Isoin kysymys kyberturvan edistämisessä näyttää liittyvän tällä hetkellä ihmisen toimintaan ja organisaatioiden toimintakulttuuriin. Tietoa kyberturvallisista toimintatavoista on paljon – silti virheitä sattuu. Käytäntöjä muuttamalla saadaan paljon aikaan, mutta myös asenteiden muutosta tarvitaan. Ihmistä pidetään kyberturvan heikoimpana lenkkinä, mutta voisiko kulttuurin muutoksen myötä ollakin niin, että ihminen nähtäisiin aktiivisena ja kykenevänä osana kyberturvallista yhteisöä?
Organisaatiot pitävät kyberuhkia merkittävimpänä toimintaansa kohdistuvana riskinä jo neljättä vuotta peräkkäin 1. Kyberturvan kohottaminen erilaisten teknisten ratkaisujen avulla onkin varmasti yksi merkittävimmistä toimenpiteistä, johon organisaatiot ovat kohdistaneet huomiota ja tehneet investointeja viime vuosina.
Kuitenkaan isotkaan investoinnit teknisiin ratkaisuihin eivät ole riittävä keino turvaamaan organisaatioita kyberuhilta. Ne eivät ulotu ilmiön inhimilliseen puoleen: väitetään, että noin puolet tietovuodoista aiheutuu inhimillisistä tekijöistä 2. Isoimmaksi kysymykseksi tietovuotojen estämisessä on nostettu se, miten ihmisten toiminnasta saadaan turvallisempaa.
Huolella hoidettu teknisen puolen kyberturvatuki voi saada ihmiset tuudittautumaan ajatukseen, että asiat ovat jo kunnossa eikä omalla panoksella ole merkitystä 3. ”IT hoitaa” -ajattelu on valitettavan yleistä ja vaarantaa kyberturvaa monessa organisaatiossa. Samalla käsitystä ihmisestä kyberturvan heikoinpa lenkkinä tulkitaan liiankin yksioikoisesti 4. Mikäli teknologia olisi jo riittävän kehittynyttä, eikö se tunnistaisi ja estäisi esimerkiksi kalasteluviestit?
Miten kyberturvaan liittyvä tietoisuus muuttuu käytännön teoksi?
Organisaatioissa on panostettu viime vuosina kyberturvallisia toimintatapoja koskevan tietoisuuden kasvattamiseen, ja yleisestikin tarjolla on runsaasti tietoa kyberturvallisista toimintatavoista. Silti estettävissä olevien inhimillisten erehdysten aiheuttamia tietovuotoja tapahtuu jatkuvasti. Miksi kaikesta tietoisuuden lisäämisestä huolimatta edelleen on näin?
Kysymys on siitä, miten tietoisuus kyberturvasta muuttuu toiminnaksi: arjen käytännöiksi ja päivittäisiksi toimintatavoiksi. Niiden avulla uudet tavat tehdä juurtuvat vähitellen osaksi organisaation arkea eivätkä kalasteluyritykset enää kanna hedelmää.
Kyberturvallinen toiminta organisaatiossa heijastaa aina sen muuta toimintaa. Jos organisaatiossa sallitaan ylipäätään välinpitämätön suhtautuminen ohjeisiin ja toimintatapoihin, on oletettavaa, että samalla lailla suhtaudutaan myös kyberturvaan. Kyberturvallisuuskulttuuri kuvastaa aina organisaation arvoja, asenteita ja totuttuja käyttäytymistapoja 5.
Arvot ja asenteet viitoittavat tietä kyberturvallisuuden edistäjänä
Jos halutaan muuttaa kyberturvallisuuskulttuuria, täytyy ensinnäkin puuttua siihen, millaiset arvot, asenteet ja tavat ylipäätään ovat organisaatiossa toivottuja ja hyväksyttyjä. Onko esimerkiksi sallittua jättää lukematta tärkeäksi luokitellut viestit (joku kyllä kertoo, jos niissä oli jotain oikeasti tärkeää)? Tai olla piittaamatta yhteisten oleskelutilojen siisteyttä koskevista ohjeista (joku muu siivoaa minunkin jälkeni)? Jos näitä asioita katsotaan läpi sormien, miten ihmiset oppivat noudattamaan tiukemmin esimerkiksi kybertuvallisuuteen liittyvää ohjeistusta?
Tämä pätee myös käsitykseen ihmisestä kyberturvan heikoimpana lenkkinä. Ihmisten syyttely ei ratkaise asiaa, ja sen onkin todettu olevan helppo ratkaisu monisyiseen ongelmaan. Kyberturvallisuuden puutteiden taustalta on löydetty mm. riittämätöntä kyberturvakoulutusta, organisaatioiden monimutkaisia tietoturvakäytäntöjä ja turvallisuusratkaisujen käytettävyyshaasteita 4.
Lisäksi on hyvä kiinnittää huomiota myös siihen, miten organisaatiossa suhtaudutaan virheisiin. Eli mitä seuraa siitä, jos esimerkiksi kertoo muille menneensä ajattelemattomuuttaan klikkaamaan sähköpostilinkkiä, jota ei ehkä olisikaan pitänyt klikata? Virheet ovat hyvää yhteistä oppimateriaalia. Virheistä rankaiseminen johtaa vain niiden piilotteluun ja jolloin asiat helposti pahenevat entisestään, eikä kukaan opi mitään.
Kulttuurin tavoitetila: Ihminen aktiivisena osana kyberturvallista yhteisöä
Kyberturvallinen toiminta on jokaisen ihmisen vastuulla, mutta se on myös organisaation yhteisellä vastuulla. Kollegoina huolehdimme toinen toisistamme ja uskallamme huomauttaa, jos havaitsemme toiminnassa jotain kyberturvallisuutta uhkaavaa. Esihenkilöt ja johto ovat erityisen tärkeässä roolissa näyttämässä omalla toiminnallaan mallia. Heillä on lopulta suurin vaikutus siihen, millaiseksi kulttuurin on mahdollista muuttua.
Kulttuurin muutos on pohjimmiltaan ajattelutavan muutosta, ja keskeiseksi nouseekin kysymys, miten ihminen kyberturvallisuuden suurimpana uhkana –ajatus käännetään ajatukseksi ihmisestä kyberturvallisuuden suurimpana mahdollisuutena? Millaista muutosta organisaatioiden arvoissa, asenteissa ja toimintatavoissa tarvittaisiin, jotta ihminen nähtäisiinkin aktiivisena ja kykenevänä osana kyberturvallista yhteisöä? 4
Kulttuurin muuttaminen ei tapahdu yhdessä yössä, mutta pitkäjänteisellä työllä se on todistetusti mahdollista. Kaikki lähtee liikkeelle siitä, että tullaan tietoiseksi nykyisten asenteiden ja toiminnan puutteista, ja ymmärretään ne seuraukset, joita nykyisestä mallista juontuu. Tällä tavoin syntyy aito halu ajatella ja toimia toisin, mikä mahdollistaa kulttuurin muuttumisen.
- Allianz Risk Barometer 2025
- IBM Cost of Data Breach 2024
- Greene & D’arcy 2010: Assessing the Impact of Security Culture and the Employee-Organization Relationship on IS Security Compliance.
- Soliman & Järveläinen (2024): Reconceptualizing the Human in the loop: A problematization of Taken-for-Granted Metaphors in Cybersecurity Research.
- Esim. Bulgurcu ym. 2010: Information security policy compliance: an empirical study of rationality-based beliefs and information security awareness.
