Tietoturvallisuuden heikoin lenkki on ihminen – mutta miten sitä vahvistetaan?

05.11.2015 - Lukuaika 4 minuuttia
- Mediat ja teknologia
Ilona Ilvonen - Tutkijatohtori, TkT - Tiedonhallinnan ja logistiikan laitos, Tampereen teknillinen yliopisto

Tietoturvallisuuteen liittyvät uhat tuntuvat helposti etäisiltä ja teknisiltä. Siinä missä päälle jäänyt hellan levy hohkaa kuumana, esimerkiksi tietojen urkintaan tähtäävä sähköposti ei sinänsä tunnu uhkaavalta. Me järjestelmien käyttäjinä olemme kuitenkin niitä, jotka joko pidämme avaimet taskussamme tai ripustamme ne oven viereen kaikkien tarjolle.

Kaikkiin uhkiin varautuminen lähtee tietoisuudesta siitä, minkälaisia uhkia on olemassa. Fyysisen turvallisuuden puolella olemme jatkuvasti tietoisia (ainakin toivottavasti) siitä, onko alusta, jolla kävelemme liukas, hiljentääkö suojatietä lähestyvä auto vauhtiaan tai onko hella pois päältä ruuanlaiton jälkeen. Elämme ympäristössä, jossa tapahtuu koko ajan paljon vaarallisia asioita, mutta arjessa vältämme vaarat rutiinilla. Tietoturvallisuuden puolella meidän pitäisi päästä samanlaiseen tietoisuuden ja vaarojen välttämisen rutiiniin.

Tietoturvallisuuden vaarojen tiedostaminen on siinä mielessä hankalampaa, ettemme näe ja tunne niitä konkreettisesti. Päälle jäänyt hellan levy hohkaa kuumana, mutta esimerkiksi tietojen urkintaan tähtäävä sähköposti ei sinänsä tunnu uhkaavalta, ellemme ole tietoisia siitä minkälaisia tietoja meiltä sähköpostilla normaalisti kysytään ja minkälaisia ei. Kun tietoisuus tästä on olemassa, kalastelusähköposti on yhtä selkeästi uhka kuin punaisena hohkaava hellanlevy. Tämän tietoisuuden syntyminen vaatii halua ymmärtää vallitsevia ja nousevia digitaalisia uhkia.

Tietoturvallisuudessa keskitytään tiedon eheyden, saatavuuden ja luottamuksellisuuden takaamiseen tiedon eri elinkaaren aikana. Tässä tekstissä keskitytään luottamuksellisuuden aspektiin, sillä sen säilyttämisessä ihmisen omalla toiminnalla on kaikkein eniten merkitystä.

Digitaalinen ympäristömme muuttuu jatkuvasti. Yksittäisiä uhkia tärkeämpää on siis oppia tunnistamaan tilanteita, jotka saattavat olla uhka tiedoillemme. Aina kun jaamme, talletamme tai käsittelemme tietoa digitaalisissa ympäristöissä, on hyvä tiedostaa tiedon arvo. Onko tämä tieto luottamuksellista? Jos on, keneltä sitä pitää suojella? Kenellä tulee olla pääsy siihen? Miten tiedon luottamuksellisuus muuttuu ajan myötä? Millä tavalla minun tulisi tietoa käsitellä ja kommunikoida siitä?

Viime aikoina erityisesti Yhdysvalloissa on puitu entisen ulkoministerin Hillary Clintonin sähköpostin käyttöä, hän kun ulkoministerinä ollessaan käytti sähköpostiviestintään henkilökohtaista sähköpostia eikä hallinnon hänelle tarjoamaa sähköpostia, jonka käyttö sittemmin on määritelty pakolliseksi. Vaikka yhtenä mielenkiinnon kohteena onkin ollut, olivatko sähköpostit salattuina Clintonin omalla palvelimella vai eivät, olennaisempaa on, mitä tietoa ja miksi Clinton on henkilökohtaisen sähköpostinsa kautta jakanut ja kenelle. Hän on tiedostanut sähköpostin riskit puutteellisesti – tai ainakin näin jälkikäteen arvioituna näyttää siltä.

Hyvässä uskossa toimiminen ja pääasiassa harmittoman tiedon jakaminenkin voivat aiheuttaa tietoturvariskin, jos myöhemmin kaikkein arvokkaimmaksi tiedoksi osoittautuu se, kenen kanssa on viestitty.

Tuoreen uutisen mukaan Clinton ei ole ainoa sähköpostinsa kanssa sählännyt. Korkean profiilin henkilöiden kohdalla kiinnijäämisen riski on toki korkeampi kuin tavallisen kaduntallaajan.

Toteutuneiden tietoturvaongelmien aiheuttamia vahinkoja on vaikea mitata. Onko Clintonin sähköposteja vuotanut asiattomille tahoille? Jos, kuinka paljon vahinkoa siitä on aiheutunut? Emme tiedä. Kuten emme tiedä sitäkään, menettääkö Clinton sähköpostiensa takia presidenttiehdokkuuden.

Tietoisuus luottamuksellisuudesta ohjaa pohtimaan, minkälaisilla foorumeilla jaamme ja käsittelemme tietoa. Jos kirjoittamamme henkilökohtainen vuodatus on tarkoitettu vain pienelle joukolle ihmisiä, ei sitä kannata jakaa sosiaalisessa mediassa.

Erittäin arkaluontoiset keskustelut kannattaa käydä kokonaan digitaalisten ympäristöjen ulkopuolella. Jos digitaalista kopiota tiedosta ei ole olemassa, ei sen turvallisuudestakaan tarvitse huolehtia.

Arkipäiväisiä asioita sen sijaan voimme huoletta käsitellä rajatun pääsyn foorumeilla, joiden luottamuksellisuus ei ole taattua, mutta tiedon leviäminen ei kaataisi maailmaa. Olen feissarimokat.com –sivuston säännöllinen lukija, ja mielestäni sivusto toimii erittäin hyvänä esimerkkinä siitä, miten erilaisia käsityksiä ihmisillä on yksityisestä ja julkisesta. Sivusto näyttää myös, että rajattu viestintä voi helposti päätyä julkiseksi, vaikkakin jonkinasteisesti anonyymina.

Tietoisuus uhista on ensimmäinen askel turvaamisessa. Sen jälkeen heikoimman lenkin vahvistaminen jatkuu harkinnan ja terveen järjen käytöllä. Ne vievät toki kaikissa turvallisuusasioissa pitkälle, mutta digitaalisten ympäristöjen kohdalla tarvitaan lisäksi halua ymmärtää ympäristöä ja siihen liittyviä uhkia. Jos uhkia ei ymmärrä, oikea tapa toimia on kysyä neuvoa niiltä jotka ymmärtävät. Tämä olisi ehkä säästänyt Hillary Clintoninkin monelta harmaalta hiukselta.

 
 

Ilona Ilvonen

Tutkijatohtori, TkT - Tiedonhallinnan ja logistiikan laitos, Tampereen teknillinen yliopisto
 

Kommentit

Uutistamo

Kirjaudu tai luo tunnus Uutistamoon
Twitter- tai Facebook-tunnuksillasi

Facebook Twitter

Uutistamo ei lähetä viestejä Facebookiin tai Twitteriin puolestasi.