- COMP.SEC.100
- 5. Inhimilliset tekijät
- 5.1 Ihmisten turvallisuuskäyttäytymisen ymmärtäminen
Ihmisten turvallisuuskäyttäytymisen ymmärtäminen¶
Kun tietoturva pettää, käyttäjän virhe on usein vaikuttamassa tapahtumiin. Parhaatkaan tietoturvamekanismit eivät suojaa, jos mekanismeja käytetään väärin tai ne jätetään kokonaan käyttämättä. Käyttäjän näkökulmasta tietoturva on kuitenkin usein varsinaista tekemistä haittaavaa. Tietoturva saattaa hidastaa, keskeyttää, tai varoittaa ja pakottaa reagoimaan kesken käyttäjän varsinaisen tehtävän. Tämä voi ärsyttää ja turhauttaa, erityisesti, jos käyttäjä ei esim. ymmärrä saamaansa varoitusta. Toisaalta hyvä käytettävyys parantaa myös tietoturvaa, kun käyttäjien virheet vähenevät.
Ihmisten turvallisuuskäyttäytymisessä on usein ongelmia turvallisuuden näkökulmasta. Esimerkiksi käyttäjät ovat usein huolettomia ja tietämättömiä eivätkä he välttämättä kouluttamatta tiedosta datan ja järjestelmien arvoa organisaatiolle. Tämän lisäksi ihmiset eivät yleensä tiedosta olevansa myös vaarassa, vaan asioihin suhtaudutaan usein “ikävät asiat sattuvat muille” –asenteella. Lisäksi helposti kuvitellaan, että esimerkiksi pelkkä asioista perillä olo suojaa hyökkäyksiltä. Näin ei kuitenkaan automaattisesti ole, vaan esimerkiksi taitavasti kohdistettuun hyökkäykseen voi langeta koulutettu asiantuntijakin. Usein käyttäjiltä jää myös huomaamatta, että juuri heidän oma käytöksensä aiheuttaa tietoturvariskejä, ja tässäkin helposti mennään “en minä, mutta ne muut” -asenteella. Näin ajatteleva henkilö ei helposti muuta käytöstään, koska ei usko siinä olevan mitään korjattavaa.
Toisaalta kannattaa muistaa, että mikäli turvallisuuskäytännöt jäävät noudattamatta, vika ei aina ole ihmisissä vaan myös käytännöt ja ohjeet voivat olla ongelma. Jos turvallisuuskäytännöt eivät sovi varsinaiseen työtehtävään, esimerkiksi laskevat työtehoa huomattavasti, ihmiset kiertävät turvallisuutta ja kehittävät omia, työtehon paremmin säilyttäviä versioitaan. Tällaisessa tilanteessa turvallisuus ei ole ollut käytettävää ja sitä ei ole riittävästi sovitettu tehtävään. Turvallisuuskäytännöt tulisikin räätälöidä yhteistyössä työntekijöiden kanssa, jotta niistä saadaan mahdollisimman käytettäviä.
Miksi tietoturva on vaikeasti käytettävää?¶
Tietoturva ei yleensä ole käyttäjän pääasiallinen syy käyttää jotakin järjestelmää tai ohjelmaa, päinvastoin se on usein pakollinen paha. Tällöin käyttäjät ovat harvoin motivoituneita erityisesti tietoturva-asioihin, puhumattakaan siitä, että turva-asiat huomioitaisiin automaattisesti. Tietoturva on käyttäjälle usein myös vaikeaa, koska käytetyt sanat ja käsitteet voivat olla outoja, ja käyttäjä ei välttämättä ymmärrä kontekstia ollenkaan. Lisäksi tietoturvallisuudelle on harvoin tarpeeksi, että vain joku asia on suojattu hyvin. Kaiken pitäisi olla kunnossa, jotta hyökkääjän mentäviä aukkoja ei jäisi. Lukitusta ovesta ei ole varkaita vastaan apua, jos ikkunat on jätetty auki.
Varsinaisten tietoturvatyökalujen on usein vaikeaa kommunikoida käyttäjän kanssa, koska asia on yleensä monimutkainen. Tietoturvatyökalujen on myös vaikea tarkistaa käyttäjän toimien oikeellisuus, koska ohjelma ei voi tietää, mikä on käyttäjän mielestä oikein. Tietoturvatyökalut ovat usein myös liian monimutkaisia käyttäjille, esimerkiksi oudon nimisiä asetuksia on paljon, ja käyttäjältä voi puuttua täysin ymmärrys siitä, mitä tapahtuu, jos jonkun asetuksen muuttaa. Pahimmillaan käyttäjä ei ymmärrä, mitä työkalun on tarkoitus tehdä, esimerkiksi salasananhallintaohjelman voidaan kuvitella suojaavan myös viruksilta. Lisäksi helposti käy niin, että tietoturvatyökalut eivät toimi tehokkaasti, koska käyttäjät eivät käyttäydy siten, että työkalujen tehokas toiminen olisi mahdollista. Tämä on valtava haaste tietoturvatyökalujen kehittäjille.