Ovatko työntekijät organisaatiosi heikoin vai vahvin lenkki?

Viime viikolla päättyi tietoturvaan keskittyvä RSA-konferenssi San Franciscossa. Tämän vuoden konferenssin teemana oli kaikessa lyhykäisyydessään Human Element, eli ihmisen rooli tietoturvassa. Istuin kuuntelemassa monenlaisia puheita aiheen ympäriltä, joiden pohjalta palaan nyt omaan vanhaan blogiini, jossa käsittelin tietoturvakoulutuksen ja tietoturvasta viestimisen merkitystä.

Kyseisessä blogissani totesin, että yhteiskuntamme läpikäy rakenteellista muutosta, jossa ihmisiä ohjataan yhä enemmän internetpalveluiden pariin sekä julkisella että yksityisellä sektorilla. Rutiininomainen internetin käyttö helpottaa arkea, mutta samalla se avaa kyberrikollisille kokonaan uudet keinot toteuttaa rikoksensa. Tarvitaan siis uusia tietoja ja taitoja, joilla välttää nettirikoksen uhriksi joutuminen kotona tai työpaikalla.

Teknologialähtöisestä tietoturvasta ihmislähtöiseen tietoturvaan

RSA-konferenssissa Ken Sexsmith (Director of Security Education and Awareness at Microsoft) totesi, että koska teknologian hakkeroinnista on tullut yhä vaikeampaa, nettihyökkäysten kohteeksi joutuvat tänä päivänä ihmiset niin töissä kuin kotona. Kuitenkin tietoturva vieläkin useasti nähdään järjestelmälähtöisenä, ei ihmislähtöisenä asiana.

Tämä on Sexsmithin mukaan johtanut siihen, että tietojärjestelmiä päivitetään säännöllisesti, mutta ihmisten osalta vastaava tietojen ja taitojen päivittäminen on jäänyt pahasti jälkeen. Tämä on johtanut siihen miksi välillä hyvinkin yksinkertaiset ihmisiä kohtaan suunnatut hyökkäykset onnistuvat.

Ihmiset eivät siis yksinkertaisesti tunnista heitä kohtaavia uhkia, eivätkä osaa toimia oikein uhkatilanteessa. Sexsmithin mukaan suurimmissa hakkerointitapauksissa ongelmana ei ole ollut teknologia tai sen puutteet, vaan ihmisten tietojen puutteet ja ennen kaikkea vääränlainen organisaatiokulttuuri.

Tarvitaan jatkuvaa ja suunnitelmallista koulutusta ja viestintää

Sexsmith esittikin vaateen ihmisten kouluttamisesta, valistamisesta ja aktiivisesta viestinnästä. Aiemmassa blogissani totesin, että koulutus on aina sosiaalinen kokemus, jossa ihmisen ja ympäristön vastavuoroinen suhde tulisi huomioida. Yhteisöllinen, kannustava ja palkitseva koulutus luovat positiivisen sosiaalisen vaikutuksen.

Sexsmithin mukaan tulisi myös huomioida kieli, jolla ihmisiä lähestytään: et voi puhua akronyymein, etkä voi puhua ihmisille tietoturvasta, ellet ota huomioon heidän lähtötasoaan ja sitä, että moni ihminen ajattelee enemmän tunnepohjaisesti kuin analyyttisesti. Sexsmithin mukaan tämä näkyy siinä, että monesti niin koulutukset kuin prosessitkin rakennetaan enemmän teknologia-asiantuntijoita silmällä pitäen kuin teknologiaa käyttäviä tavallisia ihmisiä.

Ihminen yrityksen palomuurina ja tietoturvan sensorina

Sexsmithin mukaan kukaan ei havaitse niin herkästi nettihuijaus- tai -rikosyrityksiä kuin ihminen. Tämä on merkittävä lause ihmiseltä, joka edustaa isoa teknologiayritystä. Intuitiivinen ihminen, joka tietää mitä etsiä ja keneltä pyytää tarvittaessa apua, on tehokkaampi tietoturvan sensori kuin yksikään tekoälyyn nojaava tekninen ratkaisu.

Ne onnistuneet nettihyökkäykset, joita olin tutkimassa asiakkailla vuonna 2019, olivat pysähtyneet useasti siihen, että työntekijä oli havainnut outouksia nettirikollisten käyttämissä sähköposteissa, joilla he olivat yrittäneet huijata yrityksiltä rahaa. On siis hyvin helppoa olla samaa mieltä Sexsmithin kanssa siitä, että ihmisiin kohdistuvista taidokkaista hyökkäyksistä pysähtyvät varmimmin ne, joita tutkailee koulutettu ihminen. Eikä suinkaan tietoturvan asiantuntija, vaan Sexsmithiä myötäillen Matti tai Maija Meikäläinen.

Mitä siis tehdä? Alla ne samat vinkit, joita annoin aiemmassa blogissani

  • Suunnittele ja toteuta jatkuva, selkeä, kontekstuaalinen, yhteisöllinen ja palkitseva tietoturvan koulutusohjelma työntekijöille
  • Jalkauta koulutus monimuotoisesti perinteisenä koulutuksena, Teamsin avulla tai hyödyntäen intranettiä ja sähköpostia.
  • Ole yhteydessä ja sovitaan tapaaminen, jossa yhdessä suunnittelemme paremman tietoturvakoulutuksen ja sen toteutuksen.


Sulava valittiin finalistiksi Security Workshop Partner of the Year -kategoriassa Microsoft Security 20/20 Partner Awards -tilaisuudessa RSA-viikon käynnistyksenä. Lue siitä ja tietoturvatyöpajoista lisää