Älä syyllistä käyttäjiä!

On yleisesti tunnettu tosiasia, että suuri (ellei jopa suurin) osa tietoturvapoikkeamista saa alkunsa käyttäjien tekemästä virheestä. Nämä virheet voivat olla monenlaisia: esimerkiksi liian heikko salasana, haitallisilla sivuilla vierailu, haittaohjelman lataaminen, kalastelusähköpostin avaaminen ja tunnusten antaminen kalastelijalle. Toisaalta käyttäjien virheitä tapahtuu myös konfiguroitaessa laitteita, verkkoja ja sovelluksia sekä tietoturvaan liittyviä teknologioita.

Tämä on johtanut siihen, että käyttäjien virheistä puhutaan ja vitsaillaan paljon. Käyttäjiä pidetään organisaation tietoturvan suurimpana uhkana – ja sinänsä ihan perustellusti. Missä sitten on menty metsään? Siinä, että käyttäjiä syyllistetään tietoturvapoikkeamista ja tekemistään virheistä. Se on yksiselitteisesti väärin. Nostan ensimmäisen käden virheen merkiksi, sillä olen joskus itsekin syyllistynyt samaan. Entä oletko sinä, lukija syyllistynyt samaan? 

Inhimilliset virheet saattavat hyvinkin olla suurin tietoturvauhka. Tämä ei kuitenkaan oikeuta syyllistämään käyttäjää, vaan on tietoturvasta vastuussa olevien henkilöiden ja johdon vastuulla ymmärtää, että käyttäjien virheet ovat vain osa organisaation riskiprofiilia johon täytyy suhtautua sen mukaisesti. Joten jos olet henkilö joka on johtavassa asemassa tai vastaat tietoturvasta, sinun vastuullesi kuuluvat seuraavat asiat:

Ymmärrä käyttäjien aiheuttamat riskit

Inhimilliset virheet ovat osa sitä, miten meidät ihmiset on rakennettu. Me kompastelemme, tiputamme maidon lattialle, unohdamme lompakon taksiin tai ajamme kolareita. Tietoturvaan liittyvät mokat eivät mitenkään eroa tästä. Niitä tapahtuu riittävän pitkässä juoksussa jokaiselle, ja mitä enemmän ihmisiä organisaatiossa on, sitä tiheämmin käyttäjistä johtuvia tietoturvapoikkeamia tapahtuu. Käyttäjien virheitä ei koskaan pysty kitkemään täysin pois, vaan ne ovat tilastollinen fakta.

Virheiden määrää pystyy kuitenkin mittaamaan, ja käyttäjien aiheuttamaa riskiä arvioimaan. Tiedätkö miten organisaatiosi pärjää kalastelukampanjaa vastaan? Osaatko sanoa ovatko käyttäjien pääsyoikeudet riittävän tiukat niin, että riskit on minimoitu? Ketkä käyttäjistä aiheuttavat isoimman riskin tehdessään virheen? Onko organisaatiossasi mitattu käyttäjistä johtuvia tietoturvapoikkeamia ja niiden vaikutuksia?

Järjestä henkilöstön tietoturvakoulutus ja jalkauta organisaatiosi tietoturvakäytännöt

Miten käyttäjä edes voisi osata toimia oikein, jos käyttäjää ei kouluteta tietoturvalliseen toimintaan? Asiasta vastuussa olevien henkilöiden velvollisuus on järjestää asiat niin, että jokainen tietää mitä tietoturva-asioita organisaatio haluaa otettavan huomioon päivittäisessä työnteossa. Koulutukseksi ei missään nimessä riitä, että työntekijän eteen lyödään tietoturvapolitiikka – tai linkki intrassa oleviin tietoturvaohjeisiin. Karu fakta on se, että ei niitä kukaan jaksa lukea – tai jos jaksaa, on työntekijä jo valmiiksi sieltä valveutuneemmasta päästä.

Oikea ratkaisu on kouluttaa kaikki työntekijät muun perehdytyksen yhteydessä tietoturva-asioihin, ja jatkaa koulutuksia säännöllisesti uran jatkuessa, esimerkiksi vuoden välein tapahtuvina kertauskoulutuksina. Koulutuksen tulee olla motivoivaa, jotta opetetut asiat todella jättävät muistijäljen joka auttaa toimimaan oikein jatkossa.

Luo positiivinen ilmapiiri ja raportointitavat

Tässä päästään asian ytimeen: miksi käyttäjien syyllistäminen on haitallista? Jos tietoturvapoikkeamien tutkiminen johtaa aina siihen, että etsitään syyllisiä ja heitä osoitetaan syyttävällä sormella ja rangaistaan, johtaa se vain omien virheiden pimittämiseen, salailuun ja muiden niskoille vierittämiseen. Poikkeamien havaitseminen ja tutkiminen vaikeutuu, ja tietoturvan taso laskee.

On johtajien vastuulla, että tietoturvapoikkeamien ja virheiden raportointiin luodaan positiivinen ilmapiiri. Käyttäjiä pitäisi rohkaista ilmoittamaan tietoturvapoikkeamista ja myös omista virheistään, ja tämä onnistuu vain mikäli he voivat olla varmoja että heitä ei syyllistetä tapahtuneesta. Käyttäjiä täytyy myös muistuttaa, että ei ole liian vähäistä asiaa raportoitavaksi – harmittomaksi osoittautuvan tapahtuman käsittely on pienempi paha kuin harmillisen tapahtuman raportoimatta jättäminen.

Miten tällaista ilmapiiriä sitten voi luoda? Esimerkiksi koulutuksen kautta, rohkaisemalla raportoimaan kaikki vastaavat tapaukset heti. Myös esimerkiksi palkinto vuoden tietoturvaraportista voi olla tapa lisätä motivaatiota raportointiin. On myös tärkeää kouluttaa, miten ja mitkä asiat tulee raportoida ja kenelle.

Turvallisten prosessien, työtapojen ja työympäristön rakentaminen

Käyttäjät tekevät laitteillaan työasioita, vaihtelevasti myös työn ulkopuolisia asioita. Tässä ei ole mitään uutta. Käyttäjä ei koskaan tee mitään turhaan – hän pyrkii aina saamaan aikaan jotain. On organisaation vastuulla hoitaa työympäristö, prosessit, laitteet ja järjestelmät sekä työtavat sellaisiksi, että käyttäjien mahdollisuus tehdä virheitä ja noiden virheiden vaikutus on minimoitu järkevissä rajoissa.

Onko esimerkiksi käyttäjän vika, että kalasteluhyökkäyksen jälkeen hänen liian laajoja käyttöoikeuksiaan käytetään väärin tavalla, joka ei olisi mahdollista oikein rajatuilla käyttöoikeuksilla? Ei ole.

Onko käyttäjän vika, että junaan unohtuneen läppärin kovalevyä ei ole salattu ja sen tiedot voi lukea helposti? Ei ole.

Entä onko hänen vikansa, että sitä ei ole varmuuskopioitu? Ei ole.

Onko talousosaston kesätyöntekijän vika, että yrityksen maksuprosessi ja varmennustavat ovat niin heikot, että toimitusjohtajahuijaus onnistuu kesälomien aikana? Ei todellakaan ole.

Onko käyttäjän vika, että verkkoa ei ole segmentoitu ja kiristyshaittaohjelma pääsee leviämään suoraan hänen työasemaltaan palvelinympäristöön? Ei missään nimessä.

Kaikki ylläolevat asiat ovat organisaation vastuulla. Organisaation on järjestettävä asiansa niin, että käyttäjien virheiden mahdollisuudet minimoidaan, kuten myös niiden aiheuttamat riskit. Tämä onnistuu vain ymmärtämällä käyttämien aiheuttamat riskit ja järjestämällä muu toiminta niiden mukaisesti.

Poikkeamien havaitseminen ja reagointi

Jossain vaiheessa kaikki ylläolevat keinot pettävät. Käyttäjä tekee koulutuksestaan huolimatta virheen, ja kaikista muista varotoimenpiteistä huolimatta se aiheuttaa vakavamman tietoturvapoikkeaman. Silloin on organisaation vastuulla, että sillä on kyvykkyys havaita poikkeamat ja reagoida niihin nopeasti ja tehokkaasti.

Poikkeamien havaitseminen ja reagointi niihin on aivan oman kirjoituksensa arvoinen. Se on kuitenkin viimeinen perälauta käyttäjien tekemien virheiden torjunnassa, Lisäksi hyvä havainnointikyky tuo käyttäjien virheet mitattaviksi: kuinka usein organisaatiossa tapahtuu esimerksiksi kalastelukampanjoita? Entä toisenlaisia poikkeamia? Missä käyttäjäryhmissä näillä on eniten vaikutusta? Mitä riskejä on toteutunut ja mitä riskejä voi vielä toteutua? Kuinka nopeasti reagoimme erilaisiin poikkeamiin? Nopea reagointi vähentää todennäköisyyttä että riskit realisoituvat täysimääräisinä ja säästää siten kirjaimellisesti aikaa ja rahaa.

Yhteenveto

Käyttäjät aiheuttavat tietoturvapoikkeamia inhimillisillä virheillä. Tämä on täysin luonnollinen asiaintila, joka tulee hyväksyä osaksi riskiprofiilia ja jonka ympärille organisaation muu toiminta tulee pystyä suunnittelemaan. Käyttäjien syyllistäminen virheistä on väärin, sen sijaan heitä tulee kouluttaa tietoturvalliseen toimintaan ja raportoimaan kaikki tietoturvaan liittyvät virheet ja poikkeamat. Positiivinen ilmapiiri on avainasemassa. Työympäristö ja prosessit tulee järjestää niin, että sekä virheiden mahdollisuus, että virheistä johtuvat riskit minimoidaan. Lisäksi poikkeamien nopea havainnointi ja tehokas reagointi ovat viimeinen tapa torjua käyttäjien aiheuttamat riskit.

Aivan viimeinen huomio: myös sinä, hyvä lukija, olet käyttäjä. Haluatko olla luomassa työpaikkaa, jossa tekemäsi inhimillinen virhe ja sen vaikutukset kaadetaan sinun syyksesi? Vai olisitko mieluummin luomassa työpaikkaa joka on valmistautunut siihen, että teet virheen ja rohkaisee sinua raportoimaan sen? Valinta on sinun.

Disclaimer: tämän kirjoituksen on tarkoitus vähentää ylenpalttista käyttäjien syyllistämistä. Osassa käyttäjien virheistä on olemassa suora laillinen vastuu. Tämän arviointi ja mahdolliset rangaistukset kuuluvat kuitenkin ensisijaisesti tuomioistuimille ja esimerkiksi tietosuojavaltuutetulle. On myös niin vakavia tietoturva- ja tietosuojarikkomuksia, että kurinpitotoimenpiteet ovat aiheellisia. Tämä kirjoitus ei myöskään käsittele sisäpiiriläisuhkaa, jossa käyttäjä tietoisesti tekee haittaa organisaatiolle. 

Kategoria Blogi, Näkökulma