Tietoturva ja tietosuoja ovat olleet työssäni tärkeitä aiheita vuosien ajan. Ei, se ei ole häkkeröintiä ja pimeässä verkossa surffailua venäläisagentteja vastaan, vaan pääosin sopimuksia, käytäntöjä ja koulutuksia. Psykologian osuutta ei kuitenkaan ole nostettu esiin niin laajalti kuin sopisi. Tämä asia muuttuu.
Käyttäjä on paras portinvartija
Tiedättekö mitä ovat M365 E5, Elements Collaboration Protection, Darktrace tai CrowdStrike? Ei, tämä ei tule kokeeseen. Listassa on useita erinomaisia tietoturvajärjestelmiä suuryrityksille. Ne ovat moderneja, tehokkaita ja hyödyllisiä. Vaikka ostaisit ne kaikki ja sata muuta pohjattomalla kassalla, et saisi sataprosenttista suojaa. Ihminen on lopulta aina se tärkein portinvartija etenkin huijausviestien kanssa.
Tämän myötä huomiota pitää kiinnittää yhä enemmän ihmiseen. Näkökulmia on monia. Se mikä pätee mielen hyvinvoinnissa yleensä, pätee myös psykologisissa kulmissa tietotekniikassa. Muutamia otteita.
- Turvallisen tunteen tuovat asiat ovat tärkeitä, etenkin hädän hetkellä. Arjessa se on ystävä tai perheenjäsen. Tietoturvassa se voi olla ystävällinen, matalan kynnyksen käyttötuki.
- Mielen resilienssi auttaa haastavien tilanteiden tullessa vastaan, oli puhe vapaa-ajasta tai työstä, terveydestä tai tietoturvasta.
- Rikolliset ymmärtävät psykologiaa ja tietävät miten luoda sinulle epämukavaa oloa vaikkapa sähköpostihuijauksella. Epämukava olo vähentää valppautta.
- Tietoturvan käsitteet eivät ole luonteeltaan teknisiä vaan inhimillisiä ja ajattomia aiheita, joita toteutetaan tietotekniikalla. Paperi tai tietokone, salasana tai riippulukko, postikortti tai sähköposti – konseptit ovat täysin samoja.
- Ilkeämielinen tietojärjestelmiin murtautuja on vain Ruben Oskar Auervaara (kuka?) varustettuna näppäimistöllä. Temput ovat samoja.
- Tulet hyväksi tietoturvaongelmien vahdiksi maalaisjärjellä, arjen osaamisella ja pitämällä mielen vireänä. Tekninen osaaminen on parhaimmillaankin pieni sivuosa.
- Yrityspäättäjä, haluatko tehostaa hurjasti tietoturvan torjuntaa? Kiitä aina työntekijää joka mainitsee havaitsemastaan huijauksesta tai ongelmasta. Positiivisen palautteen teho on merkittävä.
Stressi tuhoaa tietoturvan
Monien tietoturvauhkien isoja riskitekijöitä ovat vanhat ohjelmat, asentamattomat päivitykset tai väärät asetukset. Yhä useamman maailmanluokan tietomurron aliarvostettu syy on kuitenkin stressi. Jos työntekijällä on jatkuva kiire, hänellä on huonompi valppaus. Jos työntekijää kohdellaan ilkeästi hänen kysyessä apua, hän jättää herkästi vaaroista ilmoittamatta tai neuvoa kysymättä. Stressi maksaa jo sairaspoissaoloina tähtitieteellisiä summia. Tietoturvaongelmina se voi maksaa vielä toisenkin tähtitaivaan verran.
Vanha mainos sanoi: hyvä ruoka, parempi mieli. Jatkan tästä: parempi mieli, parempi tietoturva. Parempi luottamus. Paremmat asiakassuhteet. Paremmat yöunet. Lopulta psykologisten kulmien merkitys tietoturvan hoidossa johtaa paitsi merkittävään rahansäästöön, erinomaiseen riskienhallintaan mutta myös mitattavaan terveyden hyvinvoinnin kasvuun. Pidä siis mieli vireänä ja huijarit varpaillaan.
P.S. Tässä yhteydessä pitää osoittaa kiitokset Nimblr-nimiselle ruotsalaisyritykselle, jonka kanssa olen pallotellut tätä kiehtovaa aihetta. Sanokaa minun sanoneeni, tästä aiheesta luetaan vielä monista medioista.
Vähän huvittavaa tämän tietoturvan kanssa nykyään se, että ihmiset ”lavertelevat” guukkeleille ja naamakirjoille ”vapaaehtoisesti” ”kaiken” ja sitten kytätään kusisukassa virallisissa jutuissa ihan naurettavia yksityiskohtia, ettei vaan lipasahda yksityisyyden puolelle. Vastaamo-keissi, vaikka sinänsä varsin ikävä olikin, veti tietoturvahommat varsin absurdille tasolle monessa paikkaa.
Minulle AVG on tyrkyttänyt aika ajoin premiun-tason suojausta, mutta ainakaan vielä en ole siihen tarttunut. Jos pankkitililleni tulisi lottovoitto niin kaiketi vasta sitten…….
Vastaamon keississä oli toki tekninen epämunausten emämunaus, mutta se ei olisi johtanut ongelmiin jos työilmapiiri ei olisi ollut toksinen, täynnä stressiä ja vihamielisyyttä.
Ja Timolle, tietoturvaan voi sijoittaa äärettömän määrän rahaa. Vähän kannattaa sijoittaa, mutta ei omaisuuksia. Kannattaa myös itsestään pitää huolta.
Jotain sattui minulle, kun ruudulle tuli ilmoitus, että F-Secure on pois päältä, eikä koneen virusohjelma toimi. Minä päivitin tämän,eikä ole tullut uutta ilmoitusta.
F-Secure päivittää yleensä ihan itse itsensä, eikä tarvitse käskeä päivittämään.
Ihminen on se heikoin lenkki tietoturvassa. Esimerkiksi ei ole riittävän vahvoja salasanoja eri laitteissa.
Tai ollaan huolettomia muistitikkujen kanssa, jne., jne.
Esimerkiksi tietsikkani ”käynnistyssalasana” on hyvin pitkä ja vahva. Sitä ei tiedä minun lisäkseni kukaan muu – ei kukaan. Sitä ei ole missään salasanojen hallintaohjelmassa, eikä vaikkapa paperilapulla koneen alla, eikä muistioissa.
Kiva kulma tietoturvaan, ei liian pitkässä avauksessa, danke.
Salasanoihin hyvä vinkki on että älä mieti mitään keinotekoisen vaikeita:
– ”R-Yny0rh.b” on ihmiselle vaikea salasana, mutta koneelle helppo murtaa. (lähde: salasanageneraattori)
– ”Pirkko metsä kottarainen” on ihmiselle helppo muistaa mutta koneelle vaikea murtaa. Muistaa vain että Pirkko näki silloin kerran metsässä kottaraisen joka piti hassua ääntä.
= ei salasanoja, vaan salalauseita. Vielä parempi jos siinä on jotain omaa slangia, epävirallisia sanoja, yms.
”Pirkko metsä kottarainen on ihmiselle helppo muistaa mutta koneelle vaikea murtaa. ”
— https://fi.wikipedia.org/wiki/Kiivit#/media/Tiedosto:Kiwifugl.jpg
(Ruskokiivi)
”kiivin muna on kuusi kertaa kananmunan kokoinen. Se vie niin paljon tilaa naaraan ruumissa, että se ei pysty syömään kolmeen päivään ennen munimista ja kykenee astelemaan vain jalat haarallaan kuin ankka”
(Wikipedia)
Pikkukiivi: https://upload.wikimedia.org/wikipedia/commons/a/ab/20180703_kiwi-sonya9_959_DxO_%28cropped%29.jpg
Uhanalaisuusluokitus: silmälläpidettävä.
Eiköhän suurinta osaa suojaa se, että ketään ei oikeasti kiinnosta mitä heidän salasanojensa takana on.
Juurikin näin: ketään ei kiinnosta mitä suurimmalla osalla ihmisistä on laitteillaan — ellet kovasti tyrkytä itseäsi/ provoa somessa/ ole tiettävästi super-varakas/ ole julkisuudessa vaikuttaja. Melko huoleti voi elää elämäänsä, kunhan joku lapsenlapsi välillä katsoo että päivitykset ja laitteet about ajantasalla.
Toinen tilanne kun joku ihminen saa pakkomielteisen fiksaation elämästäsi, josta pahimmillaan tulee joku addiktio hänelle, jota ei kykene katkaisemaan.
Puhutko itsestäsi?
😀 Joo.
”ketään ei kiinnosta mitä suurimmalla osalla ihmisistä on laitteillaan”.
Todellakin puhun.
Tuli vain mieleen❤.
Firmojen sisällä on se suurin tietoturvariski, koska yksittäistä työntekijää tietotekniikka ei kiinnosta pätkääkään, ainoastaan sen toimivuus ja raamit, mihin hän annettuja välineitä käyttää.
Jos firmojen työsuhdekännyköillä pääsee sisään ”palomuuritietojen” kimppuun, riski on paha kun ne ovat myös privaattikäytössä.
Firmojen tietoturvahenkilöiden luotettavuudesta on myös monta käsitystä, mihin hänen tietuturvansa aukko on ”auki” , firman johtoon, ao. henkilölle vai ulos.
Firmoissa on/oli ns. johdon ”snoopereita”, jotka välittivät johdolle henkilöistä luottamuksellisia tietoja vakoilutyylisesti kuten kgb.
Ne sisäiset lusmut, jotka ”liimautivat kylkeen” kiinni, kyllä aina joku paljasti.
Tietoturva-käsitteellä ymmärretään vääriä asioita, vain tekniikkaturvallisuutta.
Vogoni ja Liisa ovat oikeassa, mutta kannattaa muistaa että teistä jokaisella on jotain salattavaa jota monet haluavat – vaikkapa pääsy verkkopankkiin tai luottokorttinumeronne. Ja tätä vastaanhan hyökätään, kohteena voi olla aivan kuka tahansa, jolla ei ole perinteisen tulkinnan mukaan mitään salattavaa.
Heikin mainitsemaa ongelmaa lähestytään nykyään ZTNA-arkkitehtuurilla. Se on enemmän teknisen suunnittelun filosofia ”älä oletusarvoisesti luota mihinkään”. Metafora tälle on ovimies, joka tarkistaa kaikkien paperit ovella, sillä erolla että tarkistus tehdään jokaisella sisäovella myös.
Ja tietoturva todellakaan ei ole vain tietokoneiden turvaamista, vaan tiedon yleensä – paperit ja prototyypit siinä missä bitit.