Ihmiskeskeinen tietoturva – avain kyberriskien vähentämiseen

09.06.2025

Ihmisten käyttäytymistä halutaan mukauttaa tietoturvaan koulutuksilla ja tietoisuutta lisäämällä. Kyberriskien vähentäminen onnistuu kuitenkin paremmin, kun tietoturvaa sopeutetaan ihmisille, eikä toisinpäin.

Tietoturvatietoisuus on – tietoturvauhkiin liittyen – informaation tietoista käsittelyä, jolloin ihminen tekee tietoisia valintoja automaattisten toimien sijaan (Richter ym. 2018). Tietoturvatietoisuus pohjautuu ideaan, jossa ihmisen tietäessä enemmän tietoturvasta ja tietoturvauhista, hän tunnistaa uhkatilanteet ja osaa toimia niissä tietojensa mukaisesti. Tiedon tarjoamisesta ja toistamisesta huolimatta ihmiset eivät kuitenkaan välttä­mättä ymmärrä tietoa, muista tietoa, anna arvoa tiedolle, sovella tietoa, tai toimi tiedon mukai­sesti (Carpenter & Roer 2022, 29).

Ihmisten käytöstä ohjaa myös niin sanottu noudattamisbudjetti, jossa huomioidaan asioiden kulut ja hyödyt, niin itselle kuin organisaatiolle. Budjettia kuluttavia toimia ei välttämättä noudateta, ja hyö­dyttäviä toimia todennäköisemmin noudatetaan. Panostus tie­toturvalli­seen toimintaan kilpailee muiden resurssien kanssa, useimmiten ajan. (Winkler & Brown 2021, 68–69)

Keinoja käyttäytymisen muuttamiseen

Terveystieteissä elintapojen muuttamiseen kehitetyssä COM-B-mallissa pyritään mahdollistamaan oikeanlaista käyttäytymistä vaikuttamalla ihmisten kyvykkyyteen, tilaisuuksiin ja motivaatioon (Michie ym. 2011). Jos ihmisillä ei ole kykyä eli taitoja tehdä oikein, ympäristön tai sosiaalisten normien tarjoamaa tilaisuutta toimia, ja automaattista tai tiedostettua motivaatiota, heidän ei voi olettaa toimivan toivotusti. COM-B-mallia tietoturvaan sovellettaessa pyritään huomioimaan näitä käyttäytymisen alkulähteitä niin tietojärjestelmien suunnittelussa kuin organisaation tietoturvakulttuurissa.

Candrickin ym. (2023) mukaan tietoturvakoulutuksia käyttävissä organisaatioissa 69 % henkilöstöstä on myöntänyt toimivansa tietoturvaohjeistusten vastaisesti. COM-B-mallia ja tönäisyteoriaa yhdistelevässä Cyber Change -mallissa pyritään ohjaamaan ihmisiä tekemään tietoturvallisia valintoja (CERT NZ 2022). Jos esimerkiksi tietojärjestelmässä tietoturvallinen vaihtoehto on vakioasetuksena, tietoturvallisesta vaihtoehdosta poikkeaminen vaatisi enemmän vaivannäköä ja kuluttaisi enemmän noudattamisbudjettia.

Ihmiset mukaan tietoturvan suunnitteluun

Hielscher ym. (2023, 2311) havaitsivat tutkimuksissaan, että tietoturvapäälliköt käsittävät ihmiskeskeisen tietoturvan ensisijaisesti markkinoilta saatavien tietoi­suus­ratkaisujen ja kalastelusimulaatioiden kautta, eivätkä ajattele asiaa ihmis­ten käyttäytymisen ja tietoturvan aiheuttamien hankaluuksien kautta. Ihmiset voivat hyväntahtoisuudesta noudattaa hankaliakin käytäntöjä voidaan, mutta noudattamisbudjetin loppuessa ihmiset alkavat kiertämään sääntöjä, luomaan varjoratkaisuja tai suhtautumaan negatiivisesti organisaation kulttuuriin (NCSC 2019).

Tietoturvallinen käyttäytyminen on helpompaa, kun tietoturvasäännöt ja -käytännöt sopivat organisaation todellisiin työtapoihin. Tällöin tietoturva tulee osaksi itse työtä – eikä ole erillinen asia, josta pitää erikseen huolehtia varsinaisten työtehtävien päälle (NCSC 2019).

Tietoturvasääntöjen ja -käytäntöjen sovittaminen todellisiin työtapoihin ei kuitenkaan tarkoita perinteisen tietoisuuden tapaan sääntöjen ja ohjeiden kertaamista ylhäältä alaspäin, vaan vuoropuhelua ja tarpeiden kuuntelua työntekijöiden kanssa. Kun tietoturvaa kehitetään organisaatiossa, käyttäjät pitää ottaa mukaan tietoturvan suunnit­te­luun, jotta organisaation todelliset työtavat tulevat huomioiduksi (NCSC 2019).

Kyberriskit vähenevät, kun ihmiset ja työtavat huomioidaan tietoturvan suunnittelussa.

Lähteet:

Carpenter, P. & Roer, K. 2022. The Security Culture Playbook: An Executive Guide to Reducing Risk and Developing Your Human Defense Layer. Hoboken: John Wiley & Sons Inc.

Hielscher, J.; Menges, U.; Parkin, S.; Kluge, A. & Sasse, M.A. 2023. “Employees Who Don’t Accept the Time Security Takes Are Not Aware Enough”: The CISO View of Human-Centred Security. 32st USENIX Security Symposium (USENIX Security 23). USENIX Association, Anaheim, CA. 2311–2328. Viitattu 4.4.2025. https://www.usenix.org/system/files/usenixsecurity23-hielscher.pdf

Michie, S; van Stralen MM & West R. 2011. The behaviour change wheel: a new method for characterising and designing behaviour change interventions. Implement Science. Vol. 6, Article 42. https://doi.org/10.1186/1748-5908-6-42

NCSC. 2019. You shape security: A positive security culture. Viitattu 4.4.2025. https://www.ncsc.gov.uk/collection/you-shape-security/a-positive-security-culture

Richter, S.; Straub, T. & Lucke C. 2018. Information Security Awareness – eine konzeptionelle Neubetrachtung. Viitattu 24.5.2025. https://www.researchgate.net/publication/323827248_Information_Security_Awareness_-_eine_konzeptionelle_Neubetrachtung

Vainio, T. 2025. Tietoturvaosaamisen ja tietoturvatietoisuuden kehittäminen korkeakoulussa. Opinnäytetyö (YAMK). Kyberturvallisuus. Turku: Turun ammattikorkeakoulu. Viitattu 6.6.2025. https://urn.fi/URN:NBN:fi:amk-2025060621245

Winkler, I & Brown T. 2021. You Can Stop Stupid: Stopping Losses from Accidental and Malicious Actions. Indianapolis: John Wiley & Sons Inc.

Tekijät

  • Tuukka Vainio, Turun ammattikorkeakoulu

Opettaja

Pia Satopää
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe2025060962868

Viittausohje

Vainio, T. 2025. Ihmiskeskeinen tietoturva – avain kyberriskien vähentämiseen. Talk by Students. Turku: Turun ammattikorkeakoulu. Viitattu 09.06.2025. https://urn.fi/URN:NBN:fi-fe2025060962868

Teemat | Themes

ICT ja tuotantotalous

Data Engineering ja AI-teknologiat (1) Energia- ja ympäristötekniikka (90) ICT (104) Liiketalous (86) Master School Engineering and Business (290) Master School ICT and Industrial Engineering (1) Ohjelmistotuotanto ja interaktiiviset teknologiat (2) Rakennustekniikka (75) Tuotantotalous (87) Verkotetut järjestelmät ja turvallisuus (3) Yrittäjyys ja markkinointi (3)

Liiketoiminta

Johtaminen (2) Liiketalous (86) Logistiikka (39) Master School Business (2) Master School Engineering and Business (290) Palvelut ja talous (9) Yrittäjyys (13) Yrittäjyys ja markkinointi (3)

Taideakatemia

Elokuva ja media (10) Master School Arts Academy (16) Nykytaide (10) Taidepedagogiikka ja taidekasvatus (4)

Tekniikka

Ajoneuvo- ja kuljetustekniikka (22) Energia- ja ympäristötekniikka (90) Energiajärjestelmät ja ajoneuvot (3) Kemiantekniikka (94) Kestävä ympäristö (2) Konetekniikka (91) Master School Engineering and Business (290) Rakennustekniikka (75) Rakentaminen (2) Teknologiateollisuus (27) Tuotantotalous (87)

Terveys ja hyvinvointi

Bioanalytiikka (2) Ensihoito (47) Fysioterapia (12) Hammastekniikka (12) Kätilötyö (9) Master School Engineering and Business (290) Master School Health and Well-being (192) Radiografia (8) Sairaanhoito (63) Sosiaali- ja kasvatusala (62) Terveydenhoito (32) Toimintaterapia (23)

Tekniikka ja liiketoiminta

Ajoneuvo- ja kuljetustekniikka (22) Energia- ja ympäristötekniikka (90) ICT (104) Kemiantekniikka (94) Konetekniikka (91) Liiketalous (86) Logistiikka (39) Master School Engineering and Business (290) Master School Health and Well-being (192) Myynti (23) Rakennustekniikka (75) Teknologiateollisuus (27) Tuotantotalous (87) Yrittäjyys (13)