Asianajotoimiston tietoturvan vinkkilista
Asianajotoimistot käsittelevät säännöllisesti salassa pidettäviä sekä luottamuksellisia tietoja. Onkin tärkeää, että tietoturva-asiat huomioidaan asianajotoimistoissa kokonaisvaltaisesti ja siten, että yrityksen koko henkilöstö on toimintatavoista tietoisia.
Tässä Asianajotoimiston tietoturvan vinkkilista -blogitekstissä avaan muutamia keskeisimpiä tietoturvaan liittyviä seikkoja, jotka on tärkeä huomioida asianajotoimistoissa. Mainitut seikat ovat myös pääosin sellaisia, jotka Asianajajaliitto on omassa velvoittavassa ohjeistuksessaan määritellyt.
Käytössä olevien tietokoneiden kiintolevyt on aina oltava kryptattuja. Tämä tarkoittaa, että esimerkiksi varkaustapauksessa ulkopuolinen taho ei pääse käsiksi tietokoneen kiintolevylle tallennettuihin tietoihin. Lähes kaikkien yrityskäyttöön suunniteltujen tietokoneiden kiintolevyt on mahdollista salata. Salaus on kuitenkin tyypillisesti otettava manuaalisesti käyttöön.
Mikäli luottamuksellisia tietoja tallennetaan USB-muistitikuille tai ulkoisille kiintolevyille, tulee myös tällaiset laitteet salata. Tavallinen USB-muisti tai kiintolevy on mahdollista salata erillisellä ohjelmalla. Usein kuitenkin vaivattomampi vaihtoehto on käyttää laitteita, jotka itsessään sisältävät salausominaisuuden.
Tietokoneelle kirjautumiseksi on tärkeää edellyttää salasanaa tai muuta käyttäjän tunnistamistapaa. Keskitetty käyttäjähallinta, kuten esimerkiksi Azure AD tuo käyttäjähallintaan helppoutta ja parantaa tietoturvaa ja hallittavuutta. Monivaiheinen tunnistautuminen eli MFA on hyvä ottaa käyttöön aina, kun käytettävä järjestelmä sitä tukee. Käytännössä MFA tarkoittaa, että kirjautuminen vaatii useamman tunnistautumistavan, esimerkiksi salasanan ja kertakäyttöisen koodin.
Tietokoneet kannattaa ajastaa lukkiutumaan automaattisesti, jos ne ovat pidemmän aikaa käyttämättömänä. Tietokoneen lukitseminen aina laitteen ääreltä poistuttaessa, on tärkeää ohjeistaa yrityksen kaikille henkilöille. Erityisen tärkeää tämä on toimiston ulkopuolella oltaessa. Tietokoneen nopea lukitseminen onnistuu näppäinyhdistelmällä Windows-näppäin + L.
Automaattinen näytönlukitus on tärkeää myös tableteissa ja matkapuhelimissa. Tietoturvaohjelmistot ovat luonnollisesti syytä olla käytössä niin tietokoneissa kuin mobiililaitteissa. Myös tässä kohdin keskitetty hallinta tuo monia etuja, joten yleensä kannattaa käyttää tietoturvaratkaisua, jolla pystytään hallinnoimaan kaikkia yrityksen laitteita. Tällainen ratkaisu on esimerkiksi F-Secure Elements EPP.
Yrityksen oman verkon ulkopuolella on syytä käyttää VPN-yhteyttä, jotta tuntemattomissa verkoissa voidaan toimia turvallisesti. VPN antaa hyvän suojan, kun käyttäjä kytkeytyy esimerkiksi junan tai ravintolan avoimeen Wifi-verkkoon. VPN-ominaisuus löytyy esimerkiksi edellä mainitusta F-Securen palvelusta.
Käytössä olevien ohjelmistojen päivitykset muodostavat keskeisin osan yrityksen tietoturvasta. Windowsin, Internet-selainten, Office-ohjelmistojen ja lukuisten muiden sovellusten päivitykset on syytä aina pitää ajan tasalla. Osa päivityksistä onnistuu yleensä automaattisten päivitysten avulla. Jälleen kerran kuitenkin keskitetty hallinta on suositeltava ratkaisu, jotta voidaan varmistua laitteiden päivitysten sujuvuudesta ja epäkohtiin päästään puuttumaan ajoissa. Tähän tarpeeseen löytyy lukuisia erilaisia ratkaisuja. Esimerkiksi F-Secure Elements EPP -ohjelmistolla voidaan hallinnoida myös kolmannen osapuolen sovelluksien päivityksiä.
Varmuuskopiointia ja tietoturvallista viestintää
Tietojen varmuuskopiointi on tärkeä osa tietoturvan toteutumista. Varmuuskopiot voivat tulla tarpeeseen laitteen rikkoutumistilanteessa tai varkaustapauksessa, mutta myös esimerkiksi haittaohjelman iskiessä. Nykyisin usein tiedostot ovat tallennettuina erilaisiin pilvipalveluihin. On aina tärkeää varmistua myös pilvipalvelun varmistusominaisuuksista. Esimerkiksi erittäin yleisesti käytössä oleva Microsoft 365 ei itsessään sisällä varsinaista varmuuskopiointipalvelua. Käytännössä Microsoft 365 tarvitseekin kaverikseen erillisen varmuuskopiointipalvelun.
Sähköpostiviestintä on lähtökohtaisesti lähettäjän ja vastaanottajan välistä ja tätä suojaa myös laki. Teknisesti kuitenkin tavallinen sähköpostiviesti on avointa liikennettä. Periaatteessa ja myös käytännössä tavalliset sähköpostiviestit ovat kenen tahansa luettavissa. Erillistä sähköpostin salausta kannattaakin käyttää aina, kun viestitään luottamuksellisista asioista. Asianajajan on hyvä myös opastaa asiakasta, että luottamuksellisia tietoja ei tule lähettää salaamattomana. Asiakas voi vastata asianajajan lähettämään salattuun viestiin, jolloin myös paluuviesti kulkee salattuna.
Varsin pitkään on myös elänyt legenda, jonka mukaan perinteinen faksi olisi sähköpostia turvallisempi viestintätapa. Tämä ei kuitenkaan pidä paikkaansa. Faksin kautta ei tule lähettää luottamuksellisia viestejä.
Kun edellä kuvattu asianajotoimiston tietoturvan vinkkilista on kunnossa, on yrityksenne tietoturva jo hyvällä matkalla. On myös tärkeää muistaa, että tietoturva ei ole vain yrityksen johdon asia, vaan koskettaa jokaista työntekijää ja harjoittelijaa. Tietoturva ei myöskään ole asia, jonka voi hoitaa kerralla kuntoon, vaan sen ylläpitäminen on jatkuva prosessi.
Mikäli haluat keskustella yrityksenne tietoturva-asioista, niin ole yhteyksissä. Huolehditaan yhdessä hyvästä tietoturvasta!
Kimmo Haapavuori | kimmo.haapavuori@micromagic.fi | 045 238 8028