijät kokivat saavansa paremmat työkalut työhönsä kaupasta kuin omalta organisaatiolta. Nämä pyynnöt on ollut helppo ohittaa, kunnes yrityksen hallitus esittää saman – ja  vaatimuksena.

Useimmiten ongelmana BYODissa on se, että perinteiset turvakontrollit eivät päde laitteissa, joihin yrityksellä ei ole hallintaa. Osa IT:stä ulkoistaa ongelman työntekijän kanssa tehtävällä sopimuksella, joissa työntekijä velvoitetaan ylläpitämään korkeaa turvatasoa; osa taas ottaa BYOD-laitteet kokonaan haltuunsa ja samalla laitteen omistajuus muuttuu epäselvemmäksi; ja osa taas sallii BYODin  toimivan vain näyttölaitteena tiedon etäkäyttöön (VDI-ratkaisu; Virtual Desktop Infrastructure). Lisäksi aina on vaihtoehtona tiedon luokitteluun perustuva osittainen tietojen käsittelyn lupa. Toki omien laitteiden käyttö voidaan kokonaan kieltääkin.

Jotta ongelmaan löytyisi parempi ratkaisu, pitää vaatimus käytön turvallisuudesta pilkkoa osiin. Yksi tapa pilkkomiselle on miettiä käyttäjän tunnistusta, siirtotietä ja päätelaitteen turvallisuutta erillisinä kokonaisuuksina.

Tunnistus Käyttäjän tunnistus on BYOD-näkökulmasta helppo, sillä se rajaa yleisesti käytetyistä, vahvoista tunnistusmenetelmistä pois oikeastaan vain sertifikaatit. Vahvaan tunnistukseen toimivat edelleen mm. tekstiviesti- ja token-pohjaiset ratkaisut, oli päätelaite mikä tahansa.

Siirtotie Siirtotieksi vaaditaan perinteisesti VPN-tunneloitua yhteyttä laitteen ja palveluiden välille. Erona VPN-tunneloiduissa yhteyksissä on mm. verkkopankkien käyttämään HTTPS-yhteyteen se, että VPN:ään pakotetaan usein koko päätelaitteen liikenne, kun taas HTTPS:ää käyttää vain yksi palvelu. Tämä on tärkeää silloin kun suojattavaan tietoon voi päästä kiinni usealla eri tavalla. Monissa yrityksissä HTTPS-liikennettäkin ajetaan VPN-yhteyden sisällä etäkäytössä, toisin sanottuna sama tieto salataan kahdesti.

Päätelaite Todellinen ongelma on päätelaitteen turvallisuus. Koska oikeaan BYODiin ei kuulu päätelaitteen haltuunottaminen, tulee yrityksen voida luottaa päätelaitteeseen – tai sen osaan sellaisenaan. Monilla VPN-ratkaisujen valmistajilla on ns. päätelaitetarkastukseen pohjautuvia ratkaisuja, joissa ennen siirtotien avaamista tulee päätelaitteen täyttää tietyt kriteerit. Parempi ratkaisu on luottaa päätelaitteessa vain pieneltä osin ja rajata työnteko tälle luotetulle osalle. Toisin sanottuna tiedon käsittelyyn käytettävä sovellus tulisi pystyä eriyttämään yrityksen tieto omaan, salattuun turvatilaan (container) ja sovellusta tulisi voida ajaa omassa turvallisessa hiekkalaatikossaan (sandbox).
 

Ratkaisuna verkkopalveluiden suojaaminen ja luotettu selain

Liiketoimintasovellukset ovat siirtymässä entistä enemmän selaimella käytettäväksi. BYODin kannalta tämä tarkoittaa ratkaisujen yksinkertaistumista, sillä verkkopalveluiden suojaaminen on verrattain helppoa. Jokaiseen verkkopalveluun voidaan pienellä vaivalla lisätä edustapalvelin, joka tunnistaa käyttäjät vahvalla menetelmällä, suojaa siirtotien HTTPS-yhteydellä sekä korjaa ohjelmistojen haavoittuvuuksia sovelluspalomuurilla (Web Application Firewall, WAF). Lisäksi edustapalvelin parantaa näkyvyyttä palvelun käyttöön mahdollistaen tietoturvatapahtumien valvonnan. Päätelaitteen turvallisuudesta vastaa suojattu selain (Armored/Sandboxed Browser), joka on pakotettu käyttöön edustapalvelimelta käsin. Vaikka selainpohjaisuus ei ole tehokkain ratkaisumalli esimerkiksi sähköpostin käyttöön ratkaisee tämä malli ainakin hallituksen pääsyn kokouspöytäkirjoihin ja talouslukuihin mistä tahansa sekä kaikilla tavallisilla päätelaitteilla – vaikkapa sitten nettikahvilasta.

Kirjoittaja Pietari Sarjakivi kehittää Nixussa Tietoturvan tilannekuva ja tietoverkkoturvallisuus -liiketoimintaa, jonka tarkoituksena on auttaa asiakkaita rakentamaan kokonaisvaltaista tietoturvan seurantaa sekä turvallisia verkkoympäristöjä.