You are here: TUTWiki>Tietoturva/Tutkielmat>RaporttiTiinaSchafeitelTahtinen?>MitenUskomaanRiskeihin

TTY / Tietoturvallisuuden jatkokurssi / Tutkielma 2013 /

Tiina Schafeitel-Tähtinen

Miten käyttäjät saadaan uskomaan tietoturvariskeihin?

Johdanto

Tämän tutkielman tarkoituksena on selvittää miten käyttäjät, tässä tutkielmassa organisaation työntekijät, saadaan uskomaan tietoturvariskeihin. Uskominen tietoturvariskeihin tarkoittaa tutkielmassa riskien tiedostamista sekä toimimista siten, että riskit tulee otettua huomioon. Tutkielma tarkastelee asiaa sekä yksilön että organisaatioiden näkökulmista. Teknistä riskeiltä suojautumista ei käsitellä. Tutkielman rakenne on seuraava: aluksi tarkastellaan tietoturvariskien tiedostamisen ja riskit huomioivan toiminnan esteitä, sekä yksilön että organisaation kannalta. Sitten käsitellään keinoja, joilla pyritään lisäämään riskien huomiointia. Seuraavaksi tarkastellaan keinojen vaikutuksia. Lopussa on päätelmät.

1. Tietoturvariskien tiedostamisen esteet

Tietoturvariski tarkoittaa tietoturvauhkan toteutumisen todennäköisyyttä ja mahdollisen vahingon merkittävyyttä [1]. Tietoturvariskien tiedostamiseen, eli tunnistamiseen ja ymmärtämiseen, vaikuttavat käyttäjien yleinen tietoturvatietoisuus ja tietotekniset taidot. Tietoturvatietoisuutena voidaan pitää sitä, että käyttäjä ymmärtää tietoturvallisuuden merkityksellisenä esimerkiksi työnsä kannalta sekä tunnistaa tietoturvallisuuteen kohdistuvia uhkia ja riskejä [2]. Lisäksi tietoturvatietoisuuden perusteella hänen tulisi kyetä toiminaan niin, että tietoturvariskit eivät toteutuisi, vaan tulisivat ennalta ehkäistyksi [2].

Käyttäjien kannalta tietoturvariskien tiedostamiseen vaikuttaa joukko psykologisia tekijöitä, esimerkiksi ihmisten taipumus arvioida riskejä ja toteutumistodennäköisyyksiä väärin [3]. Ihmiset esimerkiksi aliarvioivat riskien toteutumistodennäköisyyttä, kun he itse voivat vaikuttaa riskin toteutumiseen ja yliarvioivat esimerkiksi runsasta medianäkyvyyttä saaneiden riskien toteutumistodennäköisyyttä omalla kohdallaan [3].

Käyttäjän näkökulmasta myös tietoisuus tietoturvariskin mahdollisuudesta on tärkeää. Käyttäjälle ei esimerkiksi välttämättä tule mieleen, että jokin ohjelman toiminto tarvitsisi myös turvallisuuden huomioimista, erityisesti jos se ei liity suoraan tietoturvallisuuteen [4]. Tietoisuus hyökkäyksen mahdollisuudesta on tärkeässä asemassa myös esimerkiksi sosiaalisen hakkeroinnin alle kuuluvien tietoturvariskien toteutumisen estämisessä [5]. Organisaation työntekijöiden on esimerkiksi helpompi kieltäytyä erilaisesta tietojen kalastelusta, jos heitä on etukäteen varoitettu sellaisen mahdollisuudesta [5].

Organisaatiotasolla tietoturvariskien tunnistaminen on sidoksissa organisaation jäsenten tietoturvatietoisuuteen ja organisaatiossa vallitsevaan tietoturvakulttuuriin [2] [6]. Jos tietoturvallisuus organisaatiossa mielletään pelkästään tekniikaksi ja ihmisen vaikutus tietoturvallisuuteen jätetään huomiotta, ei myöskään tunnisteta isoa osaa tietoturvariskeistä [2]. Riskien tunnistamista ja ymmärtämistä organisaatioissa saattaa myös haitata se, että tietoturvallisuuteen käytetyt resurssit harvoin tuottavat suoraa hyötyä sijoitetulle pääomalle tai tuottavat suoraa kassavirtaa organisaatioon [6]. Tietoturvallisuutta ei välttämättä mielletä tärkeäksi liiketoiminnalle, jolloin sen kehittäminen saattaa jäädä heikoksi.

2. Tietoturvariskit huomioivan toiminnan esteet

Yksilötasolla tietoturvallista toimintaa estävät esimerkiksi tiedon puute ja ohjelmien huono käytettävyys [4]. Ohjelmat esimerkiksi pakottavat käyttäjiä tekemään turvallisuuteen liittyviä päätöksiä, vaikka käyttäjät eivät ymmärrä päätösten merkitystä [4]. Käyttäjä saattaa tämän perusteella muodostaa virheellisen käsityksen turvallisuudesta ja ottaa esimerkiksi ylimääräisiä riskejä, koska kuvittelee olevansa turvassa [4].

Toisaalta tilanteissa, joita käyttäjän on tietämyksensä perusteella vaikea arvioida, tyydytään kohtuullisen hyväksi koettuun vaihtoehtoon [3]. Ohjelmaa asentaessa esimerkiksi hyväksytään suoraan oletusasetukset [3]. Tämä voi olla tietoturvariski, mikäli oletusasetukset eivät takaa riittävää turvallisuutta. Oletusasetukset eivät myös aina sovi kaikkiin tilanteisiin [4]. Lisäksi myös esimerkiksi tietoturvaohjeiden kokeminen turhiksi, hankaliksi ja aikaa vieviksi edistää niiden huomiotta jättämistä. Sosiaalisen hakkeroinnin puolella puolestaan ihmisen luontainen halu luottaa toisten vilpittömyyteen sekä halu välttää hankalan, tarkasti ohjeita noudattavan henkilön mainetta altistaa tietoturvariskien toteutumiselle [5].

Organisaatiotasolla tietoturvallista toimintaa estävät esimerkiksi työntekijöiden yleinen tietoturvatietoisuus, työntekijöiden tietotekniset taidot ja kustannustekijät [2]. Myös organisaation johtamistavoilla on merkitystä [6], koska esimerkiksi ylimmän johdon tuen puute vaikuttaa negatiivisesti sekä organisaation tietoturvakulttuuriin että tietoturvapolitiikan toimeenpanemiseen [7]. Jos esimerkiksi johto toistuvasti ohittaa tietoturvakäytännöt, ei niillä silloin myös työntekijöiden mielestä ole merkitystä [5]. Lisäksi jos organisaation johto viestittää suoraan tai epäsuorasti tietoturvallisuuden olevan käytännön toimintaa haittaava kustannustekijä, ei tietoturvallisuuden toteuttamista myöskään työntekijöiden puolesta välttämättä pidetä tärkeänä.

3. Tietoturvariskien huomioimista lisääviä keinoja

Tunnistettujen tietoturvariskien pohjalta laaditaan johdon hyväksymä tietoturvapolitiikka, joka tähtää siihen, että tietoturvaloukkauksia ei tapahtuisi. Se määrittää mitä tietoturvallisuudella organisaatiossa tavoitellaan ja miten sitä toteutetaan. Tietoturvapolitiikka on perusta organisaation tietoturvalle ja siitä johdetaan esimerkiksi käyttäjien ohjeistukset ja turvasuunnitelmat [8]. Lisäksi tietoturvapolitiikka on osa organisaation tietoturvakulttuuria [6]. Tietoturvapolitiikka pyritään saamaan osaksi organisaation toimintatapoja työntekijöiden koulutuksella ja ohjeilla [8].

Tietoturvapolitiikan lisäksi organisaatiossa voidaan pyrkiä parantamaan tietoturvariskien huomioimista esimerkiksi tietoturvatietoisuusohjelmilla [2] [5] [8]. Ne sisältävät sekä koulutusta että työntekijöiden muistuttamista oikeista toimintatavoista ja niiden toivotaan johtavan paremman tietoturvatason saavuttamiseen [8]. Tärkeää ohjelmille on jatkuvuus ja tavoitteena on, että tietoturvalliset toimintatavat saadaan niiden avulla osaksi organisaation normaaleja prosesseja [5] [9].

Tietoturvatietoisuusohjelmat pyrkivät tavoitteisiinsa koulutuksella ja koulutusta pidetään tärkeänä sekä tietoturvatietoisuudelle, tietoturvapolitiikan käytännön toteutumiselle ja organisaation tietoturvakulttuurille. Tutkimusten mukaan koulutuksella voidaan lisätä työntekijöiden tietoturvatietoisuutta [2] [5] [8], mutta tietoisuuden lisääntyminen ei kuitenkaan automaattisesti takaa tietoturvallisempaa toimintaa [6]. Koulutuksen avulla esimerkiksi työntekijän tietoturvatietoisuus voi lisääntyä vaikuttamatta kuitenkaan työntekijän käytökseen, sillä organisaation tietoturvakulttuuri vaikuttaa myös siihen, miten tietoturvatietoisuus siirtyy käytännön toiminnaksi [2] [6].

Organisaation tietoturvakulttuurille työntekijöiden tietoturvatietoisuus on tärkeää, ja työntekijät tarvitsevat myös riittävästi tietoturvatietoa voidakseen suorittaa työtehtävänsä hyvien tietoturvakäytäntöjen mukaisesti [6]. Tietoturvakulttuurin luomisessa myös organisaation johtamistavoilla on tärkeä rooli [6] [7]. Esimerkiksi se, että johtajat osoittavat käytöksellään pitävänsä tietoturvallisuutta tärkeänä, vaikuttaa myös työntekijöiden asenteisiin ja käytökseen [3]. Johto voi vaikuttaa myös siihen, että esimerkiksi tietoturvakoulutus tai vaikka ohjemateriaalien toteutus saa riittävästi resursseja. Tämän kaltainen panostus viestii myös osaltaan siitä että tietoturvallisuutta pidetään organisaatiossa tärkeänä.

4. Keinojen vaikutukset

Hagen et al. [8] ovat tutkineet edellä käsitellyistä keinoista tietoturvapolitiikan ja tietoturvatietoisuuden lisäämisen vaikuttavuutta organisaation tietoturvallisuuteen. Heidän tutkimuksessaan vaikuttavuus ymmärrettiin tietoturvakäytännön positiiviseksi vaikutukseksi yksilön tai organisaation tietoisuuteen ja käyttäytymiseen tietoturvan suhteen. Heidän tutkimuksessaan organisaatioiden tietoturvatietoisuuden lisäämiseen tähtäävät keinot arvioitiin vaikuttavammiksi kuin esimerkiksi tietoturvapolitiikka ja -ohjeistukset. Toisaalta heidän tutkimuksensa organisaatioissa tietoturvan taso oli jo kohtuullinen, jolloin luonnollisesti vaikuttavimmaksi arvioitiin keinot, joilla ajateltiin jatkossa voivan olla vaikutusta tietoturvatason parantumiseen. [8]

Albrechtsen ja Hovden [9] puolestaan tutkivat työntekijöiden osallistumista, keskustelua ja ryhmätyötä sisältäneen tietoturvatietoisuusohjelman vaikutuksia organisaatiossa. Se toteutettiin työpajoissa, joissa osallistujat miettivät aluksi tietoturvallisuuden merkitystä työnsä kannalta ja sen jälkeen ratkaisivat ryhmätyönä erilaisia tietoturvallisuuteen liittyviä tilanteita. Lisäksi osallistujat pääsivät keskustelemaan ja jakamaan omaa tietämystään ja käytännön kokemustaan. Tutkimusten tulosten mukaan tämän tyyppisellä tietoturvakoulutuksella oli merkittävää vaikutusta osallistujien asenteisiin ja käytökseen ja vaikutus näkyi vielä puoli vuotta työpajojen jälkeen. Lisähyötynä oli se, että työntekijöiden keskusteluissa mukana olleet tietoturvasta vastaavat henkilöt saivat paljon tietoa siitä, miten tietoturvallisuutta yrityksessä käytännössä toteutetaan ja miten työntekijät ymmärtävät esimerkiksi ohjeet. Keskusteluissa paljastui puutteita tietoturvakäytännöissä, joita olisi ollut hyvin vaikea saada muuten selville. [9]

Shaw et al. [2] mukaan tietoturvatietoisuusohjelmille tärkeää on myös jatkuvuus ja se, että tietoa on tarjolla monissa muodoissa, esimerkiksi uutisina, luentoina ja videoina. Tehokasta tietoturvakoulutusta voidaan järjestää myös esimerkiksi verkkoympäristössä ja erityisen tehokasta siitä saadaan hypermediaa hyödyntämällä. [2] Oleellista tässäkin vaikuttaisi olevan se, että koulutettava on vuorovaikutuksessa materiaalin kanssa ja osallistuu ja miettii aktiivisesti materiaalin asiasisältöä pelkän läpilukemisen sijaan. Tutkimuksessa hypermediaperusteinen koulutusaineisto oli tehokkaampi tietoturvatietoisuuden lisäämisen kannalta kuin esimerkiksi multimedia tai pelkkä hyperteksti [2].

Toisaalta esimerkiksi tietoturvatietoisuusohjelmien vaikutusten kannalta olisi kiinnostavaa myös tutkia, ketä esimerkiksi organisaation tietoturvakulttuurin parantamiseksi olisi hyödyllisintä kouluttaa. Ehkä koulutuksen pitäisi koskea nimenomaan johtoa, jotta sillä olisi suurin tehokkuus organisaation tietoturvakulttuurin kehittymiseen. Kiinnostavaa olisi myös tutkia, miten esimerkiksi vuorovaikutteiden verkkokoulutuksen tai pienryhmätyöskentelyn vaikuttavuus organisaation tietoturvallisuuteen suhteutuvat toisiinsa. Edellisen toteutuksen voisi kuvitella olevan organisaation kannalta helpommin järjestettävissä ja mahdollisesti kustannuksiltaan jälkimmäistä edullisempaa; siksi olisi kiinnostavaa tietää, päästäänkö sillä vastaaviin tuloksiin.

Päätelmät / yhteenveto

Käyttäjät saadaan uskomaan tietoturvariskeihin lisäämällä tietoturvatietoisuutta. Lisäksi organisaation tietoturvakulttuurin tulee tukea ja edellyttää tietoturvallisuuden toteutumista käytännössä. Sekä tietoturvatietoisuuden lisäämisessä että tietoturvakulttuurin luomisessa käyttäjien koulutus on avainasemassa. Tutkielmassa käsiteltyjen tutkimusten perusteella näyttää siltä, että asenteita ja toimintaa muuttavan tietoturvakoulutuksen sisältöön liittyy oleellisesti vuorovaikutus, joko ihmisten tai koulutusmateriaalin kanssa. Tärkeintä on, että koulutettava joutuu miettimään ja keksimään aktiivisesti ratkaisuja tietoturvallisuusasioihin ja perustelemaan valittua toimintatapaa. Tällöin koulutuksessa saadulla tiedolla on parhaat edellytykset tulla sisäistetyksi ja muuttua osaksi henkilön toimintaa.

Lähteet

[1] Sananstokeskus TSK, Tiivis tietoturvasanasto, Helsinki: Sanastokeskus TSK ry, 2004.

[2] R. S. Shaw, C. C. Chen, A. L. Harris ja H.-J. Huang, ”The impact of information richness on information security awareness training effectiveness,” Computers & Education, nro 52, pp. 92-100, 2009.

[3] R. Anderson, Security Engineering, Wiley, 2008.

[4] S. Furnell, ”Why users cannot use security,” Computers & Security, nro 24, pp. 274-279, 2005.

[5] K. D. Mitnick ja W. L. Simon, The art of deception: Controlling the human element of security, Wiley Publishing, Inc., 2002.

[6] J. Van Niekerk ja R. Von Solms, ”Information security culture: A management perspective,” Computers & Security, nro 29, pp. 476-486, 2010.

[7] K. J. Knapp, T. E. Marshall, R. K. Rainer ja F. N. Ford, ”Information security: management’s effect on culture and policy,” Information Management & Computer Security, osa/vuosik. 14, nro 1, pp. 24-36, 2006.

[8] J. M. Hagen, E. Albrechtsen ja J. Hovden, ”Implementation and effectiveness of organizational information security measures,” Information Management & Computer Security, osa/vuosik. 16, nro 4, pp. 377-397, 2008.

[9] E. Albrechtsen ja J. Hovden, ”Improving information security awareness and behaviour through dialogue, participation and collective reflection. An intervention study,” Computers & Security, nro 29, pp. 432-445, 2010.

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Valmis
Tyyppi Ydin
Luokitus Yksilöt
Mitä Useita
Miltä Useita
Missä Organisaatio
Kuka Titu-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r2 - 28 Nov 2013 - 01:26:39 - TiinaSchafeitelTahtinen?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback