Tietoturvallisen etäkäytön ja VPN:n hallinta NIS2- ja DORA-vaatimusten mukaisesti

Maanantaiaamuna klo 07.42 Maria, nopeasti kasvavan finanssiteknologia-alan SaaS-palveluntarjoajan tietoturvajohtaja, saa kolme viestiä ennen aamukahvia.

Ensimmäinen tulee SOC:lta: tukiteknikolle kuuluva VPN-tili on todennettu maasta, jossa yrityksellä ei ole henkilöstöä. Toinen tulee myynniltä: rahoituspalvelualan asiakas haluaa näyttöä siitä, että kaikki etuoikeutettu etäkäyttö on suojattu MFA:lla, kirjattu lokiin, segmentoitu ja katselmoitu DORA:n mukaisten ICT-riskikontrollien mukaisesti. Kolmas tulee lakiasioista: sama tapahtuma voi liittyä henkilötietoihin kohdistuvaan pääsyyn, joten DPO haluaa ymmärtää, onko GDPR Article 32 -näyttö riittävän kattavaa osoittamaan asianmukaiset tekniset ja organisatoriset toimenpiteet.

Mitään ei ole vielä karannut käsistä. Ei kiristyshaittaohjelmaviestiä. Ei vahvistettua tietojen luvatonta siirtoa. Ei asiakaskatkoa.

Maria kuitenkin tietää epämukavan totuuden. Jos etäkäytön hallinta on heikkoa, jokaisesta vaatimustenmukaisuuskeskustelusta tulee puolustuskannalla käytävä keskustelu. VPN-kirjautumisesta tulee NIS2:n kyberhygieniaa koskeva kysymys. Sopimuskumppanin tilistä tulee DORA:n ICT-palvelujen kolmansien osapuolten riskiä koskeva kysymys. Etätyöpöytäistunnosta asiakasympäristöön tulee GDPR:n käsittelyn turvallisuutta koskeva kysymys. Puuttuvasta lokista tulee auditointihavainto.

Hänen työpöydällään jo oleva ulkoisen auditoinnin raportti pahentaa tilannetta. Auditoijat eivät löytäneet kehittynyttä zero-day-hyökkäystä. He löysivät jaettuja sopimuskumppanitilejä, epäyhtenäistä monivaiheista todennusta, vanhoja VPN-ryhmiä, hallitsemattomia poikkeuksia ja gigatavuittain lokeja, joiden kohina oli liian suurta tutkinnan tukemiseksi. Tekninen velka oli muuttunut sääntelyriskiksi.

Vuonna 2026 tietoturvallinen etäkäyttö ja VPN:n hallinta eivät ole kapea verkkoturvallisuuden aihe. Ne muodostavat hallitustasolle ulottuvan kontrollijärjestelmän, joka yhdistää identiteetin, päätelaiteturvallisuuden, toimittajapääsyn, haavoittuvuuksien hallinnan, lokituksen, tietoturvapoikkeamiin reagoinnin, tietosuojaan liittyvän osoitusvelvollisuuden ja operatiivisen häiriönsietokyvyn.

Etäkäytön ongelma on muuttunut

Muutama vuosi sitten etäkäytön hallinta tarkoitti usein yhtä yksinkertaista vastausta: ”meillä on VPN.” Tämä vastaus ei enää kestä vakavaa tarkastelua.

Nykyaikainen etäkäyttöympäristö voi sisältää yrityksen VPN-keskittimet, Zero Trust Network Access -yhdyskäytävät, etuoikeutetun pääsyn hallinnan hyppypalvelimet, pilviympäristön hallinnan hyppypalvelimet, etätyöpöytäinfrastruktuurin, toimittajien huoltotunnelit, hallinnoidun palveluntarjoajan pääsyn, hätätilanteiden break-glass-tilit, SaaS-hallintaportaalit, kehittäjien pääsyn tuotantoon, mobiililaitteet, kotiverkot, julkisen Wi-Fi:n ja omien laitteiden käytön poikkeukset.

Jokaisesta reitistä voi tulla sääntelyyn liittyvä näyttöpiste.

NIS2 Article 21 edellyttää asianmukaisia ja oikeasuhteisia teknisiä, operatiivisia ja organisatorisia toimenpiteitä. Näihin kuuluvat riskianalyysi ja tietojärjestelmien turvallisuutta koskevat politiikat, poikkeamien käsittely, liiketoiminnan jatkuvuus, toimitusketjun tietoturva, turvallinen hankinta ja ylläpito, haavoittuvuuksien käsittely, kyberturvallisuuden vaikuttavuuden arviointia koskevat politiikat, kyberhygienia, kyberturvallisuuskoulutus, kryptografia ja salaus soveltuvin osin, henkilöstöturvallisuus, pääsynhallintapolitiikat, omaisuudenhallinta, monivaiheinen tai jatkuva todennus tarvittaessa, suojattu viestintä ja suojattu hätäviestintä.

DORA edellyttää, että rahoitusalan toimijoilla on dokumentoidut ICT-riskienhallinnan viitekehykset, ICT-poikkeamaprosessit, digitaalisen operatiivisen häiriönsietokyvyn testaus ja ICT-palvelujen kolmansien osapuolten riskien hallinta. DORA Article 5 asettaa hallintoelimelle vastuun määrittää, hyväksyä ja valvoa ICT-riskien hallintaa sekä säilyttää vastuu siitä. Article 28 edellyttää, että ICT-palvelujen kolmansien osapuolten riskiä hallitaan olennaisena osana tätä viitekehystä.

GDPR Article 32 edellyttää asianmukaisia teknisiä ja organisatorisia toimenpiteitä käsittelyn turvallisuuden varmistamiseksi, mukaan lukien luottamuksellisuus, eheys, saatavuus, häiriönsietokyky, palautuskyky, testaus sekä kyky osoittaa, että henkilötiedot on suojattu luvattomalta pääsyltä, katoamiselta, muuttamiselta tai luovuttamiselta.

Tietoturvajohtajan ongelma ei ole se, toimiiko VPN. Todellinen kysymys on, pystyykö organisaatio osoittamaan, että etäkäyttöä hallitaan, sille on tehty riskien arviointi, se on hyväksytty, kovennettu, valvottu, katselmoitu, testattu ja integroitu tietoturvapoikkeamiin reagointiin.

Tässä ISO/IEC 27001:2022 on hyödyllinen. Se ei käsittele VPN:ää erillisenä laitteena. Se sijoittaa etäkäytön osaksi ISMS:ää: soveltamisala, sidosryhmät, riskien arviointi, kontrollien valinta, operatiivinen suunnittelu, toimittajahallinta, sisäinen tarkastus, johdon katselmointi ja jatkuva parantaminen.

Aloita ISMS:n soveltamisalasta, älä palomuurisäännöstä

Kun Clarysec arvioi etäkäytön hallintaa, emme aloita pyytämällä kuvakaappausta VPN-konfiguraatiosta. Aloitamme ISMS:n rajauksesta.

ISO/IEC 27001:2022 edellyttää, että organisaatio määrittää toimintaympäristönsä, sidosryhmänsä, vaatimuksensa ja ISMS:n soveltamisalan, mukaan lukien rajapinnat ja riippuvuudet muihin organisaatioihin. Etäkäytön osalta soveltamisalan on nimenomaisesti sisällettävä henkilöt, järjestelmät, toimittajat ja verkkopalvelut, jotka mahdollistavat etätyön.

SaaS- tai finanssiteknologiaorganisaation tulisi tunnistaa:

• työntekijät, jotka käyttävät tuotantojärjestelmiä etänä
• sopimuskumppanit ja kehittäjät, joilla on etähallintaoikeudet
• MSP:t, MSSP:t ja muut toimittajat, joilla on operatiivinen pääsy
• asiakastuen henkilöstö, joka käyttää asiakasympäristöjen dataa
• taloushallinnon, henkilöstöhallinnon ja lakiasioiden käyttäjät, jotka käyttävät henkilötietoja etänä
• pilvikonsolit ja etähallinnan ohjelmointirajapinnat
• VPN-, ZTNA-, identiteetin tarjoaja- ja päätelaitteiden hallinta-alustat
• lokit, SIEM-integraatiot ja säilytyssijainnit
• etäkäytön poikkeukset ja hätäkäytön menettelyt
• toimittajan hallinnoimat reunalaitteet ja etätukityökalut

Tämä on enemmän kuin dokumentaation siisteyttä. NIS2:n soveltamisala voi tuoda mukaan pilvipalveluntarjoajat, datakeskukset, MSP:t, MSSP:t, sähköisen viestinnän palveluntarjoajat, digitaalisen infrastruktuurin tarjoajat ja ICT-palvelunhallinnan tarjoajat organisaation koon, toimialan ja nimeämisen perusteella. DORA koskee rahoitusalan toimijoita ja toimii niiden osalta toimialakohtaisena ICT-riskisääntelynä. GDPR voi koskea EU:ssa ja EU:n ulkopuolella toimivia organisaatioita, kun käsittely liittyy EU:ssa oleviin henkilöihin, EU:ssa sijaitseviin toimipaikkoihin, unionissa oleville henkilöille tarjottuihin palveluihin tai käyttäytymisen seurantaan.

Jos ISMS:n soveltamisala jättää huomiotta kolmansien osapuolten etäkäytön, etähallinnan, VPN-infrastruktuurin tai toimittajan hallinnoimat yhteydet, kontrollikokonaisuus voi olla puutteellinen jo ennen kuin auditoija aloittaa otannan.

Rakenna etäkäytön kontrollipino

Vahva etäkäyttöohjelma tulisi rakentaa kontrollipinoksi, ei yksittäiseksi politiikaksi. Clarysecin toteutustyössä keskeisiin ISO/IEC 27002:2022 -kontrolleihin kuuluvat tyypillisesti:

• 6.7 Etätyö
• 5.15 Pääsynhallinta
• 5.16 Identiteetinhallinta
• 5.17 Todennustiedot
• 5.18 Käyttöoikeudet
• 8.5 Turvallinen todennus
• 8.1 Käyttäjien päätelaitteet
• 8.8 Teknisten haavoittuvuuksien hallinta
• 8.9 Konfiguraationhallinta
• 8.15 Lokitus
• 8.16 Valvontatoimet
• 8.20 Verkkoturvallisuus
• 8.22 Verkkojen eriyttäminen
• 5.19 Tietoturvallisuus toimittajasuhteissa
• 5.20 Tietoturvallisuuden käsittely toimittajasopimuksissa
• 5.21 Tietoturvallisuuden hallinta ICT-toimitusketjussa
• 5.22 Toimittajapalvelujen seuranta, katselmointi ja muutoksenhallinta
• 5.23 Tietoturvallisuus pilvipalvelujen käytössä
• 5.24 Tietoturvapoikkeamien hallinnan suunnittelu ja valmistautuminen
• 5.26 Reagointi tietoturvapoikkeamiin
• 5.28 Todisteiden kerääminen
• 5.30 ICT-valmius liiketoiminnan jatkuvuutta varten

Zenith Controls: The Cross-Compliance Guide kartoittaa Etätyö 6.7:n ennaltaehkäiseväksi kontrolliksi, joka tukee luottamuksellisuutta, eheyttä ja saatavuutta ja jolla on operatiiviset yhteydet omaisuudenhallintaan, tiedon suojaamiseen, fyysiseen turvallisuuteen sekä järjestelmä- ja verkkoturvallisuuteen. Se yhdistää Etätyö-kontrollin myös kontrolliin Toimitilojen ulkopuolella olevien omaisuuserien turvallisuus 7.9, Käyttäjien päätelaitteet 8.1, Tietoturvatietoisuus, koulutus ja opastus 6.3, Tiedonsiirto 5.14, Verkkoturvallisuus 8.20, Verkkojen eriyttäminen 8.22, Puhtaan pöydän ja näytön käytännöt 7.7 sekä ICT-valmius liiketoiminnan jatkuvuutta varten 5.30.

Tällä suhteella on merkitystä. VPN-vaatimus ilman päätelaitteiden hallintaa ei suojaa varastetulta kannettavalta. MFA ilman lokitusta ei tue tutkintaa. Toimittajan pääsy ilman segmentointia kasvattaa vaikutusaluetta. Etätyö ilman poikkeamien ilmoittamista viivästyttää rajaamista.

Kontrollipino muuttaa keskustelun. Sen sijaan, että väiteltäisiin siitä, onko ”VPN vaatimustenmukainen”, organisaatio luo jäljitettävän mallin: etäkäyttöriski, ISO-kontrolli, politiikkavaatimus, tekninen toteutus, näytön omistaja ja katselmointitiheys.

Muuta politiikan tavoite auditointinäytöksi

Auditoijat hyväksyvät harvoin väitteen ”käytämme yleensä MFA:ta” näytöksi. He etsivät muodollisesti hyväksyttyjä vaatimuksia, toteutettuja kontrolleja ja tallenteita, jotka osoittavat toiminnan.

Clarysecin politiikkatyökalupakki tarjoaa tiimeille täsmällistä kieltä, jota ne voivat ottaa käyttöön ja räätälöidä. Verkkoturvallisuuspolitiikka - pk-yritys toteaa kohdassa 5.5.1:

”VPN-käytön on edellytettävä monivaiheista todennusta (MFA), ja se on rajattava nimetyille henkilöille”

Sama pk-yrityksen politiikka muuttaa lokituksen säilytysvaatimukseksi kohdassa 6.3.3:

”VPN:n kautta tapahtuva käyttö on kirjattava lokiin, ja istuntojen kestot sekä lähde-IP-osoitteet on säilytettävä vähintään 6 kuukauden ajan”

Etätyön toimintatavan osalta Etätyöpolitiikka - pk-yritys toteaa kohdassa 5.2.3:

”Julkista Wi-Fi-yhteyttä saa käyttää vain, kun suojattu tunneli (VPN) on aktiivinen.”

Yritysympäristöissä Etätyöpolitiikka on vielä suorempi. Kohta 5.2.1.1 edellyttää henkilöstöltä:

”Käytä yrityksen hyväksymää VPN-yhteyttä tai etätyöpöytäinfrastruktuuria”

Kohta 5.2.1.2 edellyttää organisaatioilta:

”Edellytä monivaiheista todennusta (MFA) kaikissa kirjautumisyrityksissä”

Verkkoturvallisuuspolitiikka yhdenmukaistaa teknisen perustason kohdan 6.3.1 kanssa:

”Kaikki etäkäyttö on salattava esimerkiksi IPsec- tai SSL VPN -yhteydellä, ja sen on edellytettävä monivaiheista todennusta (MFA).”

Pääsynhallintapolitiikka toteaa kohdassa 5.6.1:

”Pääsytapahtumat on kirjattava lokiin ja säilytettävä Lokitus- ja valvontapolitiikan mukaisesti.”

Toimittajien osalta Kolmansien osapuolten ja toimittajien turvallisuuspolitiikka edellyttää kohdassa 6.3.2:

”Kaikki kolmansien osapuolten pääsy on kirjattava lokiin ja sitä on valvottava, ja mahdollisuuksien mukaan se on segmentoitu hyppypalvelimien, VPN-yhteyksien tai Zero Trust -yhdyskäytävien kautta.”

Haavoittuvuuksien ja korjauspäivitysten hallintapolitiikka - pk-yritys toteaa kohdassa 6.5.1:

”Järjestelmät, jotka käsittelevät henkilötietoja, tarjoavat etäkäytön tai ovat ulkoisesti altistuvia, on priorisoitava skannaukseen ja päivityksiin”

Näistä kohdista tulee vaikuttavia, kun ne liitetään operatiiviseen näyttöön. Politiikka sanoo, että MFA vaaditaan. Identiteetin tarjoaja osoittaa soveltamisen. VPN-loki osoittaa käytön. SIEM-hälytys osoittaa valvonnan. Käyttöoikeuskatselmointi osoittaa jatkuvan liiketoimintatarpeen. Haavoittuvuusraportti osoittaa, että etäkäyttöpalvelu on priorisoitu. Poikkeamien käsittelyn pelikirja osoittaa reagointivalmiuden.

Tämä on ero politiikan omistamisen ja kontrollin operoinnin välillä.

Viisi kysymystä, joihin jokaisen tietoturvajohtajan tulisi vastata

Clarysecin etäkäytön hallintamalli rakentuu viiden kysymyksen ympärille. Ne toimivat ISO 27001 -auditoinneissa, NIS2-valmiudessa, DORA:n ICT-riskikatselmoinneissa ja GDPR Article 32 -näyttöpaketeissa.

1. Kenellä on lupa muodostaa etäyhteys?

Etäkäyttö on rajattava valtuutetuille käyttäjille, rooleille ja toimittajille. ISO/IEC 27002:2022 Pääsynhallinta 5.15, Identiteetinhallinta 5.16 ja Käyttöoikeudet 5.18 määrittävät hallinnan perustan.

Zenith Controls kartoittaa Pääsynhallinta 5.15:n ennaltaehkäiseväksi kontrolliksi, jonka painopiste on identiteetin- ja pääsynhallinnassa. Se yhdistää kontrollin Identiteetinhallintaan, Käyttöoikeuksiin, Todennustietoihin, Käyttäjien päätelaitteisiin, Turvalliseen todennukseen ja politiikkojen noudattamiseen. Käytännössä pääsypolitiikka on uskottava vain, jos identiteetit ovat yksilöllisiä, elinkaaren mukaisesti hallittuja, todennettuja ja katselmoituja.

Hyvän etäkäyttötallenteen tulisi vastata seuraaviin kysymyksiin:

• Kenellä henkilöllä tai toimittajalla on pääsy?
• Mihin järjestelmiin hän pääsee?
• Mikä rooli tai sopimus perustelee pääsyn?
• Kuka hyväksyi sen?
• Onko MFA pakotettu käyttöön?
• Milloin pääsy viimeksi katselmoitiin?
• Milloin tilapäinen käyttöoikeus vanhenee?
• Mikä lokilähde osoittaa käytön?

Tämä tukee myös NIST Cybersecurity Framework 2.0:n PR.AA-tuloksia identiteetinhallinnan, todennuksen, valtuutuksen, vähimmän oikeuden periaatteen ja tehtävien eriyttämisen osalta.

2. Mitä laitteen ja verkon tietoturvatilaa edellytetään?

Etäkäytön tulisi perustua laitteen luotettavuuteen, ei pelkästään käyttäjän tunnistetietoihin. Kelvollinen salasana ja MFA-hyväksyntä hallitsemattomalta, saastuneelta tai paikkaamattomalta laitteelta on edelleen korkea riski.

Zenith Blueprint: An Auditor’s 30-Step Roadmap selittää tämän Controls in Action -vaiheessa, vaiheessa 16, People Controls II:

”Etätyötä tekevien henkilöiden tulee käyttää vain yrityksen hyväksymiä laitteita, jotka IT on konfiguroinut koko levyn salauksella, aktiivisella päätelaitesuojausratkaisulla, automaattisella paikkauksella ja pakotetuilla näytön lukitusajastimilla.”

Sama vaihe korostaa, että etäkäytön tulisi kulkea yrityksen VPN:n kautta, mieluiten MFA:lla suojattuna, ja että BYOD tulisi kieltää tai sallia vain tiukoin ehdoin, kuten MDM-rekisteröinnillä, kontituksella ja etätyhjennyksellä.

Tässä Käyttäjien päätelaitteet 8.1, Etätyö 6.7, Teknisten haavoittuvuuksien hallinta 8.8, Konfiguraationhallinta 8.9 ja Verkkoturvallisuus 8.20 kohtaavat.

GDPR Article 32:n osalta laitteen tietoturvatila on olennainen, koska etäpäätelaitteet ovat osa henkilötietoja suojaavia teknisiä ja organisatorisia toimenpiteitä. DORA:n osalta päätelaitteen tietoturvatila tukee ICT-riskien hallintaa ja operatiivista häiriönsietokykyä. NIS2:n osalta se tukee kyberhygieniaa, pääsynhallintaa, omaisuudenhallintaa ja haavoittuvuuksien käsittelyä.

3. Miten istunto suojataan?

Tietoturvallisen etäkäyttöistunnon tulisi käyttää salattua siirtoa, vahvaa tunnistautumista, segmentointia ja hallittuja ylläpitoreittejä.

Zenith Blueprint, Risk Management -vaihe, vaihe 14, Risk Treatment Policies and Regulatory Cross-References, määrittää etäkäyttöä koskevan odotuksen:

”Kaikessa sisäisiin järjestelmiin kohdistuvassa etäkäytössä on käytettävä suojattua VPN-yhteyttä tai vastaavaa salattua yhteyttä. Monivaiheista todennusta (MFA) edellytetään yritysverkkoihin kohdistuvassa etäkirjautumisessa.”

Vaihe 20, Controls 8.18 to 8.26, ohjeistaa organisaatioita validoimaan verkkopalvelujen turvallisuuden listaamalla kaikki sisäiset ja ulkoiset verkkopalvelut, kuten DNS, VPN, SMTP, DHCP ja ohjelmointirajapintojen yhdyskäytävät, varmistamalla turvalliset protokollat, katselmoimalla pääsynhallinnan sekä tarkistamalla kolmansia osapuolia koskevat tietoturvalausekkeet, kun palveluja hallinnoidaan ulkoisesti.

VPN ei ole vain laite. Se on verkkopalvelu, jolla on protokollavalintoja, pääsyrajoituksia, varmenteita, palomuurireittejä, kolmannen osapuolen riippuvuuksia, paikkausvaatimuksia ja lokeja.

4. Miten pääsyä valvotaan ja tutkitaan?

Etäkäytön hallintaan on sisällyttävä lokitus ja valvonta. NIS2 Article 23 asettaa merkittäville poikkeamille vaiheittaiset raportointiodotukset, mukaan lukien varhaisvaroitus 24 tunnin kuluessa, poikkeamailmoitus 72 tunnin kuluessa ja loppuraportti yhden kuukauden kuluessa. DORA edellyttää rahoitusalan toimijoilta merkittävien ICT-poikkeamien havaitsemista, hallintaa, luokittelua, eskalointia ja raportointia, mukaan lukien juurisyyanalyysi ja viestintä silloin, kun asiakkaiden taloudelliset edut ovat vaikutuksen kohteena. GDPR-loukkausanalyysi riippuu siitä, ymmärretäänkö, onko henkilötietoihin päästy, onko niitä muutettu, luovutettu, kadotettu tai muuten vaarannettu.

Ilman etäkäytön lokeja organisaatio ei pysty vastaamaan luotettavasti valvojan ensimmäiseen kysymykseen: mitä tapahtui?

Vahvan lokituksen tulisi tallentaa käyttäjän identiteetti, todennuksen tulos, lähde-IP, maantieteellinen sijainti tarvittaessa, laitteen identiteetti, kohdepalvelu, etuoikeutettu toimi, istunnon kesto, epäonnistuneet yritykset, ylläpidolliset muutokset sekä korrelaatio päätelaite- ja identiteettitapahtumiin.

5. Miten poikkeuksia ja haavoittuvuuksia käsitellään?

Etäkäyttöinfrastruktuuri on korkean arvon kohde. VPN-yhdyskäytävien, ZTNA-laitteiden, identiteetin tarjoajien, hyppypalvelimien ja etätyöpöytäpalvelujen tulisi kuulua haavoittuvuusohjelman tiukimmin hallittuihin omaisuuseriin.

Kypsän poikkeusprosessin tulisi sisältää omaisuuden omistaja, vaikutuksen kohteena oleva etäkäyttöpalvelu, haavoittuvuuden vakavuus, hyväksikäytettävyys, tietojen altistuminen, tilapäiset korvaavat kontrollit, riskinomistajan hyväksyntä, vanhenemispäivä, uudelleentestauksen näyttö sekä yhteys riskirekisteriin ja riskienkäsittelysuunnitelmaan.

ISO/IEC 27001:2022:n osalta tämä tukee riskien käsittelyä, operatiivista kontrollia ja jatkuvaa parantamista. DORA:n osalta se tukee ICT-riskien hallintaa, testausta ja korjaavia toimenpiteitä. NIS2:n osalta se tukee haavoittuvuuksien käsittelyä ja korjaavia toimenpiteitä ilman aiheetonta viivytystä. GDPR:n osalta se auttaa osoittamaan, että käsittelyn turvallisuus oli riskiperusteista eikä ad hoc -luonteista.

Toimittajien etäkäyttö on piilevä auditointiansa

Monet etäkäytön epäonnistumiset eivät johdu työntekijöistä. Ne ovat toimittajahallinnan epäonnistumisia.

MSP:llä on vanha VPN-tili. Ohjelmistotoimittaja käyttää jaettuja tunnistetietoja. Tukikumppani muodostaa etätyöpöytäyhteyden selvittääkseen asiakkaaseen vaikuttavaa ongelmaa. Pilvipalveluntarjoaja hallinnoi etäkäytön yhdyskäytävää. Sopimuskumppanilla säilyy pääsy projektin päättymisen jälkeen.

DORA on tässä erityisen tiukka. Article 28 edellyttää, että rahoitusalan toimijat hallitsevat ICT-palvelujen kolmansien osapuolten riskiä osana ICT-riskienhallinnan viitekehystä ja säilyttävät täyden vastuun myös silloin, kun ICT-palvelut on ulkoistettu. Se edellyttää ICT-sopimusjärjestelyjen rekistereitä, huolellisuutta, tietoturvastandardeja, auditointi- ja tarkastusoikeuksia, irtisanomisoikeuksia, keskittymäriskin analyysia sekä exit-strategioita kriittisille tai tärkeille toiminnoille. Article 30 määrittää sopimusmääräyksiä, kuten tietosuojan, palvelutasot, käsittelysijainnit, pääsyn tietoihin ja tietojen palautuksen, avun poikkeamien aikana, yhteistyön viranomaisten kanssa, turvatoimet, auditointioikeudet ja exit-tuen.

NIS2 Article 21 sisältää myös toimitusketjun tietoturvan sekä toimittaja- ja palveluntarjoajasuhteet, joissa huomio kiinnittyy toimittajakohtaisiin haavoittuvuuksiin ja toimittajien kyberturvallisuuskäytäntöihin.

NIST CSF 2.0 GV.SC tarjoaa käytännöllisen toimintamallin: toimitusketjuriskistrategia, roolit, toimittajien kriittisyys, sopimusvaatimukset, huolellisuus, seuranta, osallistuminen poikkeamien käsittelyyn ja suhteen päättymisen jälkeiset toimet.

Clarysecin asiakkaille käytännön sääntö on yksinkertainen: kolmansien osapuolten etäkäyttöä on käsiteltävä etuoikeutettuna käyttöoikeutena, ellei muuta voida osoittaa. Sen tulee olla nimettyä, hyväksyttyä, aikarajoitettua, MFA-suojattua, lokitettua, valvottua ja segmentoituja.

Vaatimusten välinen kartoitus: yksi kontrollijärjestelmä, monta velvoitetta

Etäkäytön hallinta on yksi vahvimmista esimerkeistä vaatimusten välisestä yhteensovittamisesta. Sama näyttö voi täyttää useita velvoitteita, jos se suunnitellaan oikein.

Yksityiskohtaisempi ISO-kontrollien vertailu osoittaa, miksi etäkäytön hallinta tuottaa niin paljon vaatimustenmukaisuusarvoa.

NIS2 tuo myös nimenomaisen johdon vastuun. Article 20 edellyttää, että keskeisten ja tärkeiden toimijoiden hallintoelimet hyväksyvät kyberturvallisuuden riskienhallintatoimenpiteet, valvovat niiden toteutusta ja osallistuvat koulutukseen. DORA Article 5 edellyttää vastaavasti, että rahoitusalan toimijoiden hallintoelin määrittää, hyväksyy ja valvoo ICT-riskien hallintajärjestelyjä ja pysyy niistä vastuussa.

Hallituksen ei tarvitse hyväksyä jokaista palomuurisääntöä. Sen tulisi kuitenkin hyväksyä etäkäytön riskiasema: MFA on pakollinen, toimittajien pääsy lokitetaan, etuoikeutettu pääsy segmentoidaan, etäkäyttöinfrastruktuuri paikataan määritellyissä määräajoissa, poikkeukset ovat aikarajoitettuja ja kyberpoikkeamat eskaloidaan sovittujen kanavien kautta.

90 minuutin etäkäytön näyttösprintti

Käytännöllinen tapa paljastaa puutteet on rakentaa mininäyttöpaketti yhden pääsyreitin ympärille. Valitse yksi esimerkki, kuten ”VPN-käyttö tuotantotuen insinööreille”, ja toteuta seuraava sprintti.

Tavoitteena ei ole paperityö. Tavoitteena on yhdistää politiikka näyttöön. Jos näyttöpakettia ei voida koota yhden pääsyreitin osalta, organisaatio on löytänyt todellisen hallintapuutteen ennen kuin auditoija tai valvova viranomainen löytää sen.

Harjoitus sopii myös NIST CSF 2.0 -profiilimenetelmään: rajaa profiili, kerää politiikat ja vaatimukset, dokumentoi nykyiset ja tavoitetulokset, analysoi puutteet, luo priorisoitu toimintasuunnitelma ja toteuta parannukset.

Miten auditoijat testaavat etäkäyttöä

Etäkäytön auditointi voi tuntua erilaiselta auditoijan taustan mukaan. Zenith Controls auttaa organisaatioita valmistautumaan, koska se kartoittaa ISO/IEC 27002:2022 -kontrollien suhteet vaatimusten väliseen näkymään yksittäisen tarkistuslistan sijaan.

Organisaatio, jolla on auditointivalmius, ei hätäile kuvakaappausten perässä. Se ylläpitää elävää näyttöjärjestelmää.

Yleiset havainnot vuonna 2026

Arvioinneissa Clarysec näkee toistuvasti samoja etäkäyttöön liittyviä ongelmia:

• MFA on käytössä työntekijöille, mutta ei toimittajille, hätätileille tai vanhoille VPN-profiileille
• etäkäyttölokeja on olemassa, mutta niitä ei säilytetä riittävän pitkään, keskitetä tai yhdistetä identiteetteihin
• päätelaitteiden vaatimustenmukaisuutta hallitaan erillään VPN-käytöstä, joten hallitsemattomat laitteet voivat edelleen muodostaa yhteyden
• käyttöoikeuskatselmoinnit keskittyvät liiketoimintasovelluksiin mutta sivuuttavat VPN-ryhmät, hyppypalvelimien käyttöoikeudet ja pilvihallinnan roolit
• etäkäyttöinfrastruktuuri puuttuu haavoittuvuuksien prioriteettiluettelosta
• toimittajien pääsy hyväksytään epämuodollisesti eikä se näy sopimuksissa
• poikkeuksilla ei ole vanhenemispäivää, korvaavaa kontrollia tai riskinomistajan hyväksyntää
• break-glass-tilejä ei testata, valvota tai katselmoida
• etuoikeutettuja istuntoja ei segmentoida yleisestä etäkäyttöliikenteestä
• tietoturvapoikkeamiin reagoinnin pelikirjat eivät sisällä etäkäytön todistusaineiston keräämistä

Nämä havainnot ovat estettävissä. Ne johtuvat yleensä hajautuneesta omistajuudesta. Verkkotiimit omistavat VPN:n. IAM omistaa MFA:n. IT omistaa laitteet. Hankinta omistaa toimittajasopimukset. Lakiasiat omistavat tietojenkäsittelyehdot. SOC omistaa hälytykset. Vaatimustenmukaisuustoiminto omistaa auditointinäytön.

ISMS:n on yhdistettävä ne.

Tavoiteltu toimintamalli tietoturvalliselle etäkäytölle

Kypsän tietoturvallisen etäkäytön ja VPN:n hallintamallin tulisi sisältää seuraavat operatiiviset käytännöt:

• ylläpidä luetteloa kaikista etäkäyttömenetelmistä, mukaan lukien VPN, ZTNA, RDP, hyppypalvelimet, SaaS-hallintaportaalit ja toimittajatunnelit
• edellytä MFA:ta kaikessa etäkäytössä, mukaan lukien toimittajat, ylläpitäjät ja hätätilanteiden tilit
• pakota laitteen vaatimustenmukaisuus ennen pääsyä, kun se on teknisesti mahdollista
• käytä segmentointia, hyppypalvelimia tai Zero Trust -yhdyskäytäviä etuoikeutetussa ja kolmansien osapuolten pääsyssä
• kirjaa lokiin lähde-IP, käyttäjän identiteetti, todennuksen tulos, kohdejärjestelmä ja istunnon kesto
• säilytä lokit politiikan, sääntelyn ja tutkintatarpeiden mukaisesti
• priorisoi etäkäyttöjärjestelmät haavoittuvuusskannaukseen ja paikkaukseen
• katselmoi käyttöoikeudet säännöllisesti sekä roolimuutoksen, työsuhteen päättämisen tai toimittajasopimuksen muutoksen yhteydessä
• aikarajoita hätäkäyttö, tilapäinen käyttöoikeus ja toimittajien pääsy
• sisällytä etäkäyttö tietoturvapoikkeamiin reagointiin, loukkausarviointiin ja kriisiharjoituksiin
• testaa etäkäytön häiriönsietokykyä ja varayhteysreittejä, kun jatkuvuus sitä edellyttää
• integroi toimittajien etäkäyttö sopimuksiin, huolellisuusarviointeihin, seurantaan ja exit-suunnitteluun
• raportoi etäkäytön riskimittarit johdolle

Marialle tästä tulee käytännöllinen toimintasuunnitelma. Ensimmäisten kahden viikon aikana hän käyttää Zenith Blueprint -materiaalia hallinta-asiakirjojen päivittämiseen, politiikkojen yhdenmukaistamiseen NIS2- ja DORA-velvoitteiden kanssa sekä johdon hyväksynnän hankkimiseen. Seuraavan kuukauden aikana hänen IT- ja tietoturvatiiminsä pakottavat MFA:n käyttöön kaikissa etäkäyttöprofiileissa, segmentoivat sopimuskumppanien pääsyn, hienosäätävät lokitusta ja priorisoivat VPN- ja ZTNA-järjestelmät haavoittuvuuksien korjaamiseen. Jatkuvasti hän toteuttaa neljännesvuosittaiset käyttöoikeuskatselmoinnit, testaa poikkeamatilanteiden todistusaineiston keräämistä ja raportoi riskimittarit hallitukselle.

Tuloksena ei ole vain siistimpi VPN-konfiguraatio. Tuloksena on etäkäytön kontrollijärjestelmä, joka kestää auditoinnin, tukee tietoturvapoikkeamiin reagointia ja vähentää todellista operatiivista riskiä.

Rakenna etäkäytön näyttöpaketti ennen seuraavaa poikkeamaa

Maanantaiaamun VPN-hälytyksen ei tarvitse muuttua kriisiksi. Sen tulisi kuitenkin toimia hallinnan testinä.

Pystyttekö tunnistamaan käyttäjän? Pystyttekö osoittamaan MFA:n? Pystyttekö vahvistamaan laitteen tietoturvatilan? Pystyttekö rekonstruoimaan istunnon? Pystyttekö määrittämään, olivatko henkilötiedot saavutettavissa? Pystyttekö osoittamaan, että tili oli hyväksytty ja katselmoitu? Pystyttekö osoittamaan, että VPN-laite oli paikattu? Pystyttekö osoittamaan, että toimittajien pääsy lokitetaan ja segmentoidaan? Näkeekö johto riskin?

Jos vastaus on ”ei vielä”, Clarysec voi auttaa.

Aloita Zenith Blueprint: An Auditor’s 30-Step Roadmap -materiaalilla jäsentääksesi ISO/IEC 27001:2022 -toteutuksen tiekartan, erityisesti vaiheen 14 riskienkäsittelypolitiikoille, vaiheen 16 etätyökontrolleille, vaiheen 19 turvalliselle todennukselle ja vaiheen 20 verkkopalvelujen turvallisuudelle. Käytä Zenith Controls: The Cross-Compliance Guide -materiaalia kartoittaaksesi Etätyön, Pääsynhallinnan, Turvallisen todennuksen, toimittajakontrollit, lokituksen ja verkkoturvallisuuden liittyviin ISO/IEC 27002:2022 -kontrolleihin ja vaatimusten väliseen näyttöön.

Vie vaatimukset käytäntöön Clarysecin politiikoilla, kuten Etätyöpolitiikka, Verkkoturvallisuuspolitiikka, Pääsynhallintapolitiikka, Kolmansien osapuolten ja toimittajien turvallisuuspolitiikka sekä pk-yrityksille valmiilla vastineilla.

Seuraavan auditoinnin ei tulisi olla ensimmäinen kerta, kun etäkäyttöä koskeva näyttönne kootaan. Rakenna se nyt, testaa se nyt ja tee tietoturvallisen etäkäytön hallinnasta yksi vaatimustenmukaisuusohjelmanne vahvimmista osa-alueista. Ota yhteyttä Clarysecin etäkäytön hallinnan arviointia varten, lataa politiikkamallit tai varaa demo nähdäksesi, miten nykyiset kontrollinne kartoittuvat ISO 27001-, NIS2-, DORA- ja GDPR Article 32 -vaatimuksiin.