Käytäthän tietoturvallista videoneuvottelua?

Onnistunut videoneuvotteluratkaisu edellyttää, että sen pohjana oleva tietojärjestelmä on toteutettu palvelemaan yrityksen tarpeita, palvelu on käyttäjille yksinkertainen ja toimintavarma.

Kaikkiin näihin onnistuneen järjestelmän osatekijöihin liittyy tietoturva. Ilman sitä paraskin videoneuvottelujärjestelmä on kelvoton.

Tietoturvallisen videoneuvotteluyhteyden takaa kolme tekijää: teknologinen ratkaisu on modernit tietoturvavaateet täyttävä, organisaation videoneuvottelujen toimintatavoissa huomioidaan tietoturva ja jokainen videoneuvotteluun osallistuva tuntee tietoturvan vaatimukset ja noudattaa niitä.

”Teknisesti videoneuvottelujärjestelmän tietoturva luodaan siinä vaiheessa, kun järjestelmäkokonaisuutta lähdetään suunnittelemaan. Kyseessä on aina kokonaispalvelu, jonka kaikkien osien tulee olla tietoturvallisia,” Elisa Videran toimitusjohtaja Pasi Mäenpää sanoo.

Sisäänrakennettu tietoturva

Cisco Suomen ja Baltian maajohtaja Janne Tägtström katsoo videoneuvotteluiden tietoturvaa koko tietoliikenne- ja lähiverkkokäytön muutoksen näkökulmasta. Häntä huolettaa, että tietoturva on jäänyt viime vuosituhannelle, vaikka yritysten ja niiden työntekijöiden toimintatavat ovat muuttuneet rajusti.

Janne Tägtström, Cisco

Melkoinen osa sovelluksista on tänä päivänä verkon ulkopuolella olevissa pilvipalveluissa, päätelaitteiden kirjo on laventunut perinteisistä Windows-työasemista eri käyttöjärjestelmiin ja lukuisiin laitevariaatioihin ja mobiliteetti on enemmän sääntö kuin poikkeus.

Vanhan liiton VPN ei ole enää oikea tapa luoda tietoliikenteelle tai videoneuvotteluille tietoturvaa, sillä se muodostaa pullonkaulan, esimerkiksi pilvipalveluiden kanssa. Videoneuvotteluyhteyden turvaaminen päästä päähän on ainoa oikea ratkaisu.

”Tekninen tietoturva on rakennettava palvelun sisälle niin, ettei käyttäjien tarvitse siitä huolehtia”, Tägtström sanoo.

Kaikki mukaan videoneuvotteluihin

Käyttäjille kätevin videoneuvotteluratkaisu toimii pilvipalvelussa, jolloin samaan videoneuvotteluun voidaan tuoda eri tekniikoita käyttäviä osallistujia sekä yrityksen omia työntekijöitä että ulkopuolisia tahoja. Elisa Videran palvelussa pilviratkaisu on avoin erilaisille päätelaitteiden tekniikoille.

”Tähän saakka videoneuvottelujärjestelmissä on keskitytty yrityksen sisäisen kokoustamisen varmistamiseen. Nyt pitää varmistua siitä, että meillä on tietoturvallinen tapa kommunikoida videoneuvottelulla myös asiakkaiden, kumppanien ja muiden sidosryhmien kanssa”, Elisa Videran Mäenpää sanoo.

Pasi Mäenpää, Elisa Videra

Videoneuvottelutekniikoita ja puhelinpalveluita yhdistävä pilvipalvelu varmistaa sen, että yritys voi luontevasti kommunikoida kaikkien haluamiensa tahojen kanssa. Samalla neuvottelujärjestelmiin tehdyt investoinnit hyödynnetään maksimaalisesti.  Toimiva pilvipalvelu mahdollistaa merkittävät säästöt, koska päällekkäisiä puhe- ja videojärjestelmiä voidaan karsia.

Somen sovelluksissa on tietoturvariski

Videojärjestelmien tietoturvan varmistaminen lähtee tietoturvallisesta sovelluskehityksestä sekä yrityksen omista ja  palveluntarjoajan tietoturvakäytännöistä. Toisaalta on varmistettava päätelaitteet ja erityisesti työntekijöiden henkilökohtaiset tietokoneet, pädit ja älypuhelimet. Ne on liitettävä yhtä vahvan tietoturvan piiriin kuin yrityksen laitteet.

Erityisen tarkkana on oltava työntekijöiden laitteiden sosiaalisen median sovellusten kanssa, sillä niiden käyttö voi heikentää laitteiden ja sitä kautta videoneuvottelun tietoturvaa. Pahimmillaan käyttäjät kirjautuvat videoneuvottelupalveluun sosiaalisen median tilinsä kautta, joka altistaa videoneuvotteluun liittyvän tiedon vuotamisen ulkopuolisille.

Langattoman verkon suojaus kuntoon

Videoneuvottelujärjestelmää arvioitaessa käyttäjätietojen suojaaminen ja GDPR-asetuksen vaatimukset tulee ottaa jo alkumetreillä huomioon. Yritykselle on tärkeää, että sen käyttämä videoneuvottelualusta on auditoitu ja sertifioitu GDPR:n vaatimukset täyttäväksi.

Tietoturvan teknisten parametrien lisäksi pitää varmistaa, että videoneuvottelun osallistujat tuntevat tietoturvan vaateet.

”Huoneiden PIN-koodit ja käyttäjien salasanat pitää olla turvassa. Kun töitä tehdään kotona, pitää varmistaa, että wifi-verkko ja taloyhtiön verkko on suojattu”, Mäenpää sanoo.

Kotona ja mökillä työskentelevän työntekijän avoin tai huonosti suojattu wifi-verkko on iso riski, sillä osaava hakkeri pääsee wifin kautta verkossa oleville koneille, niiden kameroihin ja halutessa katsomaan, mitä videoneuvottelussa tapahtuu.

Tarkkana dokumenttien jakamisen kanssa

Videoneuvottelun tietoturva on sekä yrityksen ylimmän johdon että työntekijöiden asia.

”Johdon on varmistettava, että tietohallinnolla on resurssit rakentaa tietoturvalliset videoneuvotteluyhteydet erilaisiin käyttötarpeisiin. Samalla pitää muistaa käyttäjät, jotka tekevät jatkossa yhä enemmän töitä kotona.”

Keskeinen kysymys tietoturvalle on se, miten kokouksiin jaetaan materiaaleja. Turvallisinta on jakaa dokumentit vain siinä tilanteessa, kun osallistujat ovat kokouksessa. Palveluja, joiden tietosuojakäytännöistä ei ole varmuutta tai ei ole tietoa siitä, poistetaanko dokumentit palvelusta kokouksen päätyttyä, tulisi välttää

”Kun puhumme terveydenhuollosta, valtionhallinnosta tai yrityssalaisuuksista, ei dokumentteja pidä missään nimessä ladata ulkoisiin palveluihin, kun niitä ei pidä tallentaa edes omalle päätelaitteelle”, Mäenpää sanoo.

Tunnista palvelun riskit

Videopalveluissa piilee erityisiä riskejä silloin, jos organisatiot ovat dokumentoineet puutteellisesti palvelunsa: Miten tietoturva on huomioitu palvelun rakentamisessa? Tallentuvatko palvelussa pidetyt videokokoukset palvelutarjoajan palvelimille? Jakaako palvelun tarjoaja käyttäjätietoa muualle?

”Globaaleissa ratkaisuissa houkuttaa niiden helppo ja nopea käyttöönotto. Me helposti luotamme siihen, että joku on huolehtinut tietoturvasta”, Mäenpää huomauttaa.

Videoneuvotteluissa on tapahtunut runsaasti erityyppisiä tietoturvaloukkauksia: Kesken neuvottelun on kaapattu käyttäjän kamera. Videoneuvotteluun on tuotu asiatonta sisältöä.  Tunkeuduttu jonkun osallistujan koneelle ja kaapattu sieltä sisältöä.

”Kun kamera kaapataan, ihmisen kasvot joutuvat vääriin käsiin. Se on usein astetta vakavampi asia kuin vaikkapa yksittäisen sähköpostin häviäminen”, Mäenpää sanoo.

Salattu yhteys päästä päähän

Yrityksen työntekijöilleen, asiakkailleen ja kumppaneilleen tarjoamien videoneuvottelupalveluiden pitää olla niin helppoja, etteivät he ryhdy käyttämään tietoturvaltaan heikkoja ratkaisuja.

Tietoturvan kannalta videoyhteyksien avaaminen asiakkaille ja muille sidosryhmille on ongelma, jos ei olla varmoja siitä, onko hänen kanssaan käytävä kommunikaatio salattua.

”Perusvaatimus pitäisi olla se, että videojärjestelmien kaikki liikenne on kaikissa yhteyksissä salattua päästä päähän. Tietoturva pitää olla sisäänrakennettuna niin, ettei se vaikeuta järjestelmän käyttöä”, Mäenpää sanoo.

Lue lisää tietoturvallisista videoneuvottelupalveluista täältä  sekä videoneuvottelupalvelun käyttämisestä terveydenhuollossa. Seuraa myös Elisa Videran webinaarisarjaa videokokouksesta etätyöskentelyn tukena. Voit osallistua yhteen tai useampaan webinaariin, lue lisää ja ilmoittaudu.