Otetaanpa heti ensimmäisenä esiin yksi kyberturvallisuuden suurimmista totuuksista; teknologia ei ole ongelma, vaan sitä käyttävät ihmiset ovat ongelma. Jotkut väittävät, että teknologia on virheellistä, tai että siitä voi tulla virheellistä. Teknologia toimii kuitenkin suurimmaksi osaksi juuri niin, kuin sen on tarkoitettu – sitä käyttävien ihmisten vuorovaikutus ja ymmärrys teknologiasta on välillä epätäydellistä. Ihmisiin liittyvät ongelmat johtuvat useista eri syistä. Yksi suurimmista ongelmista on liiketoiminnan haluttu nopeus ja ihmisten laiskuus. Ihmisten jatkuva vuorovaikutus teknologian kanssa tekee siitä riskin, eivätkä yritykset voi tälle juuri mitään.
Tilastot osoittavat, että lähes 90 prosenttia kaikista tietomurroista tai hakkeroinneista olisi voitu estää tai niitä olisi voitu vähentää, käyttämällä MFA:ta (Multi-factor Authentication = Monivaiheinen tunnistautuminen).
Ensimmäinen vihje siitä, mikä työkulttuurissa on pielessä, liittyy käsitteeseen ”mukavuus vastaan yksityisyys”. Kaikki teknologia on rakennettu yksinkertaista tarkoitusta varten: haluamme tehdä työstä, tehtävästä tai laskutoimituksesta helpompaa ja tehokkaampaa. Kun päätämme työtehtävissämme käyttää teknologiaa, valitsemme mukavuuden.
Mukavuuden valitsemisen hintana on yleensä yksityisyys. Hyvänä esimerkkinä mainittakoon monivaiheinen tunnistautuminen (Multi-factor Authentication, MFA). MFA:n käyttö voi joidenkin mielestä olla hyvin aikaa vievää ja hankalaa. Joskus täytyy odottaa 10 sekunnista jopa muutamaan minuuttiin ylimääräisen tekstiviestin tai todennuspyynnön vastaanottamista kirjautuessa verkkosivustolle tai ohjelmistosovellukseen. Mikäli tätä tehdään toistuvasti 15 kertaa päivässä, voi minuuttien odottelu tuntua turhauttavalle. Silloin, kun työpöydällä on neljä sähköpostia, joihin on vastattava mahdollisimman pian, etkä voi jäädä odottelemaan, MFA tuo enemmänkin vaivaa, kuin arvoa niille, jotka valitsevat MFA:n mukavuuden yksityisyyden sijaan.
Tilastot kuitenkin osoittavat, että lähes 90 prosenttia kaikista tietomurroista tai hakkeroinneista olisi voitu estää tai niitä olisi voitu vähentää, käyttämällä MFA:ta.
Tällä hetkellä ongelma on tietoturva-alalla pätevien erilaisten säädösten laaja kirjo.
Seuraavaksi on tarkasteltava huolia kulttuuriin liittyen, jotka ovat peräisin vastuuhenkilöistä ja ylipäätään tietoturva-alasta. Säädökset tai käytetty kieli saattavat välillä olla hyvin epäjohdonmukaisia ja sekavia eri puolilla maailmaa ja näin aiheuttavat joskus enemmän haittaa kuin hyötyä. Esimerkiksi ilmaisu ”riskinarviointi”, voi tarkoittaa riskirekisterimatriisia, yrityksen riskinarviointia, tunkeutumistestiä tai vaikka riskinarvioinnin haavoittuvuusanalyysiä. Osa tämänkin artikkelin lukijoista voi todeta suoraan “Tuo ei ole riskinarviointia”, kun taas toiset olisivat googlettamassa ”mitä eroa on läpäisykykytestillä ja haavoittuvuusanalyysilla”. Tällä hetkellä ongelmaa siis pahentaa se, että tietoturva-alalla pätevät erilaisten säädösten laaja kirjo. Ala on saatava synkronoitumaan tiettyjen säädöksien mukaan.
Kaikki ongelmat viittaavat kuitenkin siihen, että koulutusta tietoturvaan on lisättävä.
Tietoturvatietoisuutta koskeva koulutus on edelleen haastavaa ihmisille. Siihen liittyy usein omia väärinymmärryksiä uhkien suhteen, laiskuutta tai ”se ei ole minun ongelmani” -mentaliteettia. Kaikki ongelmat viittaavat kuitenkin siihen, että koulutusta tietoturvaan on lisättävä. Uhkista on puhuttava jatkuvasti, kunnes ne ymmärretään ja niiden torjuminen on otettu osaksi liiketoimintasuunnitelmaa. Tämä saattaa joidenkin korvaan kuulostaa vaivalloiselta ja äärimmäisen tylsältä, mutta kyberturvallisuuden, tietoturvan, yksityisyyden ja digitaalisen luottamuksen tulee olla osa jatkuvaa kasvatusta ja koulutusta.
Vaikka ei pitäisi itseään tai yritystään tärkeänä kohteena, tämä ei tarkoita, ettei voisi joutua verkkorikollisten uhriksi.
Vaikka ei pitäisi itseään tai yritystään tärkeänä kohteena, tämä ei tarkoita, ettei voisi joutua verkkorikollisten uhriksi. Verkkorikolliset valikoivat usein kohteensa täysin sattumalta, hyödyntäen automatisoituja hyökkäyksiä tietomurtoihin, tietojenkalasteluun ja haittaohjelmien levittämiseen.
Verkkorikolliset eivät ole yhtenäinen ryhmä, vaan joukkoon mahtuu monenlaisia tahoja, joilla on omat motiivinsa. Hakkerointi ja muut verkkorikollisuuden muodot kuuluvat esimerkiksi järjestäytyneen rikollisuuden, terroristiryhmien sekä kansallisten toimijoiden menettelyyn.
Yksityishenkilöiden ja yritysten lisäksi kyberturvallisuus on tärkeä osa valtioiden puolustusta sekä sodankäyntiä. Vaikka isot yritykset ja organisaatiot voivat olla houkuttelevia kohteita verkkorikollisille, riittämättömät toimet omasta kyberturvallisuudesta huolehtimiseen voivat aiheuttaa monenlaista haittoja.
Mitä voit tehdä jo tänään suojataksesi tilisi tietomurroilta tai muilta haitallisilta toimilta:
- Vaihda tiliesi salasanat ja aseta niistä sellaiset, joita ei voi arvata
- Älä säilytä salasanojasi tai pankkitunnuksiasi muiden silmien alla
- Ota kaksivaiheinen varmenne käyttöön kaikkialle, missä se on mahdollista
- Älä luovuta koskaan pankktiunnuksiasi tai henkilötietojasi puhelimessa tai verkossa
- Suojaa myös tärkeät dokumenttisi, yrityksesi paperit ja sopimukset salasanojen tai lukkojen taakse
Me NordCheckilla voimme modernin compliancen avulla auttaa pitämään tärkeät ja arvokkaat dokumenttisi tallessa. Mikäli kaipaat apuamme, ethän epäröi ottaa yhteyttä!