- COMP.SEC.100
- 5. Inhimilliset tekijät
- 5.4 Kyberturvatietoisuus ja koulutus
Kyberturvatietoisuus ja koulutus¶
Kyberturvatietoisuus, koulutus ja harjoittelu ovat tehokkaita keinoja turvallisuuden parantamiseen. Sitä ennen täytyy kuitenkin huolehtia siitä, että ihmiset pystyvät oikeasti käytännössä noudattamaan turvapolitiikkoja. Jos politiikat ja ohjeet ovat mahdottomia noudattaa, se syö uskottavuutta kaikilta turvapolitiikoilta ja aikaansaa negatiivista suhtautumista turvallisuuteen. Tällöin turvallisuus vaarantuu.
Kyberturvatietoisuuden (cyber security awareness) tarkoitus on saada ihmiset kiinnittämään huomiota turvallisuuteen ja ymmärtämään, että turvallisuus on vaivan arvoista. Olisi tärkeää olla tietoinen siitä, että a) kyberturvallisuus koskee kaikkia ja riskit ovat olemassa kaikille, ja b) on olemassa keinoja, joita käyttämällä jokainen voi vähentää näitä riskejä. Turvallisuus on yhteinen asia.
Koulutuksen tarkoitus on antaa tietoa riskeistä ja miten niiltä voi suojautua tai miten niitä voi vähentää. Ihmisillä saattaa olla virheellisiä ja epätäydellisiä mielikuvamalleja (mental model) turvallisuuteen liittyen. Koulutuksen tehtävänä on tarkentaa näitä ja luoda pohjaa kyberturvataidoille. Koulutusta suunniteltaessa kyberturva-asiantuntijoiden tulisi huomioida, että heidän ajatuksensa koulutettavien taidoista ja etukäteistietämyksestä voi olla virheellinen. Tällöin koulutuksen teho voi laskea, jos se on kohderyhmälle joko liian helppoa tai vaikeaselkoista.
Harjoittelun tarkoitus on opettaa käytännön kyberturvataitoja. Esim. miten turvamekanismeja käytetään oikein tai miten tunnistetaan sosiaalisen hakkeroinnin hyökkäys. Kyberturvataitoja tulisi harjoitella käytännössä, koska tällöin ihmiset pääsevät kokeilemaan, millaisia päätöksiä ja toimia he kyberuhkatilanteissa tekisivät. On parempi, että tunnistetaan virhealttiit kohdat harjoituksessa, kuin vasta tositilanteesta oppimalla. Harjoittelu auttaa tekemään parempia päätöksiä ja paljastaa, missä kohtaa omassa osaamisessa on puutteita.
Kyberturvatietoisuus, koulutus ja harjoittelu kaikki tukevat toisiaan. Vaikka organisaatio olisi hoitanut kaikki edellä mainitut kuntoon, se ei kuitenkaan automaattisesti takaa sitä, että organisaation turvallisuus olisi kunnossa. Täytyy muistaa, että käyttäytymisen muutokset vievät aikaa. Uusien toimintatapojen tulee korvata vanhat, huonommat tavat ja tämä ei tapahdu hetkessä. Saatetaan tarvita useita toistoja ja lisäksi tavoitteet tulee pitää tarpeeksi pieninä. Työntekijöiden tulee pystyä huolehtimaan myös varsinaisista tehtävistään ja tämän vuoksi vain 1-2 turvallisuuteen liittyvää tapaa kannattaa pyrkiä muuttamaan kerralla. Kyberturvatietoisuus, koulutus ja harjoittelu voivat olla yksi tekijä organisaation turvallisuuskulttuurin luomisessa, mutta ne eivät yksinään riitä sen muodostamiseen.
Lähestymistapoja tukemaan turvatietoisuutta ja käyttäytymisen muutosta (syventävä)¶
Erilaisia pelejä ja simulaatiota voidaan käyttää lisäämään kyberturvallisuustietoisuuden kiinnostavuutta ja auttamaan käyttäytymisen muutoksissa. Esim. anti-phishing simulaatioita voidaan käyttää, kun koulutetaan työntekijöitä olemaan klikkaamatta tiettyjä linkkejä. Lyhyen aikavälin tarkastelulla näistä on saatu hyviä tuloksia, mutta on epäselvää, johtaako niiden käyttö kuitenkaan todellisiin käyttäytymisen muutoksiin. Näiden käyttöön liittyy myös ongelmia, on esitetty, että työntekijä voi kokea hyökkäyksen tulevan omasta organisaatiostaan, mikä vähentää luottamusta. Toisaalta työntekijöistä voi tulla myös ylivarovaisia, ja he voivat jättää avaamatta myös tärkeät ja aidot viestit ja linkit. Hyötyjen mittaamista ja mahdollisia haittoja tulisikin miettiä tarkkaan, jos näitä työkaluja käytetään.
Kyberriskien ja puolustuksen mielikuvamallit (syventävä)¶
Osa ihmisen työtehtäviin liittyvästä tiedosta perustuu mielikuvamalleihin eli analogioihin esim. laitteista, joita ihmiset työssään käyttävät. Mielikuvamallit voivat olla hyvin yksityiskohtaisia rakenteellisia malleja, kuten suunnittelupiirrustukset, tai perustua enemmän tehtävä-toiminta -malleihin, joiden avulla myös laitetta läpikotaisin tuntematon voi käyttää sitä. Esim. tehtävä-toiminta -mallin avulla voi ajaa autoa, mutta tarvitaan rakenteellinen malli, jotta tietää syyn auton hajotessa ja osaa korjata sen. Sama pätee kyberriskeihin, ei voida olettaa että tavalliset ihmiset hahmottavat riskit yksityiskohtaisesti.
Kyberturvallisuuteen liittyvät epätarkat mielikuvamallit voivat tehdä käyttäjät haavoittuviksi erilaisille hyökkäyksille. Ne saattavat luoda valheellisen turvallisuudentunteen, jolloin riskit jätetään huomioimatta. Lisäksi virheelliset mielikuvat voivat vaikeuttaa tietoturvatyökalujen käyttöä tai estävät ymmärtämästä työkalusta saatavia hyötyjä. Esim. salasananhallintaohjelman käyttäjä voi kuvitella ohjelman suojaavan myös viruksilta tai joku toinen ei ota salasananhallintaohjelmaa käyttöönsä, koska pitää sitä turhana, kun esim. kolmen salasanan kierrättäminen eri palveluissa toimii ihan hyvin.