Ihminen ja tietoturva: teknologia- vai ihmislähtöinen ratkaisu?

Tietoturvan trendit sekä uhat kehittyvät jatkuvasti. Microsoft on julkaissut Digital Defence -raportin, joka pureutuu vuoden merkittävimpiin muutoksiin ja kehityssuuntiin. Tietoturvaan erikoistunut ratkaisuarkkitehtimme Marko Mikkola kertoo tässä blogissa, miksi sinunkin on hyvä tutustua raporttiin.

Microsoft on juuri julkaissut viimeisimmän MDDR:n (Microsoft Digital Defense Report). Se on 135 sivua pitkä raportti, joka juuri sinun tulisi lukea. Nyt tarkoitan sinua, joka päätät yrityksen tietoturvaratkaisuista, valvot ja monitoroit tietoturvaratkaisuja, sekä sinua yrityksen tietoturva-asiantuntija, mutta myös sinua yrityksen työntekijä, sillä sinä olet useimmiten nettirikollisten kohde. Raportti sisältää helposti lähestyttäviä aihealueita, joista löytyy jokaiselle mielenkiintoisia aiheita.

Nostan seuraavaksi raportista niitä uhkia, jotka ovat suhteellisen helposti estettävissä tai ainakin riskiä hyökkäysten onnistumisesta voitaisiin helposti pienentää.

”Unfortunately, [cyber]criminals are very opportunistic. They see a vulnerable population out there that they can prey upon.”

Raportin mukaan ihmisten digitaalinen identiteetti on tärkein suojeltava omaisuus. Sen menettämisen seuraukset ovat katastrofaaliset, kuten arvata saattaa. Päivittäin globaalisti havainnoidaan 50 miljoonaa hyökkäystä ihmisten salasanoja kohtaan. Kuitenkin vain 20 % käyttäjistä ja 30 % pääkäyttäjistä on käytössään vahvan tunnistautumisen ratkaisu (MDDR, 93). Tänä päivänä, kun käytännössä valtaosalla työntekijöitä on käytössään yrityksen tarjoama tai oma kännykkä, esitetyt luvut tuntuvat oudoilta ja vaativat nopeita korjaavia toimenpiteitä.

Kalasteluviestit ovat yhä yleisin nettirikollisten keino saada haltuunsa käyttäjien salasana (MDDR, 20). Sellaista teknologista ratkaisua ei ole, joka pystyisi estämään kaikki kalasteluviestit tai muut vastaavat ihmisiin kohdistuvat sähköpostipohjaiset hyökkäykset. Eikä tilanne juurikaan muutu, vaikka kuinka lisäisimme teknisiä ratkaisuja suodattamaan sähköpostia – hyökkääjät kyllä löytävät uusia keinoja välttää suodattimet saadakseen ainakin osan hyökkäysviesteistä ihmisten Inboxeihin. Siksi suodattimet, koneoppiminen (ML) ja tekoäly (AI) vaativat rinnalleen sen tehokkaan työkalun, jota kutsun lyhenteellä HI, Human Intelligence. HI osaa toimia intuitiivisesti ja on kyvykäs oppimaan uutta, mikäli vain opetukseen panostetaan oikein.

“Beyond detection and protection, it is imperative that we cultivate a security-conscious culture.”

Omasta näkökulmastani MDD raportin mielenkiintoisin osuus, The rise of digital empathy, alkaa sivulta 122. Kappaleessa varoitetaan siitä, että suojauskeinoja mietittäessä fokus on liian usein vain ja ainoastaan teknologiassa ja ihmiset, eli he, joita tässä kuitenkin pyritään suojaamaan ja joille yritetään tarjota tuottava työympäristö, jäävätkin varjoon.

Digitaalisella empatialla tässä tarkoitetaan sen tilanteen miettimistä, jossa ihminen on kosketuksissa teknologiaan. Mitä vähemmän digitaalista empatiaa, sen vähemmän ihmisellä on halua olla kosketuksissa teknologian kanssa, mukaan lukien tietoturva. On tärkeää miettiä ihmisten alati muuttuvaa ja laajenevaa digitaalista ympäristöä ja pohtia, miten ihminen voisi luonnollisemmin olla kosketuksissa teknologisiin ratkaisuihin sekä teknologian asiantuntijoihin eli tässä tapauksessa tietoturvasta vastaaviin ihmisiin.

Kun tietoturvaratkaisut ovat inklusiivia, mukaansa kutsuvia ratkaisuja, ihmiset kokevat niiden olevan osa arkipäivää samoin kuin tietoturvaratkaisuista vastaavien ihmisten. Näin yhteiskuntatieteilijän silmin koko ajatusmalli on järkeenkäyvä ja vahvistaa näkemystäni siitä, että tietoturva kuuluu kaikille ja tietoturvassa heikoin lenkki on se henkilö, joka päätti, että henkilökunnan tietoturvan koulutukseen ei kannata satsata kuin minimi.

Lue myös: Tietoturvauhat yleistyvät – mikä on yrityksesi kyky vastata muuttuvaan tilanteeseen?

Ihmislähtöisempää tietoturvaa

Koronapandemian alussa monessa yrityksessä tehtiin uusien tuottavuustyökalujen ja tietoturvaa parantavien ratkaisuiden tekninen käyttöönotto, mutta ei luotu uusia yhteisiä pelisääntöjä työkalujen käytöstä, eikä myöskään opastettu ihmisiä uusien turvaratkaisuiden käytössä. Lienee turha sanoa mihin tilanne johti. Sen sijaa ne yritykset, joissa panostettiin samanaikaisesti sekä uusien työkalujen että turvaratkaisuiden käyttöönottoon, selvisivät koronapandemian alusta ilman suurempia ongelmia.

Tietoturva on ollut ennen kaikkea teknologialähtöistä. Nyt siihen on korkea aika ottaa mukaan ihmiset, poistaa raja-aidat ihmisten ja teknologian väliltä sekä tuoda tietoturvasta vastaavat ihmiset keskustelemaan selkokielellä tietoturvasta kaikkien kanssa. Tällöin tietoturva on aidosti sekä teknologinen että ihmislähtöinen ratkaisu.

Kuinka voisit edetä? Pari ajatusta harkittavaksi:

• Mieti, miten antamasi tietoturvaratkaisut voisivat helpottaa ihmisiä heidän muussa arjessa (Microsoft Authenticator ja käyttö sosiaalisessa mediassa)
• Yksi painike Outlookiin, jolla käyttäjä voi ilmoittaa mahdollisesta kalasteluviestistä
• Tietoturvan pelillistäminen
• Jatkuvaluonteinen tietoturvakoulutus ja tietoisuuskampanjat
• Ota minuun yhteyttä ja keskustellaan lisää

Tietoturvapalveluistamme voit lukea laajemmin täältä >