- COMP.SEC.100
- 5. Inhimilliset tekijät
- 5.1 Ihmisten turvallisuuskäyttäytymisen ymmärtäminen
Ihmisten turvallisuuskäyttäytymisen ymmärtäminen¶
Kun tietoturva pettää, käyttäjän virhe on usein vaikuttamassa tapahtumiin. Parhaatkaan tietoturvamekanismit eivät suojaa, jos niitä käytetään väärin tai ne jätetään kokonaan käyttämättä. Käyttäjän näkökulmasta tietoturva on kuitenkin usein varsinaista tekemistä haittaavaa. Tietoturva saattaa hidastaa, keskeyttää, tai varoittaa ja pakottaa reagoimaan kesken käyttäjän varsinaisen tehtävän. Tämä voi ärsyttää ja turhauttaa, erityisesti, jos käyttäjä ei esim. ymmärrä saamaansa varoitusta. Toisaalta hyvä käytettävyys parantaa myös tietoturvaa, kun käyttäjien virheet vähenevät.
Ihmisten käyttäytymisessä on monia ongelmia turvallisuuden kannalta. Tietojärjestelmien käyttäjät ovat usein huolettomia ja tietämättömiä eivätkä välttämättä tiedosta datan ja resurssien arvoa organisaatiolle. Usein puuttuu tietoisuus vaaroista ja asenteena on “ikävät asiat sattuvat muille”. Toisaalta helposti kuvitellaan, että pelkkä tietoisuus suojaa hyökkäyksiltä. Näin ei kuitenkaan automaattisesti ole, vaan taitavasti kohdistettuun hyökkäykseen voi langeta koulutettu asiantuntijakin. Usein käyttäjiltä jää huomaamatta, että juuri heidän oma käytöksensä aiheuttaa tietoturvariskejä, ja tässäkin helposti mennään asenteella “en minä, mutta ne muut”. Näin ajatteleva ei helposti muuta käytöstään, koska ei usko siinä olevan mitään korjattavaa.
Vika ei aina ole ihmisissä, jos turvakäytännöt jäävät noudattamatta. Jos turvakäytännöt eivät sovi varsinaiseen työtehtävään, esimerkiksi laskevat työtehoa huomattavasti, ihmiset kiertävät niitä ja kehittävät omia, työtehon paremmin säilyttäviä versioitaan. Tällaisessa tilanteessa turvallisuus ei ole ollut käytettävää ja sitä ei ole riittävästi sovitettu tehtävään. Turvakäytännöt pitäisi säätää yhteistyössä työntekijöiden kanssa, jotta niistä saadaan mahdollisimman käytettäviä.
Miksi tietoturva on vaikeasti käytettävää?¶
Tietoturva on harvoin pääsyy käyttää jotakin järjestelmää tai ohjelmaa. Tällöin käyttäjiltä voi puuttua motivaatio tietoturva-asioihin eikä niitä silloin ainakaan oma-aloitteisesti oteta huomioon. Tietoturva on usein myös vaikeaa, sillä terminologia tai käsitteet voivat olla outoja eikä käyttäjä välttämättä ymmärrä kontekstia. Vaikka jotkin asiat olisivat kunnossa, turvallisuudelle se ei yleensä riitä. Tarvitaan kattavuutta, jotta hyökkääjän mentäviä aukkoja ei jäisi. Lukitusta ovesta ei ole varkaita vastaan apua, jos ikkunat on jätetty auki.
Käyttäjät ovat suuri haaste tietoturvatyökalujen kehittäjille. Asiat ovat usein monimutkaisia, ja työkaluista tulee helposti käyttäjille liian vaikeita. Esimerkiksi oudon nimisiä asetuksia on paljon, ja käyttäjältä voi puuttua täysin ymmärrys siitä, mitä tapahtuu, jos jonkin asetuksen muuttaa. Laajat kielimallit (AI) ainakin näennäisesti helpottavat työkalujen viestintää käyttäjän kanssa, mutta ohjelmat eivät voi tietää, mikä on käyttäjän mielestä oikein. Työkalujen on silloin vaikea tarkistaa käyttäjän toimien oikeellisuus. Pahimmillaan käyttäjä ei ymmärrä, mitä työkalun on tarkoitus tehdä: esimerkiksi salasanojen hallintaohjelman voidaan kuvitella suojaavan myös viruksilta. Erilaisen hahmotustavan lisäksi tietoturvakehittäjää haastaa käyttäjän toimien vaikea ennakoitavuus.