Kalasteluviestit, kohdistetut huijausviestit ja haittaohjelmat ovat jokapäiväisiä uhkia, jotka kohdistuvat sekä yritysten tietojärjestelmiin, että ihmisiin. Modernin pilvipalvelun keskiössä on yrityksen työntekijän identiteetti, jonka vuotaminen ulkopuolisille voi johtaa monenlaisiin ongelmiin, kuten kolleegani Marko Koivuperä blogissaan totesi jokin aika sitten.
Marko nosti tekstissään esille ongelman, jonka esille tuonti kasvatti blogin lukijoiden tietoisuutta. Marko tarjosi myös tietoa siitä, miten kyseiseltä tietoturvauhalta voidaan suojautua: valitaan oikea tuote, sekä tarkistetaan yritykset prosessit ja toimintatavat.
Tietoisuus tietoturvauhasta ei riitä tietoturvaongelmien välttämiseksi
National Institute of Standards and Technology (NIST) toteaa tiedotteessaan: “Awareness is not training” (Special Publication 800-16). Toisin sanoen tietoturvassa tietoisuuden kasvattaminen ei ole sama asia, kuin koulutuksen tarjoaminen.
Tietoisuuden kasvattamisen tarkoitus on yksinkertaisesti saada ihmiset kiinnittämään huomio tietoturvauhkiin, tietoturvaan ja saada ihmiset reagoimaan oikein heidän kohdatessaan tietoturvauhkia. Oikein reagoiminen puolestaan yleensä vaatii uusien tietojen ja taitojen opettamista eli kouluttamista.
Pelkkä tietoisuuden kasvattaminen saattaa kääntyä itseään vastaan
Kaikki lienevät nähneen seuraavanlaiset ohjeet: ”älä avaa epämääräisten viestien liitteitä” tai ”älä klikkaa sähköpostin linkkiä, koska se avaa heti takaportin koneellesi”. Tällaiset lauseet toimivat kyllä tietoisuuden kasvattajana, mutta vain epämääräisesti kertoen, että sähköpostissa kulkee viestejä, joissa on linkkejä ja liitteitä, jotka ovat vaarallisia.
Kuinka toimivia tällaiset lauseet ovat arkielämässä, varsinkin jos joutuu töissä tai vapaa-ajalla jatkuvasti käsittelemään viestejä, joissa on joko liitetiedosto tai linkki jollekin internet-sivustolle? Lauseet ohjaavat ihmiset huomioimaan tietoturvauhkia, mutta niistä puuttuu toimiva tieto siitä, miten erottaa yksi sähköpostiviesti toisesta: turvallinen turvattomasta.
Kuuluuko tietoturva minulle?
”Kyberturvallisuus kuuluu kaikille” toteaa Kyberturvakeskus. Itse koen sen tarkoittavan sitä, että voidaksemme täyttää kyseinen vaatimus, tietoturvauhista tulee tiedottaa selkokielellä ja liittää mukaan joko tieto siitä, kuinka tietoturvauhilta voidaan välttyä tai järjestää tarpeellinen koulutus.
Yrityksissä tämä voidaan hoitaa hyvin suunnitelluilla ja jatkuvilla koulutuksilla muuttuvien uhkakuvien mukaisesti sekä tiedotteilla, joihin liitetään mukaan selkeät ohjeet uhan havaitsemiseksi ja torjumiseksi. Tärkeintä on, että tietoturvakoulutus rakennetaan siten, että siihen osallistuminen on normaali osa työtä, eikä suinkaan jotain minkä työntekijä voi sivuuttaa toteamalla, että “tietoturva kuuluu muille”.
Mitä siis tehdä? Alla muutama pikavinkki, joista voit aloittaa:
- Suunnittele ja toteuta jatkuva, selkeä, kontekstuaalinen, yhteisöllinen ja palkitseva tietoturvan koulutusohjelma työntekijöille
- Mieti tietoturvan tiedotusmallit ja tiedotuskanavat uusiksi
- Ymmärrä mitkä ovat niitä yksilöllisiä ja tilannekohtaisia tekijöitä, jotka altistavat työntekijöitä nettirikollisten kohteiksi tai uhreiksi ja poista näitä uhkia toimivalla tiedottamisella ja koulutuksella
- Ole minuun yhteydessä ja sovitaan tapaaminen, jossa yhdessä suunnittelemme paremman tietoturvakoulutuksen ja tiedotuksen ja näiden toteutuksen
Palaan kolmeen ensimmäiseen asiaan seuraavan puolen vuoden aikana blogikirjoitusten muodossa ja tarjoan lisää tietoa jokaiseen edellä mainittuun asiakohtaan.
Kuuntele tallenne webinaarista ”Näin teet tietoturvan koko henkilöstölle tutuksi”.
Lue blogisarjan toinen osa ”Saisinko yhden tietoturvakoulutuksen, kiitos”.
Lue blogisarjan kolmas osa ”Vältä kyberrikoksen uhriksi joutuminen – tunnista inhimilliset riskitekijät”.
Lue blogisarjan neljäs osa ”Yrityksen kyberturvallisuus: uhat, teknologia ja ihminen”