Tietoturvaa oppimassa – kantapään kautta vai ennakoiden harjoitellen?

Tietoturva on yhä tärkeämpi osa niin yksityisten ihmisten kuin yritysten ja organisaatioidenkin elämää. Tietoturvallisia toimintatapoja ja uhkien minimoimista voi opetella monin eri tavoin. On kuitenkin tärkeää miettiä, mitä kannattaa opetella ja miten näitä asioita oppii parhaiten.

Kyberturva

Omista virheistä oppiminen on vähintä mitä voi tehdä. Kun tietoturvauhka realisoituu, on savun hälvettyä tärkeää analysoida tilanne. Tästä analyysistä voi sitten vetää johtopäätöksiä ja parantaa omaa varautumistaan tulevaisuudessa. Tällaiset oppimiskokemukset ovat harmillisen usein yritykselle kalliita (tekniset korjaukset, sakot, korvausvaatimukset, oikeudenkäynnit) ja kiusallisia (maine). Tuleva EU:n yleinen tietosuoja-asetus voi nostaa näiden oppituntien hintaa vielä lisää.

Toisten virheistä oppiminen tulee usein halvemmaksi ja on myös vähemmän stressaavaa. Onkin tärkeää seurata oman alan tietoturvaan liittyvää uutisointia ja kerätä mielenkiintoisista ja omaan toimintaan kaikkein parhaiten sopivista tapauksista lisätietoa. Niitä kannattaa käydä myös läpi omassa organisaatiossa laajemmin sellaisten henkilöiden ja tahojen kanssa, jotka voisivat tapauksesta jotain oppia.

Organisaatioiden toiminta tulee yleensä perustua järkiperäiseen riskianalyysiin ja siinä löydettyihin tärkeimpiin tai suurimpiin riskeihin sovellettaviin toimiin, joista tietoturvaan liittyvät uhat ovat vain osa kokonaisuutta. Tarvittavat toimet voivat sisältää teknisiä, taloudellisia ja organisaation prosesseihin liittyviä toimenpiteitä. Suurenkin organisaation tietoturva voi riippua yksittäisen käyttäjän osaamisesta ja toiminnasta. Tietoturvan perustaidot kuuluvat kaikille ja ovat osa, jos ei vielä tämän päivän, niin ainakin tulevaisuuden yleissivistystä. Hyvän perustan päälle organisaation on mahdollista rakentaa omia tietoturvaohjeistuksiaan ja käytäntöjään.

Koulutus on hyväksi, mutta se ei saa olla ainoa tapa yrittää vastata tietoturvauhkiin. Toimivassa tietoturvajärjestelmässä tekniset työkalut tukevat käyttäjiä, auttavat heitä toimimaan oikein ja pystyvät rajaamaan vahinkoja käyttäjien tehdessä virheitä. Kaikesta koulutuksesta huolimatta virheitä sattuu, se on vain inhimillistä. Tämä on hyvä tiedostaa organisaation joka tasolla. Monet yritykset pitävät kyberuhkia vakavana ongelmana itselleen, mutta niistä harvat ovat kouluttaneet henkilöstöään riittävästi tai harjoitelleet toimintaa erilaisissa kuvitteellisissa kyberhyökkäyksissä.

Tämä on selkeästi ongelmallista, sillä harjoittelu on tärkeä osa oppimista. Ilman koulutusta ja harjoittelua työntekijöiden voi olla hankala ymmärtää miksi he olisivat kyberuhkien kohteena, millaisia hyökkäyksiä heidän tekemiensä virheiden kautta yrityksiä vastaan on mahdollista tehdä ja millaisia seuraamuksia niistä voi olla yritykselle. Mahdollisimman realistinen harjoittelu on yksi parhaita tapoja oppia itselle ja omalle organisaatiolle merkityksellisiä toimintamalleja sekä löytää mahdolliset heikot kohdat ennen kuin vahinko osuu omalle kohdalle. Organisaatioiden jokaisella tasolla toimivien henkilöiden olisi harjoiteltava kyberuhkia vastaan.

Eri tasoilla työskenteleville koulutusten ja harjoitusten sisältö on tietenkin erilaista ja niitä onkin tarjolla laidasta laitaan. Kurssit ja harjoitukset voivat keskittyä vain yhteen tiettyyn asiaan, esimerkiksi miten rajoittaa hyökkäyksissä hyödynnettävän tiedon määrää julkisissa palveluissa tai miten huomata sosiaalinen manipulointi. Niillä voidaan myös opettaa järjestelmien teknisten monitorointityökalujen käyttöä tai miten tehdä digitaalista rikostutkintaa. Koulutus voi olla luentotyyppistä tai kädestä pitäen näppäimistön edessä harjoittelua. Harjoituksissa ei aina opeteta pelkästään yhden organisaation omaa henkilöstöä, vaan niissä voidaan harjoitella tiedottamista niin organisaatioiden sisällä kuin niistä ulospäin sekä yhteistyötä eri organisaatioiden välillä. Tähän voi kuulua kommunikointi niin tietoturvayritysten, asiakkaiden, yhteistyökumppaneiden kuin Viestintäviraston Kyberturvallisuuskeskuksenkin kanssa. Suurimmissa harjoituksissa mukana voi olla useita eri maita ja niissä toimivia organisaatioita.

Mikään koulutus tai harjoittelu ei tietenkään takaa 100% toimivaa suojaa erilaisia hyökkäyksiä vastaan. Eikä mikään teknologia pysty torjumaan kaikkia kyberuhkia. Kuitenkin perustaidoiltaan hyvä henkilöstö tarjoaa paremman suojan monia hyökkäyksiä vastaan ja kriisitilanteita harjoitellut väki pystyy hoitamaan mahdollisen vakavamman tietomurron seuraukset paremmin kuin valmistautumaton organisaatio. On tärkeää pitää oman organisaation osaaminen ja valmistautuminen riittävällä tasolla muuttuvassa uhkaympäristössä. Opit kannattaa myös hakea etukäteen harjoittelemalla ja varautumalla eikä kantapään kautta suuremman kriisin jälkeen.

Lataa ja tutustu ilmaiseen kyberturvaraporttiimme, josta selviää miten yrityksen tietoturvatasoa voidaan parantaa ja kyberuhilta suojaudutaan.

Kimmo Halunen VTT

Kimmo Halunen
erikoistutkija
Twitter: @khalunen

Teemu Väisänen VTT

Teemu Väisänen
tutkija

Leave a Reply