Etätyön tietokoneet ja VPN: perussetti ilman yllätyksiä

Etätyön IT-perussetti

Etätyö vaatii saman tietoturvatason kuin toimistotyö – usein jopa enemmän, koska kotiverkko ei ole yrityksen hallinnassa. Perussetissä on kolme kerrosta: laite, yhteys ja käytännöt.

1. Laite: yrityksen hallitsema tietokone

• Yrityksen omistama kannettava – ei omia koneita työkäyttöön (BYOD on riski)
• Kovalevyn salaus – BitLocker (Windows) tai FileVault (Mac) päälle
• Automaattiset päivitykset – Windows Update ja sovelluspäivitykset
• Virustorjunta – Windows Defender riittää, kun se on päällä
• Keskitetty hallinta – Intune tai vastaava, jotta IT voi hallinnoida etänä
• Automaattinen lukitus – 5–10 minuutin jälkeen PIN tai salasana

2. Yhteys: VPN vai pilvi?

VPN (Virtual Private Network) luo salatun tunnelin yrityksen sisäverkkoon. Mutta tarvitsetko sitä?

VPN tarvitaan kun:

• Käytät toimiston verkkolevyjä tai palvelimia
• Tarvitset pääsyn järjestelmään joka on vain sisäverkossa
• Tulostetaan toimiston tulostimille etänä

VPN ei tarvita kun:

• Kaikki työkalut ovat pilvessä (M365, Google Workspace, pilvi-CRM)
• Tiedostot ovat OneDrivessa tai SharePointissa
• Ei ole sisäverkon resursseja

Moderni malli: Pilvipalvelut + MFA + hallitut laitteet. VPN vain kun oikeasti tarvitaan.

3. Käytännöt ja pelisäännöt

• MFA pakollinen – kaikissa palveluissa, ei poikkeuksia
• Ei julkisia WiFi-verkkoja ilman VPN:ää tai mobiilihotspottia
• Työkonetta ei lainata perheenjäsenille
• Työasiat työkoneella – ei yrityksen dataa omalle koneelle
• Ruudun lukitus aina kun poistuu koneelta
• Tuki käytettävissä – miten ilmoitetaan ongelmista

Etätyön tietoturva-checklist

• ☐ Yrityksen omistama ja hallitsema laite
• ☐ Kovalevyn salaus päällä
• ☐ Automaattiset päivitykset päällä
• ☐ MFA käytössä kaikissa palveluissa
• ☐ VPN asennettu (jos tarvitaan)
• ☐ Virustorjunta päällä ja ajan tasalla
• ☐ Automaattinen ruudunlukitus
• ☐ Etätyön pelisäännöt käyty läpi
• ☐ IT-tuen yhteystiedot annettu

Yleiset virheet etätyön IT:ssä

1. Oma kone työkäyttöön: Ei hallintaa, ei varmuuskopiointia, tietoturvariski.
2. MFA "liian hankalaa": Yksi vuotanut salasana ja tili on kaapattu.
3. VPN kaikkeen: Turhaa, jos kaikki on jo pilvessä. Hidastaa ja monimutkaistaa.
4. Ei ohjeistusta: Työntekijä ei tiedä mitä saa ja ei saa tehdä.
5. Unohdetaan kotirouter: Oletus salasana ja vanhentunut firmware = riski.

Kotirouterin perusasetukset

Vaikka kotirouter ei ole yrityksen vastuulla, kannattaa ohjeistaa:

• Vaihda oletus-admin-salasana
• Päivitä firmware
• Käytä WPA3- tai vähintään WPA2-salausta
• Vahva WiFi-salasana (vähintään 12 merkkiä)
• Harkitse vierasverkkoa työkoneelle (eristää muusta kotiliikenteestä)

Usein kysytyt kysymykset

Saako käyttää omaa tietokonetta etätyössä?

Ei suositella. Oma kone ei ole yrityksen hallinnassa: ei varmuuskopiointia, ei automaattisia päivityksiä, ei etähallintaa. Jos kone varastetaan tai hajoaa, data on menetetty. BYOD (Bring Your Own Device) toimii vain tiukalla MDM-hallinnalla.

Mikä VPN-ratkaisu sopii pk-yritykselle?

Pienille yrityksille riittää usein reitittimen sisäänrakennettu VPN (esim. OpenVPN tai WireGuard). Suuremmille Azure VPN tai vastaava pilviratkaisu. Emme suosittele kuluttaja-VPN-palveluita (NordVPN jne.) yritys käyttöön – ne eivät yhdistä sisäverkkoon.

Miten etätyöntekijän konetta tuetaan?

Etähallintatyökalulla (TeamViewer, AnyDesk, tai Intune Remote Help). Kun kone on keskitetysti hallinnassa, IT voi asentaa ohjelmia, ajaa päivityksiä ja ratkaista ongelmia etänä.

Lue myös

• MFA käyttöön yrityksessä
• IT-onboarding checklist uudelle työntekijälle
• Tietoturvan peruspaketti pk-yritykselle
• IT-tuki yrityksille →