Tietoturva-arjen kysymyksiä ja vastauksia kirjan perusteella
Ohje: Valitse nimikoimaton tehtävä (sellaisen numero) alla olevasta luettelosta. Nimikoi se eli kirjoita nimesi sen alkuun numeron jälkeen ja nimen jälkeen toteutuskerran tunnus muodossa (201*-x), missä x=s tai k. Tämän voit tehdä aiheen varauksena jo ennen kuin saat kirjaa haltuusi. Laadi noin 150 sanan mittainen vastaus tehtävän alle. Jos käytät myös jotain muuta kuin omaa ja kirjan tietämystä, merkitse lähdeviite.
Michael Schoeder: Advanced Persistent Training
Samoin kuin Think Like a Hacker, tämäkin kirja on hyvin suppea, ja lisäksi se koskee suppeaa aihepiiriä. Kumpikin aihe on tietoturvan kannalta kuitenkin hyvin tärkeä, ja ihmiskeskeinen. Kirjan nimi on sanaleikki, koska tunnettu ja lyhenteenäkin käytetty termi on Advanced Persistent Threat, APT, edistynyt sinnikäs uhka. Aihepiirinä Training sopii hyvin tälle kurssille ja se täydentää myös kurssilla tehtävän tutkimuksen näkökulmaa, joka on kansalaisten arkinen tietoturva ja siihen harjaantuminen.
Kuten kirjan Think Like a Hacker, tämänkin ehtii tutkia viikossa kokonaan. Sitä kautta saat toivottavasti syvyyttä vastauksiisi, vaikka vastaus osaan kysymyksistä löytyykin yhden tai kahden luvun sisältä.
1. Joonas Koski (2018-k) Käyttäytymisen muuttaminen on tunnetusti vaikeaa. Mitä ovat organisaation tietoturva-alan erityisongelmat tässä ja miten uudet käyttäjäsukupolvet ovat muuttaneet tilannetta?
Haasteena on saada ihmiset toteuttamaan heille opetettuja tietoturvakäytäntöjä. Organisaatioissa kyllä järjestetään tietoturvakoulutuksia, mutta niissä usein käydään vain sillä mentaliteetilla, että saadaan käytyä koulutus pois alta. Koulutuksista tulisi saada oikeasti kiinnostavia ja mukaansa tempaavia. Kouluttaminen onkin usein hankalaa ja vaikka kouluttajilla ja koulutuksia järjestävillä tahoilla onkin laaja tietämys tekniikan tasolla, puuttuu heiltä usein opettajan koulutus ja sen vuoksi opetusmenetelmät saattavat olla väärät. Koulutuksiin osallistuvat taas kokevat joutuvansa kestämään heidän silmissään ikävää koulutusta, saamatta siitä itse mitään vastaavaa hyötyä. Jotkin ihmiset ovat myös vastahakoisia muuttamaan tottumuksiaan, osa tekee tämän tietämättäänkin. Vaikka koulutuksen jälkeen tavat muuttuisivat hetkeksi, on mahdollista, että käyttäjä palaa toteuttamaan asiat vanhojen tapojensa mukaan.
Uudet käyttäjäsukupolvet eli Milleniaalit ovat tuoneet omat haasteensa tietoturvan toteuttamiseen. Vanhemmat käyttäjät ovat varovaisempia ja tutustuvat tarkemmin saamiinsa viesteihin. Milleniaalit ovat taas tottuneita sähköiseen viestintään ja sosiaalisen median käyttöön. Tästä johtuen he ovat nopeampia klikkaamaan viestissä esiintyviä linkkejä, sekä herkempiä syöttämään tietoja kalastelusivuille.
2. Juho Frigård (2018-k) Millä tavoin palautteen antaminen ja tulosten seuranta edistävät tietoturvallisuutta organisaatiossa?
Ihminen ottaa uuden käytöstavan käyttöönsä, kun siitä on hänelle hyötyä. Työntekijöiden on koettava, että heille opetetut uudet tietoturvakäytännöt tarjoavat nimenomaan heille itselleen hyötyä. Tämän saavuttamiseksi Schroeder ehdottaa käytäntöä ”active feedback”, joka sisältää osa-alueet: selvästi määritellyt palkkiot, tulosten seuranta ja tuloskortit, jatkuva palaute, mahdollisuus itse valita tai kehittää uusia käytäntöjä sekä jatkuva valmennus. Näiden avulla ihmiset saadaan muovaamaan käytöstään heille mielekkäällä tavalla.
Työntekijöiden on saatava jatkuvaa palautetta lyhyeltä aikaväliltä. Kun palautetta saadaan useammin, auttaa se ihmisiä ymmärtämään omien tekojensa vaikutuksia. Jos aina tähdätään pitkälle aikavälille, unohtuvat pienet tietoturvateot helposti, vaan kaikki keskittyvät niihin suuriin kysymyksiin. Jatkuvalla palautteella työntekijät saavat heti tietoonsa, mitä he tekevät oikein ja mitä väärin, minkä kautta he todennäköisimmin muokkaavat toimintaansa.
Tuloksia mittaamalla voidaan seurata yrityksen tietoturvallisuutta, työntekijöiden edistymistä sekä innostaa ihmisiä tietoturvallisiin tekoihin tarjoamalla näille mahdollisia palkkioita. Palkkiot saavat työntekijät kiinnittämään enemmän huomiota koulutettuihin asioihin normaalissa työelämässä. Tuloksia seuraamalla voidaan myös huomata erilaisia epäkohtia ihmisten ja yrityksen toiminnasta kokonaisuutena. Mittarit voivat paljastaa työntekijät, joilla on ollut vaikeuksia uusien käytäntöjen kanssa ja näin heille voidaan tarjota lisää apua.
3. Antti Ruhala (2019-k). Tiivistä tietoturvakulttuuria käsittelevä luku.
Suurissa organisaatioissa ilmenee usein vastarintaa, kun yritetään saada työntekijät toteuttamaan jotain uutta tietoturvakäytäntöä. On yleistä, että johtoporras suosii nopeita muutoksia verrattuna jatkuviin käytänteihin, ja mahdollisesti pyytää, etteivät muutokset koske heitä. Uudet tietoturvakäytänteet brändätään tarroilla ja heijastimilla, jolloin itse idea saatttaa helposti unohtua, ja käyttäytyminen ei ole aivan mitä haettiin. Parempi tapa luoda muutosta on luoda pieni työntekijöiden keskeinen turvallisuuden kulttuuri, johon muut sitten liittyvät.
Vaikeiden muutosten käsittelyssä voidaan tukeutua vapaaehtoisilla, jotka kertovat muutosten vaikutuksista elämäänsä. Tällöin muut eivät tunne olevansa yksin ongelmien kanssa. Vastarinnan välttämiseksi uudistuksen vastuuhenkilön kannattaa käydä juttelemassa eri tason johtajille, ettei tule yllätyksenä, miksi joku johtoportaan taso ei hyväksy uudistusta. Vapaaehtoisten ongelmia ja onnistumisia kannattaa käsitellä julkisesti, jolloin uudistus saa mainostusta ja hyviä piirteitä.
Kirjassa käsitellään startuppia, jossa otettiin vapaaehtoisia jokaiselta työntekijätasolta, ja näiden kertomilla hyvillä piirteillä saatiin suurempaa muutosta aikaan.
Case studyssä "Storebrand" eritason johtoihmisille pidettiin koulutusta haavoittuvuusuhista. Sen sijaan että olisi kerrottu suoraan, miten aukot korjataan, aloitettiin siitä mitä ne saisivat aikaan esimerkiksi kotipuolessa. Tämä toi ekstramotivaatiota kohtien korjaukseen. Muutamat erittäin motivoituneet johtajat näyttelivät promovideoissa. Eri tason managereiden välille syntyi leikkimielistä kilpailua, kuinka monta alaistaan he saavat houkuteltua turvallisuuskurssille. Tämä kasvatti ennestään johdon kiinnostusta muutokseen.
Toisessa case studyssä analyytikot koulutettiin etsimään lokeista ylimääräisiä uhkia, joita turvamekanismit eivät löytäneet. Tiukat aikataulut ja pakolliset raportit poistivat hommasta kaiken hauskuuden ja alkuperäinen innostus hommaan kuoli. Edellisen etsinnän johtajan lopetettua uusi tuli tilalle ja muutti systeemiä niin, että metsästykseen tehtiin vaikeustasoja, raportit poistettiin ja löydöt julkaistiin. Tämä motivoi muita taas innostumaan vapaaehtoisesti metsästämään uhkia. Uusi johtaja myös loi muutamat harjoitusmetsästykset, joilla kokemattomat analyytikot pääsivät hommaan mukaan vaivattomasti.