Miksi ihmisestä tuli tietoturvan heikoin lenkki?

Ihminen on tietoturvan heikoin lenkki – ah, mikä ihana viisaus. Lause, jota on helppo päteä. Pitää aina paikkaansa ja saa minut kuulostamaan fiksulta. Toki tälle ”viisaudelle” löytyy monia vahvoja perusteluita, mutta tämä puhe voitaisiin lopettaa kokonaan. Se ei oikeasti hyödytä ketään.

Heikoin lenkki -keskustelu ohjaa automaattisesti ajattelemaan, että ihmisellä on tietoturvassa aina huono rooli. Keskustelussa unohdetaan täysin asian toinen puoli.

Tietoturvallisuus on olemassa, jotta asioita voidaan tehdä turvallisesti. Jotta ihmiset voivat tehdä työtään turvallisesti. Työntekoon kuuluu valintojen tekeminen. Ihmistä on helppo syyttää hänen tekemien valintojen perusteella. Ei kukaan syytä konetta tai järjestelmää siitä, että se päästi huijausviestin tai haittaohjelman läpi.

Kun huijausviesti putkahtaa sähköpostiin, kone on jo epäonnistunut. Järjestelmä on ollut heikko lenkki ja päästänyt huijausviestin postilaatikkoon. Ihmisellä on sen sijaan vielä mahdollisuus arvioida ja valita, mitä huijausviestin kanssa tekee.

Ihminen osaa tunnistaa viestin huijaukseksi ja vaikuttaa siihen, mitä seuraavaksi tapahtuu. Ihminen tietää, mitä viestin liitteen avaamisesta voi tapahtua. Ihminen tietää, mitä linkin avaamisesta ja tunnusten syöttämisestä voi tapahtua. Hän voi estää tulevat haitalliset tapahtumat osaamisellaan ja valinnoillaan.

Ihminen voi siis vaikuttaa tuleviin tapahtumiin. Näin ajateltuna ihminen ei ole heikoin lenkki – vaan tärkein lenkki.

Ihmisestä tuli tietoturvan heikoin lenkki, koska me yhdessä annoimme tämän tapahtua. Tätä viestiä on toistettu kauan. Liian kauan. Lopetetaan se.

”Ihminen on tietoturvan heikoin lenkki” on eräänlaista tietoturvamaailman p***apuhetta, joka ei hyödytä ketään. Vai onko jonkun firman työntekijöiden tietoturvaosaaminen kasvanut tämän puheen seurauksena?

On paljon hyödyllisempää viestiä aiheesta eri tavalla. Tuodaan ihmisen tärkeää roolia enemmän esille.

Vai onko teillä töissä heikkoja lenkkejä?

Etäkokoukset, puhelut ja keskustelut – huomioi nämä turvallisuusasiat

Etäkokoukset mahdollistavat uusia asioita ja helpottavat monen arkea. Samalla kokoustila laajenee toimistolta ihmisten koteihin ja muihin paikkoihin. Jotta keskusteluiden luottamuksellisuus säilyy, on hyvä varmistua muutamista asioista.

Ohessa on lähestytty asiaa etäkokousten näkökulmasta, mutta samoja vinkkejä voi soveltaa myös kahdenkeskisiin keskusteluihin ja puhelinkeskusteluihin.

Valitse kokoustila käsiteltävien asioiden mukaan

Kaikki nykyiset kokoustilat eivät ole alun perin tarkoitettu kokoustiloiksi, jolloin huoneiden rakenteelliset ratkaisut vaikuttavat mm.äänieristykseen. Jos tiedät, että jonkin huoneen äänieristys on huono, niin tiedosta se.

On myös hyvä tiedostaa, mihin suuntaan kokoustilan esitysmateriaali näkyy. Pahimmillaan luottamuksellista esitystä seurataan myös kadulta ja viereisestä rakennuksesta. Tässä lisää aiheesta Toimitilaturvallisuus on muutakin kuin digiä.

Tunnista kaikki etäkokouksen osallistujat

Etäkokouksessa on ensin hyvä varmistaa, kenen kanssa ollaan keskustelemassa. Aivan minimissään pitää varmistaa, täsmääkö osallistujalista kutsuttuihin henkilöihin ja tunnistathan kaikki paikalla olevat. Jos joukossa on uusia tuttavuuksia, niin kysy rohkeasti keitä he ovat. Jos olet itse kutsunut mukaan ylimääräisiä henkilöitä, niin esittele heidät omatoimisesti.

Lisää luottamusta saadaan sillä, että kaikki esittäytyvät kuvan kera. Näin voidaan myös varmistaa kuulostaako ja näyttääkö toinen osapuoli tutulta.

Kerro, ketkä ovat samassa kokoustilassa sinun kanssasi

Tällöin muut etäosallistujat ovat tietoisia, että kaikki osallistujat eivät näy etäkokousjärjestelmän osallistujalistassa. Muiden osallistujien kertominen on hyvien tapojen mukaista, mutta vaikuttaa myös turvallisuuteen. Ei voi olla niin, että kesken keskusteluiden tai näytön jakamisen ilmenee, että luottamuksellinen tieto menee myös sellaisille henkilöille, joiden ei tiedetty olevan kokoustilassa.

Suosi etäkokouksissa kuulokkeita

Käyttämällä kuulokkeita varmistat, että muiden osallistujien puhe ei kantaudu sinun kauttasi ulkopuolisille. Jos ääni tulee tietokoneesi tai puhelimesi kaiuttimesta, voi äänen kuulla myös ulkopuoliset. Huomioi kuitenkin se, että oma puheäänesi voi kuulua myös ulkopuolisille, vaikka muiden puhe tuleekin omista kuulokkeistasi. Valitse siis kokoustila järkevästi.

Lisäksi on hyvä tiedostaa, että jollakin muulla osallistujalla voi olla kaiuttimet käytössä, jolloin koko keskustelu kuuluu sitä kautta.

Suojaa oman laitteesi näyttö ulkopuolisilta

Oman näytön suojaaminen on erityisen tärkeää, kun kokoukseen osallistutaan esimerkiksi julkisessa tilassa tai junassa tms. Tietokoneen näytölle asetettava tietoturvakalvo rajaa näytön katselukulmaa niin, että vierustoveri ei näe näyttöäsi. Voit myös asettua istumaan kokoustilassa niin, että näyttöäsi ei nähdä.

Turvalliset etäkokoukset ovat mahdollisia, kun kaikki osallistujat toimivat yhdessä järkevästi.

ps. Haluatko hyödyntää tätä blogipostausta omassa yrityksessäsi? Tutustu Arjen digiturvan tehokuuriin. Se sisältää 12 valmista blogikirjoitusta, joiden avulla voit nostaa henkilöstön digiturvaosaamista.

Tietoturvapäällikön rekrytointi, havaintoja osa 2: tiedot, taidot ja työkokemus

Tarkastelin tietoturvapäälliköiden rekrytointi-ilmoituksia. Tässä blogisarjan toisessa osassa kerron havaintoja tietoturvapäällikön tehtävässä tarvittaviin tietoihin, taitoihin ja työkokemukseen liittyen. Ensimmäisessä osiossa esitin havaintoja siitä, millaisia tehtäviä tietoturvapäällikölle on organisaatioissa tarjolla.

Mitä tietoturvapäällikön pitäisi tietää?

Tietoturvan perusteiden lisäksi siis…

Korkeakoulututkinto mainittiin monessa ilmoituksessa. Mielenkiintoinen havainto oli se, että soveltuvaa korkeakoulututkintoa on hankala yksilöidä. Mikään tietty korkeakoulututkinto ei ole edellytys tietoturvapäällikön tehtävälle. Toisessa paikassa IT-pohjainen koulutus on hyödyllisempi kuin toisessa.

Henkilökohtaiset tietoturvasertifioinnit (esim. CISSP, CISM, CISA jne.) nähdään etuna, mutta ei välttämättömyytenä.

Lainsäädännön sekä tietoturvan viitekehysten ja standardien tunteminen on olennaista. Mielestäni tässä kannattaa huomioida se, että tiettyä peruslainsäädäntöä kannattaa opetella. Ei mene hukkaan, jos opiskelet GDPR:n perusteita.

Monien ilmoitusten perusteella eduksi katsotaan, jos henkilöllä on osaamista tietotekniikasta ja tietojärjestelmistä. Lisäksi yksittäisissä ilmoituksissa tuodaan esille konkreettisia teemoja, kuten IAM, SIEM, SOC, M365, Azure, forensiikka, kryptaus, ohjelmointi, tietoturvateknologiat jne.

Millaisia työelämätaitoja tietoturvapäällikkö tarvitsee?

Esiintymistaidot ja yhteistyötaidot ovat äärimmäisen tärkeitä ominaisuuksia tietoturvapäällikölle.

Tietoturvapäällikkö nähdään tietoturvatyön johtajana ja kehittäjänä, joka hahmottaa kokonaisuuksia ja hänellä on kokonaisuus hallussa.

Erikoista oli se, että hyvää paineensietokykyä, jämäkkää persoonaa tai pitkäjänteistä työskentelytapaa tuotiin esille vain vähän. Mielestäni näitä ominaisuuksia pitäisi edellyttää kaikilta tietoturvapäälliköiltä.

Tietoturvapäälliköiden arjessa ilmenee paljon negatiivislähtöistä pohdintaa. On riskien arviointeja ja rikollisilta suojautumista. Arjen uutisointi on karua luettavaa. Siksi oli hyvä, että edes kahdessa ilmoituksessa arvostettiin positiivista mindsettiä 🙂

Millaista työkokemusta tietoturvapäälliköltä edellytetään?

Kokemusta edellytetään tietoturvatehtävistä. Tämä voi olla esimerkiksi tietoturvan suunnittelu- ja asiantuntijatehtäviä tai turvallisten ympäristöjen toteutusta. Työpaikan hakijan kannalta huojentavaa on se, että usean vuoden kokemusta tietoturvapäällikön tehtävistä ei laajasti edellytetty.

Kiinnostaako myös tietoturvapäällikön tehtävänkuva? Tutustu selvityksen ensimmäiseen osaan.

Tietoturvapäällikön rekrytointi, havaintoja osa 1: tehtävät

Innostuin tarkastelemaan tietoturvapäälliköiden rekrytointi-ilmoituksia. Koostin materiaalia* yhteen ja tein havaintoja. Esittelen tässä blogikirjoituksessa havaintoja siitä, millaisia tehtäviä tietoturvapäällikölle on organisaatioissa tarjolla. Kerron toisessa osassa havaintoja tarvittaviin tietoihin, taitoihin ja työkokemukseen liittyen.

Havaintoja on esitelty niin, että tästä saa hyötyä sekä tietoturvapäällikköä rekrytoivat organisaatiot kuin työpaikkaa hakevatkin.

Millaisiin tehtäviin tietoturvapäällikköä haetaan?

Tärkeimmät tietoturvapäällikön tehtävät rekrytointi-ilmoitusten perusteella:

  • Tietoturvatyön ohjaaminen ja koordinointi
  • Riskienhallinta
  • Tietoturvallisuuden arviointi
  • Tilannekuvan muodostaminen ja raportointi
  • Verkostoyhteistyö ja toimittajahallinta
  • Tietoturvatietoisuuden nostaminen
  • Dokumentaation laatiminen ja hallinta

Edellä listatut asiat ovat mielestäni tietoturvapäällikön perustehtäviä, jotka toistuvat jokaisessa organisaatiossa – oli ne sitten mainittu rekrytointi-ilmoituksessa tai ei.

Tehtäväkokonaisuudet tietysti vaihtelevat rekrytoivan organisaation mukaan. Tietoturvapäällikön tehtävät eivät kuitenkaan ole pelkästään hallinnollisia.

Esimerkiksi yhdessä ilmoituksessa korostettiin sekä IT-päällikön että tietoturvapäällikön tehtäviä, ja tekniikka painottui vaatimuksissa. Tämä on luonnollinen “tuplarooli” ja toisaalta hyvä esimerkki siitä, miten vaatimukset rekrytoitavaa kohtaan muuttuvat yrityksen tarpeiden perusteella.

Verkostoyhteistyö ja toimittajahallinta on nykyaikaisessa verkottuneessa toimintaympäristössä olennainen asia. Yhdessä ilmoituksessa oli mielenkiintoinen yksityiskohta tähän liittyen: tietoturvapäällikön tehtävänä nähtiin IT-palvelutoimittajien kouluttaminen tietoturvan osalta. Edistyksellistä!

Tietosuoja-asiantuntijan tehtävät mainittiin noin kolmanneksessa ilmoituksista. Mielestäni tätä pitäisi tuoda esille enemmänkin, koska tietoturvapäälliköllä on luontainen ja tärkeä rooli myös tietosuoja-asioiden edistämisessä. Jos organisaatiossa on tietoturvapäällikkö, tulee hänen osallistua myös tietosuojatyöhön.

Joissakin ilmoituksissa mainittiin myös yksityiskohtaisempia tehtäviä, kuten lokienhallinnan tehtävät, pääsynhallinta tai tietojärjestelmien tärkeysluokittelu tai tietosuojan vaikutustenarviointeihin osallistuminen. Lisäksi oli yksittäisiä mainintoja siitä, että tietoturvapäällikkö toimii tietosuojavastaavana, turvallisuuspäällikön sijaisena tai esihenkilönä.

*Taustamateriaalina käytin 25kpl vuonna 2022 julkaistuja työpaikkailmoituksia. Keskityin sellaisiin ilmoituksiin, joissa haettiin nimenomaan tietoturvavastaavaa, tietoturvapäällikköä tai kyberturvallisuuspäällikköä. Materiaalissa oli mukana sekä julkishallinnon että yksityisen puolen organisaatioita. Kyseessä on vapaamuotoinen oma selvitys eikä tieteellinen tutkimus.

Etätyöskentely ja matkustaminen

Töitä voi tehdä turvallisesti eri paikoissa, kun huomioidaan näihin työskentelypaikkoihin liittyvät erityispiireet. Ohessa on lähestytty etätyön tietoturvaa kolmen näkökulman kautta:

Työskentely kotona

Kotona korostuu työntekijän oman osaaminen ja vastuu ympäristön ja laitteiden teknisestä suojaamisesta. Huomioitavaa:

  • Tee työt työpaikan laitteilla. Käytä omia laitteita vain omien asioiden hoitamiseen.
  • Suojaa laitteita fyysiseltä vahingolta. Sovi samassa taloudessa asuvien kanssa, että työlaitteisiin ei kosketa.
  • Lukitse tietokone ja puhelin, kun poistut työpisteeltä.
  • Säilytä laitteita suojassa työpäivän jälkeen.
  • Varmista, että kotona käytössäsi oleva langaton WLAN-verkko on suojattu esimerkiksi WPA2-salauksella.
  • Vaihda verkkolaitteen oletussalasana ja huolehdi verkkolaitteiden tietoturvapäivityksistä.
  • Suojaa samalla tavalla myös kodin muut älylaitteet, jotta niiden mahdolliset tietoturvaongelmat eivät vaikuta työlaitteisiin.

Muualla työskentely

Ohessa asioita, jotka tulee huomioida, kun työskentelee muualla. Huomioitavaa:

  • Harkitse tarkkaan, mihin työlaitteet voi jättää vartioimatta.
  • Sammuta tai lukitse tietokoneesi, jos joudut poistumaan sen luota.
  • Älä kiinnitä työkoneeseesi muilta saatuja virtalähteitä, USB-muisteja tai ulkoisia kovalevyjä.
  • Pidä laite itselläsi – älä lainaa omaa työlaitettasi muille.
  • Älä kirjaudu yrityksesi IT-palveluihin muiden laitteilta tai yleisillä koneilla kirjastossa, hotellissa jne.
  • Käytä vain luotettavia WLAN-verkkoja. Vältä lentokentän, hotellin, kirjaston jne. yleisiä verkkoja.
  • Käytä näytön tietoturvasuojaa.
  • Puheääni kantautuu pitkälle. Huomioi tämä, kun puhut puhelimessa tai osallistut etäpalaveriin.

Menossa ulkomaille?

Matkalla ja ulkomailla työskentely on turvallista, kun huomioi aikaisemmin mainitut asiat kohdasta ”Muualla työskentely” sekä seuraavat lisähuomiot:

  • Harkitse tarkkaan, tarvitsetko kaikkia työlaitteita matkalle mukaan.
  • Poista tai suojaa laitteilla olevat tiedot, jotka eivät saa vaarantua esim. jos kone katoaa.
  • Tarkista lentoyhtiöltä, mitä laitteita voit ottaa lennolle mukaan.
  • Tiedosta, että tulliviranomaisilla voi olla oikeus avata ja tutkia laitteesi osana turvatarkastusta.
  • Havaitsitko jotain epäilyttävää laitteisiin tai käyttäjätunnuksiin liittyen? Ilmoita asiasta välittömästi IT-tuelle.
  • Tutustu myös Suomen ulkoministeriön matkustusturvallisuutteen liittyvään sivustoon.

Tästä pääset pariin muuhun blogipostaukseen, jotka liittyvät etätyön tietoturvaan.