Monet työntekijät luovuttavat salasanansa silkkaa avuliaisuuttaan, vaikka heidän ei pitäisi tehdä niin. Tietoturva-asiantuntija Pernilla Rönnin mukaan IT-turvallisuuden tuntemus on nykyään vähintään yhtä tärkeää kuin virustorjuntaohjelmien ja palomuurien käyttö.
Internet of things, laitteiden lisääntynyt verkkoliikenne, edistynyt tiedonhallinta ja kehittynyt tietojenkalastelu – digitalisaation aikakaudella haavoittuvuus tietomurroille kasvaa salamannopeasti. Teknisen alan konsulttiyhtiön Combitechin tietoturvallisuuden liiketoiminta-alueen johtaja Pernilla Rönn varoittaa, että yrityksiin kohdistuvat uhat tulevat kehittymään ja lisääntymään tulevaisuudessa. Vielä on kuitenkin toivoa.
– Kun tietoisuus riskeistä ja uhista kasvaa, tietomurtojen vaara pienenee. Tietotekniikassa kaikkein tärkeintä on oman turvallisuuskäyttäytymisen muuttaminen, Pernilla Rönn sanoo.
Pernilla haaveili alun perin ryhtyvänsä toimittajaksi. Oli enimmäkseen sattumaa, että hän ryhtyi opiskelemaan tietojärjestelmätiedettä, laajaa koulutusohjelmaa, joka sisältää sekä ohjelmointia, teknisten asioiden hallintaa että taloustiedettä. Koska Pernillaa kiinnostivat salakielet, uhat ja riskit, hän hakeutui työhön, jossa pääsi tekemisiin salauksen kanssa. Vuosi oli 1994, ja siitä lähtien hän on vannonut tietoturvallisuuden nimeen. Konsulttityössään Pernilla on kuitenkin päässyt hyödyntämään myös kirjoittajan taitojaan. Hänestä on mukavaa laatia selvityksiä ja raportteja, sillä käytännönläheinen työskentely on hänen mukaansa ”huippuhauskaa pelkkien teknisten ratkaisujen kehittämisen sijaan”.
Miksi IT-turvallisuus on niin mielenkiintoinen ala?
– Nykyään fokus on laajentunut IT-turvallisuudesta tietoturvallisuuteen, joka on suuri ala. Tietoturvallisuuteen liittyy tekniikan lisäksi paljon muita asioita, kuten prosesseja, organisointia ja menetelmiä. On mahtavaa päästä työskentelemään niihin liittyvien mielenkiintoisten kysymysten parissa. Tunnen olevani yhteiskuntakehityksen ytimessä, koska turvallisuus on tärkeää kaikkialla.
Elätkö itse opetustesi mukaan?
– Kyllä, ammattini vaikuttaa myös omaan käyttäytymiseeni. Olen varsin pidättyväinen sosiaalisen median suhteen, ja kaikki salasanani on suojattu huolellisesti. Tarkkailen valvontakameroita enkä koskaan klikkaa sähköpostissa linkkejä tai avaa tiedostoja, jos en tiedä, kuka ne on lähettänyt. Combitechin kokoamat testitulokset osoittavat, että parempi tietämys kohottaa yleistä turvallisuustasoa. Lisäksi käyttäytymiseen voi vaikuttaa yksinkertaisin tavoin.
Miten otatte selvää, kuinka paljon yrityksessä ollaan tietoisia näistä asioista?
– Voimme esimerkiksi soittaa työntekijöille ja kertoa edustavamme tukipalvelua, joka tarvitsee heidän salasanansa. Moni menee tässä ansaan! Jopa 80 prosenttia tekee sen, mitä ei pitäisi: luovuttaa salasanansa. Voimme lähettää myös tietojenkalasteluviestin sähköpostiin ja pyytää vastaanottajaa paljastamaan käyttäjätunnuksensa. Näin saamme mitattua, kuinka tietoisia työntekijät ovat turvallisuusasioista.
Huolimatta kaikista mediassa esiintyvistä varoituksista ja siitä, että uhat tunnetaan nykyisin hyvin, virheitä tehdään edelleen. Usein kaikki johtuu siitä, että ihmiset haluavat olla ystävällisiä ja auttaa. Suojaus putoaa, mikä on tuhoisaa, kun vastapuoli on liikkeellä pahoin aikein.
Pernilla Rönn korostaa, että kaikki testit tehdään yksilöä kunnioittaen ja että Combitech kertoo jälkeenpäin testauksen olleen osa yrityksen toimeksiannosta tehtävää koulutusta. Oppimisprosessin tarkoituksena on herättää ajatuksia ja muuttaa työntekijöiden käyttäytymistä. Tavoitteena on saada työntekijät ymmärtämään, että kuka tahansa voi tehdä virheen ja että kaikki voivat muuttaa asennettaan sekä olla enemmän varuillaan.
Ovatko verkkohyökkäykset muuttaneet muotoaan?
– Nykyään ne voivat jatkua pitkän aikaa. Massiivisuuden sijaan niitä pidetään yllä kauemmin. Hyökkääjien tietotaso on myös paljon korkeampi kuin ennen. Otetaan esimerkiksi vaikka se, mitä tapahtui suurpankeille vuonna 2015. Kyberhyökkäyksen takana oli 16-vuotias poika, joka toimi sänkynsä laidalta Växjöstä.
Kuinka yritykset voivat puolustaa IT-turvallisuuttaan?
– Turvallisuusajattelun on sisällyttävä yrityksen perimmäisiin prosesseihin.
Organisaation ja sen resurssien, riskien ja uhkien on oltava keskipisteessä. Tältä pohjalta voidaan suunnitella ja kehittää toimintajärjestelmää jatkuvuutta varten. Tehokas häiriöiden hallinta on äärimmäisen tärkeää. Jos yritys altistuu hyökkäykselle, sen on päästävä nopeasti takaisin jaloilleen, jotta tapahtuneesta voidaan tiedottaa toimintaympäristölle. Tieto- ja turvallisuusperiaatteet on taottava yrityksen kaikkien työntekijöiden päähän.
Pitäisikö meidän kiinnittää huomiota IT-turvallisuuteen myös yksityishenkilöinä?
– Yhteiskunta on valtavan haavoittuvainen, eivätkä ihmiset usein käsitä, kuinka suojattomia he todella ovat verkossa. Seuraamalla jotakuta henkilöä esimerkiksi Facebookissa muutaman päivän ajan on helppo päästä perille hänen tavoistaan ja mieltymyksistään. Tekniset turvallisuusratkaisut eivät kata kaikkea. Siksi kaikkien kannattaa lisätä tietoisuuttaan uhista ja riskeistä!
80 prosenttia ihmisistä luovuttaa salasanansa, kun tekeydymme tukipalvelun työntekijöiksi.
Pernilla Rönn
Ikä: 46
Perhe Mies ja kaksi tytärtä. ”Ei lemmikkieläimiä lasten mankumisesta huolimatta.”
Asuinpaikka: Växjön keskusta
Virhe IT:n käytössä: ”En ole ikinä tehnyt sellaista virhettä! Tai no, itse asiassa kerran unohdin lukita tietokoneeni näytön. Silloin eräs kollega keksi tehdä pienen jäynän. Sen jälkeen en ole unohtanut lukitusta...”
Raja sosiaalisen median käytössä:Lomakuvien lataaminen on ihan ok. En kuitenkaan julkaise mitään omasta terveydestäni tai lapsistani.”
Lempisivusto: ”Minussa on pikkuisen himoshoppailijan piirteitä. Useimmiten ostan verkosta vaatteita ja kenkiä.”
Pernillan viisi parasta vinkkiä IT-turvallisuuden parantamiseen
- 1. Tunnista yrityksen kriittiset tiedot ja panosta niiden digitaaliseen suojaamiseen. Muista, että mitä enemmän olemme yhteydessä verkkoon, sitä haavoittuvaisempia olemme.
- 2. Ota tekninen valvonta avuksi ja havaitse häiriöt. Yrityksen häiriöiden hallintaprosessin on oltava toimiva, jotta työntekijät tietävät mitä heidän on tehtävä, jos jotain tapahtuu.
- 3. Henkilöstö on yrityksen heikoin lenkki. Pidä työntekijät jatkuvasti tietoisina uhista ja riskeistä.
- 4. Ole erityisen varovainen matkustaessasi. Käytä tietokoneen näytöllä tietoturvasuojaa ja pidä silmällä ympäristöäsi, kun puhut matkapuhelimeesi.
- 5. Älä myöskään unohda sosiaalisen median turvallisuusasetuksia. Rajoita esimerkiksi paikkamerkintöjä.
Teksti: Elisabeth Krogh
Kuvat: Peter Jönsson