Oulun yliopiston kuukauden tutkija professori Mikko Siponen, tietojenkäsittelytieteiden laitos
Käyttäjä on tietoturvan heikko lenkki
Puolihuolimattomasti työpaikalla avattu internetlinkki sähköpostiviestissä saattaa päästää työnantajan tietojärjestelmään viruksen, jonka poistaminen vaatii paljon työtunteja ja tuottaa huomattavat lisäkustannukset. Lentoterminaalin tuolille taskusta tipahtanut muistitikku sisältää yrityksen suunnitelmat pitkään kehitetystä tuotteesta. Vääriin käsiin joutuessaan sen hukkaamisesta seuraa työnantajayritykselle merkittävät tulonmenetykset.
Tietoturvaan liittyvät uutiset kertovat usein uusista tietojärjestelmien toimintaa uhkaavista viruksista tai teknisistä yrityksistä saada haltuun esimerkiksi kansalaisten pankki- ja luottokorttitunnuksia. Sen sijaan harvoin kerrotaan, millainen riski ihmisten käyttäytyminen on tietoturvalle. Sitä tutkii tietojenkäsittelytieteiden professori Mikko Siponen Oulun yliopistosta.
”Inhimilliset tekijät ovat suuri riski tietoturvalle organisaatiossa. Jos yrityksessä on töissä 20 000 ihmistä, melkein kuka vain heistä voi tahattomasti saada aikaan huomattavan vahingon”, Siponen sanoo.
Tavallisten tietotekniikan käyttäjien tietoturvakäyttäytymistä Mikko Siponen on tutkinut kyselyjen, haastattelujen ja havainnointitekniikoiden avulla. Edellisillä keinoilla kerättyä tietoa käyttäjien tietoturvakäyttäytymisestä Siponen on tulkinnut sosiaalipsykologian ja käyttäytymistieteiden teorioiden ja tutkimuksen avulla. Tavoitteena on ollut muun muassa selvittää, mitkä teoreettiset mallit ja teoriat selittävät käyttäjien tietoturvakäyttäytymistä ja miten sitä voidaan parantaa.
”Ihmiset suhtautuvat tietoturvaan hyvin vaihtelevasti. Useinkaan sitä ei pidetä tärkeänä eikä myöskään noudateta siitä annettuja tietoturvaohjeita. Joskus vika voi olla myös huonoissa ohjeissa esimerkiksi niin, että ne eivät vastaa työtehtäviä”, kuvaa Siponen.
Käyttäytymistä voidaan muuttaa
Tutkimuksissaan Mikko Siponen ei ole tyytynyt vain kirjaamaan vallitsevaa tilannetta ja tietoturvan ongelmia. Useissa tutkimusprojekteissa on selvitetty, voidaanko ihmisten käyttäytymistä muuttaa ja miten. ”Tulokset osoittavat, että ihmisten käyttäytymistä voidaan muuttaa. Keinoina toimivat tietoturvaa koskeva koulutus ja kampanjat, ja niiden vaikutus on voitu mittaamalla osoittaa.”
Siponen näkee keskeiseksi keinoksi vähentää tietoturvaongelmia yleisen käyttäytymisen muutoksen. ”Tietoturvan tiedostaminen ja noudattaminen osana tietotekniikan käyttöä alkaa olla osa kansalaistaitoa, ajetaanhan autoiluakin varten ajokortti erikseen. Ohjaamisen tietoturvalliseen käyttäytymiseen tulisi alkaa peruskoulusta lähtien ja jatkua läpi työuran.”
Tietoturvaongelmia voitaisiin ratkaista myös tutkimuksella. Mikko Siposen mukaan tietotekniikan kotikäyttäjiä tulisi tutkia enemmän kuin tähän saakka on tehty.
Yksilöllinen tietoturvapolitiikka toimii
Yli kymmenen vuoden ajan tietoturvaa tutkineen Mikko Siposen mielenkiinnon kohteena ovat olleet myös prosessit ja menetelmät, joilla organisaation tietoturvapolitiikkaa voidaan kehittää. ”Tutkimuksissa on todettu, että tietoturvapolitiikan tulee olla yksilöllistä eli se on sovellettava joka yritykseen ja organisaatioon erikseen.” Yksi haaste tietoturvan kehittämiselle organisaatiossa ovat Siposen mukaan sen johdon asenteet. Toisinaan rahahanoja säätelevälle johdolle voi olla vaikeaa osoittaa, mitkä ovat tietoturvainvestoinneista koituvat rahalliset hyödyt. ”Paras tilannehan tietoturvan kohdalla on se, kun mitään ei tapahdu.” Mikko Siposen uusin tutkimusprojekti selvittää, miten tietoturvainvestoinneista saatavaa hyötyä voidaan mitata.
Tunnettuja tietoturvaongelmia ovat markkinoille tulevat ohjelmistot, joista jonkin käyttöajan jälkeen löytyy ohjelmointivirheitä ja haavoittuvuuksia eli tietoturva-aukkoja. Keino korjata tilannetta on tuoda tietoturva mukaan tietojärjestelmien ja ohjelmistojen kehittämiseen alusta lähtien. Niiden parissa työskentelevien ammattilaisten käyttöön voidaan Siposen mukaan tutkimuksen avulla kehittää työkaluja, jotka helpottavat tietoturvan huomioimista kaikissa järjestelmän ja ohjelmiston kehitysvaiheissa.
Tutkijat ja yritykset verkottuvat
Tutkimuksen tuottaman teorian lähentämiseksi käytäntöön Oulun yliopistoon perustettiin kuluvan vuoden alussa Siposen ja muiden tietoturvaan tietojenkäsittelytieteiden laitoksessa keskittyneiden tutkijoiden työhön perustuva tietoturvallisuuden tutkimuskeskus. Sen keskeisiä tavoitteita on verkottaa yrityksiä alan huippututkijoiden kanssa ja siirtää tieteellisen työn tuloksia yritysten käyttöön.
”Keskuksella haluttiin antaa tekemällemme työlle selkeä nimi. Tutkimuksemme tähtää korkeaan tieteelliseen tasoon. Keskuksen toimintaan ja rahoitukseen osallistuvat yritykset toimivat kuitenkin myös testiympäristöinä, joissa teoriaa viedään käytäntöön.” Tekes on listannut uuden tutkimuskeskuksen yhdeksi esimerkiksi huippututkimuksesta tietotekniikan ja informaatiotekniikan alalla Suomessa.
Lisätietoa Oulun yliopiston kuukauden tutkijoista: www.oulu.fi/varainhankinta/tutkijat/
