Tekstin pääpointit
- Ihmisistä on tullut kyberrikollisten ensisijainen kohde, koska teknisen tietoturvan kehitys ei poista inhimillisten erehdysten mahdollisuutta.
- Business Email Compromise (BEC) ja muut sosiaaliseen manipulointiin perustuvat hyökkäykset kohdistuvat ihmisiin ja voivat kiertää tekniset tietoturvatarkastukset.
- Perinteinen tietoturvakoulutus on riittämätöntä, koska se kohtelee kaikkia työntekijöitä samalla tavalla riippumatta heidän todellisesta riskiprofiilistaan.
- Human Risk Management (HRM) -lähestymistapa yhdistää teknologian ja ihmisen toiminnan ymmärtämisen yksilölliseksi riskiprofiiliksi.
- Reaktiivisesta tietoturvasta on siirryttävä proaktiiviseen malliin, jossa riskit tunnistetaan ja niihin reagoidaan ennen vahingon syntymistä.
Siinä missä kyberturvallisuudessa panostettiin aiemmin erityisesti teknisiin suojauksiin, kuten palomuureihin, virustorjuntaan ja verkkosegmentointiin, on kyberrikollisten huomio kääntynyt nykypäivänä yhä selkeämmin ihmisiin.
Syy on yksinkertainen: kun tekniset puolustukset paranevat, heikoin lenkki löytyy yleensä ihmisestä, joka tekee päätöksiä kiireessä ja paineen alla. Tämä kehitys on johtanut uuteen riskilähtöiseen ajatteluun ja tehnyt Human Risk Managementista (HRM) merkittävän käsitteen kyberturva-alalle.
Kyse on aidosta ajattelutavan muutoksesta, joka auttaa organisaatiota tarkastelemaan kyberturvaa uudesta näkökulmasta.
Miksi ihminen on muuttunut hyökkäysten pääkohteeksi?
Nykyaikainen työntekijä käyttää päivittäin kymmeniä eri sovelluksia useilla eri laitteilla.
Sähköposti, pikaviestimet, projektinhallintatyökalut, pilvitallennus ja monet muut palvelut ovat jatkuvasti auki, ja huomio hyppii niiden välillä. Samaan aikaan työntekijöillä on pääsy suureen määrään organisaation tietoa. Yhdistelmä on hyökkääjän näkökulmasta ihanteellinen.
Hyökkäykset ovatkin kehittyneet massaluontoisista tietojenkalastelu tai phishing-kampanjoista tarkoin kohdennettuihin operaatioihin.
Business Email Compromise (BEC) -huijaukset, joissa tekijä esiintyy esimerkiksi toimitusjohtajana tai luotettuna yhteistyökumppanina, hyödyntävät inhimillistä luottamusta ja auktoriteettia. Tekoälyn myötä tällaiset huijausviestit ovat entistä uskottavampia: kieliasu on virheetöntä, sävy osuu kohdalleen ja viesti saapuu juuri oikeaan aikaan.
Ongelma on, että perinteiset tekniset suojaukset eivät riitä näihin hyökkäyksiin. Kun hyökkääjä onnistuu saamaan työntekijän tekemään haluamansa toimenpiteen, kuten klikkaamaan linkkiä, siirtämään rahaa tai jakamaan tunnuksia, eivät palomuurit tai virustorjunnat aina voi pysäyttää tapahtumaketjua.
Perinteisen tietoturvakoulutuksen rajat
Monet organisaatiot ovat vastanneet inhimillisen riskin kasvuun lisäämällä koulutusta. Pakolliset verkkokurssit, phishing-simulaatiot ja säännölliset tietoiskut ovat muodostuneet arkipäiväksi. Lähestymistapa on kuitenkin osoittautunut riittämättömäksi useista syistä.
Ensinnäkin perinteinen koulutus kohtelee kaikkia työntekijöitä samalla tavalla. Talouspäällikkö, joka käsittelee päivittäin suuria maksusuorituksia, saa saman koulutuksen kuin varaston työntekijä, jonka digitaalinen työkalupakki on huomattavasti suppeampi. Riskiprofiilit ovat täysin erilaiset, ja niin pitäisi olla myös koulutuksen.
Toiseksi koulutus on usein irrallista arjen työstä. Kun työntekijä suorittaa tietoturvakoulutuksen kerran vuodessa, opit eivät jää mieleen siinä hetkessä, jolloin niitä todella tarvittaisiin – eli kun epäilyttävä viesti saapuu postilaatikkoon keskellä kiireistä työpäivää.
Kolmanneksi tietoturvatiimeiltä puuttuu näkyvyys siihen, kuka organisaatiossa on todella riskialttiissa asemassa. Ilman tätä tietoa resurssit eivät kohdennu oikeisiin paikkoihin, ja riskienhallinta jää arvailun varaan.
Mitä Human Risk Management tarkoittaa käytännössä?
Human Risk Management (HRM) on lähestymistapa, joka yhdistää teknisen tietoturvan ja ymmärryksen ihmisen käyttäytymisestä. Sen ytimessä on ajatus, että jokaisella työntekijällä on oma yksilöllinen riskiprofiilinsa, joka muodostuu kolmesta tekijästä:
- Käyttäytyminen: Miten työntekijä toimii digitaalisessa ympäristössä? Klikkaako hän epäilyttäviä linkkejä, jakaako hän tietoja varomattomasti, noudattaako hän tietoturvakäytäntöjä?
- Hyökkäysten kohteeksi joutuminen: Kuinka paljon ja minkä tasoisia hyökkäyksiä juuri tähän henkilöön kohdistuu?
- Pääsyoikeudet: Mihin tietoihin ja järjestelmiin työntekijällä on pääsy, ja kuinka kriittistä tämä tieto on?
Näiden tekijöiden yhdistelmästä muodostuu dynaaminen riskikuva, joka päivittyy jatkuvasti. Korkean riskin käyttäjille voidaan kohdistaa tiukempia kontrolleja, yksilöllisempää koulutusta ja tarkempaa seurantaa, kun taas matalan riskin käyttäjät voivat työskennellä kevyemmillä rajoituksilla.
Laaja näkyvyys riskeihin
HRM-lähestymistavan keskeinen etu on, että se tarjoaa tietoturvatiimille näkyvyyden, joka on aiemmin ollut saavuttamattomissa. Keskitetty riskinäkymä näyttää, missä organisaation todelliset haavoittuvuudet sijaitsevat ihmistasolla.
Näkyvyys ei kuitenkaan yksin riitä. Oleellista on kyky toimia tiedon perusteella. Modernit HRM-alustat mahdollistavat seuraavia toimenpiteitä:
- Yksilöllisen tietoturvakoulutuksen kohdentaminen sinne, missä sitä eniten tarvitaan
- Pääsyoikeuksien automaattinen säätäminen riskitason mukaan
- Proaktiivinen reagointi epäilyttävään käyttäytymiseen ennen vahingon syntymistä
- Sisäpiiriuhkien tunnistaminen poikkeavan toiminnan perusteella
- Tietoturvainvestointien priorisointi todellisen riskidatan pohjalta
Kun tietoturvatiimi näkee, että tietty käyttäjäryhmä on toistuvasti kohdennettujen hyökkäysten kohteena ja reagoi niihin riskialttiisti, voidaan tälle ryhmälle kohdistaa erityistä huomiota. Sama periaate toimii myös toisin päin: matalan riskin käyttäjiä ei tarvitse kuormittaa tarpeettomilla rajoituksilla, mikä parantaa työntekijäkokemusta.
Reaktiivisesta proaktiiviseen tietoturvaan
Perinteinen tietoturva on luonteeltaan reaktiivista. Järjestelmä hälyttää, kun jotain on jo tapahtunut, ja tietoturvatiimi kiirehtii selvittämään tilannetta. Tällainen malli kuormittaa tiimejä valtavasti ja johtaa väistämättä siihen, että jotain jää huomaamatta.
HRM-ajattelu kääntää logiikan toisinpäin. Kun riskit ymmärretään etukäteen, voidaan suojaustoimenpiteitä säätää ennakoivasti. Jos järjestelmä havaitsee, että tietyn työntekijän riskiprofiili on noussut (eli hän on esimerkiksi juuri joutunut kohdennetun phishing-kampanjan kohteeksi), voidaan hänen käyttöönsä automaattisesti ottaa tiukempia tarkistuksia muutamaksi päiväksi.
Tämä proaktiivinen lähestymistapa vähentää tietoturvaloukkausten määrää, keventää tietoturvatiimin kuormaa ja parantaa organisaation kykyä vastata nopeasti muuttuvaan uhkakuvaan.
Mistä liikkeelle?
Human Risk Management on kokonaisvaltainen ajattelutapa, joka vaatii sekä teknologisia että organisatorisia muutoksia. Ensimmäinen askel on kuitenkin usein yksinkertainen: organisaation on saatava rehellinen kuva siitä, missä inhimilliset riskit todella sijaitsevat.
Tämä edellyttää työkaluja, jotka yhdistävät tietoa eri lähteistä, kuten sähköpostista, yhteistyöalustoista, pääsynhallinnasta ja käyttäytymisanalytiikasta. Vasta kun tieto on yhdessä paikassa, voidaan tehdä perusteltuja päätöksiä ja rakentaa tietoturvakulttuuria, joka tukee liiketoimintaa sen sijaan että olisi sille este.