Kyberhygienia ja inhimilliset tekijät huomioitava suomalaisissa yrityksissä
29.05.2023Suomen taloutta pyörittävä voima on pienet ja keskisuuret yritykset, joissa työskentelee alle 250 henkilöä. Nämä pk-yritykset työllistävät 99,9 % työvoimasta.
Kyberpuolustuksen ja kansallista turvallisuutta vaarantavien kyberuhkien torjuntaan on kiinnitettävä nykyistä enemmän huomiota myös pk-yrityksissä. Yhteiskuntamme kriittiseen infrastruktuuriin kohdistuu tällä hetkellä turvallisuuden uhkia ja riskejä kyberrikollisuudesta, vakoilusta, eri valtioiden tiedustelupalvelusta ja hybridivaikuttamisesta sekä henkilöstön inhimillisistä virheistä.
Kriittisten yritysten, tuotantolaitosten, satamien ja merenkulun tulee hyödyntää enenevässä laajuudessa kyberhygieniaa ja inhimillisiä tekijöitä turvallisuuden lisäämisessä.
Kyberturvallisuus on kokonaisturvallisuutta
Kyberturvallisuus on osa jokaisen organisaation ja yksilön sosiaalista vastuuta. Euroopan Unionin uusi NIS2-kyberturvallisuusdirektiivi tulee vaikuttamaan useiden suomalaisten, kriittisen infrastruktuurin ja tärkeitä yhteiskunnallisia toimintoja tekevien yritysten toimintojen suojaamiseen jo lokakuussa 2024.
Kriittiseksi infrastruktuuriksi luokitellaan energia-, liikenne-, pankki- ja rahoitusmarkkinat, terveydenhuolto, juomavesi- ja jätehuolto, digitaaliset ICT-palvelut ja julkishallinon lisäksi jopa avaruussektori. Kriittisiksi aloiksi luetaan myös posti- ja kuriiripalvelut, jätehuolto, kemikaali-, elintarvike- ja valmistusteollisuus.
Kriittinen tarkoittaa, että vahinkoa voi aiheutua omaisuudelle tai ihmishenkiä voidaan menettää toiminnan häiriintymisen myötä. EU:n NIS2-direktiivillä suojellaan ja turvataan henkilöstöä, organisaatioita ja kriittistä infrastruktuuria kyberhyökkäyksiä vastaan. Direktiivin mukaan kyberhyökkäyksiä vastaan tulee valmistautua, harjoitella ja noudattaa kyberhygieniaa koko organisaation voimin.
Kyberhygienia on yrityksen tietoturvan suojaamisen perusedellytys
Euroopan Unionin kyberturvallisuusviraston ENISA:n kanta on selvä: kyberhygienia on ratkaiseva tekijä yritysten tietojen suojaamisessa. Kyberhygieniaan tulee suhtautua kuin henkilökohtaiseen hygieniaan, jolloin se näkyy yksilön yksinkertaisina päivittäisinä rutiineina ja hyvänä tietoturvakäyttäytymisenä, sekä yritysten omina tarkastuksina, joilla varmistetaan kyberturvallisuus.
Kyberhygienia on käyttäjän parhaita toimintoja (Best Practices) henkilökohtaisen turvallisuuden varmistamiseksi verkkomaailmassa, yrityksen ohjelmistojen ja laitteistojen päivittämistä sekä tietoverkkojen suojauksen parantamista. Kyberhygienia on yhdistelmä yksilön ja yrityksen kyberturvallisuutta järjestelmien ja tietojen suojaamiseksi.
Inhimillinen tekijä huomioitava turvallisuuden luomisessa
Monet sekoittavat inhimillisen tekijän ja inhimillisen virheen toisiinsa. Inhimillisillä tekijöillä tarkoitetaan ihmisen yksilöllisiä ominaisuuksia (asenteet, henkinen vahvuus, taidot ja päätöksentekokyky) ja työhön, organisaatioon, sekä ympäristöön liittyviä turvallisuuteen, terveyteen, hyvinvointiin, käytettävyyteen että suorituskykyyn vaikuttavia tekijöitä. Inhimillinen virhe on puolestaan ihmisen aiheuttama onnettomuus.
Inhimillinen tekijä kuvastaa siis ihmisen ja koneen välistä toimintaa. Työntekijöitä pyydetään tekemään työtehtäviä ryhmässä yksilön osaamisen mukaisesti. Ihmisen persoonallisuuteen voi harvoin vaikuttaa, mutta toimintaa ja taitoja voidaan parantaa.
Organisaation työtapoja ja -menetelmiä, kulttuuria, resursseja, viestintää, johtajuutta (leadership) ja asioiden johtamista (management) tulee kehittää, sillä niillä on suuri vaikutus yksilön ja ryhmän edellytyksiin menestyä työssään. Inhimilliset tekijät tulee sisällyttää yrityksen hyvään turvallisuusjohtamis- ja riskienhallintajärjestelmään.
Inhimillisiin tekijöihin vaikuttavat ihmisen käyttäytymiseen vaaratilanteissa kokemus, koulutus, kulttuuri, osaaminen, stressi, terveys, tilannetietoisuus, työolot, viestintä ja väsymys (fatigue). Väsymys (fatigue) johtaa virheisiin ja onnettomuuksiin ollen usein suuronnettomuuksien juurisyy.
Inhimilliset tekijät kyberturvallisuudessa
Kyberhyökkäyksistä, tietomurroista ja kiristyshaittaohjelmista yli 80 % johtuu inhimillisistä tekijöistä. IBM raportoi vuonna 2015 inhimillisen tekijän aiheuttavan 95 % kaikista kyberturvallisuustapauksista. Syitä olivat harkitsemattomat työtavat, tietämättömyys, suojaamattomat verkkoyhteydet, riittämätön viestintä arkaluontoisten tietojen käsittelystä, haittaohjelmistot ja kehno ohjelmistopäivitysten hallinta.
Osa työntekijöistä siirtää kyberturvallisuuden vastuun tietokonejärjestelmille, ylläpitäjille ja yrityksen johdolle. Nykyiset kyberturvallisuuskoulutukset eivät pysty muokkaamaan loppukäyttäjän käyttäytymistä, joten organisaatioiden koulutusilmapiiri tulee muuttaa aktiiviseksi oppimiseksi, joka muuttaa samalla turvallisuuskulttuuria.
Kyberturvallisuuden kulmakivet ovat ihmiset, prosessit ja teknologiat.
Inhimilliset tekijät aiheuttavat yrityksissä kasvavaa huolta tietoturvasta, sillä inhimilliset virheet aiheuttavat eniten tietomurtoja, kiristysohjelma- ja kyberhyökkäyksiä. Yritykset ja organisaatiot investoivat teknologiaan vähentääkseen inhimillisiä virheitä kyberturvallisuudessa. Samalla ne jättävät huomioimatta inhimillisen virheen taustalla olevat käyttäytymis- ja kognitiiviset ongelmat. Kognitio tarkoittaa lyhyesti ihmismielen tiedon käsittelemistaitoja ja -toimintoja suoritustilanteissa (ajattelua, havaitsemista ja muistamista).
Kyberturvallisuuden kulmakivet ovat ihmiset, prosessit ja teknologiat. Uuden teknologian hankinnat eivät ole vähentäneet ihmisten aiheuttamia virheitä kyberturvallisuuden osalta. Työntekijöiden riskialtista toimintaa ovat aikapaineet, työtaakka ja organisaatioissa käytettävät ”nopeammat työskentelytavat”. Tällöin kyberrikolliset pääsevät käyttämään työtekijöiden suorituskykyä heikentävää stressiä, uupumusta ja väsymystä, sekä tilannetietoisuuden puutetta (situational awareness) hyväkseen hyökkäyksissään.
Inhimillisiä virheitä aiheuttavat työntekijän apatia, huolimattomuus, kokemattomuus, turvallisuustietoisuuden puute ja jopa vastustus parempaan työskentelykulttuuriin. Nämä johtavat usein tietoturvakatastrofeihin, kuten tietomurtoihin, kiristyshaittaohjelmiin ja kyberhyökkäyksiin.
Kyberrikollisten hyökkäystavat yritysten tietoverkkoihin
Yrityksiin kohdistuvat kyberhyökkääjät ovat valtioiden tukemia kyberhyökkääjiä, kyberrikollisia, palkattuja epäeettisiä hakkereita tai ”haktivisteja”. Haktivisti-termi muodostuu sanoista hakkeri ja aktivisti, joka viittaa kansalaisaktivismin poliittista tai sosiaalista agendaa ja yhteiskunnallista kansalaistottelemattomuutta jonkin yrityksen tietoverkkoa kohtaan.
Tärkeimmät hyökkäystavat ovat tietojenkalastelu haittaohjelmilla, palvelunestohyökkäykset (DDoS) ja kiristyshaittaohjelmat sekä ”nollapäivähyökkäys”, mikä johtuu ohjelmistojen haavoittuvuudesta ennen kuin valmistaja ehtii korjaamaan ohjelmointivirhettään. Huijauspuhelut ja huijaustekstiviestit ovat varsin yleisiä tänä päivänä. Myös tietoverkkojen välistä viestiliikennettä ja yrityksen dokumentteja voidaan seurata ja salakuunnella.
Käyttäjien manipulointi ja seuraaminen, vaikuttaminen ja hämääminen on kasvava ongelma turvallisuudessa. Hyökkääjän tavoite on tällöin huijata käyttäjää paljastamaan arkaluonteista tietoa, käyttäjätunnuksia, tai varastaa rahaa tai arvokasta omaisuutta.
Ransomware-, eli kiristyshaittaohjelmat ovat tällä hetkellä viheliäisimpiä tapoja yrityksiä kohtaan hyökätä salaamalla yrityksen tiedostot ja lukitsemalla laitteet. Yleensä hyökkääjät pyytävät lunnaita Bitcoin-kryptovaluuttanaavat avatakseen tiedot yritykselle. Digitaaliset toimitusketjuhyökkäykset tapahtuvat puolestaan luotettavilta tahoilta kuten yrityksen yhteistyökumppaneilta tulevien hyökkäysten muodossa. Tällöin luotettuun ohjelmistoon tai tiedostoon on lisätty haittakoodi, joka tarjoaa pääsyn yrityksen tietoverkkoon.
Kyberhyökkäyksen motiivina ovat useimmiten taloudellinen hyöty, hyökkäyksen saava julkisuus jotain aatetta kohtaa, yritysvakoilu tai jopa kybersota valtioiden välisissä kahnauksissa.
Koulutusta, oppimista ja harjoittelua!
Kyberturvallisuusongelmat johtuvat inhimillisistä tekijöistä ja käyttäjän persoonallisuudesta sekä asenteesta, jotka vaikuttavat turvallisuuteen (security) ja työturvallisuuteen (safety). Tietoturvan ammattilaiset luottavat liikaa teknologiaan vähentääkseen inhimillisiä virheitä kyberturvallisuustapahtumissa.
Turvallisuuskoulutuksen kehittämiseen ja muuttamiseen yritykset tarvitsevat koulutusta, oppimista ja harjoittelua.
Kyberturvallisuushäiriöiden riskin vähentämiseksi yritysten tulee ottaa käyttöön turvallisuuskulttuurin muutos aktiivisella oppimisella ja parhailla käytännöillä. On myös huomioitava työntekijän riittävä lepo sekä oikeat työtavat ja -menetelmät väsymyksen ja stressin vähentämiseksi.
Hyvä tilannetietoisuus ja riskinhallintajärjestelmä sekä valmistelu-, suojaus, reagointi- että palautussuunnitelma kyberhyökkäyksiä varten on huomioitava yrityksissä. Kokonaisturvallisuuden parantaminen vaatii jatkuvaa koulutusta organisaation kaikilla tasoilla. Viestintä on erittäin tärkeää sekä sisäisessä että ulkoisessa tiedottamisessa. Yritysten tulee parantaa omaa johtajuuttaan, viestintää ja resursseja turvallisuuden sekä riskien hallinnassa.
Artikkeli perustuu kirjoittajan kyberturvallisuuden YAMK-opinnäytetyöhön (2023), joka löytyy Theseus-julkaisujärjestelmästä. Opinnäytetyö on kirjoitettu Human Factor in Ship ECR Safety Management– ja Satamalogistiikan kyberhygienia -hankkeille. Kirjoittaja kiittää samalla myös Merenkulun säätiötä apurahasta.
Lähde
Tuomala, V. 2023. Human Factor, Cyber Hygiene, Cyber-Physical Systems, and Industrial Control Systems in the Context of Cybersecurity. Saatavilla: https://urn.fi/URN:NBN:fi:amk-2023052313040
