Päätelaitteen kuningas

Päätelaitteen kuningas!

Yrityksen omaisuuden hallinnan eli yhtiön lukuun ostettujen työkalujen ja käyttöomaisuuden kartoituksen luulisi olevan melko selkeää ja helppoa. Mutta käytäntö on osoittanut toista. Varsin monet päätelaitteet ostetaan yhtiön luottokorteilla ja laskuilta ei välttämättä löydy sarjanumeroita. Monet tahot perustelevat, että hankinta on kirjattu kuluksi eikä luetteloinnilla ole niin väliä. Kaikki tämä on hyvin ymmärrettävää. Silti jokainen asiaa hiukan tarkemmin mietittyään myöntää, että hallinnalla on merkitystä. Vaikka itse laitteen arvo ei ole kovin merkittävä, esimerkiksi poistoon lähetetyn matkapuhelimen muistikortti saattaa houkutella uusiokäyttöön ja osoittautuu helposti kalliiksi tietovuodon lähteeksi. Itse laite ei maksa mansikoita, mutta tyhjentämättömän ja salaamattoman laitteen tieto voi olla miljoonien vahingonkorvausvastuun hintaista.

Päätelaitteen määrittely onkin helpompaa. Nykypäivänä tähän kategoriaan mahtuu kännykän (älypuhelin tai vähän vähemmän älykäs, mutta sähköpostin osaava) lisäksi tabletit, läppärit ja pöytäkoneet. Käytännössä yhdellä ammattikäyttäjällä on nykyisin helposti neljä päätelaitetta käytössään.

Fyysinen turvaaminen hallinnassa?

Julkishallinto oli jo 2000-luvun alussa edelläkävijä fyysisessä turvaamisessa. Silloin varkauksien varalta suojauduttiin turvamerkinnöillä. Rehellisesti sanoen on pakko myöntää, että pahanhajuisen lakan levittäminen oli jokaisen IT-ammattilaisen painajainen, mutta toimi hyvin. Lisäksi pöytäkoneita asennettiin telineissä pöytien jalkaan kiinni ja erilaisia Kensington- tyyppisiä kaapelipiuhoja käytettiin lukitsemaan helposti mukaan lähtevää materiaalia. Kensington-kaapelista on tullut käytännössä jo standardi – harvassa on se laite, jossa ei tätä pientä lattaliitintä olisi olemassa. Erittäin kannatettava ajatus esimerkiksi auloissa ja kahviloissa.

Mitä on tullut tilalle? Yllättävän harva on tullut miettineeksi, että lähes jokainen vakava IT-toimittaja tekee nykyään lasermerkintöjä. Niin myös me. Lasermerkinnän heikkous on juokseva numerointi, jonka ohjelmointi on edelleen hiukan hankalaa. Mutta onneksi sarjanumero on helppo kohdistaa erilaisiin numerosarjoihin ostossa. Lasermerkinnän pääasiallinen käyttötarkoitus on estää laitteen uudelleenmyynti; esimerkiksi estää vanhan Android-luurin päätyminen vahingossa toiselle käyttäjälle. Epäekologista saattaisi joku sanoa. Kyllä, niin on – mutta tietoturvallista. Kannustan vahvasti yrityksiä tilaamaan laitteet lasermerkittyinä, esimerkiksi yrityksen web-osoitteella, tai yksityishenkilöä laseroimaan nimensä puhelimen takakanteen. Hintaa laseroinnilla on 150-200 kruunun kertahinnan verran.

Tekninen päätelaitteen hallinta

Miksi päätelaitteiden teknistä suojaamista karsastetaan edelleen? Liian moni muistaa ensimmäiset SCCM (siis Microsoft System Center, jne) hankaluudet. Päätelaitteita piti olla määrällisesti todella paljon, että tämän vaatimaa työmäärää viitsi lähteä tekemään. Käyttöjärjestelmän asetuksien lukitseminenkaan ei vaikuta enää nykypäivänä kovin käyttäjäystävälliseltä. Toisaalta pienemmästä päästä esimerkiksi matkapuhelinten suojaukseen käytettyjen sovelluksien toiminnassa oli melkoisesti toivomisen varaa. Esimerkiksi vanhan Nokian luurin MDM-ohjelmiston sai helposti uninstalloitua tai ainakin sammutettua. Ja näinhän käyttäjät käytännössä tekivät, kun huomasivat taustalla pyörivän ylimääräisen akkua vievän, epäilyttävän sovelluksen. Tästä syystä en lainkaan ihmettele, että henkilökohtaiseksi koettu matkapuhelin tai tablet on tuskin koskaan saavuttanut PK-sektorin yrityksiä.
Pelastaako Pilvipalvelu?

Varovaisesti sanoen ehkä. Esimerkiksi Applen ekosysteemissä Apple ID -lukitseminen toimii erinomaisesti. Find My Friend ja Find My Iphone -sovellukset ovat todistetusti turvallisia. Myös Microsoft on kunnostautunut osana O365-palveluita varsin hyvillä työkaluilla. Mutta miksi pilvipalvelu ei olekaan pelastaja – no siksi, että se on kuluttajatuote, jonka käyttäjätunnuksen suojelu on yksityishenkilön sormenjäljen tai kasvojentunnistuksen varassa. Minkäänlaista oikeuksien delegointia ei PK-sektorin yrityskoossa ole käytettävissä. Yrityksen tietopääoma eli IPR (intellectual property rights) kulkee mukana käyttäjän henkilökohtaisella Onedrive- tai Icloud-tilillä. Kun yritys vaihtuu, henkilökohtainen kirjautumistili ei vaihdu ja mukaan lähtee käyttäjän sinnikkäästä taistelusta huolimatta liian paljon arkaluonteisia hinnastoja, taulukoita, tarjouspohjia, powerpoint-esityksiä tai vähintäänkin kalenterimerkintöjä ja kontakteja. Huomatkaa, että käyttäjän on oikeasti hankalaa estää näin käymästä vaikka haluaisikin.

Unohdat Googlen, saattaa joku sanoa. Niin teen ja tarkoituksella. Syy tähän on se, että GSuite-tyyppisiä yritysratkaisuja on vielä melko harvassa ja liian monet kokevat Googlen kuluttajatuotteen ainoaksi vaihtoehdoksi. En ryhdy oikomaan tätä käsitystä, koska toiminta on kuitenkin kaikesta huolimatta melko lähellä Applen vastaavaa ja siten molempien ratkaisujen ongelmat ovat identtiset.

Ratkaisu?

Minulta on usein kysytty, mitä suosittelen tilalle. Ratkaisu saattaa löytyä melko yllättävältä taholta: palomuurien tai virustorjunnan asiantuntijoiksi mielletyiltä valmistajilta kuten F-Secure. Onneksi virusturva on jo nykyään niin itsestäänselvyys, ettei kukaan kyseenalaista sen tarpeellisuutta. Kun siihen lisää mukaan Freedome-tuotteen yrityksen VPN-ratkaisuksi tai ainakin avoimen wlanin suojaksi ja ehkä myös KeyManager-tyyppisen keskitetysti hallitun ratkaisun, on meillä kuin itsestään käyttäjän tarpeet täyttävä ratkaisu. Lisäksi se on yrityksen keskitetysti hallitsema ja luotetun tahon toimittama MDM-ratkaisu etätyhjennyksineen, paikannuksineen ja tiedon salauksineen.

Lisäksi on mainittava useiden tämän päivän päätelaitteiden hyvä puoli. Moni malli on jo oletuksena massamuistiltaan salattu, ja käyttäjän autentikointiin tarjotaan vahvaa tunnistautumista – jopa monivaiheisena.

Kun katson noin 10 vuotta taaksepäin, on tilanne nykyisin paljon yksinkertaisempi ja helpompi. Ei ole tarvetta keskitetyille hallintapalvelimille eikä kalliille yhteysratkaisuille.

Ratkaiseeko F-Secure kaikki päätelaitesuojauksen ongelmat? Ei tietenkään. Kuten kaikki tiedämme, käyttäjän koulutus on edelleen tärkeä osa turvallisuutta. Me IT-ammattilaiset saamme kuitenkin hiukan enemmän mielenrauhaa F-Securen avulla, joten suosittelen kaikille.

Kutsu ammattilainen juttelemaan F-Securen päätelaitesuojauksesta lisää!