Käyttäjä on tietoturvan heikoin lenkki – miten voimme vahvistaa sitä?

Käyttäjä on tietoturvan heikoin lenkki. Tämä on varmaan yksi tietoturvan eniten toistetuista lauseista, eikä syyttä. Käyttäjän merkitys tietoturvan kannalta on ymmärretty jo kymmeniä vuosia. Ja hyökkääjät ovat tajunneet, että ihmisten vastustuskyky ei ole kehittynyt yhtä nopeasti kuin koneiden. Satsaukset tietoturvatietämykseen ovat siis perusteltuja, mutta miten voimme maksimoida hyödyn?

Monen vastaus tähän on se perinteinen: koulutusta, koulutusta ja lisää koulutusta. Pakollinen tietoisku työsuhteen alussa, toistuvat luennot ja ehkä tentti silloin tällöin. Simuloidut kalastukset ovat myös tehokas työkalu, ja auditoija on tyytyväinen, jos tästä kaikesta löytyy näyttöä.
Nämä ovat kaikki tärkeitä, mutta ovatko nämä keinot todella tehokkaita? Tenteistä ja kalastussimulaatiosta jää mitattavia tuloksia, mutta kuvaavatko ne henkilöstön todellista tietoturvatasoa? Muuttuvatko satsaukset todella riskien vähenemiseksi? Pelkän näytön tuottaminen auditoijalle ei välttämättä paranna tietoturvaa, tarvitaan siis muutakin varmistamaan satsauksen vaikuttavuutta.

Tietoturvakoulutus ei ole tehokas, jos se on pelkkää uhkakuvien maalaamista ja ulkoa muistettavien sääntöjen opettelemista. Avainsana ei pitäisi olla muistaminen, vaan ymmärtäminen. Avaa yleisölle keitä hakkerit ovat ja mitä he tavoittelevat. Kerro miten hyökkäysketju etenee ja missä roolissa käyttäjä on. Kerro miksi hakkeri käyttää juuri tietynlaisia kikkoja huijausviestissä. Kerro toki myös mitä voi tapahtua, jos kaikki puolustuslinjat pettävät.
Tämä lähestymistapa rakentaa vankan pohjan, joka perustelee sääntöjen olemassaoloa. Käyttäjä on motivoitunut noudattamaan niitä, jos hän ymmärtää miksi säännöt ovat olemassa. Ja tästä voi oikein tehtynä saada jännän ja viihdyttävän tarinan!

Ylin johto on viime kädessä vastuussa kaikesta yrityksessä, myös tietoturvasta. Aktiivinen CEO ja johtoryhmä seuraavat tietoturvan tilaa ja kehitystä jatkuvasti, mikä on vaatimus esimerkiksi ISO 27001-standardissa. Mutta he voivat tehdä vielä enemmän, varsinkin tietoturvatietoisuuden saralla.
Kannattaa pitää tietoturva työntekijöiden mielessä sisäisen uutisvirran avulla. Viestin merkitys riippuu siitä, kuka sen sanoo, miten se sanotaan ja mitä sanotaan – juuri tässä järjestyksessä. Teho on siis parempi mitä korkeammalta viesti tulee. Toimitusjohtaja voi välillä välittää tietoturvauutiset CISO:n tai tietoturvapäällikön sijasta. Mutta hän tarvitsee apua, tietoturvaorganisaation tehtäväksi jää ideoiden ja raakatekstin syöttäminen hänelle.
Pidä viesti positiivisena! Ilmiselvä viestinnän paikka on tietenkin varoitus hyökkäyskampanjasta, mutta löytyy muitakin aiheita. Hyvä auditointitulos, uusi turvaominaisuus, parantunut tulos kalastelutestissä, torjuttu hyökkäys, kiitoksia aktiivisuudesta raportoida poikkeamia, 100 päivää ilman onnistuneita kalastushyökkäyksiä, jne. Positiivisessa tietoturvaviestinnässä kannattaa olla luova ja osallistava!

Pelottelu uhkakuvilla, säännöillä ja sanktioilla nostaa kynnystä raportoida tietoturvatapahtumista, varsinkin jos niihin liittyy oma moka. Tällainen kulttuuri on hakkerin paras ystävä. Vaikkapa kalastussivulle syötetyn tunnuksen salaaminen pelaa ainoastaan hakkerin pussiin.
Kannattaa siis luoda ilmapiiri, jossa käyttäjät uskaltavat raportoida omiakin mokia. Kannattaa painottaa, että poikkeamien raportointi välittömästi on vastuullinen tapa toimia ja, että on inhimillistä mokata silloin tällöin.
Johtaminen hyvällä esimerkillä on tässäkin toimiva keino. Se vaatii vähän kanttia, mutta omasta tietoturvamokasta kertominen on tehokas keino viedä kulttuuri oikeaan suuntaan.

Luo edellytykset toimia oikein ja turvallisesti. Koulutus ja säännöt ovat turhia, jos on liian vaikeata toimia oikein. Aseta itsesi loppukäyttäjän asemaan ja mieti haluaisitko itse tehdä työtä yrityksen sääntökehyksessä? Tai vielä parempi, haastattele ei-teknisiä käyttäjiä ja selvitä ymmärtävätkö he ohjeita ja onko käytännöllistä toimia sääntöjen mukaisesti?
Sääntöjen kehityksessä pitäisi siis koko ajan ajatella itsekriittisesti. Onko tämän säännön noudattaminen käytännöllistä organisaation kaikissa osissa? Tukeeko meidän järjestelmämme tätä pakollista toimintatapaa tarpeeksi hyvin? Onko tälle kielletylle toimintatavalle olemassa käytännöllisiä vaihtoehtoja?
Ellei ole, pitää joko muuttaa sääntöä tai kehittää työkaluja.
Näiden ajatusten avulla voidaan varmistaa, että panostukset tietoturvatietoisuuteen eivät jää pelkäksi auditointinäytteeksi, vaan tuottavat todellisen riskitason alenemisen.

Mikael Albrecht,

CISO, Senior Security Consultant, 2NS