”Saisinko yhden tietoturvakoulutuksen, kiitos”

Yhteiskuntamme läpikäy rakenteellista muutosta, jossa ihmisiä ohjataan yhä enemmän internetpalveluiden pariin sekä julkisella, että yksityisellä sektorilla. Työelämässä työnantajat haluavat houkutella työntekijöitä ja parantaa tuottavuutta tarjoamalla uusia joustavia työn tekemisen muotoja internetiä ja sen tarjoamia palveluita hyödyntämällä.

Muutoksessa on hyvää erityisesti se, että muutos tuo helpotusta yksilöiden ja perheiden arkirutiineihin. Rutiininomainen elämäntapa ruokkii puolestaan arjen helppoutta, mutta samalla se avaa kyberrikollisille kokonaan uudet keinot toteuttaa rikoksensa.

Tilastokeskuksen (2018) mukaan suomalaisista 16–55-vuotiaista käytännössä kaikki käyttävät internetiä päivittäin ja jopa 98 % useasti päivässä. 56–65-vuotiaista yli 90 % käyttää internetiä. Piakkoin kaikki työikäiset suomalaiset käyttävät internetiä päivittäin. Samalla kun internetin käyttö kasvaa, kasvaa myös kyberrikoksen uhreiksi joutuneiden määrä. Poliisin tilastoissa tämä näkyy siinä, että perinteisen rikollisuuden määrä on laskussa, kun taas internetrikollisuuden määrä kasvaa.

Tietoturva on yleensä nähty järjestelmänä, ei ihmislähtöisenä asiana. Karrikoidusti voi sanoa, että moni yritys yhä käyttää seteleitä tietoturvaohjelmistoihin ja kolikoita tietoturvakoulutukseen. Onneksi muutos tässä on lähtenyt liikkeelle ja koulutusta on lisätty ja uhilla pelottelua vähennetty, koska pelottelu ei koskaan johda toivottuun lopputulokseen.

 

Pelkkä tietoisuus internetin riskeistä ei vähennä riskiä. Tarvitaan koulutusta.

Millaista koulutusta sitten tarvitaan ja millainen olisi hyvä tietoturvakoulutus? Ensinnäkin koulutuksen tulee olla suunniteltua ja toistuvaa, ei aiheesta toiseen hyppivää ilman hyvin rakennettua pohjaa. Toisin sanoen koulutuksen tulee lähteä liikkeelle perusasioista ja sen tulisi olla kontekstuaalista eli tekemiseen ja kokemiseen kiinni sidottua.

Koulutus on aina sosiaalinen kokemus, jossa ihmisen ja ympäristön vastavuoroinen suhde tulisi huomioida. Yhteisöllinen, kannustava ja palkitseva koulutus luo positiivisen sosiaalisen vaikutuksen.

Tietoturvakoulutuksen ei aina tarvitse olla oma koulutuksensa, vaan tietoturvaan liittyviä asioita voidaan opettaa esimerkiksi samalla, kun ihmisille opetetaan uusien tuotteiden käyttöä tai uusia työn tekemisen tapoja. Varsinkin siirryttäessä moderneihin pilvipalveluihin tietoturvaa voidaan kouluttaa samalla, kun opetellaan käyttämään Teamsia, OneDriveä tai sovitaan uusista sähköpostin käyttömalleista. Tietoturvakoulutuksen integroiminen muuhun oppimiseen tekee tietoturvasta konkreettista ja kontekstuaalista.

 

Mitä sitten opettaa koulutuksessa?

Kriminologiassa paljon käytetyn mallin mukaan (kyber)rikos tapahtuu, kun motivoitunut tekijä kohtaa potentiaalisen kohteen tilanteessa, josta puuttuu ehkäisevä toimija. Fyysisessä arjessa tämä on helppo ymmärtää, mutta digitaalisessa ympäristössä asiaa pitää tarkastella laajemmalti. Ensinnäkään kohtaamisen ei tarvitse tapahtua ajallisesti eikä fyysisesti samassa hetkessä ts. yöllä tullut kalasteluviesti avataan vasta aamulla. Ehkäisevä toimija kyberrikosten yhteydessä voi olla tekninen väline, joka poistaa hyökkäykset automaattisesti tai se voi olla joku toinen henkilö, jonka puoleen rikoksen kohde voi kääntyä ja pyytää apua.

Isoksi kysymykseksi jää kuka on potentiaalinen kohde? Empiirisissä tutkimuksissa on paljastunut joukko merkittäviä tilanne- ja persoonallisuustekijöitä, jotka selittävät syitä miksi tietty joukko netin käyttäjistä joutuu kyberrikoksen uhriksi ja toiset eivät.

Palaan tähän aiheeseen seuraavassa blogissani. Nyt tyydyn toteamaan, että koulutuksissa pelkkä tekninen koulutus tai vain uhat huomioiva koulutus ei riitä, vaan huomioon on otettava ne tilanteet, joissa kyberrikos todennäköisimmin tapahtuu ja ne persoonaan liittyvät tekijät, jotka selittävät sen miksi toiset meistä joutuvat rikoksen uhreiksi ja toiset eivät.

Koulutuksen suunnittelun ja sen toteuttamisen sijasta puhuisin siis koulutusohjelmasta ja sen suunnittelusta niin, että se on sidottu yrityksen koulutuksen vuosikelloon ja jonka suunnittelu ja toteutus ei ole vain ja ainoastaan IT-väen harteilla, vaan mukana on oltava niin henkilöstönhallinta, kuin viestintäkin.

Eikä myöskään sovi unohtaa pohdintaa siitä, miten koulutus toimitetaan ihmisille. Monimuotoinen koulutus on monessa yrityksessä se ainoa tapa, jolla tavoitetaan mahdollisimman monta kuulijaa ja oppijaa, joiden joukkoon kuuluu yrityksen johto: hehän ovat kyberrikollisten suurimman mielenkiinnon kohteena.

 

Hyvää koulutusohjemaa suunniteltaessa on huomioitava useita asioita.
Esimerkiksi kuvan mallin mukaisesti:

Suunniteltu ja mitattavissa oleva koulutus kaavio-01

Mitä siis tehdä? Alla muutama pikavinkki, joista voit aloittaa:

  • Suunnittele ja toteuta jatkuva, selkeä, kontekstuaalinen, yhteisöllinen ja palkitseva tietoturvan koulutusohjelma työntekijöille

  • Jalkauta koulutus monimuotoisesti perinteisenä koulutuksena, Teamsin avulla tai hyödyntäen intranettiä ja sähköpostia

  • Ole minuun yhteydessä ja sovitaan tapaaminen, jossa yhdessä suunnittelemme paremman tietoturvakoulutuksen ja sen toteutuksen

Kuuntele tallenne webinaarista ”Näin teet tietoturvan koko henkilöstölle tutuksi”.

Lue blogisarjan ensimmäinen osa ”Tietoisuus lisää tuskaa, tieto ei”.
Lue blogisarjan kolmas osa ”Vältä kyberrikoksen uhriksi joutuminen – tunnista inhimilliset riskitekijät”.
Lue blogisarjan neljäs osa ”Yrityksen kyberturvallisuus: uhat, teknologia ja ihminen