Kyberturvatietoisuus ja koulutus

Ennen kuin kyberturvatietojen ja taitojen kehittäminen voi parantaa turvallisuutta täytyy huolehtia siitä, että turvapolitiikat ovat järkeviä. Jos jotkin turvasäännöt ovat mahdottomia noudattaa, se syö uskottavuutta kaikilta turvapolitiikoilta ja aikaansaa negatiivista suhtautumista turvallisuuteen. Tällöin turvallisuus vaarantuu.

Kyberturvatietoisuus tarkoittaa, että ihmiset kiinnittävät huomiota turvallisuuteen ja ymmärtävät, että se on vaivan arvoista. Olisi tärkeää tiedostaa, että a) kyberturvallisuus koskee kaikkia ja riskit ovat olemassa kaikille, ja b) on olemassa keinoja, joita käyttämällä jokainen voi vähentää riskejä. Turvallisuus on yhteinen asia.

Koulutuksen tarkoitus on antaa tietoa riskeistä ja siitä, miten niiltä voi suojautua tai miten niitä voi vähentää. Ihmisillä saattaa olla virheellisiä ja epätäydellisiä mielikuvamalleja (mental model) turvallisuuteen liittyen. Koulutus oikoo näitä ja luo pohjaa kyberturvataidoille. Koulutusta suunnittelevien asiantuntijoiden pitää ottaa selvää koulutettavien aiemmista taidoista ja tietämyksestä. Koulutuksen teho voi laskea, jos se on kohderyhmälle joko liian helppoa tai vaikeaselkoista.

Harjoittelun tarkoitus on opettaa käytännön kyberturvataitoja, kuten turvamekanismien oikeaa käyttöä tai sosiaalisen hakkeroinnin tunnistamista. Kyberturvataitoja tulisi harjoitella käytännössä, jotta ihmiset pääsevät kokeilemaan, millaisia päätöksiä ja toimia he kyberuhkatilanteissa tekisivät. On parempi, että tunnistetaan virhealttiit kohdat harjoituksessa kuin vasta tositilanteesta oppimalla. Harjoittelu auttaa tekemään parempia päätöksiä ja paljastaa, missä kohtaa omassa osaamisessa on puutteita.

Kyberturvatietoisuus, koulutus ja harjoittelu kaikki tukevat toisiaan. Vaikka organisaatio olisi jo huolehtinut näistä, kehitettävää voi silti vielä olla. Täytyy muistaa, että käyttäytymisen muutokset vievät aikaa. Uusien toimintatapojen tulee korvata vanhat, huonommat tavat eikä tämä tapahdu hetkessä. Saatetaan tarvita useita toistoja ja tavoitteet on hyvä pitää tarpeeksi pieninä. Työntekijöiden tulee pystyä huolehtimaan myös varsinaisista tehtävistään ja tämän vuoksi vain 1-2 turvallisuuteen liittyvää tapaa kannattaa pyrkiä muuttamaan kerralla. Kyberturvatietoisuus, koulutus ja harjoittelu voivat olla yksi tekijä organisaation turvallisuuskulttuurin luomisessa, mutta ne eivät yksinään riitä sen muodostamiseen.

Valitse oikeat väitteet.

Lähestymistapoja turvatietoisuuteen ja käyttäytymisen muutokseen (syventävä)

Pelejä ja simulaatiota voidaan käyttää lisäämään kyberturvallisuuden kiinnostavuutta ja auttamaan käyttäytymisen muutoksissa. Esim. anti-phishing -simulaatioita voidaan käyttää, kun koulutetaan työntekijöitä olemaan klikkaamatta tiettyjä linkkejä. Lyhyen aikavälin tarkastelulla näistä on saatu hyviä tuloksia, mutta on epäselvää, johtaako niiden käyttö todellisiin käyttäytymisen muutoksiin. Simulaatioiden käyttöön liittyy myös ongelmia: Työntekijän vastavuoroinen luottamus omaan organisaation voi heiketä, jos hän kokee simuloinnin epäluottamuksen osoituksena tai jopa hyökkäävänä. Toisaalta työntekijöistä voi tulla myös ylivarovaisia, ja he voivat jättää avaamatta myös tärkeät ja aidot viestit ja linkit. Hyötyjen mittaamista ja mahdollisia haittoja tulisikin miettiä tarkkaan, jos näitä työkaluja käytetään.

Kyberriskien ja puolustuksen mielikuvamallit (syventävä)

Iso osa ihmisten pitkäkestoisesta muistista rakentuu mielikuvamallien varaan. Ne ulottuvat yksityiskohtaisista ja rakenteellisista, kuten suunnittelupiirrustuksista, yksinkertaisiin tehtävä-toiminta -malleihin, joiden avulla esim. laitteita voi käyttää tuntematta niitä läpikotaisin. Tehtävä-toiminta -mallin avulla voi siis ajaa autoa, mutta tarvitaan rakenteellisempi malli, jotta tietää syyn auton hajotessa ja osaa korjata sen. Sama pätee kyberriskeihin. Ei voida olettaa että tavalliset ihmiset hahmottavat riskit yksityiskohtaisesti.

Kyberturvallisuuteen liittyvät epätarkat mielikuvamallit voivat tehdä käyttäjät haavoittuviksi erilaisille hyökkäyksille. Ne saattavat luoda valheellisen turvallisuudentunteen, jolloin riskit jätetään huomioimatta. Lisäksi virheelliset mielikuvat voivat vaikeuttaa tietoturvatyökalujen käyttöä tai estävät ymmärtämästä työkalusta saatavia hyötyjä. Esim. salasananhallintaohjelman käyttäjä voi kuvitella ohjelman suojaavan myös viruksilta tai joku toinen ei ota ohjelmaa käyttöönsä, koska pitää sitä turhana, kun esim. kolmen salasanan kierrättäminen eri palveluissa toimii ihan hyvin.

Palautusta lähetetään...