Jari Tenhunen, R&D Director, Tosibox Oy

Jokainen itseään kunnioittava yritys kertoo kouluttavansa työntekijöitään tunnistamaan yrityksen tietoturvan kannalta keskeisimmät vaaranpaikat. Olemme jo kuulleet lukemattomat varoitukset siitä, ettei outoja linkkejä pidä klikata ja että salasanat eivät saa olla heikkoja. Silti moni käyttää edelleen jopa samaa salasanaa useassa eri palvelussa. On sanomattakin selvää, että käyttäjätunnuksien ja salasanojen paljastaminen avaa huomattavat mahdollisuudet jos jonkinlaiseen pahantekoon.

Viime vuonna ranskalainen markkinatutkimusyritys Ipsos arvioi, että tietovarkauksista ja -murroista jopa 72 prosenttia johtuu siitä, että henkilökunta käsittelee sähköpostitse saapuvia linkkejä ja liitetiedostoja varomattomasti. Sähköposti voi näyttää tärkeältä, viralliselta, kiinnostavalta, luotettavalta tai se voi olla merkitty kiireelliseksi. Se voi saapua juuri silloin kun työntekijän huomio on herpaantunut.

Mitä suurempi yritys, sitä suuremmat ovat riskit. Jokainen työntekijä, yksikkö ja osasto voi tarkoittaa hyökkääjille laajempaa hyökkäyspinta-alaa. Samalla yksittäisen työntekijän syyllistäminen on kuitenkin väärin, sillä vastuu yrityksestä on yhteinen ja jokainen ihminen on erehtyväinen.

Kyberturvallisuuden markkinat ovat jyrkässä kasvussa. Viime vuonna alan globaali arvo oli noin 137 miljardia dollaria ja neljän vuoden kuluttua sen arvioidaan olevan jo 230 miljardia.

Ihmisen perusominaisuuksiin kuuluu luottaa toiseen ihmiseen, mikäli luottamiselle ei ilmene erityistä estettä. Ystävällisyys ja kohteliaisuus kuuluvat asialliseen työelämän toimintakulttuuriin. Jos ihmiseltä pyydetään apua, hän yleensä auttaa, jos tuntee olonsa turvalliseksi. Esimerkiksi yritysten auloista kävellään tyypillisesti sisään naamioituneena sopimuskumppanin edustajaksi, joka on joko unohtanut kulkuluvan kotiin tai sen puuttumiselle on jokin muu järkevän oloinen syy. Kun henkilö on sisällä yrityksen tiloissa, hänen on helppoa asentaa vaikka muistitikulta keylogger-ohjelmisto, joka varastaa kaikki näppäimistön painallukset tai vaikka käydä lukemassa seinälle muistamisen helpottamiseksi kiinnitetyt käyttäjätunnukset ja salasanat.

Jos vastassa on valtiollinen toimija tai Ocean’s eleven -hittielokuvan kikkojen veroisia menetelmiä hyödyntävä ammattivarkaiden tiimi, taitavakin tietoturvaosaaja voi olla pulassa. Yrityksen työntekijä, oli sitten kyseessä toimitusjohtaja itse, tuotantolinjan tai taloushallinnon osaaja, on pulassa vielä todennäköisemmin.

Perusongelma suojautumisessa on se, että hyökkääjän tarvitsee onnistua vain kerran, mutta puolustajan työ sen sijaan on jatkuvaa. Hyökkääjän tehtävä on vain selvittää se mitä puolustaja on unohtanut. Tästä syystä ihminen on edelleen tietoturvan heikoin lenkki.

Ihmiset myös rakentavat teknisen tietoturvan järjestelmät, ja siksi nekin sisältävät inhimillisiä tekijöitä. Esimerkiksi avoimien kirjastojen käyttäminen sovelluksissa on helppoa ja kustannustehokasta, mutta kirjastoissa ilmenee tavan takaa haavoittuvuuksia. On käyttäjien vastuulla päivittää kirjastot ja niitä käyttävät sovellukset korjattuihin versioihin. Jos haavoittuva versio jää päivittämättä, se voi tarjota hyökkääjälle yhdessä jonkin muun lisätiedon kera pääsyn yrityksen tietoihin.

Ihmisen toimintaa on paljon vaikeampaa ennakoida kuin ihmisen ohjelmoiman koneen toimintaa. Huijauksiin haksahtavia työntekijöitä ja johtajia tulee olemaan aina, sillä kiire, uteliaisuus, uneliaisuus, ujous, ylpeys, pelko ja lukemattomat muut inhimilliset ominaisuudet eivät katoa.

Myös järjestelmien konfigurointi on oma taiteenlajinsa, ja manuaalinen, ihmisen tekemä järjestelmien konfigurointityö on altis virheille. Mitä enemmän konfiguraatiota tarvitsee tehdä, sitä suuremmaksi nousee inhimillisten virheiden todennäköisyys. Olisi myös kohtuutonta odottaa, että jokaisessa organisaatiossa osattaisiin kaikki. Siksi kannattaa turvautua ammattimaisiin ratkaisuihin, joiden käyttöönotto paitsi riittävän yksinkertaista, myös turvallista ja toimintavarmaa.

Tosibox on IoT-tietoturvan asiantuntija, jonka kehittämä ratkaisu poistaa inhimillisen erheen mahdollisuuden. Panostamme tuotekehityksessämme helppokäyttöisyyteen. Kun käyttäjän tarvitsee huolehtia vain muutamista asioista, TOSIBOX® -tuotteiden konfiguroiminen väärin on käytännöllisesti katsoen mahdotonta. Myös ohjelmistopäivitykset tulevat automaattisesti.

Huijatuksi tulevien määrään ja tietoturvapoikkeamien aiheuttamiin kustannuksiin voi vaikuttaa ennaltaehkäisevästi. Tässä muutama yksinkertainen neuvo.

Sivistä itseäsi.

Tietoturvan ymmärtäminen arjessa on kansalaistaito. Seuraa tietoturva-alan kehitystä ja uutisointia. Osoita kiinnostusta ja kysele. Älä odota, että muut turvaavat sinut, vaan kohtele turvallisuutta kuin hymyä: joka antaa, se saa. Yhdessä teemme enemmän.

Kouluta työntekijäsi.

Vaikka organisaatiosi kaikki työntekijät olisivat suorittaneet pakollisen tietoturvan verkkokurssin, he tuskin muistavat siitä mitään kaksi vuotta myöhemmin, sillä kannettu vesi ei pysy kaivossa ja uusia uhkia ilmenee säännöllisin väliajoin. Myös hyökkääjät kehittyvät ja kehittävät jatkuvasti uutta. Siksi organisaation oppimisen tulee olla jatkuvaa.

Panosta resilienssiin.

On lähes varmaa, että jokaiseen yritykseen kohdistuu enemmin tai myöhemmin jonkinlainen tietoturvapoikkeama. Osa niistä voi olla tuhoisampia kuin toiset, mutta torjuvasta ajattelusta on siirrytty painottamaan organisaation kykyä toipua tapahtuneesta. Tätä kutsutaan resilienssiksi. Selviytymiskykyä edistää esimerkiksi säännöllinen harjoittelu. Silloin kaikki organisaation osat osaavat paremmin toimintaan todellisen tilanteen tapahtuessa.