Kyberhyökkäyksestä toipumisen keskiössä on tietojen ja järjestelmien pelastaminen, mutta yhtä lailla tulisi huolehtia työntekijöiden jaksamisesta ja toimintakyvystä.
Ihmisten merkitys tietoturvassa on tärkeä teema Secure Cloudille, ja siksi olemme mukana Jyväskylän yliopiston kauppakorkeakoulun EWIDE (Emergent Work In the Digital Era) -tutkimusryhmän ”Tietoturvauhkien heijastumat organisaatiokäyttäytymiseen” -tutkimushankkeessa, joka pyrkii lisäämään ymmärrystä kyberuhkien kohtaamisesta työntekijätasolla.
Tietoturvahyökkäysten räjähdysmäinen kasvu ja medianäkyvyys ovat tuoneet keskustelun kyberuhista IT-asiantuntijoiden työpöytien ääreltä kaikkien työntekijöiden pariin.
On valitettava tosiasia, että puolustustoimenpiteistä huolimatta jokainen organisaatio voi joutua kyberhyökkäyksen kohteeksi. Tietoturvauhat kuormittavat kaikkia asiantuntijatyötä tekeviä ja haastavat yksilön työhyvinvointia.
Työntekijät tietoturvauhkana
Organisaatiot ovat aktiivisesti tuoneet uhkien mahdollisuudet ja seuraukset työntekijöidensä tietoisuuteen ja kehittäneet tietoturvaosaamistaan esimerkiksi tietoturvakoulutusten avulla. Siitä huolimatta virheitä tapahtuu: huolimattomuuden, tietämättömyyden tai välinpitämättömyyden myötä.
Uhkakeskustelussa yksittäisestä työntekijästä on tullut suurin riski organisaatiolle – tietoturvan heikoin lenkki. Jopa arvostettu Wall Street Journal viittasi tietoturvahuijauksiin lankeamiseen termillä ”cyber screw-ups”, todellisena mokaamisena.
Kyberhyökkäysten seuraukset
Tiedämme paljon kyberhyökkäysten seurauksista: järjestelmien lamautumisesta, taloudellisista katastrofeista, mainehaitoista ja kriittisten tietojen menettämisestä. Ja pystymme kuvittelemaan ainakin osan siitä kaaoksesta, joka hyökkäyksestä seuraa.
Kuitenkin ymmärryksemme siitä, miten kyberhyökkäys koskettaa yksilöä ja työntekijää, on marginaalista. Keskustelu tuntuu ylettyvän vain tapahtuneeseen virheeseen asti, mutta ei siitä eteenpäin.
Miltä mokaaminen tuntuu?
Brittiprofessori Karen Renaud tutkimusryhmineen selvitti IT-asiantuntijoiden kokemuksia kyberhyökkäyksistä ja havaitsi, kuinka raskaasti työntekijät ottivat tilanteet. He kokivat häpeää, kärsivät pitkäkestoisesta stressistä ja jopa mielenterveyshaasteista hyökkäysten seurauksena.
Kyberhyökkäysten uhrit kokevat tutkimusten mukaan valtavaa emotionaalista ja kognitiivista painetta. Kokemusta huijatuksi tulemisesta on rinnastettu fyysiseen ryöstötilanteeseen, jonka myötä koko turvallisuudentunne järkkyy. Kyberhyökkäyksessä painaa erityisesti pelko tuntemattomista seurauksista, mutta myös rangaistuksesta.
Aiempi tutkimus tarkastelee tietoturvaa IT-järjestelmien ja IT-asiantuntijoiden haasteena. EWIDE-tutkimusryhmän hankkeen tavoitteena on lisätä ymmärrystä siitä, miten tietoturva näyttäytyy organisaation eri tasoilla ja vaikuttaa ihmisten käyttäytymiseen.
Syyllistämisestä oppimiseen
Järjestelmien palauttamisen lisäksi tulisi huolehtia ihmisten hyvinvoinnista. Stressi, syyllistäminen ja pelko harvemmin tukevat toimintakykyä ja selviytymistä kriisitilanteessa. Johtamisella ja työyhteisöllä on tärkeä rooli selviytymisprosessissa.
Organisaatiotutkimuksessa on keskitytty paljon siihen, että miten virheistä voi oppia. Negatiivisten seurausten kääntöpuolena virheitä on pidetty arvokkaana paikkana oppia ja tunnistaa prosesseja, toimintatapoja tai käyttäytymistä, joita voisi kehittää.
Välttämisstrategian rinnalla voisikin olla hyvä pohtia ”entä jos” -strategiaa. Organisaatioiden olisi hyvä käydä mielessään polkua ja selviytymisstrategiaa pidemmälle, järjestelmävirheen korjaamisen ja vahinkojen minimoimisen yli. Kyberhyökkäysten alituinen uhka on työyhteisöille kuin uusi pandemia, joka vaatii varhaista puuttumista ja hoito-ohjeita.
Kirjoittaja Jenni Kantola on tutkijatohtori ja EWIDE-tutkimusryhmän jäsen.
