5.6.2020 Ihminen on tietoturvan heikoin lenkki (Vestman)

Aiemmat tutkimukset väittävät työntekijöiden oikeuttavan tietoturvarikkomuksiaan. Tiina Vestmanin väitöskirjan mukaan työntekijät kyllä selittävät ja perustelevat niitä, mutta eivät suoranaisesti oikeuta. Todellisuudessa työntekijöillä ei useinkaan ole tietoa tietoturvarikkomustensa lopullisista seurauksista, eivätkä he siten pysty arvioimaan omien tekojensa lopullisia seurauksia. Seuraukset voivat olla peruuttamattomat, mutta silti työntekijät eivät koe tietoturvarikkomuksistaan syyllisyyden ja häpeän tunteita.
Julkaistu
5.6.2020

Suurimmat tietoturvan riskitekijät

Työntekijöiden aiheuttamiin suurimpiin tietoturvan riskitekijöihin liittyy kykenemättömyys, tietämättömyys, ymmärtämättömyys, osaamattomuus ja kiire. Työntekijät eivät välttämättä suhtaudu tietoturvaan välinpitämättömästi, mutta he eivät ole ymmärtäneet omaa tärkeää rooliaan organisaation tieto- ja kyberturvaan kohdistuvien riskien minimoimisessa.

– Useimmiten tietoturvaohjeita ei noudateta, koska ohje on ristiriitainen, puutteellinen, huonosti löydettävissä tai kun on kiire. Ohjeen voi myös useimmissa tapauksissa kiertää. Yksi syy tähän voi olla, että tietoturvapolitiikka on kaukana käytännön toiminnasta, Vestman kertoo.

Vinkit tietoturvallisempaan työntekoon

Ilman konkreettisia ja selkeitä tavoitteita tietoturvapolitiikka ohjeineen jää käyttäjälle vain sanahelinäksi. Ohjeiden pitää pystyä selittämään miksi ja miten työntekijän on huomioitava organisaation tietoturvapolitiikan mukainen toimintatapa. Tietoturva merkitsee eri ihmisille sekä kokemuksen että koulutustaustan perusteella eri asioita, joten organisaation pitää havainnollistaa asia työntekijöiden omien työtehtävien kautta. Käytännössä, mitä konkreettista tapahtuu, mikäli henkilö ei noudata tietoturvapolitiikkaa ja sen ohjeita.

Itseopiskelu on tänä päivänä yleistä. Tietoturvan sisäistäminen pelkkiä ohjeita ja sääntöjä lukemalla, verkkokoulutuksena tai yrityksen ja erehdyksen kautta ei kuitenkaan tutkimuksen mukaan toimi. Tietoturvan sisäistäminen vaatii selkeitä tavoitteita ja saattaa siten vaatia olemassa olevien menetelmien muuttamista. Toisaalta on myös kiinnitettävä huomiota, millaisia tietoturvaan liittyviä käyttäytymismalleja organisaatio suosii.

– Työntekijöiden pitäisi selkeämmin, ja ehkä myös rehellisemmin, tuoda esille ne tietoturvapolitiikan noudattamiseen liittyvät tilanteet, jotka ovat ristiriidassa käytännön toteutuksen kanssa. Toisaalta työntekijöiden tulisi hyväksyä se, että organisaation tietoturvan toteuttaminen vaatii myös heidän panostaan. Organisaatiot eivät pysty tarjoamaan ratkaisuja, joissa työntekijät ikään kuin kulkisivat vain matkustajina, Vestman listaa.

Väitöstutkimuksen aineistona käytettiin kahden suomalaisen julkisen sektorin organisaation tietoturvapolitiikkaa ja -ohjeita sekä työntekijöiden haastatteluja. Tutkimusaineistoa peilattiin aiempiin tutkimuksiin ja kriminologian neutralisoimisteoriaan. Tulokset ovat todennäköisesti yleistettävissä myös yksityiselle sektorille ja yrityksiin. Vain harvassa organisaatiossa työntekijät todella noudattavat tietoturvapolitiikan mukaisia ohjeita.

FM Tiina Vestmanin tietojärjestelmätieteen väitöskirjan ”Kriittinen analyysi neutralisoimisteorian soveltamisesta tietojärjestelmätieteessä” tarkastustilaisuus järjestetään perjantaina 5.6.2020 klo 12 alkaen verkkovälitteisesti. Vastaväittäjänä toimii professori Netta Iivari (Oulun yliopisto) ja kustoksena professori Mikko Siponen (Jyväskylän yliopisto). Väitöstilaisuuden kieli on suomi.

Yleisö voi seurata väitöstilaisuutta verkkovälitteisesti

Julkaisutiedot

Väitöskirja on julkaistu verkkojulkaisusarjassa JYU Dissertations numerona 224, Jyväskylä 2020. Pysyvä osoite on http://urn.fi/URN:ISBN:978-951-39-8174-7.

Taustatietoja

Tiina Vestman valmistui Jyväskylän yliopiston kyberturvallisuuden maisteriohjelmasta 2017. Väitöskirja on nyt toinen Jyväskylän yliopiston kyberturvallisuuden maisteriohjelmasta valmistuneen opiskelijan väitöskirja.