Inhimillinen virhe

Ihmisten tekemät virheet ovat usein ennustettavia ja ne mahdollistaa joukko tiedostamattomia tai muusta syystä korjaamattomia ongelmia organisaatiossa ja työolosuhteissa. Piilossa olevat ongelmat mahdollistavat käyttäjien tekemät aktiiviset virheet. Esimerkiksi kun työntekijä erehdyksessä klikkaa haittaohjelmalinkkiä, useat virheet (esim. organisaation tietoturvassa, työntekijöiden koulutuksessa, liian kiireisissä tehtävissä jne.) ovat edeltäneet sitä. Käyttäjän tehdessä virheen organisaatiossa tulisikin tutkia, mikä kaikki sen mahdollisti. Näin saadaan turvallisuutta tehokkaammin parannettua kuin esim. käyttäjiä syyllistämällä.

Yleensä organisaatioissa kaikki tietojärjestelmät eivät ole alusta asti turvallisiksi ja käytettäviksi suunniteltuja. Usein joudutaan käyttämään järjestelmää, joka koostuu useista muista järjestelmistä (system-of-systems, SoS). Pahimmillaan järjestelmät eivät sovi kovin hyvin yhteen ja osa voi olla hyvinkin vanhoja. Tällöin on olemassa suuri riski erilaisille piiloon jääville ongelmille, jotka voivat aiheuttaa käyttäjävirheitä ja tietoturvariskejä.

Käyttäjät pyrkivät olemaan mahdollisimman tehokkaita töitä tehdessään. Tämä johtaa siihen, että asioita tehdään samojen rutiinien mukaan ja saman oloisissa tilanteissa helposti toimitaan kuten aiemminkin. Hyökkääjä voi hyödyntää tätä esimerkiksi matkimalla tunnettuja verkkosivuja ja ujuttamalla haitallisia linkkejä oikean näköisiin tietoturvavaroituksiin. Kiireinen työntekijä ei välttämättä erota viestiä aidosta, koska hän on keskittynyt varsinaisen työtehtävänsä tekemiseen.

Tekijöitä, jotka altistavat käyttäjän virheille:

• väsymys, kokemattomuus, riskejä ottava asenne
• muistamiseen liittyvät rajoitteet, mutta myös yleiset tavat ja oletukset tilanteesta
• tehtävään liittyvät tekijät kuten ajalliset paineet, tehtävän korkea kuormittavuus, useat samanaikaiset tehtävät, mutta myös tehtävän yksitoikkoisuus ja tylsistyminen
• käyttäjän epävarmuus roolistaan, vastuistaan ja säännöistä
• jatkuvat keskeytykset, huonot välineet ja heikot ohjeet
• virhealttius kasvaa erityisesti myös silloin, kun käytännöt ja säännöt muuttuvat

Listan neljä viimeistä kohtaa ovat organisaatioon ja työolosuhteisiin liittyviä tekijöitä. Kun virheitä tai ‘läheltä piti’ -tilanteita sattuu, organisaatio saa tilaisuuden tunnistaa mahdollisia virhelähteitä ja voi yrittää parantaa olosuhteita. Organisaatiossa prosessien tulisi olla sellaiset, että poikkeama tai ‘läheltä piti’ -tilanne tulee asianomaisen vastuuhenkilön tietoon. On tärkeää, että organisaatiossa tieto välittyy oikealle taholle. Tämä tarjoaa tiedusteluedun ja auttaa organisaatiota parantamaan turvallisuustoimia.

Vastaa kysymyksiin.

Kysymys 1

Miten organisaation tulisi suhtautua työntekijöiden virheisiin, jos tavoitteena on parantaa turvallisuutta tehokkaasti?

Selvittämällä syylliset ja toteuttamalla seuraamukset.

Lähettämällä sähköpostiviesti työntekijöille, jossa huomautetaan, että tällaista ei pääsisi tapahtumaan, jos vain oltaisiin tarpeeksi varovaisia ja sääntöjä noudatettaisiin.

Jättämällä virheet huomiotta.

Järjestämällä työntekijöille kriisiapua.

Tutkimalla, mikä virheen mahdollisti.

Parantamalla virheiden ennustamista.

Määrittelemällä tiukat rangaistukset ja tiedottamalla ne työntekijöille.

Kysymys 2

Järjestelmistä koostuva järjestelmä (system-of-systems) on riski, koska…

…käyttäjät eivät osaa käyttää sitä.

…se ei ole lähtökohtaisesti suunniteltu turvalliseksi.

…siihen liittyy yhteensopivuusongelmia.

…siinä on aina selvästi havaittavia tietoturvaongelmia.

…osa sen ongelmista jää helposti piiloon.

…se muistuttaa erehdyttävästi jotakin modernia järjestelmää, jolloin käyttäjille syntyy väärä oletus turvallisuudesta.

Kysymys 3

Valitse oikeat väitteet.

Kokemattomat työntekijät tekevät enemmän virheitä.

Käyttäjän pyrkimys tehokkuuteen on turvallisuusongelma.

Työtehtävään keskittyminen voi vaikeuttaa huijausviestien havaitsemista.

Organisaation tulisi huolehtia, että työntekijt ovat selvillä rooleistaan ja vastuistaan.

Työtehtävien yksitoikkoisuus voi olla turvariski.

Sääntöjen ja käytäntöjen muuttaminen turvallisemmiksi ei altista virheille.

“Läheltä piti” -tilanteet kertovat huonosta työkulttuurista ja työntekijöistä.

Rutiineista on sekä hyötyä, että haittaa.

Palautusta lähetetään...