- COMP.SEC.100
- 5. Inhimilliset tekijät
- 5.3 Inhimillinen virhe
Inhimillinen virhe¶
Ihmisten tekemät virheet ovat usein ennustettavia ja ne mahdollistaa joukko tiedostamattomia tai muusta syystä korjaamattomia ongelmia organisaatiossa ja työolosuhteissa. Piilossa olevat ongelmat mahdollistavat käyttäjien tekemät aktiiviset virheet. Esimerkiksi kun työntekijä erehdyksessä klikkaa haittaohjelmalinkkiä, useat virheet (esim. organisaation tietoturvassa, työntekijöiden koulutuksessa, liian kiireisissä tehtävissä jne.) ovat edeltäneet sitä. Käyttäjän tehdessä virheen organisaatiossa tulisikin tutkia, mikä kaikki sen mahdollisti. Näin saadaan turvallisuutta tehokkaammin parannettua kuin esim. käyttäjiä syyllistämällä.
Yleensä organisaatioissa kaikki tietojärjestelmät eivät ole alusta asti turvallisiksi ja käytettäviksi suunniteltuja. Usein joudutaan käyttämään järjestelmää, joka koostuu useista muista järjestelmistä (system-of-systems, SoS). Pahimmillaan järjestelmät eivät sovi kovin hyvin yhteen ja osa voi olla hyvinkin vanhoja. Tällöin on olemassa suuri riski erilaisille piiloon jääville ongelmille, jotka voivat aiheuttaa käyttäjävirheitä ja tietoturvariskejä.
Käyttäjät pyrkivät olemaan mahdollisimman tehokkaita töitä tehdessään. Tämä johtaa siihen, että asioita tehdään samojen rutiinien mukaan ja saman oloisissa tilanteissa helposti toimitaan kuten aiemminkin. Hyökkääjä voi hyödyntää tätä esimerkiksi matkimalla tunnettuja verkkosivuja ja ujuttamalla haitallisia linkkejä oikean näköisiin tietoturvavaroituksiin. Kiireinen työntekijä ei välttämättä erota viestiä aidosta, koska hän on keskittynyt varsinaisen työtehtävänsä tekemiseen.
Tekijöitä, jotka altistavat käyttäjän virheille:
- väsymys, kokemattomuus, riskejä ottava asenne
- muistamiseen liittyvät rajoitteet, mutta myös yleiset tavat ja oletukset tilanteesta
- tehtävään liittyvät tekijät kuten ajalliset paineet, tehtävän korkea kuormittavuus, useat samanaikaiset tehtävät, mutta myös tehtävän yksitoikkoisuus ja tylsistyminen
- käyttäjän epävarmuus roolistaan, vastuistaan ja säännöistä
- jatkuvat keskeytykset, huonot välineet ja heikot ohjeet
- virhealttius kasvaa erityisesti myös silloin, kun käytännöt ja säännöt muuttuvat
Listan neljä viimeistä kohtaa ovat organisaatioon ja työolosuhteisiin liittyviä tekijöitä. Kun virheitä tai ‘läheltä piti’ -tilanteita sattuu, organisaatio saa tilaisuuden tunnistaa mahdollisia virhelähteitä ja voi yrittää parantaa olosuhteita. Organisaatiossa prosessien tulisi olla sellaiset, että poikkeama tai ‘läheltä piti’ -tilanne tulee asianomaisen vastuuhenkilön tietoon. On tärkeää, että organisaatiossa tieto välittyy oikealle taholle. Tämä tarjoaa tiedusteluedun ja auttaa organisaatiota parantamaan turvallisuustoimia.