Yrityksen tietoturva on yhtä hyvä kuin sen piirissä työskentelevät ihmiset. ”Joissakin yrityksissä tietoturva on kuin kauhuelokuvasta.”
Mikä ihmisiä nyppii eniten tietoturvassa?
– Lyhyt vastaus on ”kaikki”, mutta ennen kaikkea ärtymystä aiheuttavat salasanat ja muut tunnistautumistoimet, sanoo Matti Suominen, joka työskentelee Head of Product Cyber Securityna Nixu Corporationissa.
– Joissakin yrityksissä tietoturva on kuin kauhuelokuvasta. Kaikkialla tilanne ei ole yhtä paha, mutta monet voivat varmasti samaistua. Järjestelmien takana on aina hyvä ajatus – käytön pitää olla turvallista ja pitää voida helposti tunnistaa, kuka käyttäjä tekee mitäkin. Sen pitää kuitenkin toimia arjessa, muuten se vain turhauttaa.
Kun ihmisiä vaaditaan muistamaan pitkiä numeroista, erikoismerkeistä ja eri kokoisista kirjaimista muodostuvia salasanoja, jotka pitää vaihtaa joka kuukausi uusiin vanhoja salasanoja kierrättämättä, seurauksena on kapina.
– Eniten ihmisiä ärsyttää se, että salasanojen kanssa puljaamiseen menee paljon aikaa. Se on myös pois yrityksen tuottavuudesta.
Yhdysvaltalainen ohjelmistoyritys Fico teetti vuonna 2018 kyselyn 2 000 ihmiselle. 81 prosenttia vastaajista sanoi, että ei näe tarvetta kaikenlaisille turhille tietoturvamenettelyille.
Huonompi teoriassa voi olla parempi käytännössä
Miten ongelma sitten voitaisiin ratkaista? Suomisen mukaan on tärkeää muistaa, että teoriassa turvallisin vaihtoehto ei välttämättä ole turvallisin käytännössä.
– Jos ihmiset pakotetaan vaihtamaan salasanoja usein, mikä on teoriassa hyvä asia, he alkavat käyttää aina vain helpommin murrettavia salasanoja. On jopa mahdollista, että salasanoja aletaan kirjoittaa muistiin Post-It-lapuille, jotka muistamisen helpottamiseksi kiinnitetään näyttöön. Silloin on parempi valita yksi vahva salasana ja opetella se ulkoa. Vaikka tämä on teoriassa huonompi, se on käytännössä silti parempi vaihtoehto.
Tunnemme kaikki vahvojen salasanojen periaatteet: niissä pitää olla numeroita, isoja ja pieniä kirjaimia sekä erikoismerkkejä. Tällaisen mallin takana on Bill Burr, joka loi nämä periaatteet vuonna 2003 työskennellessään National Institute of Standards and Technologyssa Yhdysvalloissa.
15 vuotta myöhemmin Burr kuitenkin oivalsi häpeäkseen, että vahvoja salasanoja on vaikea muistaa. Ironista kyllä, turvalliset salasanat olivat käytännössä turvattomia.
Nykyään suositellaan valitsemaan lause tai ajatus, joka ei merkitse mitään, mutta joka silti on tarpeeksi looginen, jotta se on helppo muistaa. Voit esimerkiksi yhdistää sanat banaani, talo, raketti ja podcast, jotka tietokoneen olisi hankala arvata. Muistamisen helpottamiseksi voit luoda mielikuvan puhelimen podcast-kuvakkeesta, joka näyttää banaaninmuotoiselta talolta, joka lentää avaruuteen kuin raketti. Tämän salasanatekniikan hyödyt selitetään hyvin tässä muutama vuosi sitten ilmestyneessä sarjakuvassa.
Helppokäyttöistä tietoturvaa
Suominen uskoo, että paras tapa saada työntekijät hyväksymään tietoturvavaatimukset on tehdä niistä kohtuullisia.
– Kaikki ymmärtävät, että armeijan salaisuuksille tarvitaan hyvin tiukkoja järjestelmiä. Tätä samaa turvatasoa ei tarvitse soveltaa kaikkeen. Itse pidän eniten sormenjälkitunnistuksen kaltaisista tekniikoista, koska ne ovat turvallisia ja helppokäyttöisiä. Älä tee työntekijöiden elämästä vaikeampaa kuin on pakko.
Haluatko lukea lisää turvallisuusratkaisuistamme?
TurvallisuusratkaisuihinVastaavaa lukemista:
Tietoturva on ensisijaisesti ennaltaehkäisyä
Text: Karin Aase