Ihmisten toiminta mahdollistaa suurimman osan tietoturvaloukkauksista

Vuosittain ilmestyvissä raporteissa eri toimijat arvioivat, että ihmisten käyttäytyminen ja inhimilliset virheet mahdollistavat jopa 80-90 % tietoturvaloukkauksista.

Oma arvioni ja kokemukseni ihmisen osuudesta tietoturvaloukkauksiin on samaa luokkaa, mutta johtuuko tämä arvio sitten vain inhimillisistä tekijöistä vai tulisiko asiaa tarkastella syvemmin.

Tietoturvahyökkäykset kohdistuvat yhä useammin ennalta valittuihin kohderyhmiin

Tietoturvahyökkäykset ovat lisääntyneet ja niiden trendi on muuttunut. Tietoturvaloukkauksia kohdistetaan yhä useammin suoraan ennalta sovittuihin organisaatioihin ja henkilöihin. Hyökkäykset saattavat olla todella yksilöllisiä ja ne kohdistuvat usein entistä pienempiin organisaatioihin helpon saaliin toivossa.

Ihmisten toiminnasta johtuvia tietoturvariskejä voi vähentää

Työmatkalla junassa joku saattaa vilkuilla olan yli, kun tietokoneella hoidetaan työasioita tai tietokone voi unohtua ilman valvontaa, kun käydään wc-tiloissa tai ravintolavaunussa. Puhelimessa tai työkaverin kanssa puhuminen voi saada monta kuuntelijaa junavaunussa. On hyvä tiedostaa, että tällaisissakin tilanteissa tieto voi joutua vääriin käsiin.

Tietoturvahyökkäykset ovat useimmiten edellä mainitsemiani esimerkkitapauksia monipuolisempia, kehittyneempiä ja, kuten aikaisemmin mainitsin, ne ovat usein tarkasti kohdistettuja.

On myös täysin selvää, että inhimillisiä erehdyksiä ja virheitä tapahtuu. Niitä tapahtuu kaikille. Joka tapauksessa näiden erilaisten tietoturvaloukkausten todennäköisyyksiä voidaan huomattavasti vähentää henkilökunnan säännöllisillä koulutuksilla sekä ajantasaisilla ohjeistuksilla ja tiedottamisella.

Yrityksen johdolla on iso rooli tietoturva-asioissa

Tietotyön lisääntyessä organisaation tietoturvallinen toiminta korostuu sekä yrityksen toiminnan että henkilöiden kannalta. Kokonaisvaltainen toimintakulttuuri lähtee organisaation johdosta, joten heidän toiminnallaan on suuri vaikutus organisaation käyttäytymiseen ja asenteisiin tietoturva-asioissa. Organisaation tietoturva-asiat kannattaakin nostaa osaksi organisaation suunnitelmallista ja laadukasta toimintaa.

Tietääkö sinun organisaatiosi henkilökunta, miten he voivat omalla toiminnallaan vähentää tietoturvaan liittyviä riskejä?

Ville Stolpe
tietoturva-asiantuntija

Lue meidän toimitusjohtaja ja tietoturva-asiantuntija Mika Lindbergin blogikirjoitus alkuvuodelta: Päättäjä varmista ainakin nämä viisi asiaa tietoturvallisuudesta

Lue myös miten tulee toimia, jos työkoneellesi ilmestyy kiristysohjelma: Kiristysohjelma lukitsee tietokoneen – älä koskaan maksa rikollisille