Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Tietoturva Nyt!

Videoneuvotteluratkaisun valinnassa kannattaa ensimmäisenä pohtia käyttötarkoitusta ja tiedon luottamuksellisuutta. Kokouksen järjestäjän kannattaa myös etukäteen huolehtia siitä, että kokoukseen voivat osallistua vain halutut henkilöt ja että videoneuvotteluun liittyvillä on vain tarvittavat käyttöoikeudet.

Videoneuvotteluratkaisujen tarve korostuu tilanteessa, jossa fyysistä kanssakäymistä pyritään vähentämään. Viime aikoina niiden turvallisuus on myös herättänyt runsaasti keskustelua, ja asiantuntijat ovat tarkastelleet erityisesti Zoom-videoneuvotteluratkaisun turvallisuutta. Mielenkiinto on kohdistunut erityisesti Zoomiin todennäköisesti osin johtuen sen suosion merkittävästä kasvusta pandemian aikana sekä aiemmin Zoomista aiemmin löydeyttyjen turvallisuuspuutteiden vuoksi.

Videoneuvotteluratkaisujen ympärillä käyty keskustelu osoittaa, kuinka tärkeää organisaation on arvioida huolellisesti eri näkökulmia videoneuvotteluratkaisua valitessaan. Lisäksi neuvottelujen järjestäjä voi erilaisin asetuksen parantaa neuvottelutilanteen suojaa.

Siihen, mikä palvelu organisaation kannattaa valita käyttöön, vaikuttaa muun muassa käsiteltävä tieto, käytettävissä olevat teknologiat ja se, ollaanko toteutukseen valmiita investoimaan. Tietojen käsittelyyn voi liittyä esimerkiksi erilaisia lakisääteisiä vaatimuksia, esimerkiksi terveystietojen kohdalla, ja myös tietosuojaan liittyvät asiat (Ulkoinen linkki) tulee huomioida. 

Tässä tekstissä tarkastellaan videoneuvottelu- eli etäkokous- tai videokonferenssiratkaisuja, mutta se soveltuu osin myös esimerkiksi organisaation sisäiseen käyttöön tulevien pikaviestisovellusten valinnan tueksi.

Eri toteutustavat

Videoneuvotteluratkaisuista osa on sellaisia, jotka organisaatio voi asentaa omassa ympäristössään olevalle palvelimelle. Tällöin käyttäjien videoneuvottelut tapahtuvat organisaation omassa ympäristössä, ja organisaatiolla on paremmat mahdollisuudet hallita videoneuvottelujen turvallisuutta. Tämä toteutustapa vaatii kuitenkin organisaatiolta osaamista ja resursseja, jotta palvelu saadaan otettua turvallisesti käyttöön ja sen ylläpidosta huolehditaan.

Osa ratkaisuista puolestaan toimii pilvipalveluna siten, että toteutuksesta vastaa videoneuvotteluratkaisun tarjoaja. Tällöin videoneuvotteluyhteys toteutetaan ulkopuolisen tahon tarjoaman pilvipalvelun kautta. Ratkaisevaa onkin, miten palveluntarjoaja huolehtii palvelun ja siihen mahdollisesti liittyvien sovellusten tietoturvasta. Palvelua valitessa kannattaa tutustua huolella palvelun kuvaukseen ja ominaisuuksiin. Toisaalta yksittäisen käyttäjän voi olla vaikea saada selville, miten tietoa käsitellään. 

Lisäksi on olemassa ratkaisuja, joissa osa palvelusta toteutetaan palveluntarjoajan pilviympäristössä ja osa palvelua käyttävän organisaation omassa ympäristössä. 

Tietojen salaaminen

Käsiteltävästä tiedosta riippuen voi esimerkiksi olla tarpeen, että voidaan varmistua siitä, että kellään ulkopuolisella ei ole pääsyä tietoon. Jos palvelu ei ole organisaation omassa ympäristössä, luottamukselliset tiedot kannattaa salata koko matkalta vastaanottajalta toiselle end-to-end-periaatteen mukaisesti. Tällöin vältytään tiedon mahdolliselta paljastumiselta myös esimerkiksi silloin, jos tietoliikenne reitittyy esimerkiksi virhetilanteen tai kapasiteetin hallinnan vuoksi ennakoimattomalla tavalla.

Monet videoneuvotteluratkaisut on palveluntarjoajien antamien tietojen valossa toteutettu kuitenkin siten, että tiedot salataan ainoastaan niitä siirrettäessä päätelaitteen ja palvelimen välillä. On myös hyvä varmistua siitä, että käytetty salaus ja sen toteutus on omiin käsittelytarpeisiin riittävä.

Osallistuminen päätelaitteella

Videoneuvottelujärjestelmän taustajärjestelmän lisäksi eri ratkaisut vaativat eri tyyppisiä asioita päätelaitteilta, joilla etäkokouksiin osallistutaan. Osa toimii esimerkiksi suoraan internetselaimessa, mutta osa vaatii ohjelman asentamista tietokoneelle tai mobiililaitteeseen.

Päätelaitteelle asennettavan sovelluksen tietoturvan taso riippuu sovelluksen toteutuksesta, ja esimerkiksi Zoomin päätelaiteohjelmistoista onkin aiemmin löydetty joitakin puutteita. 

Selaimella neuvotteluun osallistuminen voikin olla sovelluksen asentamista turvallisempaa silloin, jos sellainen mahdollisuus on olemassa. Joissain ratkaisuissa, kuten Zoomin kohdalla, tämän mahdollistaminen saattaa edellyttää kokouksen koollekutsujalta toimenpiteitä.

Osa neuvotteluratkaisuista mahdollistaa neuvotteluun liittymisen myös puhelimella soittamalla.

Muun muassa käyttötarkoituksesta, neuvotteluratkaisusta ja organisaation omasta ympäristöstä riippuen kannattaakin arvioida, mitä osallistumistapoja käyttäjille suositellaan tai mahdollistetaan.

Neuvottelun suojausasetukset

Jos neuvotteluun pystyy liittymään esimerkiksi linkin tai neuvottelutunnuksen kautta ilman muita kontrolleja, on todennäköistä, että neuvotteluun yrittää liittyä myös ulkopuolisia.

Neuvottelun käyttötarkoituksesta riippuen kannattaakin miettiä erilaisia suojaamistapoja. Organisaation ylläpitäjä voi usein myös lukita turvalliset käyttöasetukset päälle.

Esimerkkejä mahdollisista suojausasetuksista ovat:

  • neuvottelun suojaaminen salasanalla tai PIN-koodilla, joka on jaettu eri kanavaa pitkin kuin kokouksen osallistumislinkki,
  • "odotushuone" tunnistamattomille käyttäjille,
  • rajoitukset siihen, mitä videoneuvotteluun osallistujat pystyvät neuvottelussa tekemään (esim. ääni- tai videoyhteyden avaaminen, tiedostojen jakaminen jne.) ja
  • erilaiset yksityisyyteen liittyvät asetukset (esim. neuvottelun tallentaminen)

Tutustu käyttämäsi videoneuvotteluratkaisun tarjoamiin suojausmahdollisuuksiin, ja ota niitä käyttöön soveltuvin osin.

Lopuksi

Koska videoneuvottelun turvallisuus on usean tekijän summa ja riippuu organisaation käyttötarpeesta ja käsittelemästä tiedosta, yleispäteviä suosituksia videoneuvotteluratkaisun valintaan on hankala antaa. Edellä kuvatut näkökulmat kannattaa huomioida valintaa tehdessä. Lisäksi valittua ratkaisua on hyvä arvioida säännöllisesti sen varmistamiseksi täyttääkö se edelleen sille asetetut vaatimukset.

Videoneuvotteluratkaisun turvallisuuden varmistamisen lisäksi käyttäjiä on syytä ohjeistaa neuvottelujen turvallisesta käytöstä. Niiden varjolla myös tehtaillaan erilaisia huijauksia, joissa käyttäjiä esimerkiksi huijataan klikkaamaan näennäisesti videoneuvotteluun johtavia linkkejä tai asentamaan haittaohjelmia. Myös näiden varalta on hyvä ohjeistaa käyttäjiä.

Jos neuvotteluratkaisussa on tarpeen käsitellä myös muuta kuin julkista tietoa, suosittelemme tutustumaan myös päivitettyyn Pilvipalveluiden turvallisuuden arviointikriteeristöön (PiTuKri) , jonka tavoitteena on edistää viranomaisten salassa pidettävän tiedon turvallisuutta tilanteissa, joissa tietoja käsitellään pilvipalveluissa. Kriteeristö on tarkoitettu työkaluksi pilvipalvelujen turvallisuuden arviointiin. Pilvipalveluiden turvallisuudesta on tehty ohje myös yksityishenkilöille, pienyhteisöille ja -yrityksille .

Lisätietoja: