Trend Micro: 33 % suomalaisista työntekijöistä käyttää yrityksen tietoja henkilökohtaisilla laitteillaan

Etätyöskentely on muuttanut tapoja käsitellä yrityksen tietoja. Yritykset saattavat joutua päivittämään tietoturvakäytäntöjään työntekijöiden jatkaessa etätöissä

Trend Micro julkaisi tänään uuden tutkimuksen, joka osoittaa älykotien laitteiden ja niihin liittyvien sovellusten olevan heikko lenkki yritysten kyberturvallisuusketjussa, kun työn ja vapa-ajan välinen raja hämärtyy.

Trend Micro haastatteli uusimmassa Head in the Clouds- eli Pää pilvissä -tutkimuksessaan yli 13 000 etätyöntekijää 27 eri maassa. Haastatelluista 519 oli suomalaisia. Tutkimuksessa perehdyttiin toimistolta koteihin ja muihin etätyöpisteisiin hajautuneiden työntekijöiden toimintatapoja pandemian aikana.

Tutkimuksessa paljastui, että 33 prosenttia suomalaisista työntekijöistä käyttää yrityksen tietojen käsittelyyn henkilökohtaisia laitteitaan, usein pilvipalvelujen ja -sovellusten kautta. Omat älypuhelimet, tabletit ja kannettavat tietokoneet voivat kuitenkin olla vähemmän turvallisia kuin työpaikan tarjoamat vastaavat laitteet. Ne voivat olla myös haavoittuvampia kotiverkossa olevien esineiden internetin (IoT) laitteiden ja muiden samaan verkkoon liitettyjen laitteiden tietoturvariskeille. Yli kolmanneksella (38 %) haastatelluista etätyöntekijöistä ei ole henkilökohtaisissa laitteissaan edes salasanasuojausta.

Kyberpsykologia-asiantuntija tohtori Linda K. Kaye toteaa:

– Etätyöntekijät eivät selvästikään ymmärrä etätyöhön liittyviä tietoturvariskejä, koska näin suuri osa heistä käyttää henkilökohtaisia laitteitaan työnantajiensa tietojärjestelmissä. Yritysten tulisi tarjota työntekijöilleen räätälöityä tietoturvakoulutusta, jossa tunnustetaan käyttäjien monimuotoisuus ja heidän tietoturvaosaamisensa eri tasot. Myös asennekoulutuksella on merkitystä, jotta potentiaaliset tietoturvauhkat ja niiden aiheuttamat vahingot voidaan estää tai minimoida jo etukäteen.

Lähes puolella (45 %) suomalaisista etätyöntekijöistä on kotiverkossaan IoT-laitteita. Näistä viisi prosenttia on vähemmän tunnetuilta valmistajilta. IoT-laitteissa on kuitenkin runsaasti tunnettuja heikkouksia ja haavoittuvaisuuksia, etenkin pienempien valmistajien tuotteissa. Niiden päivittämättömissä laiteohjelmistoissa voi olla laitteisiin murtautumista helpottavia haavoittuvuuksia tai heikosti suojattu sisäänkirjautuminen. Teoriassa hyökkääjät voivat päästä niiden kautta kotiverkkoon ja tunkeutua etätyöntekijän henkilökohtaisen laitteen kautta helposti yrityksen sisäverkkoon.

Yritysverkot altistuvat entisestään siinä vaiheessa, kun eristäytymisen loppuessa työntekijät palaavat työpaikoilleen ja tuovat mukanaan mahdollisesti saastuneita henkilökohtaisia laitteitaan. Omien BYOD-laitteiden (Bring Your Own Devices) käyttäminen työpaikan verkossa tai liittäminen palavereissa esitysjärjestelmään saattaa tarjota hyökkääjille vapaalipun muiden käyttäjien koneille tai yrityksen sisäverkossa sijaitseville laitteille, jopa palvelimille.

Tutkimus osoitti myös, että 67 prosenttia suomalaisista etätyöntekijöistä käyttää työkannettavaansa kotiverkossaan. Vaikka nämä laitteet ovatkin todennäköisesti henkilökohtaisia laitteita paremmin suojattuja, niin ne ovat silti uhka yritysverkoille ja -tiedoille, etenkin jos käyttäjät voivat asentaa työkoneilleen yrityksen IT-osaston hyväksymättömiä henkilökohtaisia, työhön liittymättömiä sovelluksia, kuten kodin IoT-laitteiden apuohjelmia.

– Esineiden internetin myötä ihmiset ovat ottaneet ahkerasti käyttöönsä yksinkertaisia laitteita, joissa on sekä monipuolinen liitettävyys että yllin kyllin muistia ja tehoa monipuolisiin tietotekniikkatarpeisiin. Niiden tietoturva on kuitenkin usein retuperällä, kertoo Kalle Salminen, Trend Micron kyberturva-asiantuntija. Nämä laitteet saattavat itse asiassa helpottaa hakkerien elämää avaamalla takaovia, joiden kautta on mahdollista tunkeutua yritysverkkoihin. Uhka kasvaa entisestään, kun etätyönteon yleistyminen ja muuttuminen uudeksi normaaliksi sumentaa oman ja työnantajan ajan ja laitteiden välistä rajaa. Sekä yksityiset että yrityksen tiedot päätyvät yhtaikaa tulilinjalle. Yksilön vastuullinen suhtautuminen tietoturvaan on nyt tärkeämpää kuin koskaan. Yritysten on syytä räätälöidä työntekijöilleen sopivia koulutusohjelmia ja varmistaa, että kaikki ymmärtävät parhaiden käytäntöjen noudattamisen tärkeyden.

Trend Micro suosittelee, että työnantajat varmistavat etätyöntekijöidensä noudattavan yrityksen tietoturvakäytäntöjä. Tarvittaessa yritysten on syytä täsmentää käytäntöjään, jotta niissä osataan huomioida käyttäjien henkilökohtaisten laitteiden ja esineiden internetin laitteiden sekä sovellusten uhka.

Yritysten on myös syytä arvioida uudelleen työntekijöille tarjotut tietoturvaratkaisut, joita nämä käyttävät ollessaan etäyhteydessä yritysverkkoon. Pilvipohjaiseen tietoturvaratkaisuun siirtyminen voi vähentää monia etätyön riskejä tehokkaasti.