Inhimillinen tietoturva vastaa tulevaisuuden tietoturvahaasteisiin
Inhimillisen tietoturvan merkitys kasvaa, kun tekniset tietoturvaratkaisut kehittyvät jatkuvasti vaikeammiksi ohittaa. Miksi ihminen on nyt suosittu kohde hyökkäyksille ja miten valmistautua näihin haasteisiin?
Traficomin kyberturvallisuuskeskuksen alkuvuodesta julkaisema Tietoturvan vuosi 2018 -raportti sisälsi katsauksen vuoden 2019 näkymiin. Katsauksen ensimmäisenä kohtana mainitaan inhimillinen tietoturva, jonka merkitys kasvaa, kun tekniset tietoturvaratkaisut kehittyvät jatkuvasti vaikeammiksi ohittaa. Ihminen muodostuu helpommaksi kohteeksi huijauksille ja hyökkäyksille ja tähän inhimillinen tietoturva pyrkii puuttumaan.
Pyrin tässä blogissa avaamaan, miksi ihminen on nyt suosittu kohde ja mitä toimia voidaan tehdä, jotta näihin haasteisiin voidaan olla valmiina.
Inhimillinen tietoturva – miksi sitä tarvitaan?
Ihmisten kautta tapahtuvia hyökkäyksiä tietoaineistoihin tapahtuu vuosi vuodelta enemmän. Yksi viime vuoden vakavimmista uhista, Office 365 -kalasteluhuijaukset, ovat tästä hyvä esimerkki. Näissä hyökkäyksissä ihmisten käyttäytymistä käytetään heitä vastaan, kun vanhoja tottumuksia hyödynnetään ja ihmiset saadaan syöttämään tietojaan tutunnäköisiin lomakkeisiin.
Erilaiset sosiaalisen hakkeroinnin menetelmät sekä muut kohdennetut hyökkäykset, joissa valikoiduista ihmisistä kerätään tietoa ja käytetään sitä arkaluonteiseen materiaaliin pääsyyn, ovat selkeä trendi tietoturvassa. Ihmisten parhaita ominaisuuksia käytetään heitä vastaan ja tähän on vaikea varautua.
Miten inhimillistä tietoturvaa tulisi lähestyä?
Tietoturva nähtiin pitkään vain teknisinä ratkaisuina, joissa palomuurien ja sääntöjen avulla rajoitetaan hyökkäyspinta-alaa järjestelmiin. Harvoin otettiin huomioon, miten se vaikuttaa käyttäjiin, ja miten käyttäjät vaikuttavat siihen.
Ihmisen vaikutus tietoturvan onnistumiseen on kuitenkin kriittinen. Ihminen pystyy teoillaan vaikuttamaan kokonaisten tietoturvaprosessien epäonnistumiseen tai onnistumiseen. Jotta henkilöiden aiheuttamiin vaaratilanteisiin voidaan vaikuttaa, pitää tietoturvaa lähestyä uudella tavalla.
Ihmisen toimintaan voi olla vaikea vaikuttaa, sillä kokemukset, arvot ja asenteet vaikuttavat jokapäiväiseen toimintaan. Pakottamalla saadaan harvoin asioihin tehokkaita ja toimivia muutoksia, joten muutosta pitää lähestyä eri suunnasta.
Miten inhimillistä tietoturvaa voi toteuttaa käytännössä?
Yleinen tapa aloittaa tällaisen muutoksen toteuttaminen on järjestää koulutuksia. Koulutukset ovat helppo tapa toimittaa tietoa järkevästi muotoiltuna suurelle ryhmälle. Ne jäävät kuitenkin usein aktiivisuudeltaan vähäisiksi: joko ne ovat luentoja tai puuduttavia lukusessioita, ja anti osallistujalle voi olla heikko. Osallistujien aktivointi on siksi tärkeää onnistumisen kannalta. Tätä voidaan lähestyä esimerkiksi antamalla harjoituksia aiheeseen liittyen, jotta osallistuja voi itse tehdä valintoja ja nähdä oman tietoisuutensa tason. E-learning -alustojen avulla tällaisten aktivointimenetelmien lisääminen on suoraviivaista.
Toinen tapa saada tietoturva jokaisen mieleen on osallistaminen. Kun erilaisilla liiketoimintayksiköillä on erilaiset prosessit ja toimintatavat, tulevat tietoturvatoiminnot usein näiden tielle ja tietoturvaprosesseista ruvetaan luistamaan. Siksi on tärkeää osallistaa erilaisia ryhmiä tietoturvan kehittämiseen mahdollisimman paljon. Tällöin osallistujat kokevat vaikuttavansa tietoturvan kehitykseen ja prosesseihin syntyy eräänlainen omistajuussuhde.
Koulutukset ja osallistaminen ovat tehokkaita tapoja saada tietoutta tietoturvasta nostettua yrityksen sisällä. Ne vaativat kuitenkin paljon kehitystä ja usein resursseja tähän ei ole saatavilla. Siksi onkin hyvä lähteä pienestä liikkeelle ja löytää omalle yritykselle toimivat tavat. Tärkein tavoite on saada yrityksen työntekijät tietoisemmiksi tietoturvauhista ja valmiimmiksi niiden torjuntaan.
Onko yritykselläsi tarvetta kehittää tietoturvaa ihmiskeskeiseksi? Ota yhteyttä niin jutellaan asiasta lisää!
Tutustu myös tietoturvapalveluihimme.
