Vieraskynä: Pelaamalla tietoturvasta tulee kaikkien asia
04.06.2018 klo 10:18
Ihmisten tietoturvatietoisuus on keskeistä kemia- ja prosessiteollisuudessa. Jos tietoturva pettää, seuraukset voivat olla kohtalokkaat, vaikutukset voivat ulottua lääketurvallisuuteen tai lääkkeiden saatavuuteen saakka. Tietoturvan jalkautus osaksi yrityskulttuuria on asia, johon yritysten kannattaa panostaa. Keskeisessä asemassa on henkilöstön jatkuva tietoturvakoulutus, jonka ei tarvitse olla puuduttavaa pakkopullaa. Kybeturvallisuuskeskuksen kemian alan yhteistyö- ja tiedonvaihtoverkoston (KEMIA-ISAC) kyberturvallisuusnäkökulmista kirjoittaa nyt Orionin Ulla Palmila.
Ulla Palmila työskentelee Orionilla tietoturvapäällikkönä.Suuri osa kemia- ja prosessiteollisuuden infrastruktuurista on jo iäkästä, siksi tietoturva ei välttämättä ole riittävällä tasolla. Etenkin teollisuusautomaatioon on ennustettu kohdistuvan yhä enemmän hyökkäyksiä tulevaisuudessa. Teollisuuden alan tietoturvan kehittäminen on tärkeää, mihin moni kemian alan yritys panostaa. Jatkuva tietoturvakoulutus ja tietoturvan jalkautus osaksi yrityskulttuuria on tärkeä keino tietoturvan parantamiseen. Toimistoympäristöön verrattuna teollisuusautomaation toiminnassa riskit ovat erilaisia, mikä on huomioitava myös henkilöstöä koulutettaessa.
Ihmistä on helpompi huijata kuin konetta
Teknisten kontrollien on oltava kunnossa, mutta ne eivät yksin pysty suojaamaan tietoturvauhilta. Tietomurtojen taustalla ovat usein ihmisen tekemät virheet, siksi tietoisuus ja valppaus on tärkeää.
Kyberrikolliset käyttävät surutta hyväkseen ihmisten hyväuskoisuutta päästäkseen käsiksi liiketoiminnalle merkittävään tietoon tai järjestelmään.
Rikollisen ei tarvitse olla edes teknisesti taitava, vaan hän voi kysyä tietoja suoraan ihmiseltä. Käyttäjätunnusten ja salasanojen kalasteluja on nähty paljon, huijausviestitkin ovat nykyisin hyvin aidon näköisiä. Jos viesti esimerkiksi näyttää tulevan omalta kollegalta, sen aitoutta tai lähettäjän luotettavuutta ei välttämättä kyseenalaisteta.
Kohdistettu tietojenkalastelu on tehokas, sosiaalista manipulointia hyödyntävä hyökkäysmuoto. Ihmiseltä voi saada hyvin paljon yrityksen kriittistä tietoa ihan vain soittamalla ja kysymällä. Entäpä kuinka usein olet keskustellut yrityksen sisäisistä asioista esimerkiksi lentokentällä tai kuullut muiden keskustelevan oman yrityksensä asioista?
Tietoturvakoulutus voi olla myös hauskaa!
Ei riitä, että tietoturva-asioita käydään läpi kerran vuodessa, vaan tietoturvakoulutuksen tulee olla jatkuvaa, jotta se pysyy mielessä jokapäiväisessä arjessamme.
Markkinoilla on saatavilla tekoälyyn perustuvia koulutuspelejä, jotka simuloivat sähköpostin kautta saapuvia tietoturvahyökkäyksiä ja opettavat tunnistamaan erilaiset huijaukset. On erityisen tärkeää, että juuri nämä tietoturvailmiöt tulevat henkilöstölle tutuiksi, koska tällä hetkellä tietojenkalastelu sähköpostitse on erittäin yleistä ja ajankohtaista. Kyberrikolliset yrittävät hyödyntää ihmismieltä ja houkuttelevat klikkaamaan haitallista liitetiedostoa, linkkiä tai näpyttelemään salasanansa väärään paikkaan.
Pelillistämällä saadaan henkilöstö kiinnostumaan tietoturvasta, ja säännöllisesti pidettävät lyhyet mikrokoulutukset pitävät tietoturvailmiöt paremmin mielessä. Pilottikokemukset tietojenkalastelupelistä ovat olleet hyviä ja saaneet kiitosta henkilöstöltämme. Palautteena on tullut muun muassa, että simulaatiot antavat hyviä neuvoja ja ovat sopivan mittaisia. Henkilöstön valveutuvuus sähköpostihyökkäyksistä on myös noussut: 96 % osallistuneista koki oppineensa simulaatiosta.
Toteutimme kevään aikana tietoturvakoulutuksen pakohuonepelin hengessä. Pakopeli-idean sain Viestintäviraston E-CIP-ryhmästä Tomi Pitkäseltä.
Valitsimme neljä tärkeää tietoturvaan liittyvää asiaa, jotka halusimme henkilöstömme oppivan. Lopulta yhteistyökumppanimme suunnitteli ja toteutti koulutuksen pakohuonepelimäisesti. Koulutuksen julkaisun jälkeen pelipaikat myytiin hetkessä loppuun. Henkilöstön mielestä koulutus oli ennen kaikkea kivaa ja opitut asiat jäivät varmasti mieleen paremmin kuin lukemalla tai kuuntelemalla. Koko organisaatio oli innoissaan!
Kaiken – myös tietoturvan – perustana on johdon tuki
Jos yritysjohto ei osoita kiinnostusta tietoturvaan tai pidä sitä tärkeänä, tietoturvaa on vaikeaa saada osaksi yrityskulttuuria. Avainasemassa on johdon riittävä tietämys tietoturvariskeistä, –uhista ja suojautumiskeinoista. Kun viesti tietoturvan tärkeydestä tulee johdolta, henkilöstö omaksuu sen helpommin ja nopeammin. Näin siitä tulee myös osa työn arkea ja tapaa työskennellä.
Tietoturva on koko henkilöstön asia, ja se tulee ottaa huomioon kaikessa yrityksen toiminnassa. Henkilöstölle tulee tarjota erilaisia oppimismahdollisuuksia, koska me kaikki opimme eri tavoin. On tärkeää, että henkilöstö pitää silmänsä auki ja raportoi välittömästi huomatessaan tietoturvariskin tai -poikkeaman.
Kyberturvallisuuskeskus tukee kemian alan kyberturvallisuusasiantuntijoita työssään muun muassa koordinoimalla tiedonvaihtoryhmä KEMIA-ISAC:n toimintaa. Tiedonvaihtoryhmässä alan asiantuntijat voivat luottamuksellisesti keskustella käytännön ongelmista ja niiden ratkaisuista myös sellaisten kollegoiden kanssa, jotka eivät suoraan osallistu puheena olevan asian käsittelyyn.