Turvallinen tietotyö Teamsissa on monen osan summa

Microsoft Teamsin ensimmäinen versio julkaistiin maaliskuun 14. 2017. Sen jälkeen maailma on muuttunut kovasti ja Teams sen mukana – varsinkin vuoden 2020 laajamittaisen etätyöskentelyyn siirtymisen jälkeen.

Organisaatioiden huomio on alkanut edellisten vuosien aikana selvästi kääntyä aiempaa vahvemmin turvallisen tietotyön varmistamiseen. Tietyt osat Teamsin tietoturvaan liittyvistä kysymyksistä ovat olleet mukana jo ennen viime vuosia, kun taas nykyinen hybridi- ja etätyöskentelytapa toivat siihen omat mausteensa. Osansa on myös aiempaa kehittyneellä työkalupakilla, joka organisaatioilla on käytettävissään tietotyön suojaamiseksi.

Ymmärrys riskeistä on kypsynyt matkan varrella kovasti. Nyt vuoden 2023 alussa onkin mielestäni oiva aika vetää lankoja yhteen.

Keskeisimpiä kantavia teemoja onnistuneessa Teamsin lujittamisessa tietoturvallisen työskentelyn tarpeisiin ovat ihmiskeskeisyys ja sujuvan käyttökokemuksen merkityksen muistaminen. Ollaan nimittäin itsellemme rehellisiä; mikäli turvallisesta toimintatavasta tekee epäselvän ja vaikean kun taas suojaamaton toiminta on helppoa ja kätevää, voi arvata miten käy – varsinkin, jos puhutaan toimintatavoista tuhansien ihmisten tasolla.

Tavoitteeksi onkin hyvä ottaa se, että tietoturvan kannalta ”vääriä” vaihtoehtoja on kussakin arjen tilanteessa tarjolla mahdollisimman vähän.

Identiteetit ja vieraskäyttö

Joustava yhteistyö ja viestintä ihmisten välillä fyysisestä sijainnista, laitteesta tai kellonajasta riippumatta on Teamsin keskiössä. Useimpien organisaatioiden tiimeissä onkin mukana vaihtelevan kokoinen joukko vieraskäyttäjiä (guest users) – osa väliaikaisesti esim. projektia varten ja osa pysyvämmin vaikkapa jatkuvan yhteistyön myötä. 

Mutta mitä tapahtuu vierastilille, kun sen omistajan tarve tiimien jäsenyydelle päättyy? Vaikka vierastilit karsittaisiin pois kaikista tiimeistä, eivät ne silti poistu itse ympäristöstä (eli ns. tenantista) mihinkään. Niitä saattaakin olla ns. nurkissa pölyttymässä huomattava määrä. Vierastilien oikeuksia toimia tenantissa ei toisaalta ole oletusarvoisesti rajattu viimeisen päälle. 

Mikäli tenantin asetuksia vieraskäyttäjien osalta ei ole lujitettu oikealla tavalla, voi vieraskäyttäjä kartoittaa jopa koko tenantin rakenteen ryhmineen ja käyttäjineen (Chronlund, ”Scary Azure AD Tenant Enumeration… Using Regular B2B Guest Accounts, 11/2021). 

Teamsin vieraskäyttöä voi onneksi lähteä ottamaan haltuun useammalta eri kulmalta:

• Hankkiutumalla automaattisesti kokonaan eroon käyttämättömistä vierastileistä Azure AD Access Reviewsin avulla ja antamalla tarvittaessa myös tiimien omistajille herätteen sekä tarvittavat tiedot turhien vierastilien karsimiseksi tiimeistä.
• Rajaamalla niiden muiden organisaatioiden joukkoa, joista vierastilejä voi ylipäätään organisaation tiimeihin kutsua.
• Hallitsemalla tiimin luokituksen kautta mahdollisuutta kutsua ko. luokituksen omaaviin tiimeihin vieraita ylipäätään – ja rajaamalla samalla tiimin SharePoint Online -työtilan ulkoisten jakolinkkien luontimahdollisuuksia.
• Siirtymällä luotettujen kumppaneiden kanssa Teamsin perinteisestä vieraskäytöstä jaettuihin kanaviin, joita osallistuvat organisaatiot voivat käyttää omasta Teamsistaan ilman vierastilien tarvetta.
• Yhdistämällä SharePoint Onlinen ja OneDriven vieraskäytön mukaan Azure AD:hen, jolloin kaikille organisaation ulkopuolisille tiedostojen jakolinkkien käyttäjille muodostuu myös vierastilit, jotta näihinkin pääsyoikeuksiin saadaan elinkaarikontrollit mukaan. 

Pointeista viimeinen on tärkeä ymmärtää Teamsinkin kannalta, eikä välttämättä ole kaikille itsestään selvää. SharePointista ja OneDrivesta (eli mm. Teams-tiimien Filesista) luodut ulkoiset jakolinkit eivät oletusarvoisesti vanhene koskaan, eikä niitä käyttäviltä ulkoisilta identiteeteiltä edellytetä minkäänlaista vahvaa tunnistautumista.

Ilman SharePointin ja Azure AD:n integroimista on ulkoisia jakolinkkejä käyttäviä identiteettejä vaikeaa seurata ja hallita.

Pääsynhallinta

Viime vuosien yksi kenties merkittävimmistä painopisteistä Teamsin tietoturvan eteen on monessa organisaatiossa ollut ehdollisen pääsynhallinnan eli Conditional Accessin tuominen osaksi arkea. Se on edelleen keskeinen rakennuspalikka rakennettaessa turvattua yhteistyöalustaa. 

Vaatimalla tilanteesta ja käyttäjästä riippuen esimerkiksi vahvaa tunnistautumista, organisaation hallitsemaa laitetta, käyttöehtojen hyväksymistä ja/tai yhtä monista muista vaihtoehdoista, voidaan Teamsin ja muiden Microsoftin pilvisovellusten käyttöskenaarioita hallita tarkkaan.  

Myös koneoppimista kannattaa tuoda Identity Protectionin kautta taustalle arvioimaan jähmeitä sääntöjä monipuolisemmin Teamsin käyttöön liittyviä riskejä ja kontekstia – ja lujittamaan pääsynhallintaa tilanteen mukaan. 

Defender for Cloud Apps -tuote tuo Teamsin pääsynhallintaan omat mausteensa – esim. pääsyn eston palveluun Tor-selaimella, ylipäätään vanhentuneella verkkoselaimella tai tunnetusta bottiverkosta käsin. 

Tiedostot ja yhteistyö

Pääsynhallinta on toki tärkeää, mutta se ei yksinään ei kuitenkaan riitä, koska Teamsissa tehty työ jäsentyy tyypillisimmin tiedostoiksi – ja tiedostot voi viedä Teamsista myös muualle, osana prosessia tai myös monesti sen ohi. Tämän vuoksi on tärkeää, että arvokas organisaation tiedostot, itse Teams-työtilat ja Teamsilla järjestetyt kokoukset luokitellaan Microsoft Information Protection -palvelun avulla. Luokiteltuun tietoon, työtiloihin ja kokouksiin sovelletaan hallitusti niiden arkaluontoisuutta vastaavia suojauksia ilman, että ihmisen itsensä tarvitsee niitä yksityiskohtaisesti osata. Tiedostojen tapauksessa suojaus seuraa salauksen kautta tiedoston mukana myös Teams-työtilan ulkopuolelle huolimatta siitä, mihin tiedosto ihmisen toiminnan kautta päätyy. 

Teamsin, SharePointin ja OneDriven Data Loss Prevention– eli DLP-käytännöt puolestaan auttavat opastamaan ihmistä organisaation edellyttämissä tiedon käsittelytavoissa silloin, kun ihminen vinkkejä eniten tarvitsee – eli esimerkiksi juuri, kun hän on jakamassa salaiseksi luokiteltua tai henkilötietoja sisältävää asiakirjaa organisaation ulkopuoliselle vastaanottajalle. 

Samalla Data Loss Preventionin avulla voidaan estää Teamsissa riskialtteimmat tiedon liikkeet – ja haluttaessa antaa silti ihmisen ohittaa esto lokitettavaa perustelua vastaan. Hyvänä esimerkkinä tästä esimerkiksi erilaisten tunnistetietojen kuten salasanojen jakaminen Teamsin chateissa, jota on hyvä ohjata opastamalla ja teknisillä kontrolleillakin esimerkiksi salatun sähköpostin tai muiden organisaation edellyttämien, turvallisempien viestintäkanavien suuntaan. 

Kuten mainittu, Teamsissa käsitellyt tiedostot tallentuvat kontekstin mukaan joko SharePointiin tai OneDriveen. Vakiona sallittuja ovat myös useat kolmannen osapuolen tiedostosäilytyspalvelut, kuten Google Drive ja DropBox. Tähänkin saatetaan haluta puuttua, mikäli toimintaa niissä ei kyetä valvomaan ja hallitsemaan. 

Viestiminen

Viestintä Teamsissa keskittyy kokouksiin, chatteihin ja kanavakeskusteluihin. 

Teams-kokouksista ollaan perinteisesti oltu montaa mieltä.  

Joillain niitä on aina liikaa, toisilla toivottavasti sopivammin. Useimmat kuitenkin osallistuvat Teams-kokouksiin ainakin joskus. Teams-kokouksissa käsitellään monenlaisia asioita, joista osa voi olla erittäin arkaluontoisiakin.  

Turvallisemman kokoustamisen takaamiseksi on hiljattain tullut ulos mahdollisuus luokitella tiedostojen ja tiimien tapaan myös kokouksia. Kokouksen luokituksen kautta voidaan taata arkaluontoisille kokouksille esimerkiksi seuraavat lujitukset edellyttämättä kokouksen perustajalta muita toimia, kuin luokituksen valitsemisen kokouksen luonnin yhteydessä: 

• Katkeamaton salaus eli End-to-end encryption 
• Esitysoikeudet kokouksessa rajattu valituille henkilöille 
• Kokouksessa jaettuun videosisältöön lisätään vesileima 
• Kokouksen chat on käytössä vain kokouksen ajan 
• Kokouksen chatissa olevaa sisältöä ei voi kopioida leikepöydälle 
• Aulan voivat ohittaa vain kutsutut henkilöt 

Tiimien kanavakokousten oletusarvoinen luokitus – ja sitä kautta myös edellä mainitut asetusten lujitukset – voi ja kannattaakin sitoa työtilan eli Teams-tiimin luokitukseen johdonmukaisen käyttökokemuksen vaalimiseksi. 

Chateista puhuttaessa on syytä ottaa huomioon myös muutamia seikkoja turvallisen tietotyön kannalta. Mikäli oletusasetuksiin ei ole puututtu, voi organisaation Teamsista esimerkiksi viestiä kuluttajien ilmaisille Skype- ja Teams-tileille vapaasti.  

Suuremman riskin tuo toisaalta se, että myös kuluttaja-Teamsin käyttäjät voivat oletusarvoisesti ottaa yhteyttä yrityksen Teams-käyttäjiin, ellei tätä erikseen estetä. On syytä harkita, onko näin vapaa viestintä tarpeen – useimmiten ei ole. 

Jokaisella Teams-tiimin kanavalla on sähköpostiosoite ja kanavakeskusteluihin voikin lähettää sisältöä myös sähköpostitse. Tietoturvaan orientoitunut organisaatio rajaa tämän lähetysmahdollisuuden siten, että se on mahdollinen vain sallituista toimialueista viestejä lähettäville toimijoille – jos ollenkaan. 

Yksittäisten tiimien asetuksiinkin kannattaa kurkistaa ainakin kertaalleen. Tiimien perusjäsenet voivat mukauttamattomassa tiimissä mm. lisätä ja poistaa kanavia, välilehtiä kanavilta sekä ulkopuoliset integraatiot mahdollistavia yhdistimiä. Suurissa tiimeissä on hyvä myös harkita, onko @-maininnan käyttö koko tiimin tasolla jotain, mitä halutaan sallia. Paha-aikeisen toimijan käytössä esimerkiksi tuhannelle henkilölle @-maininnalla lähetetty haitallinen linkki saattaa aiheuttaa vahinkoa ennen, kuin kukaan sitä ehtii poistaa. 

Haitalliset linkit Teamsissa saa toisaalta myös suojattua melko tehokkaasti Defender for Office 365 -palvelun Safe Links -toiminnallisuudella, joka tarkastaa Teamsiin lisätyn linkin takaa löytyvän sivuston vielä klikkaushetkellä eikä päästä käyttäjää sivustolle, mikäli on haitallinen. 

Sovellukset ja integraatiot

Teams ei ole vain viestintäsovellus, vaan työpäivän keskus monipuolisine appivalikoimineen. Tätä kirjoitettaessa erilaisia Microsoftin ja etenkin kolmansien osapuolten tarjoamia appeja on tarjolla lähes 2000 kappaletta – ja määrä kasvaa kuukausittain.

Oletusarvoisesti kaikki Teams-käyttäjät voivat asentaa minkä tahansa näistä appeista itselleen sen kummemmin ylläpidolta kyselemättä. Kun kurkistaa appien valmistajan tietosuojakäytäntöjä ja muuta tarjottua tietoa, tulee huomaamaan vaihtelevia puutteita suomalaisen yrityksen kannalta.

• Monet kolmannen osapuolen Teams-appeista vievät niihin syötettyä tietoa – eli organisaatiosi tietoa! – Euroopan rajojen ulkopuolelle.  
• Osan sovelluskehittäjät ilmoittavat ihmisen pääsevän käsiksi ylläpidon puolelta applikaatioon syötettyyn informaatioon.  
• Toiset luovuttavat appille annettua tietoa mainostajien ja muiden kolmansien osapuolten käyttöön. 
• Usealta puuttuu selkeät tietosuojakäytännöt kokonaan tai valmistajan sivuille Teamsin ylläpitoportaalista ohjaavat linkit ovat rikki. 

Turvallisempaan ja vastuullisempaan Teams-työskentelyyn kuuluukin, että ihmisille tarjotaan yrityksen puolesta vain sellainen valikoima, jota ihminen oikeasti saa varauksettomasti käyttää.

Myös Microsoftin oma Power Platform -ekosysteemi ulottuu vauhdilla kohti Teamsia, varsinkin Power Automate -automaatioiden osalta. Power Automaten ja Power Appsin sekä Power BI:n omat Teams-applikaatiot ovat helppo tapa päästä alkuun kevyen kansalaiskehityksen kanssa.

Niissäkin on kuitenkin merkityksellistä suojattavaa – esimerkiksi ilman huolellisesti suunniteltua Power Platformin Data Policya voi kekseliäs käyttäjä yhdistellä Power Automate -automaatiota Teamsissa rakentaessaan toisiinsa omin päin järjestelmiä ja palveluita, joiden keskinäiselle tiedon välitykselle ei ylläpidolta lupaa kysyttäessä olisi todennäköisesti tulossa vihreää valoa.

Käytöstä näitä palveluita ei kuitenkaan kannata poistaa – ne ovat tehokkaamman ja mielekkäämmän tietotyön kulmakiviä, jotka antavat ihmiselle mahdollisuuden automatisoida ja virtaviivaistaa omaa-, sekä kollegoidensa työtä tavoilla, joista aiemmin on voitu vain kahvihuoneessa haaveilla.

Ihmiset ja kulttuuri

Kaikista keskeisintä on kuitenkin muistaa ihminen. Ilman tietoturvallisen työskentelyn pointtia ymmärtävää ja hyviä käytäntöjä noudattamaan motivoitunutta henkilökuntaa ei muista, teknisemmistä toimenpiteistä ole kuin lievittävää apua. Ihminen on jokaisen teknisen ratkaisun vahvin sekä heikoin kohta samaan aikaan.

Ihmisten aktiivinen osallistaminen ja opastaminen auttavat luomaan positiivista suhtautumista tietoturva-asioihin ja ruokkivat ajatusta tietoturvasta keskeisenä osana nykyistä sähköistä yhteistyötä ylipäätään. Parhaimmillaan terävöitetty Teamsin tietoturvaosaaminen voi olla meille valttikortti, jota jo nyt edellytetään monessa organisaatiossa.

Yksi toimivaksi todettu malli on esimerkiksi pyörittää organisaation sisäistä edelläkävijöiden ohjelmaa, johon vapaaehtoisia houkutellaan oppimaan uutta tehokkaista ja turvallisista tietotyön tavoista ja jakamaan niitä sitten omissa työyhteisöissään eteenpäin. Neuvoja kuunnellaan herkimmin monesti juuri tutuilta työkavereilta.

Koulutukseen ja innostavaan tiedon jakamiseen turvallisesta Teams-työskentelystä kannattaa siis panostaa – mielenrauha arjen ahkeroinnissamme on kuitenkin arvokasta jokaiselle meistä.

Tutustu tietoturvapalveluihimme ja koulutuksiimme

Microsoft 365 -asiakkailla on parhaat mahdollisuudet varmistaa mm. Azuren turvallinen hallinta, päätelaitteiden suojaus, loppukäyttäjien identiteetti ja M365-palveluiden sekä muiden liiketoimintasovellusten turvallinen käyttö.
Meiltä löydät tietoturvaan ja tiedon suojaukseen liittyvät palvelut pitkällä kokemuksella.

Autamme organisaatiotasi varmistamaan, että ympäristöjen määritykset ja tietojen suojaaminen noudattavat niille asetettuja vaatimuksia, ja että osaatte hyödyntää ympäristöjen tarjoamia työvälineitä ja toiminnallisuuksia oikealla tavalla.

Tutustu ja ota yhteyttä!

Palvelut tietoturvaan

Palvelut tiedon suojaukseen

Kaikki tietoturvakoulutukset

• Henkilöstö ja tietoturva
• Microsoft Teams
• Tietosuoja ja vaatimustenmukaisuus
• Tietoturva
• Tietoturvateknologiat