Mikael Albrecht

Jokainen työntekijä on tietoturvan avainhenkilö

Kyberrikokset-palstalla aiheena on työntekijöiden rooli yrityksen tietoturvassa.

Digitaalinen vallankumous on mullistanut jokaisen elämää, sekä yksityisesti että monessa tapauksessa myös työpaikalla. Työpöytään pultattu PC-tietokone oli vielä 2000-luvun alussa monen toimistotyöntekijän ainoa yhteys ATK-teknologiaan. Tänä päivänä työtä tehdään kannettavilla laitteilla, omilla ja työnantajain omistamilla, aina ja kaikkialla. Työntekoon tarvittavat laitteet on kytkettävä suoraan internettiin, joka on täynnä vaaroja. Ja yrityksen tietojärjestelmiä ei voi enää piilottaa paikallisverkkoon palomuurin taakse, vaan niidenkin on oltava internetissä.

Tämä kehitys on mullistanut yrityksen uhkakuvat ja suojautumiskeinot. Altistus internetin vaaroille asettaa aivan uudet vaatimukset sekä laitteiden että tietojärjestelmien suojaukselle. Työkalut ovat onneksi myös kehittyneet, mutta niilläkään ei voi saavuttaa täydellistä suojausta. Työntekijällä on aina oltava pääsy suojattuun tietoon, ja hienoimmatkin suojausmenetelmät ovat hyödyttömiä, jos hyökkääjä onnistuu petkuttamaan käyttäjän.

xxx

Niin sanottu kohdistettu hyökkäys on yleinen tapa murtautua yrityksen tietojärjestelmiin. Kyseessä on älykkäästi suunniteltu ja suoritettu hyökkäys, jossa voidaan käyttää realistisia viestejä, väärennettyjä kirjautumissivuja ja räätälöityjä haittaohjelmia. Tällainen älykäs hyökkäys saattaa hyvinkin läpäistä pelkän virustorjunnan ilman hälytyksiä. Kehittyneimmät torjuntamenetelmät havaitsevat hyökkäyksen paremmin, mutta usein vasta kun murto on tapahtunut. Tästä syystä on erityisen tärkeätä, että puolustuksen ensimmäinen linja on vahva. Se on käyttäjä, siis työntekijä.

Työntekijöiden koulutus on tästä syystä erittäin tärkeä osaa tietoturvan kokonaishallintaa. Koulutuksella tulisi tietenkin kattaa yrityksen turvallisuuteen liittyvät säännöt ja menetelmät. Vähintään yhtä tärkeätä on saada työntekijät ymmärtämään, miten nykyaikainen hyökkääjä toimii. Paljon on jo voitettu, jos he oppivat suhtautumaan epäilevästi sähköpostissa lähetettyjen liitetiedostojen ja linkkien avaamiseen. Hyökkääjän ensimmäinen askel on usein käyttäjän salasanan varastaminen tekaistulla kirjautumissivulla, niin sanottu salasanakalastus.

Ilmapiiri on tiedon lisäksi tärkeä tekijä. Työntekijät tulisi saada ymmärtämään, että tietoturva on kaikkien yhteinen tehtävä, josta kannetaan vastuuta yhdessä. Joskus tuntuu luontevalta tehostaa sääntöjen noudattamista sanktiouhalla, mutta tämä on kaksipiippuinen juttu myös tietoturvan osalta. Tapahtumien avoin raportointi on äärimmäisen tärkeätä älykkäiden hyökkäysten torjunnassa. Kuvitellaan, että hyökkääjä on sisällä verkossa työntekijän erehdyksen takia. Tiukka sanktiouhka pelaa hyökkääjän pussiin, jos työntekijä tajuaa tehneensä virheen, mutta ei uskalla raportoida sitä. Saattaa käydä niin, että tapahtuman peittely on hyökkääjän ja työntekijän yhteinen intressi. Yrityksessä tulisi luoda sellainen ilmapiiri, että yrityksen ja työntekijän yhteinen intressi on tapauksen nopea selvittäminen.

xxx

Toinen yleinen virhe on luoda liian tiukkoja ja teknisiä sääntöjä ja suojausohjeita. Sellainen ohje, joka hankaloittaa työntekoa, jätetään mahdollisuuksien mukaan noudattamatta. Ja ohje, jota ei voi kiertää, tulee kalliiksi. Se haittaa työn tehoa, mutta yleensä näkymättömästi kustannuspaikalla, josta säännön keksijä ei vastaa. Tässäkin suhteessa olisi hyvä luoda avoin keskustelukulttuuri. Työntekijöiden pitäisi oppia haastamaan liian hankalia ohjeita ja vaatia työtä vähemmän häiritseviä järjestelyitä. IT-johdon pitäisi oppia punnitsemaan riskejä ja käyttämään työntekijän näkökulmasta raskaampia suojausmenetelmiä ainoastaan, jos se todella on tarpeellista.

Pelkoa kyseenalaistaa käskyjä hyödynnetään myös "toimarihuijauksissa" (CEO scams). Yleinen kuvio on lähestyä talousosaston työntekijää sähköpostilla, kun julkisista lähteistä, esimerkiksi Twitteristä, voidaan päätellä, että toimitusjohtaja on matkoilla. Työntekijää käsketään suorittamaan merkittävä maksun ulkomaille, kiireellisesti ja luottamuksellisesti, jottei uusi salainen yrityskauppa kariudu. On suuri riski siihen, että käskyä noudatetaan, jollei yrityksessä ole selkeitä ohjeita maksujen varmistamiseen tai työntekijä näe huijauksen läpi.

Kyse on loppujen lopuksi myös työntekijän oikeusturvasta. Edellä mainitussa huijauksessa korostuu toimintaohjeiden tärkeys. Ainakin USA:ssa on raportoitu tapauksia, joissa huijattu työntekijä on saanut potkut. Jos hän on toiminut ohjeiden vastaisesti, tämä on oikein. Ohjeiden puuttuminen sen sijaan asettaa sekä yrityksen että huijatun työntekijän hankalaan asemaan. Selkeä ohje maksujen varmistamiseksi turvaa työntekijän selustan, jos pomo suuttuu viivästyneestä oikeasta maksusta. Ja sama ohje selkeyttää tilannetta huomattavasti, jos työntekijä on aiheuttanut haittaa rikkomalla sääntöjä.

 
Julkaistu 9.3.2018
Sivun alkuun |