Tietoturva videoneuvotteluissa

Etätyöt ovat koronan takia yleistyneet radikaalisti, ja etätöiden tietoturvasta on puhuttu paljon, myös tässä blogissa. Ajattelin saamieni kysymysten pohjalta käsitellä tarkemmin tiettyä ala-aihetta eli videoneuvottelujen tietoturvaa. Pohjana käytetään Yhdysvaltalaisen tiedusteluviranomaisen NSA:n opasta aiheesta joka sisältää hyviä vinkkejä eri järjestelmien vertailuun ja turvalliseen käyttöön, sekä havainnollistavan vertailutaulukon yleisimmistä tuotteista.

Korostan että valinta siitä mitä videoneuvottelusovellusta käytetään ja miten sitä käytetään tulisi aina perustua organisaation omaan käytössä olevaan dataan, tietoturvapolitiikkaan ja riskiarvioon. Sen perusteella voidaan määritellä halutut ominaisuudet, joiden perusteella voidaan tehdä valinta. Ohessa olevat dokumentit antavat hieman osviittaa siitä, mitkä ratkaisut voivat olla sopivia mihinkin tilanteeseen, ja niiden sisällöstä on tehty tässä yhteenveto ja muutamia johtopäätöksiä. Mikään ratkaisu ei ikävä kyllä ole täydellinen, joten ratkaisun valinnassa ja käytössä tulee olla tarkkana.

Tämä blogi käsittelee erityisesti työhön liittyvää tietoturvaa, mutta ohjeita voi ja kannattaa soveltaa myös siviilikäyttöön!

Turvalliset neuvottelut

NSA antaa erittäin hyvän listan asioista jotka tulee ottaa huomioon videoneuvottelujen yhteydessä. Ohessa lista hieman mukailtuna:

  1. Käytä videoneuvotteluihin organisaatiosi hallinnoimia laitteita, eli älä hoida neuvotteluja siviililaitteillasi.
  2. Jos lataat videoneuvottelusovelluksen, varmista että lataat sen oikeasta lähteestä. Esimerkiksi haittaohjelmia voidaan naamioida videoneuvottelusovelluksiksi. Lataa mieluiten virallisesta sovelluskaupasta, äläkä missään nimessä lataa linkistä jonka olet saanut odottamatta.
  3. Varmista että salaus on päällä ennen kuin aloitat neuvottelun. Useimmissa palveluissa tämä on päällä valmiiksi, mutta tarkista onko https-yhteys kunnossa tai onko erillinen salausasetus jonka voi laittaa päälle.
  4. Lähetä kokouskutsut niin turvallisella tavalla kuin mahdollista. Älä esimerkiksi lähetä kokouskutsuja julkiselle foorumille. Jos kutsu on lähetettävä salaamattomana tai muuten turvattomasti, lähetä salasana tai pin-koodi erillisellä metodilla (esimerkiksi tekstiviestillä).
  5. Varmista että vain halutut osallistujat ovat osallisina sekä ennen kokousta että jatkuvasti sen aikana. Tähän tarkoitukseen on esimerkiksi erilaisia “auloja”. Vastuuta joku tunnistamaan osallistujat. Mikäli muita tapoja ei ole käytössä, käytä ääntä ja kuvaa tunnistamiseen. Jaa käyttöoikeuksia vain tarpeen mukaan.
  6. Varmista että kaikki jaettu informaatio on sellaista, jonka näkemiseen tai kuulemiseen kaikilla osallistujilla on oikeus. Varmista että ruudunjaossa näkyy vain haluttu asia. Pidä mielessä organisaatiorajat.
  7. Varmista että fyysinen ympäristösi ei johda ei-haluttuun pääsyyn ääneen, videoon tai dataan. Muista että esimerkiksi perheenjäsenkään ei saa kuulla luottamuksellista tietoa!

Jos järjestät webinaareja, niin keskity erityisesti kutsujen ja pääsyoikeuksien sekä kokouksen aikaisten käyttöoikeuksien hallintaan. Webinaareissa tulee aina olla erillinen vastuuhenkilö vastaamassa webinaarin teknisestä toteutuksesta.

Tuotteiden ominaisuuksista

Tärkeitä asioita joita tuotteita valittaessa tulee tarkistaa ovat:

Salaus, mielellään päästä päähän (E2E) ja tunnetuilla standardeilla. Päästä päähän-salaus suojaa datan liikennettä osallistujien välillä. Tunnetut standardit ovat luotettavimpia, sillä ne ovat moneen kertaan tutkittuja ja testattuja.

Monivaiheinen tunnistus suojaa tapaamista varmistamalla paremmin osallistujien identiteetin. Silloin pelkkä käyttäjätunnuksen ja salasanan saaminen haltuun ei riitä neuvotteluun pääsemiseen.

Osallistujien hallinnoinnissa tärkeää on, että tapaamisen pitäjä voi nähdä ja kontrolloida ketkä osallistuvat tapaamiseen. Kotimainen esimerkki siitä mitä käy kun kuka tahansa voi osallistua: https://www.is.fi/digitoday/tietoturva/art-2000006469731.html

Yksityisyyspolitiikasta tulee tarkistaa miten dataa voidaan jakaa palveluntuottajalle tai kolmansille osapuolille.

Turvallinen datan poisto mahdollistaa esimerkiksi sisällön ja käyttäjätilien poiston niin ettei niihin enää päästä käsiksi.

Avoin vai suljettu lähdekoodi? Avoin lähdekoodi mahdollistaa helpommin esimerkiksi tietoturvatutkijoiden tekemät testit, ja helpottaa haavoittuvuuksien ja muiden tietoturvaongelmien löytämistä, tehden usein lopulta tuotteesta turvallisemman.

Tietoturvasertifioinnit: onko palvelulla tai tuotteella yksi tai useampi luotettavana pidetyn arviointitahon antamaa tietoturvasertifikaattia?

Lailliset seikat esimerkiksi viranomaiskäyttöön: varmista omaa organisaatiotasi ja käsittelemääsi dataa koskeva lainsäädäntö ja vaikuttaako se tuotteen valintaan.

Nopea sana markkinoiden tarjonnasta

NSA:n dokumentissa on melko kattava vertailu eri tuotteista ja niiden ominaisuuksista, johon suosittelen tutustumaan. Yleisesti voi sanoa, että isojen IT-talojen tarjoamat tuotteet ovat melko turvallisia, ja niissä myös haavoittuvuudet korjataan nopeasti. Toisaalta lisäturvaa hakevalle esimerkiksi Signal, Wickr ja omaan ympäristöön asennettu Jitsi meet ovat myös hyviä ja mahdollisesti turvallisempia vaihtoehtoja. Myös Signalista pystyy tekemään oman “forkin” organisaationsa käyttöön omine palvelimineen näin halutessaan.

Consumer Reportsin tekemä tietosuoja-analyysi nosti esiin sen, että käytännössä kaikkien vertailtujen valmistajien yksityisyyspolitiikoissa on puutteita. Ole siis tarkkana myös sen osalta, mihin käyttäjien dataa voi mahdollisesti päätyä.

Yhteenveto

Videoneuvottelutuotteissa ja -palveluissa on eroja myös tietoturvan ja tietosuojan osalta. Ota tarkkaan selvää siitä, mitä tarpeita ja vaatimuksia organisaatiollasi on ennen kuin valitset mitä tuotetta neuvotteluihin käytetään. Muista myös että tietoturvatyö ei lopu tuotetta valittaessa, vaan turvalliset neuvottelukäytännöt, neuvottelujen osallistujien valvonta ja asetusten tarkistaminen ovat tärkeä osa neuvottelujen suojaamista.

NSA:n opas:

https://media.defense.gov/2020/May/07/2002296157/-1/-1/0/CSI-SELECTING-AND-USING-COLLABORATION-SERVICES-SECURELY-LONG-20200507.PDF

Voit helposti varata ajan keskustellaksesi asiantuntijamme kanssa

Jätä yhteydenottopyyntö ja palaamme sinulle puhelimitse tai sähköpostitse

Kategoria Blogi