Vakavimmat tietoturvauhat johtuvat usein ihmisten toiminnasta. Tästä syystä yritysten henkilöstö onkin suuri voimavara hyvän tietoturvan varmistamisessa. Tietoturvaan erikoistunut ratkaisuarkkitehtimme Marko Mikkola kertoo tässä blogissa, kuinka työntekijät voivat olla yrityksen hyvän tietoturvan tekijöitä.
Aiemmissa blogeissani kävin läpi pandemian aikaista etätyön tietoturvaa ja kysyin, mikä on yrityksesi kyky vastata muuttuvaan tilanteeseen. Nyt ajattelin kirjoittaa muutaman sanan siitä, mikä merkitys on tietoturvakoulutuksella (education and training) ja tietoturvan tietoisuuskampanjoilla (awareness) ja kuinka toteuttaa ne tehokkaasti.
Ihmisten rutiininomainen tapa käyttää internetiä ja sen palveluita avaa netin rikollisille oven yrityksen sisälle. Rutiinien tarkoitus on keventää työpäivän kuormittavuutta, mutta samat rutiinit voivat toimia myös hyökkäysrajapintoina. Kalasteluviestit, valelaskut ja toimitusjohtajahyökkäykset ovat oivia esimerkkejä siitä, kuinka rutiininomaisesti käsittelemme sähköpostia, yleensä luottaen, että tietoturvasta vastaavat ovat tehneet työnsä siten, että he pysäyttävät kaikki uhat ennen kuin ne päätyvät työntekijöiden Inboxeihin. Mutta näinhän asia ei ole. Ja kun vielä teemme yhä enenevässä määrin työtä kotoa, emme voikaan helposti kääntyä kollegan tai tietoturvasta vastaavien puoleen, kuten konttorilla yhdessä istuttaessa pystyimme.
Tietoturva on yleensä nähty järjestelmä-, ei ihmislähtöisenä asiana. Tästä syystä käyttämiämme työkaluja päivitetään jatkuvasti, mutta usein ihmisten tiedot ja taidot jäävätkin päivittämättä. Tällöin voimme olla tilanteessa, jossa vanhat rutiinit toistuvat uusissa järjestelmissä muodostaen yhä suuremman riskin yrityksen tietoturvaan, kun ihmiset eivät tunnista uusia uhkia, eivätkä osaa toimia oikein uusien työkalujen kanssa. Suurimmissa hakkerointitapauksissa ongelmana ei ole ollut teknologia tai sen puutteet, vaan ihmiset ja ennen kaikkea organisaation tietoturvakulttuuri.
Suurimmissa hakkerointitapauksissa ongelmana ei ole ollut teknologia tai sen puutteet, vaan ihmiset ja ennen kaikkea organisaation tietoturvakulttuuri
Tietoturvakoulutus ei ole vain koulutusta siitä, mitä tehdä, kun Inboxiin ilmestyy ”epäilyttävän näköinen viesti, jossa on outo liitetiedosto”. Mitä tuo edes oikeasti tarkoittaa? Tietoturvakoulutus lähtee liikkeelle uusien työkalujen käyttökoulutuksesta, jonka osana on tietoturvaan keskittyvä osuus, jossa ilman abstrakteja lauseita kerrotaan selkokielellä millaisia ovat ne nettiuhat, joita ihminen voi tässä kohtaa kohdata ja kuinka niihin uhkiin tulee reagoida.
Tietoturvakoulutuksen tulee olla kontekstiltaan sellaista, joka kiinnittää osallistujan huomion ja auttaa ymmärtämään, miten asia koskee häntä. Tärkeää koulutuksissa on huomioida kieli, jolla ihmisiä lähestytään: et voi puhua akronyymein, etkä voi puhua ihmisille tietoturvasta, ellet ota huomioon heidän lähtötasoaan ja sitä, että moni ihminen ajattelee enemmän tunnepohjaisesti kuin analyyttisesti.
Tietoturvakoulutus ei voi olla kerran vuodessa toimitettava muutaman tunnin kokonaisuus tai parissa minuutissa luettava teksti yrityksen intranetistä. Hyvä tietoturvakoulutus on jatkuva kokonaisuus, joka kertoo uutta ja toistaa vanhaa. Hyvään koulutukseen liittyy läheisesti myös tietoisuuskampanjat, joiden tarkoitus on ennen kaikkea muistuttaa ihmisiä tietoturvasta ja uhista, joita ihmiset kohtaavat sekä töissä että vapaa-ajalla netissä.
Lisäksi usein vähäiselle huomiolle tai monimutkaisten ohjeiden taakse jäävät keinot, joilla työntekijä voi pyytää apua tilanteessa, jossa hän epäilee joutuneensa nettirikollisten kohteeksi tai jopa uhriksi. Jos ohjeesi tällaisia tilanteita varten ovat monta kappaletta pitkiä ja sisältävät useita eri keinoja olla yhteydessä tietoturvasta vastaaviin, niin kehotan miettimään asiaa uudelleen ja siirtämään yhteydenottokanavan esimerkiksi Microsoftin Teamsiin. Ei työntekijän vastuulla voi olla muistaa kaikkia erilaisia aikaan ja tapaan liittyviä yhteydenottosääntöjä – hänelle avunpyynnön tekemisen pitää niin helppoa ja nopeaa kuin mahdollista. Kun sitten se avunpyyntö on saatu tehtyä, voidaan jatkoselvittelyt siirtää tehtäväksi muilla kanavilla.
Tutustu Digian kattavaan tietoturvatarjoamaan