Ei enää foliohattuja, vaan parempaa tietoturvakäyttäytymistä

Toni Sivupuro
Kirjoittaja: Toni Sivupuro 26.8.2016 10:00

Aihe: Tietoturva

Suurin tietoturvariski on aina ihminen, koska me ihmiset töppäilemme usein tahattomastikin tietoturvallisuutta koskevissa valinnoissamme. Suosittelin edellisessä blogissani yrityksille tietoturvapolitiikan ja -ohjelman määrittelemistä, jotta yrityksen tietoturvalle voidaan luoda raamit sekä tukeva pohja jatkuvalle kehittämiselle ja ylläpitämiselle. Tietoturvapolitiikalla on mahdollista ohjata niin teknologiavalintoja kuin myös ihmisten tietoturvakäyttäytymistä. 

Ei enää foliohattuja, vaan parempaa tietoturvakäyttäytymistä

Ihmiset haluavat tietoturvaan ohjeistusta ja koulutusta

Myös itse käyttäjät näkevät tietoturvan tärkeänä aiheena ja haluavat opastusta siitä, kuinka suojata arkaluontoista tietoa. Tämä on tutkittu asia. Minna Alasuutarin väitöstutkimus käsittelee sitä, kuinka tunteet ja tarpeet vaikuttavat tietoturvakäyttäytymiseenkin.

Väitöksen tiivistelmässä mainitaan, että tietoturvaan liittyvän kokemuksen (esim. tietoturvauutisen tai -ongelman) seurauksena henkilö pohtii, mitä tämä merkitsee hänen omalta kannaltaan. Tutkimuksen mukaan kokemus voi herättää negatiivisia tunteita, joista pyritään eroon ottamalla käyttöön jokin suojaustoimenpide. Sillä on toki merkitystä, onko valittuna suojaustoimenpiteenä koko asiasta luopuminen (eli köntsät on jo housussa, antaa asian vain olla) vai toimitaanko jatkossa ohjeistuksen mukaisesti ja luovutaan vääristä valinnoista tai toimintatavoista (eli vielä ei ole liian myöhäistä).

Ilmoitanko vai enkö?

Tietoturvakäyttäytymiseen ja suojaustoimenpiteisiin liittyvänä esimerkkinä voisi olla tilanne, jossa saadussa sähköpostissa lukee vieraalla kielellä "tarvitsen kiireisesti tilisiirron.. ".

Käyttäjä ei kuitenkaan avaa viestissä olleita linkkejä, vaan ilmoittaa suojaustoimenpiteenä tapahtuneesta tietoturvavastaavalle. Vaihtoehtoisesti toimenpiteenä - ilman ohjeistusta - käyttäjä voisi hätääntyneenä poistaa viestin ja jättää ilmoituksen tekemättä. Jälkimmäisessä tilanteessa foliohattujen eli tietoturvasta vastaavien henkilöiden on vaikea selvittää, millaisen tietoturvaloukkauksen kohteena yritys mahdollisesti on tai tulee jatkossa olemaan.  

Tietoturvakäyttäytymisen merkitys kasvaa

Viestintäviraston Kyberturvallisuuskeskuksen vuosiraportin (2015) mukaan kohdennettuihin vakoiluohjelmiin liittyviä havaintoja tehtiin Suomessa kaksinkertainen määrä vuoteen 2014 verrattuna. Samaisessa raportissa todetaan myös henkilöstön osaamattomuuden (yllätys, yllätys) olevan yksi yleisimmistä yritysten uhkista.

Raportissa ennustetaan myös vuoden 2016 aikana tietojenkalastelun sekä kiristysohjelmien levittämisen olevan entistä kohdennetumpaan. Onko ennuste siis toteutunut jo esimerkkitapauksessa? Onko yrityksesi jonkin kohdennetun hyökkäyksen kohteena?

Kyberturvallisuuskeskuksen raportissa on listattu 5 yleisintä tietoturvauhkaa organisaatioissa:

1. Päivittämättömät ohjelmistot

Mahdollistavat haittaohjelmien pääsyn ja tietomurrot verkkoon

2. Henkilöstön osaamattomuus

Tietoturvaohjeistuksen ja valmiiden toimintamallien puute

3. Palvelunestohyökkäykset

Yksittäinen hyökkäys voi lamauttaa organisaation kaiken toiminnan

4. Huijausviestit ja tietojenkalastelu

Haittaohjelmat, urkinta, toimitusjohtajahuijaukset

5. Hallitsemattomat yhteydet sisäverkkoon

Hyökkäyspinta-alaa lisäävät älypuhelimet, VPN-yhteydet ja alihankkijoiden etäyhteydet

Toimi jo tänään!

Jotta tietoturvakäyttäytyminen kehittyy ja pysyy korkealla tasolla, pitää sitä työstää aktiivisesti. Yrityksissä johdon sitoutumisen ja aidon kiinnostuksen tulee näkyä ja kuulua läpi yrityksen, jotta tietoturvallisella käyttäytymisellä on merkitystä.

Aloita sitoutumisen ja aidon kiinnostuksen näkyminen korostamalla tietoturvallisuutta sisäisellä viestinnällä ja ennen kaikkea näkyvillä omilla toimilla. Tarjoa ihmisille mahdollisuus osallistua avoimesti kehittämään tietoturvaa ja jätä foliorullan tarjoaminen muualle – folio toimii kyllä paremmin keittiössä. Kehittämistoimet vaativat aikaa, joten sillä välin palauta mieleesi seuraavat tietoturvan perusasiat:

  • Saatavuus ja käytettävyys
    Tieto on saatavilla viiveettä silloin, kun sitä tarvitaan.
  • Luottamuksellisuus
    Tietoa voivat käsitellä ne henkilöt, joilla on siihen oikeus.
  • Eheys
    Tieto ei saa muuttua tahattomasti tai luvatta.

Hyvää tietoturvallista päivää myös tänään!

Toni Sivupuro
Head of Services
MPY Palvelut Oyj