- COMP.SEC.100
- 5. Inhimilliset tekijät
- 5.2 Käytettävä tietoturva - perusasiat
Käytettävä tietoturva - perusasiat¶
Käytettävä tietoturva (usable security) tarkastelee, miten järjestelmän tai sovelluksen tai ohjelman tietoturvasta saataisiin käyttäjälle vaikuttavaa (effectiveness) (eli käyttäjät pystyvät saamaan järjestelmällä tavoitteensa aikaan), tehokasta (efficient) (järjestelmällä aikaansaatuihin tuotoksiin käytetyt resurssit ovat sopivat suhteessa tavoitteisiin) ja tyytyväisyyttä tuottavaa (satisfaction) (järjestelmän käyttäminen on miellyttävää).
Esimerkiksi Whitten ja Tygar (1999) määrittelevät, että tietoturvaohjelma on käytettävä, jos sen käyttäjät:
- ovat varmasti tietoisia tietoturvaan liittyvistä tehtävistä, joita heidän pitää tehdä
- pystyvät selvittämään miten kyseiset tehtävät tehdään oikein
- eivät tee vaarallisia virheitä
- ovat riittävän tyytyväisiä ohjelman käyttöliittymään jatkaakseen sen käyttöä
Käytettävyyden ja tietoturvallisuuden välillä on usein ristiriita. Kun turvallisuutta parannetaan, käytettävyys saattaa heikentyä. Esimerkiksi varoituksilla pyritään kiinnittämään käyttäjän huomio mahdolliseen uhkaan. Varoitus kuitenkin keskeyttää käyttäjän, ja käyttäjä saattaa ohittaa sen lukematta. Toisaalta joskus myös käytettävyysratkaisut heikentävät turvallisuutta. Esimerkiksi luodaan lyhyempiä salausavaimia, koska se on nopeampaa, ja jotta käyttäjä ei joudu odottelemaan pidemmän ja turvallisemman avaimen luontia. Käytettävyyden ja turvallisuuden rakentaminen vaatiikin usein tasapainottelua näiden kahden välillä ja on pohdittava riskejä. Täytyy muistaa, että paraskin turvaratkaisu menee hukkaan, jos se on käyttäjille niin vaivalloinen, että se jää käyttämättä. Tällöin kevyempi, käytettävämpi ratkaisu voi olla turvallisempi, vaikka se pelkällä turvallisuudella mitattuna olisi heikompi.
Yksi keskeinen käytettävän tietoturvallisuuden kysymys on, miten suunnitellaan turvallisuus siten, että se on käyttökelpoista ja hyväksyttävää erilaisille ihmisille, esim. loppukäyttäjille, järjestelmänvalvojille ja kehittäjille. Tähän liittyy myös laajempi organisaation ja yhteiskunnan näkökulma tietoturvallisuuteen, joka korostaa luottamusta ja yhteistyötä tehokkaan kyberturvallisuuden luomiseksi. Luottamus ja hyväksyntä voidaan saavuttaa vain kun turvallisuusratkaisut täyttävät käyttäjien tarpeet.
Tehtävän sovittaminen ihmiselle¶
Kun turvallisuuteen liittyvistä tehtävistä tehdään ihmisille käytettäviä, on huomioitava käyttäjien kyvyt ja rajoitteet. Esimerkiksi vanhukset tarvitsevat usein enemmän opastusta ja tukea. On hyvä huomioida myös, että kehittäjille usein itsestään selvät asiat harvoin ovat sellaisia käyttäjille. Hyvin käytettävä turvallisuus huomioi myös, mikä on käyttäjien varsinainen (työ)tehtävä ja sovittaa turvallisuustehtävät mahdollisimman vähän varsinaista tehtävää häiritseviksi. Tämän lisäksi käyttäjien fyysinen ja sosiaalinen konteksti tulisi huomioida, eli suoritetaanko tehtävää esim. kirkkaassa vai hämärässä valossa, ulkona vai sisätiloissa, yksin rauhallisessa tilassa vai keskellä väkijoukkoa. Tässä tulisi huomioida myös nykyisten laitteiden mahdollistama paikan vaihtuminen kesken työtehtävien. Myös työhön käytettävän laitteen ominaisuudet ja rajoitteet tulisi huomioida, eli on eri asia, jos tehtävä suoritetaan mobiililaitteella kuin että siihen käytetään esim. pöytäkonetta.
Ihmisen kyvyt ja rajoitteet (syventävä)¶
Yksi helposti ihmisen huomiokyvyn ylittävä turvallisuusratkaisu on erilaisten varoitusten ja muistutusten tulva, joita nykyiset ohjelmat ja sovellukset tuottavat. Käyttäjän huomio on hänen pääasiallisessa tehtävässään, jolloin varoitukset jäävät monesti huomaamatta tai ne yksinkertaisesti ohitetaan sen kummemmin pysähtymättä. Jos varoitus on vain taustalla, sitä ei välttämättä huomata, mutta reagointia vaativat varoitukset johtavat helposti hälytysväsymykseen (alarm fatigue). Hälytysväsymys saa käyttäjän klikkaamaan ok tai cancel, vaikka hälytystä ei ole edes luettu.
Ihmisen muisti on rajallinen ja esimerkiksi salasanat vaihtovaatimuksineen ylittävät sen helposti. Ihmisillä on erilaisia tapoja selvitä salasanaviidakossa, esim. perinteinen muistilappu, salasananhallintaohjelma, tai tapa muodostaa salasanat. Joskus käytetään myös turvattomia keinoja, kuten saman salasanan käyttöä useissa palveluissa tai muuten huonoja, liian yksinkertaisia salasanoja. Palveluihin tunnistautumista suunnitellessa tulisikin miettiä, miten salasanakuormaa voidaan keventää turvallisuus säilyttäen. Esimerkiksi erilaiset monitekijätodentamiseen (multi-factor authentication, MFA) perustuvat ratkaisut vähentävät salasanojen muistamisen tarvetta.
Turvallisuusratkaisujen tulisi huomioida myös ihmisten erilaiset käytettävyystarpeet. Esimerkiksi lapset ja vanhukset tarvitsevat erilaista käytettävyyttä kuin nuoret aikuiset. Lisäksi ihmisillä saattaa olla fyysisiä rajoitteita, esim. kuulossa, näössä tai motoriikassa. Myös käyttäjien kulttuuritaustalla ja tottumuksilla voi olla vaikutusta siihen mikä koetaan käytettäväksi. Käytettävä turvallisuus pyrkii tuntemaan käyttäjänsä ja huomioimaan nämä mahdollisimman hyvin.
Tavoitteet ja tehtävät (syventävä)¶
Ihmiset ovat tehtäväsuuntautuneita ja työskennellessämme jaamme asiat usein osatehtäviin ja välitavoitteisiin. Kun turvallisuutta suunnitellaan, sen tulisi lomittua tehtävien ja tavoitteiden joukkoon niitä suuremmin häiritsemättä.
Jotta turvallisuutta ei ohitettaisi, koska se häiritsee liikaa varsinaista tehtävää, turvallisuus tulisi suunnitella sopimaan tehtävään ja mahdollisimman vähän kuormittavaksi. Kuormitus voi olla fyysistä (esim. salasanan kirjoittaminen) ja psyykkistä (esim. salasanan muistaminen). Tehtävään sovittamisessa voidaan käyttää useita keinoja:
- turvallisuuden automatisointi, esim. kertakirjautuminen: autentikoitua tarvitsee vain kerran ja sen jälkeen tiedot välittyvät muihin järjestelmiin
- jos turvallisuus vaatii toimenpiteitä, niiden häiritsevyys ja kuormittavuus työntekijälle tulisi minimoida
- huolehditaan, että turvallisuusmekanismit käynnistyvät vain kun on oikeasti tarpeen, eli esim. autentikointia ei tarvita joka välissä
- järjestelmät tulisi suunnitella siten, että ne ovat oletusarvoisina turvallisia (secure by default), jotta turvallisuuden konfigurointi ja asetusten säätö ei jää käyttäjän huoleksi
Käytettävää turvallisuutta suunnitellessa tulee tietää työtehtävät ja miten ne kuormittavat työntekijöitä. Sen jälkeen on hyvä pohtia seuraavia kysymyksiä.
- Mikä on varsinaisen työtehtävän fyysinen ja psyykkinen kuormitus, ja miten siihen lisättävä turvallisuustehtävä vaikuttaa kuormituksiin?
- Onko varsinaisella tehtävällä jotakin reunaehtoja, esim. se pitää saada suoritetuksi tietyssä ajassa?
- Onko resursseilla reunaehtoja, esim. psyykkiset tai fyysiset kyvyt tai rajoitettu pääsy tehtävässä tarvittaviin ulkoisiin resursseihin?
- Mitä seurauksia ja vaikutuksia on sillä, jos turvallisuudessa epäonnistutaan?
Vuorovaikutuksen konteksti (syventävä)¶
Fyysinen ja sosiaalinen ympäristö vaikuttaa työtehtävän tekemiseen ja samalla myös turvallisuuteen. Fyysisiä ympäristötekijöitä ovat esim. valaistus, melu, ympäristön lämpötila ja saasteet. Sosiaalinen ympäristö vaikuttaa käyttäytymiseen arvojen ja normien kautta. Arvot kertovat, mikä on tärkeää ja mihin kannattaa käyttää aikaa, ja normit heijastavat sääntöjä ja oletuksia siitä, miten pitäisi käyttäytyä. Sosiaalinen ympäristö vaikuttaa helposti turvallisuuteen. Esimerkki: Yrityksessä on politiikka, jonka mukaan henkilöstön tulisi suhtautua kaikkiin tietopyyntöihin mahdollisina sosiaalisen hakkeroinnin hyökkäyksinä. Samaan aikaan yrityksessä arvostetaan asiakastyytyväisyyttä ja kehotetaan henkilöstöä suhtautumaan asiakkaisiin aina ystävällisesti. Tässä tapauksessa turvapolitiikka on ristiriidassa yrityksen arvojen kanssa ja on todennäköistä, ettei se tule noudatetuksi.
Laitteen ominaisuudet ja rajoitteet (syventävä)¶
Laitteiden ominaisuudet voivat tehdä turvallisuuden toteuttamisen hankalaksi. Esim. mobiililaitteiden näppäimistöllä voi olla hidasta ja hankalaa syöttää salasanoja ja virheiden todennäköisyys kasvaa. Myös esim. monivaiheinen tunnistautuminen voi hidastaa ja tuntua käyttäjälle vaivalloiselta, vaikka samalla salasanoista päästäisiin eroon. Turvaratkaisuja suunnitellessa tulisi aina miettiä myös sitä, millaisia ne ovat toteutettuna kaikilla laitteilla, joilla järjestelmää saatetaan käyttää.