Kyberturvallisuudesta puhutaan nykyään paljon, mutta vähemmälle huomiolle jää se, miten kyberuhka muodostuu. Vaikka tarjolla on yhä enemmän erilaisia ratkaisuja arkaluonteisten tietojen ja kokonaisten järjestelmien suojaamiseen, eivät ne valitettavasti tarjoa täyttä suojaa, jos käyttäjän oma harkintakyky pettää. Valitettava fakta on se, että inhimilliset erehdykset ja huolimattomuus ovat yleisin syy tietomurtoihin.
Esimerkiksi yritysten kyberturvallisuuden suhteen suurimman uhan muodostavat sen omat työntekijät. Yrityksiin kohdistuneista tietoturvaloukkauksista on laadittu lukuisia tutkimuksia, joiden tulokset ovat paljastaneet työntekijöiden omien virheiden olevan selkeästi yleisin syy tietomurroille.
Millaiset tilanteet voivat johtaa tietomurtoon?
Kyberturvallisuuden ylläpitäminen ei ole aivan yksinkertaista, kun vaara vaanii kaikkialla. Vaikka yrityksellä olisikin käytössään kyberturvallisuutta tukevaa teknologiaa, ei se yksinään välttämättä riitä. Alla esitellään muutamia tyypillisiä tilanteita, joissa kyberhyökkäys yleensä toteutuu.
Tietojenkalasteluviestit
Phishing eli tietojenkalastelu on todellinen uhka niin yrityksille kuin yksityishenkilöillekin. Eräs klassisimmista esimerkeistä ovat niin kutsutut tietojenkalastelusähköviestit. Näissä yrityksen työntekijälle lähetetään sähköposti tai linkki, jossa pyritään kalastelemaan arkaluontoisia tietoja enemmän tai vähemmän uskottavalla verukkeella. Usein se saatetaan lähettää esimerkiksi oman esimiehen tai jonkin tunnetun yrityksen nimissä, jolloin vastaanottaja ei aina osaa epäillä kyseessä olevan huijaus.
Mikäli viesti on laadittu riittävän uskottavasti, ei sen vastaanottaja välttämättä mieti asiaa sen enempää, vaan ilmoittaa pyydetyt tiedot mukisematta. Pahimmillaan tällainen huolettomuus johtaa siihen, että kyberrikollinen pääsee kirjautumaan yrityksen järjestelmiin tai hyödyntää saamiaan tietoja jollain muulla tavalla.
Haittaohjelmien lataaminen
Vaikka yhä useammat ovat tietoisia viruksista ja muista haittaohjelmista sekä siitä, mitä ne voivat saada aikaan, ovat ne yhä merkittävä tietoturvauhka. Yksi huolimaton klikkaus voi olla kohtalokas, sillä jos tulee epähuomiossa ladanneeksi haittaohjelman omalle tietokoneelleen, antaa se hakkerille vapauden tunkeutua koneen tietoihin ja poimia niistä tarvitsemansa rikollisiin käyttötarkoituksiin. Välttämättä haittaohjelmaa ei edes huomaa omalla laitteellaan pitkään aikaan, ja tietomurto paljastuu vasta sitten kun on jo liian myöhäistä.
Tietokoneen jättäminen auki
Kolmas vastaavanlainen uhkatilanne on esimerkiksi työtietokoneen unohtaminen auki ja paikalta poistuminen hetkeksi, jolloin kuka tahansa voi päästä käsiksi yrityksen luottamuksellisiin tietoihin tai työntekijän itsensä henkilötietoihin. Mikäli työntekijä jättää itse työpisteensä täysin suojaamatta, ei silloin parhaimmistakaan tietoturvaratkaisuista ole juurikaan iloa. Nyt kun monet ovat tottuneet tekemään etätöitä omasta kodistaan käsin, ei välttämättä aina muisteta, ettei työpaikalla toimistossa voi olla yhtä huoleton työpisteensä suhteen.
Työskentely kotona tai toimistolla — kumpaan liittyy enemmän kyberuhkia?
Joku saattaa pohtia, olisiko kotoa käsin työskentely tietoturvan osalta turvallisempaa kuin toimistolla työskenteleminen. Tähän ei ole olemassa yksiselitteistä vastausta, eikä kyberturvallisuus välttämättä ole sen parempi kummassakaan vaihtoehdossa. Kuten sanottua, selkeä enemmistö tietomurroista johtuu työntekijän itsensä huolimattomuudesta ja protokollien laiminlyönnistä, jolloin ei sinänsä ole mitään merkitystä sillä, mistä töitä tekee.
Työskentely toimistolla on kyberturvallisuuden suhteen ikään kuin kaksiteräinen miekka. Toisaalta toimistolla saattaa liikkua paljon väkeä ja myös satunnaisia vierailijoita, joilla ei välttämättä ole puhtaat jauhot pussissa ja jotka saattavat olla kiinnostuneita yrityksen sisäisistä tiedoista. Monet yritykset ovat kuitenkin onneksi ottaneet varsin kiitettävästi käyttöönsä tietoturvallisuutta parantavia teknologioita ja ratkaisuja, joiden käyttöönotto toimistolla on helpompaa. Esimerkiksi varsin monessa yrityksessä käytössä oleva intranet on turvallinen tapa jakaa tietoa luotettavasti työyhteisön sisällä, kun taas sähköpostiin tai jonkin yleisen viestisovelluksen käyttämiseen liittyy aina tiettyjä riskejä.
Vaikka edellä mainittu esimerkki tietokoneen unohtamisesta auki toimiston työpisteeltä poistuttaessa onkin merkittävä tietoturvariski, josta oman kodin etätoimistossa ei tarvitse huolehtia, ei se automaattisesti tee etätyöskentelystä sen turvallisempaa. Monet työntekijät myöntävät, että oma keskittyminen työpaikalla on usein parempaa kuin kotona, jossa vallitsevat olosuhteet ovat ymmärrettävästi rennommat. Kun olonsa tuntee riittävän rennoksi, voi oma arvostelukyky herpaantua, joka puolestaan johtaa kohtalokkaisiin virheisiin.
Kuinka inhimilliset virheet voidaan minimoida?
Mikäli kyberhyökkäys on jo ehtinyt tapahtua, ei huolimattomuudesta syyttely enää valitettavasti auta. Tilanne ei kuitenkaan ole täysin toivoton, sillä virheistä voi oppia aina jotain vastaisuuden varalle. Mitä paremmin perillä henkilö on mahdollisista vaaratilanteista, sitä todennäköisemmin hän osaa myös välttää ne. Kannattaa kuitenkin muistaa, että kyberrikolliset kehittävät jatkuvasti uusia keinoja tunkeutua yrityksen järjestelmiin ja työntekijöiden tietoihin. Näin ollen kokeneetkin netinkäyttäjät voivat helposti sortua huijauksiin hetkellisen herpaantumisen seurauksena.
Viime kädessä yritykselle tehokkain tapa vähentää inhimillisiä virheitä onkin huolehtia siitä, että kaikkia työntekijöitä koulutetaan säännöllisesti tietoturvauhkien suhteen. Toinen tärkeä keino on tietenkin vähentää mahdollisia kyberuhkia ottamalla käyttöön kyberturvallisuutta parantavia ratkaisuja, joihin lukeutuvat esimerkiksi virustorjuntaratkaisut, VPN-verkot eli virtuaaliset yksityisverkot, tietojen salaus sekä rutiininomainen laitteiden haavoittuvuuksien skannaus. Näin voidaan kuroa umpeen mahdolliset tietoturva-aukot, joita hakkerit yleensä etsivät.
Nämä edellä mainitut kyberturvallisuutta parantavat ratkaisut yhdistettynä työntekijöiden valppauteen ovat tällä hetkellä yleensä riittäviä keinoja pitää kyberrikollisuus aisoissa. Tämän lisäksi viime aikoina on kehitetty esimerkiksi tekoälyyn pohjautuvia ratkaisuja, joiden avulla pyritään tunnistamaan kyberhyökkäykset ja riskit mahdollisimman tehokkaasti myös tilanteissa, joissa ihmisen oma arvostelukyky pettää. Kolikon kääntöpuolena tekoäly saatetaan valjastaa myös päinvastaiseen tarkoitukseen, ja digihuijausten pelätäänkin lisääntyvän tulevaisuudessa tekoälyn kehittymisen myötä.
On selvää, että tekoälyn valjastaminen kyberturvallisuuden ylläpitoon on vasta alkutekijöissään ja sisältää monia kysymysmerkkejä. Siihen asti, kunnes teknologia on riittävän kehittynyttä ja luotettavaa, on meidän jokaisen itsemme vastuulla varmistaa, ettei turhia inhimillisiä virheitä pääse syntymään.
