Võitluses pahalaste vastu ei saa inimestes tekitada küberväsimust: ohutus ei saa muutuda tapeediks

Üha suurem osa ettevõtete igapäevatööst on seotud tehnoloogiaga, mis tähendab, et ka küberohud mõjutavad aina enam tavatöötajate, mitte ainult IT-osakonna elu. Turvalisusest on saanud kõigi töö – ükskõik, kas inimene töötab tootmises, klienditeeninduses või juhtkonnas. Paraku ei tähenda turvalisusest rohkem rääkimine alati suuremat teadlikkust. Kui seda tehakse liiga sageli, liiga pealiskaudselt või liiga formaaselt, tekib hoopis vastupidine efekt, kus inimesed lülitavad end järjekordset turvateemat kuuldes välja, hoiatab Elisa IT-juht Villu Teearu.

Küberväsimus on päris nähtus, millega ei seisa silmitsi ainult paljud organisatsioonid, vaid ka inimesed oma eraelus. See ei tähenda, et inimesed enam turvateemadest ei hooliks, vaid kõik seda puudutav on lihtsalt muutunud tapeediks: iga päev uus kriis ja ja uus hoiatus, mis viib tundlikkuse kadumiseni. Kui iga nädal tuleb uus meeldetuletus, test või reegel, aga midagi sisuliselt ei muutu või pole juhtunud midagi käegakatsutavat, muutubki kogu valdkond osaks taustamürast.

Seetõttu peab iga organisatsioon endale teadvustama, kuidas nad turvalisusest räägivad. Tihtipeale ei saa juhtkond ise arugi, et töötajate jaoks on ohutusteavitused saanud midagi uudiskirjade laadset, mille olemasolu on küll tajutav, aga mille peale keegi enam ei mõtle ega reageeri. Selline olukord ei teki aga tühjast kohast, vaid sageli on põhjuseks liigne infomüra, rõhk protseduuridele ja liiga vähe keskendumist tähendusele.

Kui töötajad saavad iga päev turvatiimilt teavituse uue küberohu kohta, nenede lauale laotakse pidevalt uusi reegleid ning koguaeg on õhus kerge paanikafoon, on mõistetav, et inimesed väsivad ja tüdinevad. Kui kõik on koguaeg halvasti, tõlgib inimmõistus selleks uueks normaalsuseks ning tekib tunne, justkui poleks halvasti miskit.

See tähendab, et organisatsioonis leviv küberväsimus on signaal, et lähenemine turvalisusele pole kooskõlas inimliku tööloogikaga. See probleem saab ainult süveneda, kui turvameetmed hakkavad otseselt segama ka produktiivsust. Näiteks mitmekordne autentimine, mis eeldab kaheastmelist autentimist igal sisselogimisel, võib tunduda õigustatud pelgalt turvalisuse vaates, aga on arusaadav, et kasutaja jaoks aeglustab töövoogu ning võib nad lõpuks turvateemade osas lausa trotsi panna tundma.

Turvalisus muutub tapeediks, kui inimene enda rolli ei taju

Küberturbestrateegiat ehitades ei saa seega lähtuda ainult tehnoloogiast, vaid see peab olema loodud inimkeskselt. Töötajad peavad teadma mitte ainult mida teha, vaid ka miks seda tehakse. Kui jutt käib krüptolunavarast, ei piisa pelgalt hoiatustest – vaja on reaalsete juhtumite lahtiseletamist, arutelusid ja päris näiteid – mida lähemalt, seda parem. Kui päriselt nähakse, et näiteks koostööpartneri ettevõte pandi valele lingile klõpsamise pärast mitmeks päevaks pausile, siis mõjub see efektiivsemalt kui ükski PowerPoint või hoiatuskiri.

Samuti aitab väsimuse tekkimist ennetada see, kui turvaprotsessid on integreeritud igapäevatöösse. Parimad lahendused ei nõua kasutajalt pidevalt tüütute lisasammude tegemist või manuaalide lugemist, vaid need toimivad taustal. Sujuvalt ja märkamatult. Küberturvalisusest ei tohi saada midagi, mida “tuleb taluda”, vaid osa heast töökogemusest.

Veel üks lihtne, aga sageli alahinnatud lähenemine on rutiini murdmiseks erinevate turvalisuskampaaniate loomine. Mitte käskivalt ega hirmutavalt, vaid nii, et töötajad oleksid päriselt kaasatud ja et efekt oleks hariv. Kord kvartalis võib kutsuda näiteks infoturbepäeva raames reaalsetest rünnakutest rääkima mõne eksperdi või teha töötajatega läbi harjutus, kus simuleeritakse õngitsuskirju. Kui turvateemad muutuvad eluliseks, kaob ka nende pealetükkivus – praktika aitab sageli paremini kui teooria.

Inimesed ei ole robotid ning turvalisus, mis toetub ainult dokumentidele ja protseduurile võib paberil tõhus tunduda, ent pole reaalses elus jätkusuutlik. Inimesed on osa turvalisusest ainult siis, kui nad tunnetavad päriselt enda panuse tähtsust – et nad pole ainult nõrk lüli, vaid aktiivne kaitseliin. Tõeline küberturvalisus algab ja lõpeb inimestega ja püsib ainult nii kaua, kui inimesed ise panustavad.