Hoksautatko ihmisiäsi?

Tietoturva on tärkeä osa nykyaikaista tietotekniikkaa, ja sen merkitys kasvaa jatkuvasti. Kun yhä useampi asia hoidetaan verkossa ja yhä enemmän tietoja tallennetaan sähköisessä muodossa, on tärkeää varmistaa, että tietoturvatoimenpiteet ovat kunnossa. Tämä on haaste, sillä monet loppukäyttäjät eivät ymmärrä tietoturvan merkitystä eivätkä tiedä, miten parantaa omaa tietoturvaa. Tässä blogikirjoituksessa tarkastelen, miten tietotekniikan loppukäyttäjiä voitaisiin hoksauttaa paremmin tietoturvan parantamiseen. 

On syytä huomata, että käyttäjien hoksauttaminen on prosessi, joka käyttää psykologiaa ja vuorovaikutteisia menetelmiä opettaakseen käyttäjille tietoturvan perusasioita. Menetelmä perustuu siihen, että käyttäjät eivät opi vain kuuntelemalla tai lukemalla, vaan he oppivat paremmin, kun heillä on henkilökohtaisia kokemuksia ja tunteita liittyen tietoturvaan. Perusasiat tulee kuitenkin laittaa kuntoon ennen kuin päästään varsinaiseen hoksauttamiseen. 

Tietoturvan merkityksen selittäminen ymmärrettävästi

Tietoturvasta puhutaan paljon, mutta monille sen merkitys ei ole selvä. Yksi tapa hoksauttaa tietoturvan tärkeyteen on selittää, mitä tietoturva tarkoittaa käytännössä ja mitä seurauksia voi olla, jos tietoturva pettää. Esimerkiksi voidaan selittää, että heikko salasana tai tietoturva-aukko voi johtaa henkilökohtaisten tietojen varkauksiin, identiteettivarkauksiin tai jopa lunnasohjelmahyökkäykseen. Pahimmillaan, kuten uutiset maailmalta osoittavat, seurauksena on yrityksen kaatuminen ja sitä kautta työpaikan menetys. Käyttäjien on ymmärrettävä, että tietoturva on heidän oman edun mukaista.

Oikeanlaisen salasanan käytön korostaminen

Yksi yleinen tietoturvan pettämisen syy on heikko salasana. Monet käyttäjät käyttävät yksinkertaisia ja helppoja salasanoja, joita on helppo arvata. Tämä tekee tietoturvasta haavoittuvaisen. Tämän vuoksi on tärkeää korostaa oikeanlaisten salasanojen käyttöä. Hyvän salasanan tulee olla ainakin kymmenen merkkiä pitkä ja sisältää erilaisia merkkejä, kuten isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä. Tämän lisäksi käyttäjien tulee vaihtaa salasanansa säännöllisesti. 

Salasanojen hyvyyteen voidaan vaikuttaa myös tietohallinnon puolelta. Tärkein keinoista on pyrkiä mahdollisimman laajaan kertakirjautumiseen, jolloin käyttäjien ei tarvitse muistella käyttäjätunnusta/salasanaa erikseen eri järjestelmiin ja muistikapasiteetin lisääntyessä voivat hyödyntää sen vaikeamman salasanan opetteluun. Toinen on hyödyntää salasanojen hallintajärjestelmiä ja sitä kautta varmistaa, ettei salasanan vaikeus ole muistista kiinni. Hyvään tapaan kuuluu myös järjestelmien liittäminen monitasoiseen todennukseen. 

Tietoturvan käytäntöjen helppokäyttöisyyden korostaminen

Perinteisesti on sanottu, että tietoturva lyö käytettävyyttä korville. Ja toisinpäin. Näinhän ei välttämättä tarvitsisi olla ja modernit käyttäjätunnistusmenetelmät, kuten kasvon- tai sormenjälkitunnistus ovatkin yleistymässä erilaisessa käytössä. Harvemmin tämän tyyppisiä mekanismeja on kuitenkaan integroitu esimerkiksi organisaation käyttämiin omiin sovelluksiin ja sen vuoksi käyttävät joutuvat vaeltamaan käyttäjätunnus- ja salasanaviidakossa. Toinen usein kuulemani esimerkki on VPN-yhteydet erilaisiin käyttötarkoituksiin. Hyvällä suunnittelulla ja esimerkiksi käyttäjäidentiteetin hyödyntäminen nollaluottamuksen ajattelumallilla, voidaan käyttäjä ohjata automaattisesti oikeisiin segmentteihin ja sitä kautta helpottaa yhteyksien ottamisen tuskaa. 

Hoksauttaminen osaksi arkea

Paras tapa hoksauttaa ihmisiä on antaa heidän tehdä virheitä. Edelleen yksi suurimmista hyökkäysvektoreista on sähköposti ja huolimatta moderneista postisuodattimista kaikenlaisia kalastelu- ja muita sähköpostiviestejä tunkee koko ajan postilaatikkoon. Kun haitallinen viesti kolahtaa vaikkapa tuhannelle ihmisille on vääjäämätöntä, että joku heistä sitä klikkaa. Varsinkaan, jos käyttäjiä ei ole hoksautettu riittävästi. 

Sähköpostin osalta hyvä hoksautuskeino on hyödyntää harjoitusmielessä lähetettäviä viestejä. Yksi tällaisista toimijoista on Reformon edustuksessa oleva Hoxhunt, joka on erikoistunut loppukäyttäjien ymmärryksen kasvattamiseen haitallisten sähköpostien tunnistamiseksi ja raportoimiseksi. Outlook- tai Gmail-pohjaisessa toiminnassa on mahdollisuus myös raportoida käyttäjien havaitsemia oikeita haittaviestejä. Näistä tulleet ilmoitukset voidaan integroida vaikkapa Service Now -tikettijärjestelmään ja sitä kautta saadaan myös paremmin näkyväksi organisaation sähköpostin tilanne hyökkäysten suhteen. Hoxhunt on vahvasti pelillistetty, jolloin käyttäjät saavat oikeista toimenpiteistä pisteitä ja järjestelmä pitää yllä tuloslistaa. 

Käyttäjien tietoturvaosaamista pitää kehittää koko ajan

Hoksauttaminen on hieno keino olkoonkin että ihan kaikkiin uhkakuviin se ei sovellu käytettäväksi. Myös muita osaamista kehittäviä toimenpiteitä on syytä käyttää säännöllisesti. Tässä toimii myös perinteinen "Ei keppiä vaan porkkanaa" -malli. Mikä estäisi esimerkiksi palkitsemasta kuukauden tietoturvatekoa tai tietoturvahoksaamista? Tai sopivan henkilön nimittämistä loppukäyttäjien tietoturvalähettilääksi, jonka tehtävänä on käyttää päivä viikossa käyttäjien henkilökohtaiseen opastamiseen ja jutusteluun tavoitteena nostaa tietoisuutta tietoturvasta ja hyvistä käytänteistä? 

Mikäli organisaatiosi kaipaa apuja käyttäjien hoksauttamiseen, ota reilusti yhteyttä Reformo Networksiin. Autamme teitä keksimään parhaat keinot käyttäjälähtöisen tietoturvan kehittämiseen. 

Kirjoittaja on Reformo Networksin teknologiajohtaja