Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 1 (8) Sisällysluettelo Tietoturvaohje... 2 Päätelaite... 2 Tiha-päätelaitteen automaattiset, ajastetut ylläpitotoimet... 2 Päätelaitteiden sähköinen käyttöehtojen hyväksyntä... 3 Vahva tunnistautuminen ja käyttäjätunnukset... 3 Tiedostopalvelut... 4 Sähköpostin salaus... 5 Dokumenttien luottamukselliseksi merkitseminen... 5 Tietoliikenne... 6 Omat ja julkiset Internet-yhteydet... 6 Tietoturvapalvelut... 6 Virus- ja haittaohjelmien torjunta... 6 Palomuuri... 6 Päätelaitteen paikantaminen, etälukitseminen ja etätyhjennys... 6 Omien laitteiden hyödyntämien (BYOD, Bring Your Own Device)... 7 Muut päätelaitteen ja IT-palvelujen käyttämiseen liittyvät rajoitukset... 7
Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 2 (8) Tietoturvaohje Tässä dokumentissa esitetään SuPerin ja Super työttömyyskassan järjestöedustajan tehtävän hoitamiseen tarvittavien Microsoft Office 365-pilvipalvelujen (myöhemmin ITpalvelut) tietoturvaohjeita. Päätelaite Päätelaite tarkoittaa tässä mitä tahansa päätelaitetta, jolla käytetään IT-palveluita: 1. SuPer ry/super työttömyyskassan toimittamaa päätelaitetta (myöhemmin tihapäätelaite) jos järjestöedustaja on on osoittanut tarpeen päätelaitteelle. 2. Järjestöedustajan tai kassan hallituksen jäsenen omaa, itse hankittua päätelaitetta eli BYOD-laitetta (älypuhelinta tms.). Tiha-päätelaitteen automaattiset, ajastetut ylläpitotoimet Sovellus-/käyttöjärjestelmäpäivitykset tehdään tiha-päätelaitteille automaattisesti F-Secure PSB Workstation Security-tietoturvaohjelmistolla sekä Windowsin omalla päivitystoiminnolla. Tiha-päätelaitteille ajetaan myös viikottain täydellisiä virustarkistuksia sekä virustorjuntaratkaisun virustietokantojen päivityksiä. Taulukko 1 kuvaa ajankohdat päivityksille ja virusskannauksille. Ylläpitotoimenpide Aika Kuvaus Virustarkistus Joka sunnuntai klo 22:00 F-Secure tarkistaa löytyykö tihapäätelaitteesta viruksia. Virustietokantojen tarkistus Joka maanantai, tiistai ja sunnuntai klo. 17:00 F-Secure tarkistaa virustietokantojen ajantasaisuuden ja päivittää Käyttöjärjestelmä ja sovelluspäivitykset (F-Secure) Käyttöjärjestelmä ja sovelluspäivitykset (Microsoft Intune) Joka päivä klo. 16:00 Microsoftin julkaistessa päivityksiä Taulukko 1. Automaattiset tiha-päätelaitteen ylläpitotoimet tarvittaessa F-Secure tarkistaa puuttuvat Windowskäyttöjärjestelmän ja sovelluksien päivitykset ja asentaa ne. Microsoft Intune-sovellus asentaa Windows-käyttöjärjestelmä ja sovelluspäivityksiä niiltä osin kuin niitä puuttuu F-Securen päivityksien jälkeen. Päivitykset asennetaan automaattisesti Microsoftin niitä julkaistessa.
Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 3 (8) Otathan huomioon seuraavat asiat Automaattisista ylläpitotoimista ainoastaan virustarkistus voi joissain tapauksissa merkittävästi vaikuttaa koneen käytettävyyteen (kone hidastuu ja käyttö voi olla todella tahmaista), muut ajastetut ylläpitotoimet eivät yleensä hidasta tai hankaloita koneen käyttöä. Virustarkistuksen aikana tiha-päätelaitteen käyttö voi hidastua ja hankaloitua merkittävästi koska virustarkistus käyttää melko raskaasti koneen resursseja. Käyttäjä on velvollinen pitämään laitetta päällä ja kytkettynä Internetiin vähintään kerran viikossa asennus- ja virusskannausaikoina, jotta laite pysyy turvallisena ja käytettävyydeltään hyvänä. F-Secure PSB:n tai Microsoft Intunen ajettua koneelle päivityksiä on kone hyvä käynnistää uudestaan. Sekä F-Secure, että Intune ilmoittavat koneen uudelleenkäynnistystarpeista päivityksien jälkeen. Ilman uudelleenkäynnistystä kone voi toimia epävakaasti. Sovellus-/käyttöjärjestelmäpäivitykset tehdään BYOD-päätelaitteille laitteen käyttäjän itse määrittelemällä tavalla. Käyttäjä on velvollinen päivittämään BYOD-laitetta säännöllisesti, jotta laite pysyy turvallisena ja käytettävyydeltään hyvänä, eikä aiheuta tietoturvariskejä käytettäessä IT-palveluita. Päätelaitteiden sähköinen käyttöehtojen hyväksyntä Käyttäjän ottaessa käyttöön IT-palvelut tiha- tai BYOD-päätelaitteella, on hänen hyväksyttävä käyttöehdot. Tiha-päätelaitteen omistajuus tallentuu keskitetysti tietohallinnan ylläpitämään laiterekisteriin käyttöehtojen hyväksynnän jälkeen. BYOD-käyttäjä hyväksyy käyttöehdot kirjautuessaan IT-palveluihin BYODpäätelaitteellaan ensimmäistä kertaa. Vahva tunnistautuminen ja käyttäjätunnukset Kaikkiin IT-palveluihin sekä tiha-päätelaitteeseen kirjaudutaan sisälle ns. Office 365 organisaatiotunnuksella (myöhemmin organisaatiotunnus), joka on muodoltaan sähköpostiosoite. Organisaatiotunnuksen käyttäjä pääsee käsiksi mahdollisesti luottamuksellisiin liiton/kassan ja/tai liiton/kassan kentän tietoihin. Tämän vuoksi kaikki ITpalvelut on suojattu ns. vahvalla tunnistautumisella. Organisaatiotunnuksen muoto riippuu järjestötehtäväroolista: Liittohallitus ja edustajisto o etunimi.sukunimi@superliitto.fi, esim. taina.testaaja@superliitto.fi
Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 4 (8) Kassan hallitus o etunimi.sukunimi@supertk.fi, esim. taina.testaaja@supertk.fi Ammattiosastojen puheenjohtajat o superxxx@superliitto.fi (jossa XXX = ammattiosastonumero), esim. super828@superliitto.fi Kaikki BYOD-laitteissa käytettävät web-pohjaiset Office 365-sovellukset (Outlook Web App, Office Online, OneDrive for Business, Skype for Business Web App, Sharepoint Online) suojataan vahvalla tunnistautumisella, joka tarkoittaa että organisaatiotunnuksen lisäksi palveluun kirjautumiseen tarvitaan myös ns. kertakäyttösalasana. Kun kirjaudut ensimmäistä kertaa ns. organisaatioportaaliin (osoitteessa http://portal.office.com) käyttääksesi O365 web-sovelluksia (Outlook Web App jne.), kysytään sinulta puhelinnumeroa ja/tai sähköpostiosoitetta (joka ei saa olla organisaatiotunnuksesi sähköpostiosoite). Jatkossa kirjautuessasi O365 web-sovelluksiin sinulta kysytään aina puhelimeen tekstiviestinä lähetettyä kertakäyttösalasanaa. Ilman tätä kertakäyttösalasanaa et pääse käyttämään mitään O365 web-sovelluksia. Kertakäyttösalasanaa ei tarvita tiha-päätelaitteissa siihen sisäänkirjautuessa tai käytettäessä päätelaitteeseen paikallisesti asennettuja Office-sovelluksia (Outlook, Word jne.). Jos tiha-päätelaitteella kuitenkin käytetään O365 web-sovelluksia BYOD-laitteen tyyliin, kertakäyttösalasana tarvitaan. Tiedostopalvelut IT-palvelut sisältävät lisenssin kahteen eri pilvipohjaiseen tiedostojen tallennus- ja jakamisratkaisuun: 1. OneDrive for Business (myöhemmin tiedostonjakopalvelu) 2. Sharepoint Online IT-palvelujen sisältämien tallennuspalvelujen käytössä on noudatettava käyttöehtoja. OneDrive for Businessin ja Sharepoint Onlinen lisäksi on maailmassa useita ilmaisia ja maksullisia sekä kuluttaja- että yrityskäyttöön tarkoitettuja tiedostojenjakopalveluita (Dropbox, Google Drive jne.). Näiden käyttämistä edes ei-luottamuksellisten työaineistojen käyttöön ei suositella eikä niiden käyttöön tai käyttöongelmiin liittyen (tiha- tai BYODpäätelaitteessa) voida tarjota minkäänlaista teknistä tukea.
Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 5 (8) Sähköpostin salaus Henkilötietoja (kuten henkilötunnuksia) ei saa lähettää sähköpostitse salaamatta. Superliitto.fi ja supertk.fi-päätteisten sähköpostiosoitteiden käyttäjien väliset sähköpostit ovat automaattisesti salattuja. Lähetettäessä sähköpostia jonnekin muualle kuin superliitto.fi- tai supertk.fisähköpostiosoitteisiin on käyttäjän itse huolehdittava viestin salauksesta. Sähköposti salataan lisäämällä avainsana #salattu (tai #krypterad) jonnekin sähköpostiviestiin tai otsikkoon. Salatun viestin vastaanottaja saa viestin auki ainoastaan kirjautumalla organisaatiotunnuksella tai käyttämällä vastaanottajaosoitteeseen lähetettävää erillisellä sähköpostiviestillä tulevaa kertakäyttökoodia (ns. one-time passcode). Dokumenttien luottamukselliseksi merkitseminen Office-sovelluksissa ja sähköposti- sekä tiedostopalvelussa voidaan käyttää dokumenttien suojausteknologiaa 1, jolla voidaan estää luottamuksellisen dokumentin joutuminen ulkopuolisen, mahdollisesti vihamielisen tahon käsiin. Suojausteknologia sekä salaa dokumentin, että estää siihen käsiksi pääsyn sellaisilta tahoilta, joilla ei ole dokumenttiin käyttöoikeutta. Dokumenttien ja sähköpostien suojausteknologia mahdollistavat seuraavat toimenpiteet: Dokumentti voidaan määritellä luottamukselliseksi organisaatiolle ja sen avaaminen ja/tai muokkaaminen sallitaan ainoastaan yhden tai useamman sähköpostiosoitteen omistajalle/omistajille. Dokumentille voidaan määrittää vanhentumispäivä, jonka jälkeen organisaation ulkopuoliset käyttäjät eivät saa enää dokumenttia auki riippumatta siitä mihin se on tallennettu (muistitikulle, puhelimeen, ulkopuolisen käyttäjän työkoneen kovalevylle jne.). Voit tilata sähköpostivaroituksen aina kun joku avaa luottamuksellisen dokumentin. Eteenpäin lähetetyn luottamuksellisen dokumentin avaaminen/käyttö voidaan estää välittömästi. Voit seurata Internet-sivulta jakamiesi luottamuksellisten dokumenttien käyttöä ja tilaa. 1 Käytetty teknologia on nimeltään Azure RMS eli Azure Rights Management. Lisätietoa: https://docs.microsoft.com/fi-fi/rights-management/understand-explore/what-is-azure-rms
Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 6 (8) Tietoliikenne Omat ja julkiset Internet-yhteydet Omien ja julkisten langattomien (Wi-Fi/WLAN) ja langallisten (esim. ADSL-yhteydet) käyttäminen on sallittua tiha-päätelaitteessa, mutta niiden käyttöongelmiin ei tarjota teknistä tukea. Tiha-päätelaitteen mobiililaajakaistan SIM-korttia ei saa käyttää missään muussa päätelaitteessa kuin tiha-päätelaitteessa. Tiha-päätelaitteessa ei saa käyttää muita kuin tietohallinnon toimittamia mobiililaajakaistayhteyksiä/sim-kortteja. Tietoturvapalvelut Virus- ja haittaohjelmien torjunta Kaikissa tiha-päätelaitteissa on esiasennettuna tietohallinnon toimittama F-Secure Protection Service for Business-tietoturvaohjelmisto. Tiha-päätelaitteen käyttö ilman F- Secure anti-virus ja haittaohjelmantorjuntaa ei ole sallittua. BYOD-laitteisiin ei tarjota tietohallinnon toimittamaa tietoturvaohjelmistoa, mutta käyttäjän on muutoin huolehdittava laitteen tietoturvallisuudesta: Laitteessa on aktiivinen palomuuriohjelmisto. Laitteessa on aktiivinen ja ajantasainen virus- ja haittaohjelmantorjuntaohjelmisto. Palomuuri Tiha-päätelaitteissa on oletuksena päällä Chilit Oy:n keskitetysti ylläpitämä ja hallitsema Windowsin oma palomuurisovellus. Palomuurin käyttö ei edellytä käyttäjältä minkäänlaista vuorovaikutusta tai asetusten tekoa. Tiha-päätelaitteen käyttö ilman Windows-palomuuria ei ole sallittua. Päätelaitteen paikantaminen, etälukitseminen ja etätyhjennys Kaikista tiha-päätelaitteista voidaan poistaa järjestötehtävää suorittaessa syntynyt ns. organisaatiodata. Organisaatiodatan poisto ei kuitenkaan kata järjestötehtävän aikana tehtyjen dokumenttien poistoa. Jos dokumentit eivät saa joutua ulkopuolisiin käsiin on ne merkittävä luottamuksellisiksi jakamisvaiheessa (ks. Dokumenttien luottamukselliseksi merkitseminen ).
Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 7 (8) Tiha-päätelaitteita ei voida välttämättä etäpaikantaa. BYOD-laitteita voidaan etäpaikantaa jos päätelaite tukee tällaista toiminnallisuutta ja omistaja itse huolehtii toiminnon käyttöönotosta ja ylläpidosta. Kaikissa Windows Phone 8/8.1-, Windows Mobile 10-, ios- ja Android-päätelaitteissa etäpaikannusratkaisu, jonka käyttöönotto on suositeltavaa. Omien laitteiden hyödyntämien (BYOD, Bring Your Own Device) SuPer ry/super työttömyyskassan palvelumalli mahdollistaa myös pelkkien IT-palvelujen käyttämisen omilla laitteilla (ns. BYOD eli Bring Your Own Device), edellyttäen että ne täyttävät palvelujen asettamat vaatimukset 2. Jos BYOD-laite ei täytä palveluvaatimuksia, sen käyttö ei ole suositeltavaa, eikä sille voida tarjota tukea Chilit pitopalveluiden kautta. Muut päätelaitteen ja IT-palvelujen käyttämiseen liittyvät rajoitukset Seuraavanlainen toiminta it-palveluissa ja tiha-päätelaitteilla on ehdottomasti kiellettyä (mutta johon ei ole rajattu): 1. Haitallisten ohjelmien tuominen päätelaitteelle tai palveluun (esim. virukset, madot, Troijan hevoset, e-mail bomb -tyyppiset ohjelmat, jne.) tarkoituksella. 2. Tietomurtoihin tai verkkoliikenteen häirintään johtava toiminta. Tietomurtoihin voidaan laskea (mutta joihin ei rajata) pääsy tietoon, jota ei ole tarkoitettu järjestöedustajalle, kirjautuminen palveluun johon järjestöedustajalla ei ole valtuuksia tai tilin käyttö johon järjestöedustajalla ei ole valtuuksia. a. Verkkoliikenteen häirintä sisältää tässä (mutta johon ei ole rajattu) i. verkon nuuskinnan ii. ping-tulvat iii. pakettien väärentämisen iv. palvelunestohyökkäyksen (Denial of Service/DoS) v. reititystiedon väärentämisen vihamielisiin tarkoituksiin. 3. Porttiskannaukset (esim. hyödyntäen Nmap-ohjelmistoa) tai tietoturvaskannaukset joita tehdään tiha- tai BYOD-päätelaitteilla ovat ehdottomasti kiellettyjä. Portti- ja tietoturvaskannaukset, jotka kohdistuvat organisaation IT-palveluihin ovat kiellettyjä ellei niistä erikseen sovita etukäteen Tietohallinnon kanssa. 4. Minkä tahansa verkkoliikenteen tutkiminen ja/tai monitorointi jolla tutkitaan dataa, joka ei ole kohdistunut järjestöedustajan omaan koneeseen ellei tämä toiminta ole osa järjestöedustajan normaaleja tehtäviä. 5. Minkä tahansa koneen tai verkon käyttäjävaltuutuksen tai tietoturvaratkaisun kiertäminen/yliajaminen. 2 Palvelujen asettamat vaatimukset esitetään liitteessä Liite 2, palvelujen käytön vaatimukset.
Suomen lähi- ja perushoitajaliitto SuPer Käyttöehdot, Liite 1 8 (8) 6. Minkä tahansa palvelun toiminnan haittaaminen/estäminen tai väkisin kieltäminen keneltä tahansa, eli mm. kohdan 2 palvelunestohyökkäykset. 7. Minkä tahansa ohjelman/skriptin/käskyn käyttö tai viestin lähettäminen, jonka tarkoituksena on puuttua tai estää palvelujen käyttö.