Särkkä: ”Yksilön vastuu tietoturvasta on kasvanut”
Tietoturva ja vastuu on painava sanapari. Mutta kuka vastaa mistäkin? Mitkä asiat ovat tietoturvassa yhteisön, esimerkiksi yrityksen vastuulla ja mikä osa siitä jää yksilön harteille? Onko jaetun vastuun malli lopulta ”ei kenenkään” -vastuu?
Jo pelkästään yritysten ja yhteisöjen vastuutakin voi tarkastella ainakin kahdesta eri näkökulmasta. Voidaan pohtia, mikä vastuu tietoturvasta on vaikkapa jonkin sovelluksen tehneellä yrityksellä ja mikä toisaalta tämän sovelluksen käyttöönsä valinneella organisaatiolla.
Haasteen vastuukysymyksiin luo myös se lähtökohta, että tietoturvan ja tietosuojan osalta ei ole olemassa mitään globaalia toimijaa, joka antaisi selkeitä malleja tai ohjeita tietoturvalliseen toimintaan.
”Asioita ratkotaan eri tavalla esimerkiksi Euroopassa verrattuna Kiinaan tai Yhdysvaltoihin. Paitsi maiden myös ihan yksittäisten yritystenkin osalta on erilaisia toimintamalleja toki kyseisen maan lainsäädäntö huomioiden”, Loihde Trustin johtava tietoturva-asiantuntija Benjamin Särkkä kiteyttää.
Yleispätevää mallia ei ole
Tietoturva on Särkän mielestä asia, johon on ylipäätään vaikea antaa vaikkapa kaikille organisaatioille sopivaa yhtä ja samaa konseptia. Se ei suinkaan vähennä asian haastavuutta tai vastuukysymyksen monimuotoisuutta. Etätyön lisääntyminen on myös osaltaan tuonut uudenlaisia pulmia.
”Ongelmien tunnistaminen on muuttunut aiempaa hankalammaksi. Työnantajalla ei ole oikeastaan tarttumapintaa siihen, millaisissa olosuhteissa työntekijä etätöitään tekee. Erilaiset uhat tai työntekijöiden hyvinvointia hankaloittavat tilanteet voivat mennä aika pitkällekin, ennen kuin ne tulevat esiin. Etätyö on siis kasvattanut merkittävästi yksilön vastuuta monissa turvallisuuteen liittyvissä kysymyksissä, myös tietoturvassa.”
Kaikilla yksilöillä ei kuitenkaan ole samanlaisia valmiuksia ottaa kasvanutta vastuuta kantaakseen.
”Hyvässä turvallisuudessa on lopulta kyse siitä, että tehdään oikein tekemisestä helpompaa ja väärin tekemisestä mahdollisimman hankalaa. Tällä tavoin tietoturvan tasoa voidaan parhaiten kasvattaa organisaatioissa niin yksilön kuin lopulta yrityksenkin näkökulmasta”, Särkkä sanoo.
Tietoturvan kolmipistevyö on keksimättä
Särkän mukaan usein henkilöstölle suunnatut tietoturvakoulutukset keskittyvät lähinnä kalastelun tunnistamiseen. Työntekijät tulisi kuitenkin nähdä yksilöinä ja tietoturva kokonaisvaltaisena asiana.
”Ei riitä, että kuitataan yrityksen tietoturvapolitiikka luetuksi. Tietoturva tulisi ulottaa yksilöön kokonaisuutena ja opettaa häntä turvaamaan myös koko digitaalinen identiteettinsä, ei pelkästään työhön liittyviä asioita.”
Yritysturvallisuutta voidaan Särkän mielestä kehittää siten, että parannetaan yrityksen kaikkien työntekijöiden sekä heidän perheidensä ja vaikkapa asiakkaidensa ymmärrystä siitä, miten toimitaan tietoturvallisesti.
”Näin saataisiin vietyä turvallisuustekeminen yrityksen tasolta yksilön tasolle. Toki aina on niin, että kaikki eivät ole samalla tavalla kiinnostuneet tietoturvasta ja on tärkeä luoda tietoturvallisesta tekemisestä mahdollisimman helppoa.”
Mikä siis olisi automatkustamisen turvallisuutta muuttaneen kolmipisteturvavyön kaltainen keksintö tietoturvan parantamiseen? Usein tietoturva-asiantuntijat tarjoavat ratkaisuksi monivaiheista tunnistusta ja salasanamanagereita.
”On oleellista ymmärtää, että kenelläkään ei ole tismalleen samaa osaamis- tai kokemustaustaa tai juuri samanlaista mielenkiintoa käsitellä näitä asioita. Tämä tulisi tietoturvakoulutuksessa huomioida.”
Vaikka tietoturvan kolmipistevyö on vielä keksimättä, on silti paljon, mitä voi tehdä.
”Esimerkiksi monivaiheinen tunnistautuminen on taas monta askelta eteenpäin vaikkapa salasanoihin verrattuna. Muutos on silti hidasta ja salasanatkaan eivät ole vielä katoamassa minnekään.”
Thirsty for more? Kuuntele Benjaminin ja Aino Kivilahden A/B-testauksen livetallennus samasta aiheesta!
