Tietoturva etäkokouksissa: suojatut asetukset Teamsiin ja Zoomiin (käytännön malli)

Etäkokoukset ovat arkea, mutta tietoturvan kannalta ne ovat myös yksi helpoimmista reiteistä tahattomiin tietovuotoihin. Usein ongelma ei ole ”hakkeri”, vaan liian väljä kokousasetus, epäselvä vastuunjako tai toimintatapa, jossa linkkejä jaetaan eteenpäin ilman kontrollia. Kun kokouksissa käsitellään asiakasasioita, sisäisiä taloustietoja, henkilöstöön liittyviä asioita tai tuotekehitystä, pienikin lipsahdus voi johtaa vakaviin seurauksiin.

Tässä artikkelissa käydään läpi, mitä tietoturva etäkokouksissa käytännössä tarkoittaa, miten Teamsin ja Zoomin asetuksista rakennetaan turvalliset oletukset, ja miten Käpy A.I. Oy:n palvelut auttavat varmistamaan, että käytännöt pysyvät johdonmukaisina myös arjen kiireessä.

Mistä etäkokousten tietoturvariski tyypillisesti syntyy?

Etäkokouksen riskit muodostuvat yleensä yhdistelmästä: tekniset asetukset + ihmisten toimintatavat + puutteellinen ohjeistus. Jos yksi osa pettää, kokonaisuus pettää.

Tyypillisiä kompastuskiviä ovat:

  • Liian avoimet kokouslinkit: linkki jaetaan eteenpäin, eikä odotustilaa tai tunnistautumista vaadita.
  • Näytönjako koko työpöydästä: vahingossa näkyviin tulee sähköposteja, henkilötietoja, salasanoja tai asiakkaan aineistoa.
  • Kokoustallenteet ilman hallintaa: tallenne jää väärään sijaintiin, jakolinkki on avoin tai säilytysaika on määrittämättä.
  • Ulkoiset osallistujat: toimittajat, alihankkijat tai asiakkaat pääsevät vahingossa chat-historiaan, tiedostoihin tai jatkuviin kanaviin.
  • Epäselvät roolit: kukaan ei valvo osallistujalistaa tai hallitse kokouksen asetuksia.

Moni organisaatio luottaa siihen, että “Teams/Zoom on oletuksena turvallinen”. Todellisuudessa turvallisuus rakentuu siitä, miten ympäristö on konfiguroitu ja miten ihmiset toimivat. Siksi etäkokousten käytännöt kannattaa sitoa osaksi laajempaa tietoturvan kehittämistä: koulutus, ohjeistus, tekninen peruskonfiguraatio ja seuranta.

Turvalliset asetukset Teamsiin: käytännönläheinen malli

Teams-ympäristössä etäkokousten tietoturva on yhdistelmä kokouskäytäntöjä (Meeting policies), Microsoft 365 -asetuksia ja käyttäjien toimintamalleja. Tavoite on yksinkertainen: vain oikeat henkilöt pääsevät sisään, kokouksessa jaettu tieto pysyy hallinnassa, ja jälkikäteinen aineisto (chat, tiedostot, tallenteet) käsitellään suunnitellusti.

1) Hallitse kokoukseen liittyminen: odotustila ja tunnistautuminen

Suositus useimmille organisaatioille on, että kokouksiin liittyminen ei ole “yksi linkki kaikille”. Aseta oletukseksi:

  • Odotustila käyttöön tilanteissa, joissa on ulkoisia osallistujia tai käsitellään luottamuksellista tietoa.
  • Vain organisaation tunnistautuneet käyttäjät pääsevät suoraan sisään, muut odottavat.
  • Kokouksen järjestäjä tai nimetyt esittäjät hyväksyvät osallistujat.

Käytännössä tämä vähentää väärinkäsityksiä ja estää “vahingossa sisään” -tilanteita, jos linkki leviää eteenpäin.

2) Rajaa esittäjäoikeudet ja hallitse näytönjakoa

Useissa tietovuodoissa keskeinen ongelma on näytönjako. Turvallinen oletus on:

  • Esittäjät nimetään (ei “kaikki esittäjiä”).
  • Näytönjaon oletus on “ikkuna” eikä koko työpöytä, kun kokouksessa on ulkoisia osallistujia.
  • Osallistujien oikeudet (esim. mykistys, poistaminen) ovat selkeästi kokouksen vetäjällä.

Kun esittäjäoikeudet rajataan, kokouksen hallinta ei karkaa vahingossa ja osallistujat eivät voi jakaa sisältöä ilman tarkoitusta.

3) Tallenteet ja transkriptiot: päätä etukäteen omistajuus ja säilytys

Kokoustallenne on usein luottamuksellista aineistoa. Kysymys ei ole vain siitä, “saako tallentaa”, vaan siitä, missä tallenne sijaitsee, kuka pääsee siihen ja kuinka pitkään.

  • Määritä tallennusoikeudet roolien mukaan.
  • Ohjaa tallenteet hallittuun sijaintiin (esim. organisaation omistama ympäristö), ei henkilön henkilökohtaisiin jakotiloihin.
  • Säilytyskäytännöt: määritä säilytysaika ja poistokäytäntö riskitason mukaan.

Jos organisaatiossa tavoitellaan vaatimustenmukaisuutta (esim. asiakasvaatimukset tai sertifiointitavoitteet), tallenteiden hallinta on usein “piilossa oleva” mutta kriittinen osa kokonaisuutta. Tällöin käytännön ratkaisu on yhdistää kokouskäytännöt laajempaan tietoturvan nykytilakartoitukseen, jossa tunnistetaan, missä luottamuksellinen tieto liikkuu ja mihin se jää talteen.

4) Ulkoiset osallistujat: erottele kokous ja tiimityö

Teamsissa kokous ja tiimityö (kanavat, tiedostot, jatkuva chat) sekoittuvat helposti. Turvallinen toimintamalli on:

  • Pidä ulkoiset osallistujat kokouksissa (vierailijat) erillään sisäisestä kanavatyöskentelystä, ellei yhteistyölle ole selkeää tarvetta ja ohjeistusta.
  • Älä jaa kanavalinkkejä “nopeana ratkaisuna”, jos sisältöä ei ole luokiteltu.
  • Varmista, mitä chat ja tiedostot sisältävät ennen kuin kokoukseen liitetään ulkoisia osallistujia.

Tässä auttaa käytännönläheinen tietoturvakoulutus, jossa henkilöstö oppii tunnistamaan tilanteet, joissa ulkoinen osallistuja muuttaa riskitasoa, ja mitä silloin pitää tehdä eri tavalla.

Turvalliset asetukset Zoomiin: selkeä tarkistuslista

Zoom on monessa organisaatiossa käytössä asiakastapaamisissa ja webinaareissa. Zoomin vahvuus on joustavuus, mutta joustavuus tarkoittaa myös sitä, että asetuksilla on suuri merkitys. Tavoite on sama kuin Teamsissa: kontrolloi liittyminen, estä häiriöt ja suojaa jaettu aineisto.

1) Pakota turvallinen liittyminen: passcode, odotustila ja autentikointi

  • Passcode aina (erityisesti ulkoiset kokoukset).
  • Waiting room oletukseksi, ja järjestäjä hyväksyy osallistujat.
  • Autentikointi (kun mahdollista): vaadi kirjautuminen tai rajoita liittyminen määritellyille domaineille/ryhmille, jos käyttötapa sen sallii.

Nämä vähentävät merkittävästi riskiä, että kokoukseen liittyy väärä henkilö tai että linkkiä käytetään väärin.

2) Hallitse näytönjako ja tiedostojen jakaminen

Zoomissa hyvä peruslinja on:

  • Only Host -näytönjako oletukseksi, ja avaa se muille vain tarpeen mukaan.
  • Annotointi ja etäohjaus pois päältä, ellei niitä tarvita.
  • Tiedostojen jako hallittuun kanavaan (esim. yrityksen tiedostopalvelu), ei kokouksen chatin “nopeisiin liitteisiin”, jos materiaali on luottamuksellista.

Etäkokouksissa riskit ovat usein samoja kuin muussakin tiedonkäsittelyssä: väärä jakotapa, väärä vastaanottaja tai väärä näkyvyys. Siksi etäkokouskäytännöt kannattaa sitoa osaksi laajempaa tietoturvan riskienhallintaa ja päätöksentekoa. Käpy A.I. Oy tukee organisaatioita tässä esimerkiksi GAP- ja kypsyyskartoituksilla, joissa kokous- ja yhteistyöalustojen hallinta arvioidaan osana kokonaisuutta.

3) Tallenteet: paikallinen vs. pilvi ja pääsynhallinta

Zoomin tallenteissa keskeinen päätös on tallennetaanko paikallisesti vai pilveen ja miten pääsy toteutetaan. Turvallinen malli edellyttää:

  • Selkeät roolit: kuka saa tallentaa, kuka omistaa tallenteen.
  • Pääsynhallinta: tallenteen linkki ei ole julkinen, ja katseluoikeudet ovat rajatut.
  • Säilytysaika: tallenteet poistetaan hallitusti, kun tarve päättyy.

Jos tallenteisiin sisältyy henkilötietoja tai asiakastietoa, säilytyskäytäntö ja käyttöoikeudet ovat myös vaatimustenmukaisuuskysymys. Tällöin käytännön konsultointi auttaa ratkaisemaan, mikä on sopiva malli juuri organisaation prosesseihin.

Miten organisaatio varmistaa, että turvalliset käytännöt toteutuvat arjessa?

Pelkkä “ohje Teamsiin ja Zoomiin” ei vielä muuta toimintaa. Toimiva tietoturva etäkokouksissa syntyy, kun käytännöt ovat selkeitä, oletukset tukevat turvallisuutta ja henkilöstö ymmärtää, miksi tietyt valinnat tehdään. Tämä on tietoturvakulttuurin ydintä.

1) Tee riskitasosta näkyvä: kokoustyypit ja oletukset

Hyvä malli on luokitella kokoukset 2–3 kategoriaan ja määrittää niille oletukset:

  • Peruskokous (sisäinen): helppo liittyminen organisaation käyttäjille, rajatut esittäjäoikeudet.
  • Ulkoiset kokoukset: odotustila, rajoitetut oikeudet, selkeä tiedostonjakotapa.
  • Luottamuksellinen kokous: kutsu vain nimetyille, tiukempi tunnistautuminen, tallennus vain erikseen sovittaessa.

Kun kokoustyypit ovat selkeästi määritelty, henkilöstön ei tarvitse arvailla joka kerta, mitä pitää tehdä.

2) Kouluta roolien mukaan: järjestäjä, esittäjä ja osallistuja

Etäkokouksissa on kolme roolia, joilla on eri vastuut. Käytännön tietoturvakoulutuksessa kannattaa harjoitella:

  • Järjestäjä: turvalliset kokousasetukset, osallistujien hallinta, tallennuskäytännöt.
  • Esittäjä: turvallinen näytönjako, materiaalien jakaminen hallitusti.
  • Osallistuja: mitä tehdä, jos kokouksessa näkyy ulkopuolinen, miten raportoida epäilyttävä tilanne.

Kun roolit ovat selkeät, tietoturva ei jää “jonkun muun” vastuulle.

3) Kytke etäkokouskäytännöt osaksi kartoitusta ja jatkuvaa kehittämistä

Jos organisaatiossa on epävarmuutta siitä, mikä nykytila oikeasti on, ensimmäinen askel on tehdä tilanne näkyväksi. Käpy A.I. Oy:n tietoturvakartoitukset auttavat tunnistamaan esimerkiksi:

  • mitä kokousalustoja käytetään ja millä oletusasetuksilla
  • miten ulkoiset osallistujat hallitaan
  • mihin tallenteet ja jaetut tiedostot päätyvät
  • mitkä ovat suurimmat käytännön riskit ja nopeat korjaustoimet

Kartoituksen hyöty on, että päätöksiä ei tehdä tunteella tai oletuksilla. Samalla syntyy toteutuskelpoinen toimenpidelista: mitä muutetaan, kuka omistaa muutoksen ja miten toteutumista seurataan.

4) Varmista hallittu päätöksenteko myös muutoksissa

Etäkokousympäristöt muuttuvat: uusia ominaisuuksia tulee, organisaatio vaihtaa lisenssejä, yhteistyöverkostot laajenevat ja toimintatavat elävät. Muutoksissa riski kasvaa, jos kukaan ei omista kokonaisuutta.

Käpy A.I. Oy:n konsultointi auttaa käytännön päätöksenteossa: mikä asetus kannattaa pakottaa, mikä kannattaa jättää joustavaksi ja miten muutos viestitään niin, että se ei romuta työn sujuvuutta. Tarvittaessa kokonaisuutta voi tarkastella osana laajempaa tietoturvan kehittämistä ja kumppanin valintaa, jolloin myös esimerkiksi tietoturvapalveluiden kokonaisuus kytketään arjen tarpeisiin.

CTA: varmista etäkokousten tietoturva käytännössä

Jos etäkokousten asetukset ja toimintatavat ovat syntyneet “matkan varrella”, turvallisuustaso voi vaihdella tiimien ja kokoustyyppien välillä. Nopea tapa saada tilanne hallintaan on yhdistää käytännön ohjeistus, tekniset oletukset ja henkilöstön koulutus selkeäksi malliksi.

Aloita keskustelu Käpy A.I. Oy:n kanssa: tehdään etäkokouskäytännöistä selkeät, mitattavat ja organisaatiolle sopivat. Katso tietoturvakartoitukset tai ota yhteyttä yhteystietojen kautta ja pyydä arvio nykytilasta.

Päivitetty: 2026-01-29T02:28:48.240-05:00

Pyydä tarjous

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.

Kysy lisää

Harri Juntunen

Toimitusjohtaja
Tietoturvakonsultti ja -kouluttaja

046 920 1509
[email protected]

Räätälöityjä tietoturvapalveluita yrityksesi digitaalisten resurssien suojaamiseen.

Yhteystiedot

[email protected]

Käpy A.I. Oy
Y-tunnus: 3118566-9

Tietosuojaseloste

Ota yhteyttä

Verkkolaskutus

verkkolaskuosoite
003731185669001

Operaattoritunnus
003714377140

Sivut

Etusivu
Tuotteet
Palvelut
Palvelutuotteet
Ota yhteyttä

Sopimusehdot

Yleiset sopimusehdot

Kumppanit

Veeam Data Platform
Admin By Request
Tehtris XDR AI Platform
Heimdal Security

Palvelut

Koulutukset
Kartoitukset

Lataa etäyhteysohjelma