Addressing telecommuting in cyber security guidelines
Parppei, Nea (2022-04-11)
Addressing telecommuting in cyber security guidelines
(11.04.2022)
Julkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.
avoin
Julkaisun pysyvä osoite on:
https://urn.fi/URN:NBN:fi-fe2022042831196
https://urn.fi/URN:NBN:fi-fe2022042831196
Tiivistelmä
Cyber security threats are becoming more common than before. New phenomena in society
include new cyber security threats which organisations and society should prepare for. One of
these phenomena is telecommuting. Telecommuting has its roots already in the 1970s, but it has
become increasingly popular during the last years. Especially the pandemic caused by Covid-19
has changed the way of working drastically. Pandemic and the social distancing forced many
organisations to have their employees working from home. Information technology has abled
telecommuting, but it has also brought some problems such as security issues. Cyber security
threats have increased and become more diverse during the mass telecommuting caused by Covid-19. Telecommuting has some special features that can increase cyber security threats and risks.
In this research the following cyber security threats relating to telecommuting were identified to
be most relevant: cyber attacks, social engineering, unauthorized access and physical security.
Previous literature has identified that there exist cyber security threats in telecommuting, but it
has remained unclear how organisations manage and mitigate these in practice. Many of the
identified threats relate to employees’ unwanted behaviour. Employees are unaware of the threats
facing the organisation in telecommuting. Some employees have not been provided with proper
guidelines and instruction on secure way of working. Information security policies and guidelines
are important for maintaining cyber security in organisations. Policies can be even seen as the
basis for organisation’s cyber security. This research studied which guidelines could be applicable
in a telecommuting environment in order to mitigate the common cyber security threats. Most
prominent cyber security guidelines for telecommuting identified in this research were guidelines
for personal and mobile devices, guidelines for social engineering, guidelines for physical
security, network guidelines, password guidelines and guidelines for online meetings.
Case study of multiple cases was used as a method for this study. The cases are seven Finnish
universities. The empirical data consists of cyber security and telecommuting guidelines from the
universities. These guidelines were analysed by reflecting to the theoretical framework. The
analysis showed that especially guidelines for physical security and online meetings were lacking.
The presence of outsiders in the telecommuting environment was addressed poorly. Outsiders are
a threat both to physical and online meeting security as outsiders may see or hear confidential
things. In addition, guidelines were not addressing data labelling and information release. Threats
specific to Covid-19 were also addressed poorly even though cyber criminals have exploited the
pandemic. Guidelines seemed to be otherwise comprehensive. Threats that were addressed poorly
have been especially relevant during the pandemic which suggests that organisations’ guidelines
are not quite up to date even though otherwise applicable. Organisations should review and update
their guidelines periodically and if a major change occurs in the operation environment. Kyberturvallisuusuhat ovat yleistymässä. Uudet ilmiöt tuovat mukanaan uusia
kyberturvallisuusuhkia, joihin organisaatioiden ja yhteiskunnan tulee varautua. Yksi näistä
ilmiöistä on etätyö. Etätyön juuret ovat jo 1970-luvulla, mutta sen suosio on kasvanut viime
vuosina. Erityisesti Covid-19 ja sen aiheuttama pandemia ovat muuttaneet työn toimintatapoja
radikaalisti, sillä pandemia pakotti monet työntekijät etätyöhön. Tietotekniikka on mahdollistanut
etätyön, mutta se on tuonut myös ongelmia liittyen kyberturvaan. Kyberturvallisuusuhat ovat
lisääntyneet ja monipuolistuneet pandemian aiheuttaman laajalle levinneen etätyön myötä.
Etätyössä on joitain erityispiirteitä, jotka voivat lisätä kyberturvallisuusuhkia ja -riskejä
perinteiseen työntekoon verraten. Tässä tutkimuksessa tärkeimmiksi etätyöhön liittyviksi
kyberuhiksi tunnistettiin kyberhyökkäykset, sosiaalinen manipulointi, valtuuttamaton pääsy ja
huono fyysinen turvallisuus.
Aikaisemmassa kirjallisuudessa on havaittu, että etätyöhön liittyy kyberturvallisuusuhkia, mutta
on jäänyt epäselväksi, miten organisaatiot hallitsevat ja vähentävät niitä käytännössä. Monet
tunnistetuista uhista liittyvät työntekijöiden ei-toivottuun käyttäytymiseen. Työntekijät eivät
välttämättä ole tietoisia etätyön uhista organisaatiolle. Osalle työntekijöistä ei ole myöskään
annettu asianmukaisia ohjeita kyberturvallisista työskentelytavoista. Tietoturvapolitiikat ja -
ohjeet ovat tärkeitä organisaatioiden kyberturvallisuuden ylläpitämisessä. Politiikkoja voidaan
pitää jopa organisaation kyberturvallisuuden perustana. Tässä tutkimuksessa selvitettiin,
minkälaisia ohjeita tarvitaan etätyössä yleisten kyberturvallisuusuhkien lieventämiseksi. Tässä
tutkimuksessa tunnistetut kyberturvallisuusohjeet etätyöhön liittyivät henkilökohtaisten ja
mobiililaitteiden käyttöön, sosiaaliseen manipulointiin, fyysiseen turvallisuuteen, turvattomiin
verkkoihin, salasanoihin ja online-kokouksiin.
Tutkimusmetodina tässä tutkimuksessa käytettiin usean tapauksen tapaustutkimusta. Tapauksina
toimivat seitsemän suomalaista yliopistoa. Empiirinen data koostuu Suomessa toimivien
yliopistojen kyberturvallisuus- ja etätyöohjeista. Nämä ohjeet analysoitiin teoreettiseen
viitekehyksen avulla ja siihen viitaten. Analyysi osoitti, että erityisesti fyysistä turvallisuutta ja
online-kokouksia koskevat ohjeet ovat puutteellisia. Ulkopuolisten läsnäolo etätyöympäristössä
on huomioitu huonosti. Ulkopuoliset ovat uhka sekä fyysiselle että online-kokousten
turvallisuudelle, koska ulkopuoliset voivat nähdä tai kuulla luottamuksellisia asioita. Lisäksi
datan merkitsemiseen ja tiedon jakamiseen liittyvät ohjeet puuttuivat. Covid-19 oli myös
huomioitu huonosti, vaikka pandemian aikana on ollut useita kyberhyökkäyksiä, jotka ovat
hyödyntäneet Covid-19 tuomaa epävarmuutta. Yliopistojen ohjeet näyttivät muuten olevan
kattavat. Huonosti huomioon otetut ohjeet ovat sellaisia, jotka ovat olleet esillä etenkin
pandemian aikana. Vaikuttaa siltä, että organisaatioiden ohjeet eivät ole täysin ajan tasalla, vaikka
ne muuten olisivat tarkoituksenmukaiset. Organisaatioiden tuleekin tarkistaa ja päivittää ohjeitaan
säännöllisesti ja aina, jos toimintaympäristössä tapahtuu suuria muutoksia.
include new cyber security threats which organisations and society should prepare for. One of
these phenomena is telecommuting. Telecommuting has its roots already in the 1970s, but it has
become increasingly popular during the last years. Especially the pandemic caused by Covid-19
has changed the way of working drastically. Pandemic and the social distancing forced many
organisations to have their employees working from home. Information technology has abled
telecommuting, but it has also brought some problems such as security issues. Cyber security
threats have increased and become more diverse during the mass telecommuting caused by Covid-19. Telecommuting has some special features that can increase cyber security threats and risks.
In this research the following cyber security threats relating to telecommuting were identified to
be most relevant: cyber attacks, social engineering, unauthorized access and physical security.
Previous literature has identified that there exist cyber security threats in telecommuting, but it
has remained unclear how organisations manage and mitigate these in practice. Many of the
identified threats relate to employees’ unwanted behaviour. Employees are unaware of the threats
facing the organisation in telecommuting. Some employees have not been provided with proper
guidelines and instruction on secure way of working. Information security policies and guidelines
are important for maintaining cyber security in organisations. Policies can be even seen as the
basis for organisation’s cyber security. This research studied which guidelines could be applicable
in a telecommuting environment in order to mitigate the common cyber security threats. Most
prominent cyber security guidelines for telecommuting identified in this research were guidelines
for personal and mobile devices, guidelines for social engineering, guidelines for physical
security, network guidelines, password guidelines and guidelines for online meetings.
Case study of multiple cases was used as a method for this study. The cases are seven Finnish
universities. The empirical data consists of cyber security and telecommuting guidelines from the
universities. These guidelines were analysed by reflecting to the theoretical framework. The
analysis showed that especially guidelines for physical security and online meetings were lacking.
The presence of outsiders in the telecommuting environment was addressed poorly. Outsiders are
a threat both to physical and online meeting security as outsiders may see or hear confidential
things. In addition, guidelines were not addressing data labelling and information release. Threats
specific to Covid-19 were also addressed poorly even though cyber criminals have exploited the
pandemic. Guidelines seemed to be otherwise comprehensive. Threats that were addressed poorly
have been especially relevant during the pandemic which suggests that organisations’ guidelines
are not quite up to date even though otherwise applicable. Organisations should review and update
their guidelines periodically and if a major change occurs in the operation environment.
kyberturvallisuusuhkia, joihin organisaatioiden ja yhteiskunnan tulee varautua. Yksi näistä
ilmiöistä on etätyö. Etätyön juuret ovat jo 1970-luvulla, mutta sen suosio on kasvanut viime
vuosina. Erityisesti Covid-19 ja sen aiheuttama pandemia ovat muuttaneet työn toimintatapoja
radikaalisti, sillä pandemia pakotti monet työntekijät etätyöhön. Tietotekniikka on mahdollistanut
etätyön, mutta se on tuonut myös ongelmia liittyen kyberturvaan. Kyberturvallisuusuhat ovat
lisääntyneet ja monipuolistuneet pandemian aiheuttaman laajalle levinneen etätyön myötä.
Etätyössä on joitain erityispiirteitä, jotka voivat lisätä kyberturvallisuusuhkia ja -riskejä
perinteiseen työntekoon verraten. Tässä tutkimuksessa tärkeimmiksi etätyöhön liittyviksi
kyberuhiksi tunnistettiin kyberhyökkäykset, sosiaalinen manipulointi, valtuuttamaton pääsy ja
huono fyysinen turvallisuus.
Aikaisemmassa kirjallisuudessa on havaittu, että etätyöhön liittyy kyberturvallisuusuhkia, mutta
on jäänyt epäselväksi, miten organisaatiot hallitsevat ja vähentävät niitä käytännössä. Monet
tunnistetuista uhista liittyvät työntekijöiden ei-toivottuun käyttäytymiseen. Työntekijät eivät
välttämättä ole tietoisia etätyön uhista organisaatiolle. Osalle työntekijöistä ei ole myöskään
annettu asianmukaisia ohjeita kyberturvallisista työskentelytavoista. Tietoturvapolitiikat ja -
ohjeet ovat tärkeitä organisaatioiden kyberturvallisuuden ylläpitämisessä. Politiikkoja voidaan
pitää jopa organisaation kyberturvallisuuden perustana. Tässä tutkimuksessa selvitettiin,
minkälaisia ohjeita tarvitaan etätyössä yleisten kyberturvallisuusuhkien lieventämiseksi. Tässä
tutkimuksessa tunnistetut kyberturvallisuusohjeet etätyöhön liittyivät henkilökohtaisten ja
mobiililaitteiden käyttöön, sosiaaliseen manipulointiin, fyysiseen turvallisuuteen, turvattomiin
verkkoihin, salasanoihin ja online-kokouksiin.
Tutkimusmetodina tässä tutkimuksessa käytettiin usean tapauksen tapaustutkimusta. Tapauksina
toimivat seitsemän suomalaista yliopistoa. Empiirinen data koostuu Suomessa toimivien
yliopistojen kyberturvallisuus- ja etätyöohjeista. Nämä ohjeet analysoitiin teoreettiseen
viitekehyksen avulla ja siihen viitaten. Analyysi osoitti, että erityisesti fyysistä turvallisuutta ja
online-kokouksia koskevat ohjeet ovat puutteellisia. Ulkopuolisten läsnäolo etätyöympäristössä
on huomioitu huonosti. Ulkopuoliset ovat uhka sekä fyysiselle että online-kokousten
turvallisuudelle, koska ulkopuoliset voivat nähdä tai kuulla luottamuksellisia asioita. Lisäksi
datan merkitsemiseen ja tiedon jakamiseen liittyvät ohjeet puuttuivat. Covid-19 oli myös
huomioitu huonosti, vaikka pandemian aikana on ollut useita kyberhyökkäyksiä, jotka ovat
hyödyntäneet Covid-19 tuomaa epävarmuutta. Yliopistojen ohjeet näyttivät muuten olevan
kattavat. Huonosti huomioon otetut ohjeet ovat sellaisia, jotka ovat olleet esillä etenkin
pandemian aikana. Vaikuttaa siltä, että organisaatioiden ohjeet eivät ole täysin ajan tasalla, vaikka
ne muuten olisivat tarkoituksenmukaiset. Organisaatioiden tuleekin tarkistaa ja päivittää ohjeitaan
säännöllisesti ja aina, jos toimintaympäristössä tapahtuu suuria muutoksia.