Autor: ITuudised.ee • 28. aprill 2022

Võib ju suuliselt hoiatada, aga siis jääb oht teoreetiliseks, lisab ta.

Intervjuu Indrek Sauliga, kes esineb 17. mail IT juhtimise aastakonverentsil:

Kuidas saavutada seda, et töötajad ei teeks lihtsaid vigu: ei avaks kahtlaste e-kirjade manuseid, ei ühendaks võõrast mälupulka arvutiga jms?

Sellele küsimusele pakuvad lahendust erinevad teadmispõhised uurimismeetodid. Üks neist on käitumisökonoomika, millega olen aastaid tegelenud. Teine teadmuspõhine tööriist kannab inglise keeles nime COM-B (capability, opportunity, motivation – drives behavior).

Ajuteadus õpetab, et kõiki elusolendeid paneb tegutsema või mitte tegutsema kas preemia või valu. Ja tehtava pingutuse puhul hinnatakse seda, kui suur on võimalus, et pingutus kannab vilja.

Seda kõike nüüd küberturvalisuse kontektsi pannes – inimesed teevad midagi, mida ei peaks tegema. Näiteks avavad kahtlase e-kirja manuse. Elusolend õpib ohtlikust käitumisest alles siis, kui ta on kogenud valu.

Võib ju suuliselt hoiatada, aga siis jääb oht teoreetiliseks. Töötaja on ju korduvalt manuseid avanud, aga midagi ei ole seni juhtunud. Ta ei märka ohu märke. Kui tahame välja juurida halbu harjumusi, siis peavad inimesed kogema ebamugavusi ja valu.

Näiteks: räägi, palju tahad, et on vaja failid varundada. Varundama hakkavad inimesed alles siis, kui nad on kogenud, et kõvaketas üles ütleb ja töö kaduma läheb.

Kas siis tuleks tekitada kunstlikult probleem, valu? Et inimesed õpiksid?

Mina disainiks lahenduse niimoodi, et valu oleks reaalne. Et näiteks kasutajal, kes avab küberturvalisuse tiimi poolt saadetud kahtlase manuse, tekiks igapäevased ebamugavused. Karistuseks on see, et on jama ja häbi ja piinlik. Alles siis õpivad inimesed ohtu vältima.

Geneetiliselt on meile sisse kodeeritud, et kollase- ja mustatriibulist putukat ei tohi puutuda. Imetajad tunnevad sisiseva ja vonkleva eluka suhtes geneetiliselt sissekodeeritud hirmu. Kübermaailmas pole tekkinud sellist geneetilist mõju, et ellu jäävad need, kes manuseid ei ava.

Näiteks kuidas õpetada last, et ta ei puudutaks kuuma pliiti või triikrauda? Lase tal puutuda parasjagu nii kuuma triikrauda, et ta ei saa vigastust, aga ta peab kogema valu, et jääks meelde.

Aga kuidas saavutada see, et uued töötajad küberlollusi ei teeks? Probleemid võivad tekkida juba esimesel tööpäeval.

Aitab ainult koolitamine, õpetamine, teadlikkuse tõstmine. Tuleb töökohas luua sotsiaalne keskkond, et "kui kahtled, siis küsi". Ettevõtte kultuur on oluline. Kultuur peaks väärtustama, et kiirus pole oluline, vaid oluline on turvalisus.

Samas tuleb olla agiilne, eriti kodukontoris olevad töötajad kasutavad sageli internetist alla laaditud tasuta, kuid ebaturvalisi rakendusi. Kuidas selle probleemiga hakkama saada?

Inimesi tuleb harida, nad peavad aru saama, mis on allalaadimiseks turvaline koht ja mis mitte.

Tuleb hinnata riski ja seda, kui suur on võimalik kahju. Kui "mess ja koer" ettvõtte riskid on väikesed – mees kaotab oma failid, siis mida suurem ettevõte ja mida sensitiivsem info, seda suuremad on võimalikud kahjud.

Näiteks pangas või tervishoiuasutuses on väga suured riskid – mingi tasuta rakenduse allalaadimine võib anda küll ajalist võitu, aga võimalik kahju on liiga suur, et sellist riski võtta.

IT juhtimise aastakonverentsi info ja registreerumine: