- COMP.SEC.100
- 5. Inhimilliset tekijät
- 5.3 Inhimillinen virhe
Inhimillinen virhe¶
Ihmisten tekemät virheet ovat usein ennustettavia, ja niitä voidaan jäljittää isoon joukkoon tiedostamattomia tai muusta syystä korjaamattomia ongelmia organisaatiossa ja työolosuhteissa. Esimerkiksi kun työntekijä erehdyksessä klikkaa haittaohjelmalinkkiä, useat virheet ovat edeltäneet sitä esim. organisaation tietoturvassa, työntekijöiden koulutuksessa tai liian kiireisissä tehtävissä. Käyttäjän tehdessä virheen organisaatiossa tulisikin tutkia, mikä kaikki sen mahdollisti. Näin saadaan turvallisuutta tehokkaammin parannettua kuin esim. käyttäjiä syyllistämällä.
Yleensä organisaatioissa kaikki tietojärjestelmät eivät ole alusta asti turvallisiksi ja käytettäviksi suunniteltuja. Usein järjestelmät koostuvat useista muista (system-of-systems, SoS). Pahimmillaan järjestelmät eivät sovi kovin hyvin yhteen ja osa voi olla hyvinkin vanhoja. Tällöin on olemassa suuri riski erilaisille piiloon jääville ongelmille, jotka voivat aiheuttaa käyttäjävirheitä ja tietoturvariskejä.
Käyttäjät pyrkivät olemaan mahdollisimman tehokkaita töitä tehdessään. Tämä johtaa siihen, että asioita tehdään samojen rutiinien mukaan. Uusissa mutta entisen kaltaisissa tilanteissa saatetaan toimia aivan kuten aiemminkin. Hyökkääjä voi hyödyntää tätä esimerkiksi matkimalla tunnettuja verkkosivuja ja ujuttamalla haitallisia linkkejä oikean näköisiin tietoturvavaroituksiin. Kiireinen työntekijä ei välttämättä erota viestiä aidosta, koska hän on keskittynyt varsinaisen työtehtävänsä tekemiseen.
Tekijöitä, jotka altistavat käyttäjän tekemään virheitä, ovat
- väsymys, kokemattomuus, riskejä ottava asenne
- muistamiseen liittyvät rajoitteet; toisaalta yleiset tavat ja oletukset tilanteesta
- tehtävään liittyvät tekijät kuten ajalliset paineet, tehtävän korkea kuormittavuus, useat samanaikaiset tehtävät; toisaalta myös tehtävän yksitoikkoisuus ja tylsistyminen
- käyttäjän epävarmuus roolistaan, vastuistaan ja säännöistä
- jatkuvat keskeytykset, huonot välineet ja heikot ohjeet
- tilanteet, joissa käytännöt ja säännöt muuttuvat.
Listan neljä viimeistä kohtaa ovat organisaatioon ja työolosuhteisiin liittyviä tekijöitä. Kun virheitä tai ‘läheltä piti’ -tilanteita sattuu, organisaatio saa tilaisuuden tunnistaa mahdollisia virhelähteitä ja voi yrittää parantaa olosuhteita. Organisaatiossa prosessien tulisi olla sellaiset, että poikkeama tai ‘läheltä piti’ tulee vastuuhenkilön tietoon. Kun tieto välittyy oikealle taholle, organisaatio saa hyökkääjään nähden tiedusteluetua (vrt. “CTI” myöhemmässä luvussa) ja pystyy parantamaan turvatoimia.