Teknologiasta käytetään usein slogania ja kysymystä, että onko jokin mahdollisuus vai uhka. Ylipäätään voi miettiä, mikä on sellainen tilanne, jossa toista näistä ei löydy? Käytännössä 100% riskitöntä tilannetta ei ole helppoa kuvitella, muuten kuin kaikkinainen toiminta lopettamalla. Entä miten tämä sama koskee meitä ihmisiä?
Sinä olet – XXXX – HEIKOIN LENKKI!
Kukapa meistä ei ole kuullut väitettä siitä, että me olemme jonkin asian heikoin lenkki. Ei kuulosta oikein kannustavalta ja motivoivalta. Sen takia toivoisinkin, että meistä puhuttaisiin toiminnan mahdollistajina.
Omalla toimialallani tässä yhteydessä yleensä viitataan tietoturvaan tai tietosuojaan. Osin tämä pitää paikkansa etenkin niissä tilanteissa, joissa organisaatio ei ole huolehtinut niistä velvoitteista, jotka sen olisi pitänyt hoitaa. Esimerkiksi turvallisuuden osalta voi todeta, että niin kauan kun seuraavat asiat EIVÄT ole kunnossa, todennäköisyys erilaisten henkilöstön aiheuttamien poikkeumien aiheuttamiseen on suuri:
- Saatavilla on tarvittavan laaja, helppokäyttöinen ja ymmärrettävä ohjeistus
- Ohjeistus on koulutettu ja koulutusta on saatavilla nykyaikaisilla koulutusmenetelmillä
- Henkilöstölle tiedotetaan säännöllisesti muutoksista, tietoturvan osalta uusista uhkakuvista
- Ohjeistusta tukevat palvelut ja prosessit ovat henkilöstöllä helposti saatavilla ja käytettävissä
- Esimiehet tukevat alaisiaan tässä toiminnassa
- Johto on sitoutunut asiaan ja toimii hyvänä esimerkkinä
- Organisaatioon on kehittynyt oikeanlainen asenne
- Asenteesta syntyy pitemmällä aikavälillä toimintakulttuuri
Nyt jos listaa katsoo, eikä tämä pitäisi koskea lähes kaikkea organisaatiossa tehtävää toimintaa, ei pelkästään turvallisuuteen liittyviä osa-alueita?
Mikä meillä aiheuttaa ongelmia – kiire ja inhimilliset erehdykset!
Olen pitkään seurannut ja tarkkaillut omaa toimintaani – yli 10 vuotta – turvallisuuden näkökulmasta. Keskeisin havaintoni on se, että suurin erilaisten ongelmien ja uhkien, mahdollisten poikkeamien aiheuttaja tuntuu olevan kiire.
Henkilökohtainen esimerkki. Olen juuri lähettämässä sähköpostia, kiire, koska mielenkiintoinen esitys, jonka haluan kuulla, on alkamassa klo 12.00 ja enää vain pari minuuttia aikaan. Lähetän sähköpostin kolmelle vastaanottajalle ja liitän mukaan tarvittavan liitteen. Koska on kiire, en toteuta MMKT-toimintamallia vaan napautan Outlookissa ctlr + enter joka on nopein tapa lähettää esillä oleva sähköpostiviesti. Katseltuani esityksen palaan takaisin sähköpostin ääreen huomatakseni, että olin mokannut. Tai tekniikka oli pettänyt (tuntuu paremmalta syyttää sitä).
Outlook ehdottaa vastaanottajia aikaisemmin käyttämiesi, kirjoittamiesi kirjaimien perusteella eli täyttää ja ehdottaa vastaanottajia. Itselläni oli tapahtunut sellainen muutos, että henkilö jolle olin aikaisemmin lähettänyt paljon viestejä, olikin tippunut listalle kakkostilalle ko. alkuisissa nimissä ja tilalle oli tullut uusi nimi, jonka kanssa olin viime viikkoina viestitellyt ahkerammin. Nimet tietysti muistuttivat toisiaan paljon. Kiireessä en tätä muutosta huomannut ja postini lähti liitteineen väärälle henkilölle. Onni onnettomuudessa, viesti ja liite olivat julkisia asiakirjoja ja siinä mielessä ei aiheuttanut poikkeamaa, ainoastaan itselleni vahvan nolostumisen tunteen.
Miksi näin kävi? Koska en noudattanut kehittämäämme MMKT-toimintamallia turvalliseen työskentelyyn! Miksi – koska oli kiire. Selitys. Mikä ihmeen MMKT?
MMKT – toimintamalli turvalliseen työskentelyyn
Oletko huolestunut, miten voit varmistaa tietoturvallisen ja tietosuojaa edistävän toiminnan omassa työssäsi? Itse asiassa myös Euroopan Unioni on tästä huolestunut ja toteaa kyberturvallisuuteen liittyvässä tiedonannossa, että ”noin 95 prosenttia kyberturvallisuuspoikkeamista väitetään olevan sellaisia, jotka ovat tapahtuneet – tarkoituksellisen tai tahattoman – inhimillinen virheen vuoksi.”
Valtiovarainministeriö on julkaissut syksyllä MMKT-mallin inhimillisten virheiden vähentämiseksi, jossa kirjaimet tarkoittavat:
Valtiovarainministeriö on julkaissut tästä pari tukimateriaalia eli sarjakuvan sekä videon, jonka suosittelen jokaisen katsomaan ja jakamaan sen omaan toimintaympäristöön ja sosiaaliseen mediaan, käytämme tässä #MMKT-tunnistetta.
Ollaan siellä digitaalisessa ja fyysisessä toimintaympäristössä varovaisia!
Ihminen on toiminnan mahdollistaja ja uhkien osalta tässä kirjoituksessa kuvattuja malleja noudattamalla meidän aiheuttaman riskin todennäköisyyttä voidaan pienentää, ei kokonaan poistaa. Niin, entä jos toiminkin sovellus- tai toiminnan kehittäjänä? Kaikki meistä käsittelee tietoja ja jos todennäköisyys inhimillisistä virheistä meidän käyttäjien toimesta pienentyy, siirtyy se enemmän palveluiden ja laitteiden vastuulle. Ja kuka vastaa niiden taustalla toimivista ohjelmista? Keinoälyä emme pääse tässä ihan heti syyttämään heikoimman lenkin ominaisuudesta, mutta tilalle tulee varmasti muita sitä koskevia huolia ja uhkia.
Kimmo Rousku, tietokirjailija ja VAHTI-pääsihteeri, on toiminut sivutoimisena tietokirjailijana ja luennoitsijana vuodesta 1985 alkaen. Päätoimenaan hän kehittää digitaalista turvallisuutta julkiseen hallintoon VAHTI-pääsihteerinä valtiovarainministeriössä. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ne ovat hänen henkilökohtaisia mielipiteitään.
kimmo [ät] ict-tuki.fi