Microsoft Teams – organisaatioiden välistä helppoa yhteistyötä tietoturvan kustannuksella vai verraton yhteistyöalusta?

Kuinka turvallinen Teams on organisaatioiden välisessä yhteistyössä? Onko tiedostojen jakaminen Teamsillä yhtä turvatonta kuin suojaamattoman sähköpostin lähettäminen? Miten tietoturva, vaatimustenmukaisuus ja yksityisyys hoidetaan? Millaiset ovat Teamsin tietoturvan näkymät?

Tiedostojen lähettämistä suojaamattomalla sähköpostilla ja tietojen jakamista Teamsissä ei voi verrata toisiinsa. Organisaatioiden välinen yhteistyö Teamsin avulla on helppoa ja turvallista, kun molemmat osapuolet hoitavat oman ympäristönsä tietoturva-asiat kunnolla. Lisäksi tietoturvan, yksityisyyden ja vaatimustenmukaisuuden parantamiseen Microsoft on jälleen tuonut uusia ominaisuuksia, jotka koskevat myös Teamsiä.

Teams on siis verraton yhteistyöalusta.

 

Mitä suojaamaton sähköposti tarkoittaa?

Tämän blogini innoittajana on äskettäin kuulemani väite, jonka mukaan ”tiedostojen jakaminen Teamsillä on yhtä turvatonta kuin suojaamattoman sähköpostin lähettäminen”. Tietoturvan toteuttamisen ja uusien työvälineiden jalkauttamisen kannalta väite on erittäin huolestuttava ja vaatii lisäselvitystä.

Aikaisemmin suojaamatonta sähköpostia pidettiin turvattomana ja sen käyttämistä verrattiin usein postikorttiin, jonka sisältö on kaikkien luettavissa. Nykyisin sähköpostiviestit kulkevat suoraan lähettävän ja vastaanottavan sähköpostipalvelimen välillä. Palvelinten välissä voi olla muita verkkolaitteita, mutta ei muita palvelimia. Koska palvelimet suosivat TLS-salausta, sähköpostiliikenne on pääsääntöisesti salattua eikä sähköpostiliikenteen urkkiminen ole helppoa.

Suojaamattoman sähköpostin lähettämisen haasteena sen sijaan on, ettei esimerkiksi lähetettyyn sähköpostiin eikä sen liitteenä oleviin tiedostoihin ole mitään kontrollia. Sähköpostien salaaminen estää urkinnan ja lähetettyä sähköpostia voidaan seurata paremmin. Useat toimittajat tarjoavat kehittyneitä sähköpostin salaamispalveluita, joiden tärkeitä ominaisuuksia ovat viestinnän osapuolten tunnistaminen, yksityisyyden suojaaminen ja sähköpostien seuraaminen. Microsoftin vakiotoiminnallisuus sähköpostien salaukseen on Office 365 Message Encryption (OME v2).

Jos luottamuksellisia tietoja jaetaan sähköpostilla, kannattaa aina käyttää salattua sähköpostia.

 

Onko tiedostojen jakaminen Teamsissä turvallista?

Teams-sivusto ja sen kanavat perustetaan yhden yhteistyötä tekevän osapuolen O365-ympäristöön. Perustamisen jälkeen tiimisivuston omistaja myöntää muiden yhteistyötä tekevien organisaatioiden käyttäjille vieraskäyttäjän oikeudet sivustolle. Tiimin omistaja tai omistajat vastaavat ensisijaisesti tiimin jäsenten hallinnasta myöhemminkin.

Vieraskäyttäjä tunnistautuu Teams-sivustolle Azure AD:n kautta. Autentikoinnissa käytetään nykyaikaisia autentikointivälineitä, kuten monivaiheista käyttäjätunnistusta (multi-factor authentication, MFA) tai sertifikaatteihin perustuvia autentikointimenetelmiä. Kotiorganisaatio voi myös määrittää, että vieraskäyttäjältä vaaditaan aina monivaiheinen tunnistautuminen. Lisäksi Teamsissä jaetun tiedoston lataamisen voi estää ja kaikissa Teamsin yhteyksissä käytetään salattua HTTPS:ää.

Kotiorganisaation käyttäjä toimii koko ajan omassa O365-ympäristössään ja kun tietoturvaominaisuudet on konfiguroitu oikein, käyttö on täysin turvallista. Samoin vieraskäyttäjän osalta Teamsin käyttö on täysin turvallista, kun käyttäjätunnistus on hoidettu oikein.

 

Tietoturvan, yksityisyyden ja vaatimustenmukaisuuden toteuttaminen Microsoft 365 -tuotteissa

Microsoft 365 -tuotteissa on paljon toiminnallisuuksia tietoturvan, yksityisyyden ja vaatimustenmukaisuuden määrittämiseen. Nämä elementit ovat samanlaisia kaikille pilvipalvelun asiakkaille ja ne kuvataan Microsoftin dokumentaatiossa. Vaikka yksittäinen organisaatio ei niihin yleensä pääse vaikuttamaan, ne on hyvä käydä läpi. Lisäksi on liitteitä, jotka kuvaavat tarkemmin esimerkiksi sen, miten Microsoft käsittelee asiakkaan tietoja.

Microsoftin periaatteena on, että asiakas omistaa Teamsissä olevat tiedot ja Microsoft vain huolehtii siitä, että tieto on saatavilla. Jos asiakas haluaa vaihtaa pilvipalveluiden toimittajaa, Microsoft avustaa toiseen pilvipalveluun siirtymisessä. Suomalaisten asiakkaiden Teamsissä olevat tiedot sijaitsevat Euroopan konesaleissa.

Microsoft luokittelee O365-työkalut ja palvelut vaatimustenmukaisuuden perusteella neljään luokkaan. Teamsin vaatimustenmukaisuus on D-tasolla, mikä tarkoittaa sitä, että Teams noudattaa esimerkiksi ISO 27001 -standardia.

Office 365-palveluun on rakennettu tietoturvaa ja määräystenmukaisuutta tukevia ominaisuuksia fyysisellä, loogisella ja datan tasolla. Fyysisen tason tietoturvaa Microsoft varmistaa mm. rajoittamalla datakeskuksiin pääsyn vain siihen valtuutetulle henkilöstölle. Lisäksi käyttöön on otettu useita datakeskusten turvallisuutta lisääviä toimenpiteitä kuten kaksivaiheista tunnistautumista ja biometristä skannausta.

Loogisella tasolla tietoturvauhkien selvittämiseen on nimetty tiimejä. Palvelimilla ajetaan vain sallittuja prosesseja ja verkkotiedustelulla sekä haavoittuvuuksien ja väärinkäytösten havaitsemisella pyritään varmistamaan tietoturva. Asiakas voi myös ottaa käyttöön toiminnallisuuden, jonka avulla hän voi päättää pääseekö Microsoftin henkilökunta ongelmatilanteissa käsiksi asiakkaan dataan.

Palvelimilla oleva data salataan sekä silloin kun data on konesalissa, että silloin kun dataa liikutetaan konesalien ja käyttäjien välillä. Microsoft ottaa datasta säännöllisesti varmuuskopioita. Tietoturvan ja tietoturvauhkien hallinnalla sekä tiedostojen ja datan eheyden parantamisella estetään datan peukalointi.

 

Teamsin tietoturvan näkymät

Uutena Teamsin tietoturvaa parantavana ominaisuutena Microsoft julkaisi viime viikolla Private-kanavat, joiden avulla voidaan rajata sivuston kanavien käyttöoikeuksia. Toisena uudistuksena ovat Azure Information Protection -puolelta tutut sensitivity labelit, jotka ovat toiminnallisuuksiltaan aikaisempia laajempia ja joiden avulla voidaan parantaa myös Teamsin tietoturvaa.

Organisaation vaatimustenmukaisuuteen liittyvät asetukset, kuten tietovuotojen estäminen (Data Loss Prevention), auditointilokit ja säilyttämisleimat (retention labels) ulottuvat myös Teamsiin.

Teams on siis yhtä turvallinen kuin koko O365-ympäristö. Organisaatioiden välinen yhteistyö Teamsin tiimien avulla on helppoa ja turvallista, kun molemmat osapuolet hoitavat oman ympäristönsä asiat kunnolla.

 

Osallistu Sulavan koulutuksiin:

Microsoft Teams – käyttöönotto ja hallinta IT-ammattilaisille
Sähköpostin tietoturva Office 365:ssä

• Henkilöstö ja tietoturva
• Microsoft Teams
• Tietoturva
• Tietoturvateknologiat