Kyberturvallisuus alkaa ja päätyy ihmiseen

Tässä blogijutussa asiantuntijamme Marko Mikkola pohtii ihmisen suhdetta tietoturvallisuuteen sekä viime vuosien poikkeusolojen vaikutusta erilaisten kyberuhkien ja nettirikollisuuden kasvuun. Millainen rooli on teknologialla – entä ihmisellä itsellään? 

Korona-aika, työn nopea muutos sekä Ukrainan sota sotkivat arkemme ennennäkemättömällä vauhdilla. Ihmiset siirtyivät vuonna 2020 etätyöhön, joskaan eivät tasapuolisesti, vauhdilla, jollaista ei olla aiemmin nähty, vaikka etätyötä on Suomessa tehty jo yli neljä vuosikymmentä.

Keskelle etätyön huippua iski vielä Ukrainan sota fyysisine ja digitaalisine uhkineen. Etätyön tekemisen määrä on vuosien 2020–2023 välillä noussut ja laskenut, mutta pysynyt sangen korkealla verrattuna pandemiaa ja sotaa edeltäneisiin aikoihin.

Globaalisti netin rikolliset seuraavat yhteiskunnan arkea, sen rutiineja ja muutoksia. Oli siis aivan perusteltua pelätä, että kaiken tuon muutoksen ja uusien arkirutiinien kehittymisen keskellä tulisimme näkemään nettirikollisuuden räjähdysmäisen kasvun ja sitä kautta yhä useamman suomalaisen jäävän nettirikollisten uhreiksi. Eri lähteiden numeroiden valossa ainakin netin haittaliikenne kasvoi jopa 600 % vuosien 2020-2022 välillä. Samoin rikolliset hyödynsivät erilaisin haittakoodein ja kalasteluviestein ihmisten pelkoja pandemiasta sekä halua auttaa sodan uhreja.

Tätä blogia kirjoittaessa viimeistelen uusinta tutkimusartikkeliani nettirikosuhrikokemuksista, joka pohjautuu Suomessa kerättyyn pitkittäisdataan alkaen vuodesta 2019. Data on sangen edustava otos suomalaisesta yhteiskunnasta, ja kattaa monia eri toimialoja. Artikkelini ei vielä ole kokonaisuudessaan valmis, mutta siihen liittyvä analyysi on. Nostan tähän tekstiin muutamia tärkeimpiä huomioita datasta.

Ensinnäkin voidaan todeta, että siinä missä etätyön määrä oli selkeässä kasvussa, oli myös nettirikosuhrien määrä pienessä kasvussa. Uhrien määrä vaihteli 8,62 % ja 10,92 % välillä eri aikapisteissä. Rikosuhrien määrän kasvu ei ollut lineaarista, vaan vaihteli ajassa. Ensimmäisessä aikapisteessä uhrien määrä vastaajista oli 9,23 %, korkeimmillaan se oli 10,92 % ja viimeisessä aikapisteessä 9,69 %. Tässä kannattaa huomioida, että elokuussa 2022 työllisiä oli liki 2,6 miljoonaa, jolloin yhden prosenttiyksikön muutos tarkoittaa merkittävää muutosta nettirikosuhrien määrässä. Tai jos organisaatiolla on 10 000 työntekijää; no, jokainen osaa itse päätellä numeroista, että millaisesta määrästä ihmisiä rikoksen uhreina olisi tuolloin kyse.

Edellä mainittuihin lukuihin piiloutuu vielä yksi asia, joka kannattaa huomioida: ihmiset eivät jää vain kerran netin rikollisten uhreiksi. Jopa 20 % uhreista on uhreina toisen, kolmannen ja jopa neljännen kerran. Uhrikokemusten kasautuminen on tunnettu ja tutkittu asia, mutta pitkittäistutkimus tuo asian selkeämmin esille. Organisaatioiden osalta tilanne voi konkretisoitua tilannekohtaisesti esimerkiksi ihmisten työroolien takia. Kyberuhissa tämä tarkoittaa kohdennettuja hyökkäyksiä pienelle määrää ihmisiä, jolloin hyökkäyksen havainnointi voi olla vaikeaa.

Epälineaarisuus uhrien määrässä voi johtua monesta eri asiasta, mutta 2020–2023 välillä etätyöntekijöiden määrä on vaihdellut, yritykset ovat ottaneet käyttöön uusia suojaavia teknologioita ja osa organisaatioista on parantanut tietoturvakoulutusten määrää ja jokin osa koulutusten laatuakin. Kaikki nämä tekijät varmasti vaikuttavat siihen, miten eri organisaatioissa ihmisiä jää netin rikollisten uhreiksi.

Etätyöhön siirtyminen itsessään on varmasti aiheuttanut kasvua nettirikosuhrien määrässä, mutta toisaalta myös ongelman taustalta löytyy sellaisia ilmiöitä kuten työ- ja vapaa-ajan somen käytön nivoutuminen yhteen, digitaalisen aggression kasvu, somen käyttö uusien ystävien etsimiseen. Kun edellä mainittuihin vielä liitetään ihmisten persoonallisuuspiirteet, niin syyt uhrien määrän muutokset alkavat olemaan jossain määrin selviä. Tässä kohtaa nostaisin esille sen faktan, että syiden selvittäminen ei missään olosuhteissa ole uhrien syyttämistä, se on vain rikostilanteen ymmärtämistä. Ja tuon ymmärryksen kautta voidaan pohtia keinoja, joilla uhrikokemusten määrää voidaan laskea.

Teknologia yksinään ei pelasta ketään. Kaikki netin ja somen käyttäjät ovat rikollisten potentiaalisia kohteita. Rikoksen teon uhriksi jää sitten kuitenkin vain osa meistä. Mikään kyberturvaan liittyvä teknologia, tai kyberturvan tuotekirjo ei voi pysäyttää kaikkia uhkia. Aina jokin kyberhyökkäys valuu turvaohjelmien läpi tai ihmiset törmäävät suoraan huijaussivustoihin netissä.

Kyberturvallisuus alkaa ja päätyy ihmiseen. Siinä välissä hyödynnettävä teknologia huolehtii kyllä valtaosasta uhkia, mutta todistettavasti teknologia ei ole autuaaksi tekevä ratkaisu, tarvitaan paljon muutakin. Kyberturvakoulutukset pitää miettiä uusiksi. Lisäksi moni uskoo, että se paha tapahtuu muille, mutta ei minulle, ja siksi ei huomaa ajoissa mahdollista kyberhyökkäystä. Siksi nettirikosuhrikokemuksen taustalla olevat syyt on käytävä läpi, jotta ihmiset ymmärtävät, että pahin voi käydä myös heille: suoraan tai välillisesti.

Haluaisitko kuulla asiasta lisää? Jutella aiheesta ja pohtia kuinka kyberturvallisuuden ongelmia voitaisiin lähestyä kokonaan uusista näkökulmista? Ota meihin yhteyttä >