Vältä kyberrikoksen uhriksi joutuminen – tunnista inhimilliset riskitekijät

Tietoturva blogisarja OSA 3 300x800px


Vältä kyberrikoksen uhriksi joutuminen – tunnista inhimilliset riskitekijät



Sen lisäksi, että olen vanhempana konsulttina Sulavalla, teen työtä myös Tampereen yliopistolle, jossa toimin tutkijana ja tohtorikoulutettavana yhteiskuntatieteiden tohtoriohjelman puitteissa. Tutkimuskohteenani ovat nuorten, nuorten aikuisten ja työssäkäyvien ihmisten kyberrikosuhrikokemukset ja niitä selittävät tekijät. Tutkimustyössäni myös pohdin niitä yksilöllisiä, yhteisöllisiä ja yhteiskunnallisia keinoja, joilla rikosuhrikokemusten määrää voidaan vähentää.

Internetistä on digitalisaation ja alati kehittyvien digitaalisten palveluiden myötä tullut virtuaalinen kohtauspaikka, uuden ajan tori, jossa ihmiset tapaavat toisiaan, hoitavat yksityisasioitaan ja tekevät työtään. Voisi sanoa, että internetin digitaalisten palveluiden kautta ihmiset ovat luoneet uusia elämää helpottavia tapoja hoitaa arkirutiineja. Internetin arkielämää helpottavan rutiininomaisen käytön mukana valitettavan arkipäiväisiksi ovat muuttuneet lieveilmiöt kuten verkossa tapahtuva kiusaaminen, nettihäirintä ja nettirikollisuus.

”Internetin rutiininomainen käyttö, sekä ruokkii rikollisuutta, että toimii rikollisuuden kasvualustana.”

Poliisin virallisten tilastojen ja tutkimustiedon perusteella on nähtävissä trendi, jossa kokonaisrikollisuuden määrä pysyttelee suhteellisen vakiona perinteisen rikollisuuden määrän laskiessa ja kyberrikollisuuden määrän kasvaessa. Tilastokeskuksen mukaan internetin ja sen palveluiden käyttö jatkaa kasvuaan. Tilastokeskuksen mukaan 18–89-vuotiaista 89 % käyttää internetiä ja nuorista 16–24-vuotiaista jokainen käyttää internetiä. Internetin käytön määrä kasvaa nimenomaan vanhemmissa ikäpolvissa. Mikään ei indikoi, että tilanne tulisi muuttumaan päinvastaiseksi rikosten tai internetin käytön osalta.

”Yrityksen työntekijät osaksi tietoturvaa”

Entäpä sitten yritysmaailmassa? Kyberuhkien osalta moni yritys yhä suuntaa katseensa palomuurin toiselle puolelle, pyrkien miettimään kuka heitä vastaan hyökkää. Miksi hyökkäys tehdään ja miten puolustuksen voisi rakentaa teknisten ratkaisujen varaan? Hyökkääjien kohteena ovat tänä päivänä ennen kaikkea yritysten ihmiset ja heidän digitaaliset identiteettinsä, jolloin hyökkäysvektoreina ovat inhimilliset tekijät. Kuluneen vuoden aikana niistä onnistuneista hyökkäyksistä, joista olemme saaneet lukea lehdistä, suurin osa on ollut sellaisia, jotka ovat kohdistuneet ihmisiin.

”Motivoitunut rikollinen + potentiaalinen uhri – ehkäisevä toimija = kasvanut rikoksen riski”

Kyberrikos tapahtuu yleensä silloin, kun rikoksen tekijä kohtaa uhrinsa tilanteessa, josta puuttuu ehkäisevä toimija. Riski rikoksesta kasvaa erityisesti silloin, kun rikoksen tekijä edellä mainitussa tilanteessa hyödyntää jotain inhimillistä piirrettä meissä. Pelkkä tilanteen huomioiva kyberhyökkäys on opportunistinen joka näkyy esimerkiksi kehnoina kalasteluyrityksinä, mutta kohdistettu kalasteluhyökkäys, jossa kohteena oleva ihminen on erityisesti huomioitu, on yleensä se joka menee läpi.

Kaikki internetin tai netissä olevien palveluiden käyttäjät eivät joudu rikoksen uhreiksi. Ja toisaalta heistä, jotka joutuvat rikoksen uhreiksi, monella uhrikokemuksia on useita. Toisin sanoen, uhrikokemukset kasautuvat pienelle osajoukolle ihmisiä. Nuorista ja nuorista aikuisista hieman alle 10 % joutuu vuosittain kyberrikoksen uhriksi joko työaikana tai vapaa-ajalla. Empiirisen tutkimustuloksen mukaan merkittävimpiä riskitekijöitä nuorten aikuisten keskuudessa ovat kiire, heikot IT-taidot, yrityksen huonot prosessit, internetin ongelmakäyttö, impulsiivisuus, sosiaalisen median käyttötavat ja yksinäisyys. Tilanteessa, jossa useampi tekijä toteutuu samanaikaisesti, rikoksen uhriksi joutumisen riski kasvaa merkittävästi.

”Kaikkien riskitekijöiden poistaminen ei ole mahdollista, riskin pienentäminen on”

Riskitekijöistä kaikkia ei voida poistaa, mutta moneen niistä voidaan vaikuttaa pikkurahalla tai jopa ilmaiseksi. Maksuliikenteen prosessien läpikäynti ja heikkouksien tunnistaminen, kiiretilanteiden huomiointi, koulutus IT-osaamisessa ja sosiaalisen median käyttötavoissa tai vaikkapa avun löytämisen helpottaminen ovat kaikki toimia, joilla riskitekijät voidaan huomioida ja riskejä pystytään pienentämään. Jo pelkästään tunnistamalla riskit, ne voidaan huomioida ja turvallisuutta pystytään parantamaan ihmisten ja siten yrityksen osalta. Toisin kuin ne hyökkääjät, nämä ihmiset ovat palomuurin samalla puolella.

Mitä siis tehdä? Alla muutama vinkki, joista voit aloittaa:

  • Suunnittele ja toteuta jatkuva, selkeä, kontekstuaalinen, yhteisöllinen ja palkitseva tietoturvan koulutusohjelma työntekijöille
  • Jalkauta koulutus monimuotoisesti perinteisenä koulutuksena, Teamsin avulla tai hyödyntäen intranetiä ja sähköpostia
  • Huomioi yrityksen prosessit ja toimintamallit ja hio niitä turvallisimmiksi
  • Pidä huoli siitä, että tietoturvasta vastaavien ihmisten löytäminen on työntekijöille helppoa ja kynnys yhteydenottoon on matala
  • Tee henkilökunnastasi osa tietoturvaratkaisua
  • Ole minuun yhteydessä ja sovitaan tapaaminen ja keskustellaan lisää

 

Lue blogisarjan ensimmäinen osa ”Tietoisuus lisää tuskaa, tieto ei”.
Lue blogisarjan toinen osa ”Saisinko yhden tietoturvakoulutuksen, kiitos”.



Senior Consultant, ICT & Cyber Security. Marko on toiminut yli 20 vuoden ajan erilaisissa asiantuntija- ja konsultointitehtävissä, vastannut palveluliiketoiminnasta, toiminut kouluttajana sekä on tutkijakoulutettavana Tampereen yliopistolla. Sähköposti: marko.mikkola@sulava.com