Organisaatiot panostavat runsaasti rahaa, aikaa ja vaivaa erilaisiin tietoteknisiin turvallisuusratkaisuihin ja -käytäntöihin. Tästä huolimatta sattuu vahinkoja, jolloin esimerkiksi liiketoiminnalle kriittistä tietoa tai käyttäjätunnuksia voi päätyä vääriin käsiin. Näin voi tapahtua siksi, että huolellisestikin turvatut systeemit ovat herkkiä ihmisen tekemille ratkaisuille ja toiminnalle.

Suojautuaksemme huijareiden alati kehittyviltä hyökkäyksiltä, olisi tärkeää oppia pois ei-toivotuista ajatus- ja toimintamalleista sekä rutiineista, jotka saattavat tarjota rikollisille pienellä vaivalla reitin organisaation muuten turvattuihin järjestelmiin.

Kyberrikollisten toimintaa mahdollistavia tekijöitä ovat muun muassa:

  • Sovellus- ja järjestelmäpäivitykset jäävät tekemättä, sillä ne ilmaantuvat ”väärään aikaan” keskeyttämään meneillään olevaa tekemistä, tai päivitysten tärkeyttä ylenkatsotaan
  • Tarkasti kohdistetut tietojenkalasteluviestit kulkeutuvat roskapostifilttereiden läpi, ja pääsy organisaation kriittiseen tietoon helpottuu ihmistoiminnan avustamana
  • Olemassa olevia tietoturvariskejä ei tiedosteta tai hahmoteta, eikä ymmärretä riittävän hyvin mikä on oma rooli osana koko organisaation tietoturvallisuuskäytäntöjä
  • Tietoturvallista käyttäytymistä ei tunnisteta erilaisten toimintojen, eri laitteiden ja järjestelmien rajapinnoilla työtä tehdessä ja siirryttäessä tehtävästä toiseen
  • Tietoturvallisen käyttäytymisen säännöt periaatteessa tiedetään, mutta ohjeita rikotaan ja sovittuja käytäntöjä ohitetaan, sillä ne saattavat hidastaa tai monimutkaistaa työskentelyä
  • Tietoturva-asioihin suhtaudutaan organisaatiossa tavalla, joka lisää epävarmuutta omassa työssä onnistumisessa, eikä vahingoista uskalleta raportoida ajoissa
  • Tietoturvallinen käyttäytyminen vaatii omaan tehtävään varsinaisesti liittymättömiä vaiheita ja erilaisia toimintoja, jotka käyttäjän pitää muistaa
  • Työssä multitaskataan, eli ei keskitytä meneillään olevaan tehtävään ja siksi saatetaan olla huolimattomia ja tehdään harkitsemattomia, tietoturvan kannalta huonoja ratkaisuja

Tietoturvallisen käyttäytymisen omaksuminen vaatii aikaa ja koko organisaation sitoutumista muutokseen. Organisaation johdon asenteen ja vallalla olevan toimintakulttuurin olisikin tuettava uusien toimintatapojen omaksumista ja olisi alleviivattava, miksi mahdollisiin riskeihin on suhtauduttava vastuullisesti ja riittävällä vakavuudella.

Henkilökunnan tietoisuutta ja osaamista kasvattamalla on mahdollisuus rakentaa organisaatiolle vahva palomuuri, joka koostuu sekä valppaista ihmisistä että turvatuista laitteista ja järjestelmistä. Vahvan ihmispalomuurin rakennusaineita ovat esimerkiksi:

  • Organisaatiossa kasvatetaan osaamista sekä ajantasaista tietoisuutta meneillään olevista digiturvallisuuteen vaikuttavista ilmiöistä
  • Organisaatiossa kiinnitetään erityistä huomiota haitallisiin toimintamalleihin ja rutiineihin, ja kannustetaan poisoppimaan niistä kertaamalla tietoturvan kannalta tärkeitä asioita osana muuta toimintakulttuuria
  • Organisaation jäsenet kiinnittävät huomiota omiin asenteisiinsa ja aikomuksiinsa työpäivän vaihtelevissa tilanteissa, ja keskitytään meneillään olevaan tehtävään turhien huolimattomuusvirheiden minimoimiseksi
  • Organisaatiossa motivoidutaan ja sitoudutaan tietoturvallisempaan käyttäytymiseen kaikilla tasoilla, kannustetaan valppauteen sekä rohkaistaan aktiivisesti ilmoittamaan havaituista ongelmista ja poikkeamista

Tietoturvan kannalta tärkeitä seikkoja on kerrattava ja osaamista vahvistettava säännöllisesti osana organisaation muuta toimintaa, sillä ihmisellä on luontainen taipumus unohtaa juuri opitut asiat ja palauttaa käyttöön vanhat tutut toimintamallit. Kertaus on siis opintojen äiti näissäkin asioissa.

Lue aiheesta lisää cyberdi.fi -sivuilta, opi huijausten tunnusmerkit ja kuinka suojautua niiltä. Lataa myös infokortti käyttöösi.

– Kirsi Heiskanen, asiantuntija, Jyväskylän ammattikorkeakoulu, IT-instituutti/CYBERDI-projektin projektipäällikkö
——————————————————————————————————————————————

Teksti on laadittu osana #OleTietoinen-tietoisuuskampanjaa. Kampanjoinnin toteutuksesta vastaavat Jyväskylän ammattikorkeakoulun ja Poliisiammattikorkeakoulun CYBERDI-projektin asiantuntijat. Digitaalisen maailman turvallisuuden kasvattamiseen tähtäävä #OleTietoinen-kampanjointi jatkuu aina vuoden 2021 lopulle saakka.