Ville Stolpe, tietoturva-asiantuntija, Opsec Oy

Työntekijöille ei saa antaa liian laajoja oikeuksia tietojärjestelmiin

Organisaatiossa käyttäjien liian laajat käyttöoikeudet tietojärjestelmiin ovat merkittävä tietoturvariski sekä käyttäjälle itselleen että organisaatiolle.

Organisaatioissa käyttöoikeuksien lähtökohtana on ja tulee olla se, että käyttäjällä on aina tarvittavat oikeudet työtehtäviensä suorittamiseen. Käyttäjän tulee siis päästä tarvittaviin järjestelmiin, tiedostoihin tai esimerkiksi yhteiskäyttöiseen sähköpostikansioon, jos käyttäjä niitä työssään tarvitsee. Kaikkiin muihin tietojärjestelmiin pääsy tulisi olla estetty. Tämä ohje perustuu hyvään käyttäjien identiteetin ja käyttöoikeuksien hallintaan organisaatioissa, mutta myös tietosuojalainsäädäntöön, johon olen aikaisemmissakin blogiteksteissä viitannut.

Ihmisten toiminta usein mahdollistaa kyberhyökkäykset

Organisaation työntekijät kirjautuvat työasemille omalla tavallisella käyttäjätilillä, joka saattaa olla varustettu järjestelmänvalvojan oikeuksilla. Organisaatioissa tulisi kuitenkin huolehtia, ettei tavallisiin käyttäjätileihin annettaisi (tai jätettäisi) näin laajoja oikeuksia. Näin siksi, että ilman järjestelmänvalvojan oikeuksia käyttäjätilillä ei ole oikeuksia suorittaa sellaisia toimenpiteitä, mitä useiden haittaohjelmien toiminta edellyttää. Esimerkiksi Avecton Microsoft Vulnerabilities Report 2017 -julkaisun mukaan 235 kriittisestä haavoittuvuudesta 80% olisi voitu estää poistamalla paikalliset järjestelmänvalvojan oikeudet.

Monessa työtehtävässä saattaa kuitenkin olla välttämätöntä käyttää järjestelmänvalvojan oikeuksia ja tasapainoilu tietoturvan ja käytettävyyden välillä voi olla haastavaa. Tärkein toimenpide tietoturvalliseen käyttöön on se, että yksinkertaisesti kenellekään käyttäjälle ei anneta järjestelmänvalvojan oikeuksia, jos niitä ei työtehtävien suorittamiseen välttämättä tarvita. Yksi vaihtoehto nostaa turvallisuuden tasoa organisaatiossa on, että järjestelmänvalvojan oikeudet poistetaan kaikista tavallisista käyttäjätileistä ja organisaatiossa luodaan erillinen järjestelmänvalvojan käyttäjätili, jolloin yksittäisellä työntekijällä olisi päivittäisessä käytössä vain alhaisemmin varustettu käyttäjätili. Tämän toimenpiteen myötä uhkien mahdollisuudet pienentyvät jo huomattavasti.

Ihmisten inhimilliset ja tahalliset toimet ovat kiistatta kyberhyökkäysten suurimpia mahdollistavia tekijöitä ja tämä on vain yksi suojautumiskeino – mutta ehdottomasti keino, mikä kannattaa valjastaa organisaation käyttöön.

Ville Stolpe
tietoturva-asiantuntija
IT-joukkueen pelaaja #8


Käy myös lukemassa: Ihmisten toiminta mahdollistaa suurimman osan tietoturvaloukkauksista