• Ei tuloksia

Aikaisemman tutkimuksen puutteiden tai ristiriitojen esittely

Tietoturvan tutkimus on melko varhaisessa vaiheessa. Tietoturvan tutkimuksen tarvetta perustellaan mm. riskien tiedostamisen ja ennaltaehkäisemisen tarpeella.

(Helenius 2005.) Tietoturvatutkimuksen yksi tavoitteista on tietoturvan paranta-minen yrityksissä. Tietoturvatutkimuksen haasteena on sopivien yleisten teoreet-tisten viitekehysten puuttuminen (Karjalainen 2011: 27; Puhakainen & Siponen:

2010). Moody (2011: 19) toteaa, että suurin osa turvallisuustutkimuksesta liittyy informaatioteknologian resurssien väärinkäyttöön sen sijaan, että olisi selvitetty miksi ihmiset jättävät tarkoituksella huomioimatta tietoturvan toiminnassaan.

Moody on myös todennut, että tietoturvatutkimuksessa motivaation selittämiseen pyrkivää tutkimusta ei ole tehty. Hän tutki tietoturvakäyttäytymisen syitä erilaisis-ta teoreettisiserilaisis-ta lähtökohdiserilaisis-ta. Tutkimuksella selvitettiin tietoisen tietoturvaohjei-den laiminlyönnin syitä. Nykäsen (2011: 14) mukaan tietoturvakäyttäytymiseen liittyvässä tutkimuksessa on käytetty lähinnä käyttäytymistieteisiin pohjautuvia teorioita. Vaikka yritysten tietoturvatason tilanne on yleisesti tiedossa, esimerkik-si tietoturvakoulutuksen merkitystä työntekijän tietoturvakäyttäytymisessä on tutkittu erittäin vähän. Hän tutki tietoturvakoulutuksen vaikutusta yksilön tieto-turvakäyttäytymiseen. Tulosten mukaan koulutuksessa tulee pyrkiä vaikuttamaan yksilön tapoihin ja käyttäytymiseen sekä yksilön oman toiminnan seurausten vas-tuuttamiseen.

Cox, Connolly ja Currall (2001) tutkivat keskustelun, muistilistojen ja Internet-pohjaisten ohjeiden vaikutuksia ihmisen tietoturvakäyttäytymiseen. Tutkimukses-sa todettiin, että ihmisen käyttäytyminen on keskeinen ja kriittinen tekijä tietotur-valle. Tutkimuksen tuloksena todettiin, että kaikki kolme tekijää (keskustelu, muistilistat ja Internet-pohjaiset ohjeet) ovat merkityksellisiä tietoturvatietoisuu-den parantamiseksi.

Partanen (2005) tutki tietoturvaa johdon ja organisoinnin näkökulmasta. Hän sel-vitti tutkimuksessaan mitä asioita yrityksen tietoturvassa olisi huomioitava, jotta se olisi kunnossa. Tutkimuksessa tehtiin tietoturvan tilan kartoitus kyselynä 32 pohjoiskarjalaiselle yritykselle. Tutkimuksen tuloksena selvisi, että parhaiten yri-tykset huolehtivat ohjelmisto- ja laitteistoturvallisuudesta. Paremmin pitäisi huo-mioida henkilöstö- ja hallinnollinen turvallisuus. Puhakaisen (2006)

tutkimukses-sa selvitettiin, miksi yritysten työntekijöille luotuja tietoturvasäännöksiä ei nouda-teta, vaan yrityksessä havaitaan toistuvasti eritasoisia laiminlyöntejä. Tutkimuk-sen tuloksissa selvisi, että laiminlyöntejä tapahtuu, koska yritykTutkimuk-sen johto sitoutuu huonosti tietoturvasäännöstöön, säännöstön käyttöä motivoidaan yrityksessä hei-kosti ja tietoturvasäännöstön koulutus suunnitellaan ja toteutetaan huonosti.

Säännöstössä ilmeni myös puutteita, jotka vaikuttivat säännöstön noudattamiseen vähentävästi. Tuloksissa todettiin lisäksi, että yritysten tietoturvatoimenpiteet painottuvat yhä liikaa tekniikkaan ja, että hallinnollisilla tietoturvatoimenpiteillä olisi mahdollista merkittävästi kehittää yritysten tietoturvaa. Tutkimuksessa tieto ja sen tunnistaminen nähtiin keskeiseksi osaksi tietoturvaa.

Myyry ja muut (2009) selvittivät, että moraalisten perustelujen vaikutusta tieto-turvaohjeiden noudattamiselle ei ole tutkittu käytännössä. Herath ja Rao (2009a) ovat todenneet, että viimeaikaisten tutkimusten mukaan loppukäyttäjillä on erilai-sia ajatukerilai-sia turvallisuudesta. Tutkimuksessaan he kehittivät teorian, joka perus-tuu rangaistuksen kannustavaan vaikutukseen, painostukseen ja työntekijän te-hokkaan toiminnan huomioimiseen. Tutkimuksessa todettiin, että tietoturvakäyt-täytymiseen voidaan vaikuttaa sekä sisäisen että ulkoisen motivoinnin keinoin vaatimalla noudattamaan sääntöjä ja seuraamalla toimintaa. Tulosten mukaan tietoturvaohjeiden noudattamispyrkimykseen vaikutettaessa työntekijän tehok-kaan toiminnan huomioimisella on tärkeä rooli sisäisessä motivoinnissa. Rangais-tuksen saamisella kiinni jäämisestä oli niin ikään vahva motivoiva vaikutus. Tu-losten mukaan negatiivisen vaikutuksen tietoturvakäyttäytymiseen aiheutti ran-gaistuksen ankaruus.

Ku, Chang ja Yen (2009) tutkivat yleisesti tunnetun tietoturvan hallintajärjestel-män (ISMS) käyttöä erityisesti Taiwanissa. Tutkimuksessa selvitettiin tietoturvan hallintajärjestelmän onnistumiseen vaikuttavia tekijöitä. Tutkimuksen tuloksena todettiin, että hallintajärjestelmän käyttöönotossa tärkeitä motivaatiotekijöitä ovat aiemmat onnistuneet kokemukset, dokumenttien saatavuus, kustannusten rajaa-minen, organisaation oppiminen ja organisaatiokulttuuri. Keskeisimpinä hallinta-järjestelmän onnistumiseen vaikuttavina tekijöinä he nimeävät aiemman koke-muksen tietoturvastandardeista, dokumentaation tason ja standardinmukaisuuden sekä ohjeiden ymmärtämisen tason. Lisäksi he näkevät keskeisinä vaikuttavina tekijöinä riskienhallinnan menetelmät, ylimmän johdon tuen, organisaatiokulttuu-rin, infrastruktuurin tarkkailun, tietoturvatietoisuuden sekä koulutuksen olemassa oleviin toimintatapoihin ja tapojen yhteensopivuuden.

Useat aikaisemmat tutkimukset ovat osoittaneet, että suomalaisten yritysten tieto-turvan taso ei ole kovinkaan hyvä. Erityisesti henkilöstö- ja hallinnollinen turval-lisuus tulisi huomioida yrityksissä paremmin. (mm. Partanen 2005). Yritysten

yksi keskeinen ongelma on, että työntekijät laiminlyövät yrityksen tietoturvakäy-täntöjä. Työntekijöiden tietoturvakäyttäytymisen syyt on tärkeää ymmärtää. (Kar-jalainen 2011.) Yritysten tietoturvaohjeita noudatetaan heikosti. Työntekijät eivät tiedä toimivansa väärin eivätkä ymmärrä tahallisen tai tahattoman toimintansa aiheuttamia seuraamuksia. Työntekijöiden heikko tietoturvatietoisuus on merkit-tävin syy tietoturvaväärinkäytöksille. (Siponen, Pahnila & Mahmood 2007;

D’Arcy, Hovav & Galletta 2009.) Tianin, Shenin ja Wangin (2010) tutkimuksessa tarkasteltiin Internetin käytön määrää ja yleisyyttä työpaikalla omiin henkilökoh-taisiin käyttötarpeisiin Kiinassa. Tulosten mukaan yrityksen tietokoneita käyte-tään työhön liittymättömään omaan henkilökohtaiseen tarpeeseen, mikä aiheuttaa haittaa yrityksen toiminnalle (mm. Anandarajan 2002; Tian, Shen & Wang 2010).

Samanlaisia tuloksia on saatu myös muissa tutkimuksissa. Työhön liittymätön Internetin käyttö häiritsee merkittävästi työntekijän keskittymistä ja työntekoa (mm. Lim, Teo & Loo 2002; D’Arcy & Hovav 2007). Lim, Teo ja Loo (2002) tutkivat Internet-kyselyllä 188 työntekijää tavoitteena selvittää miten usein ja miksi he käyttävät Internetiä työhön kuulumattomiin tarkoituksiin. Tulosten mu-kaan vähintään puolet työntekijöistä käytti useita kertoja viikossa useista eri syistä Internetiä työhön kuulumattomiin tarkoituksiin. Myös sähköpostia käytettiin laa-jasti työhön kuulumattomaan viestintään. D’Arcy ja Hovav (2007) puolestaan tutkivat neljän tietoturvatoimenpiteen vaikutusta tietojenkäsittelyjärjestelmien väärinkäytön ehkäisemiseksi. Tutkitut tietoturvatoimenpiteet olivat tietoturvaoh-jeet, tietoturvaohjelma, tietokoneiden valvonta ja tietoturvasovellusten käyttö.

Internet-kyselyyn vastasi 579 käyttäjää. Tulosten mukaan tietoturvaohjeet olivat tutkituista tietoturvatoimenpiteistä tutuin ja vastaavasti tietoturvaohjelma vierain.

Tulosten mukaan yritykset käyttävät resursseja tietoturvaohjeiden luomiseen, mutta yritykset eivät koulutuksissa tuo esille miksi ohjeiden noudattaminen on tärkeää. Koulutus olisi kuitenkin tehokas keino väärinkäytön vähentämiseen.

Kull (2012) tutki 29 Euroopan maan tietotekniikka-alalle asettamia sääntövaati-muksia. Hän selvitti tutkimuksessaan yrityksen tietotekniikan turvallisuuden mää-rää tarpeen ja riittävyyden lähtökohdista. Tutkituissa maissa tietoturvaan liittyen oli määritelty ainoastaan sääntövaatimukset tietoturvapolitiikalle. 14 maassa sään-tövaatimukset oli määritelty perusteellisesti ja kahdessa maassa jotenkuten. Seit-semässä maassa ei mainittu tietoturvapolitiikkaa säännöissä lainkaan. Seuraavaksi parhaiten oli määritelty sääntövaatimukset pääsynhallinnalle. Tutkimuksen mu-kaan suomalaisten viranomaisten yrityksille tarjoamia tietoturvaohjeistuksia ei ole tutkittu tieteellisesti lainkaan. Tutkimuksen tuloksena syntyi määrittely ja mene-telmä tietotekniikan valvonnalle.

Puhakainen (2006) on todennut, että työntekijät mieltävät tietoturvan yhä teknise-nä asiana, mikä teknise-näkyy tietoturvatoiminnan keskittymisellä teknisiin ratkaisuihin.

Yrityksissä ei ymmärretä työntekijän tietoturvatietoisuuden merkitystä. Kuiten-kin, tietoturvatietoinen ja tietoturvan toteuttamiseen motivoitunut työntekijä huo-maa yrityksen toimintaa uhkaavat epäkohdat tietoturvassa sekä haluaa kehittää ja parantaa omaa työskentelyään ja tietoturvakäyttäytymistään. Colwill (2009) ja Sarkar (2010) ovat tutkineet yrityksen sisältä tulevia uhkia tietoturvalle. Molem-missa tutkimuksissa todettiin, että tietoturvaa ja erityisesti yrityksen sisältä tulevia uhkia ei pystytä ratkaisemaan pelkästään teknisillä ratkaisuilla. Colwillin (2009) tutkimuksen oleellisimpana tuloksena on, että tietoturvan riskianalyyseissä ja oh-jeiden noudattamisen hallinnoimisessa tulee erityisesti kiinnittää huomiota työn-tekijöihin ja muihin yrityksen sisällä oleviin tahoihin. Tekniset ratkaisut tulee suunnitella, toteuttaa ja ylläpitää huomioiden ihmisen käyttäytyminen. Sisäpiiri-läisten aiheuttamille tietoturvauhkille tulee pyrkiä luomaan ennaltaehkäiseviä toimenpiteitä ja mittareita. Tulosten mukaan tietoturvauhkia tulee ennaltaehkäistä tietoturvakoulutuksella, tietoturvatietoisuuden lisäämisellä, työntekijöiden ja si-dosryhmien tietoturvan seurannalla sekä kiinnittämällä huomio ihmisiin. Sarkar (2010) puolestaan näkee sisältä tulevat tietoturvauhat epäselvempinä ja hämmen-tävämpinä kuin muut tietoturvauhat. Yrityksissä tulisikin ensimmäisenä määritel-lä sisältä tulevat uhat. Sen jälkeen pystytään määrittelemään myös muiden uhkien todennäköisyys. Tutkimuksen tuloksena ehdotetaan, että sisäisten uhkien ennus-taminen tulisi tehdä arvioimalla kolmea tahoa: teknistä toteutusta, tietoturvajärjes-telyjä ja ihmisen käyttäytymistä. Yritysten tulisi parantaa turvallisuutta ja pai-neensietokykyä sisäiset uhat huomioiden niin, että sisäisten uhkien toteutumisesta on mahdollista selviytyä.

Useissa tutkimuksissa (mm. Aytes & Connolly 2003; Puhakainen 2006; Siponen, Pahnila & Mahmood 2007) on osoitettu, että parantamalla työntekijöiden tietotur-vatietoisuutta voidaan vaikuttaa työntekijän motivaatioon ja sitä kautta tietoturva-käyttäytymiseen. Spearsin ja Barkin (2010) tutkimuksessa todetaan, että käyttäji-en ottamisella mukaan tietoturvan riskikäyttäji-enhallintaan lisätään tietoturvatietoisuutta.

Samalla pystytään tehokkaammin yhdistämään tietoturvariskien hallinta liiketoi-mintaympäristöön. Näillä keinoilla kehitetään tietoturvan hallintaa sekä saavute-taan parempia tuloksia. Tutkimusaineisto kerättiin kyselyllä 228 henkilöltä. Tut-kimuksen mukaan, vaikka käyttäjät nähdään usein tietoturvan heikoimpana lenk-kinä, voivat käyttäjät olla tietoturvalle tärkeitä, koska heiltä saadaan liiketoimin-nasta tietoja, joiden perusteella pystytään kehittämään tehokkaampia tietoturva-toimintoja. Tutkimuksesta selviää myös, että käyttäjien ottamisella mukaan tieto-turvariskienhallintaan, käyttäjät sitoutuvat suojelemaan liiketoiminnalle merkittä-viä tietoja.

Siponen ja Vance (2010) ovat todenneet, että tietoturvaohjeiden noudattamatta jättäminen on iso haaste yritysten tietoturvajohdolle. Perinteisesti

tietoturvaohjei-den viitekehyksenä on käytetty peloteteorioita. Peloteteorian keskeinen ajatus on, että seuraamusten pelko estää toimimasta tietyllä tavalla, esimerkiksi rangaistuk-sen pelko estää rikoksia. Siponen ja Vance käyttivät tutkimuksessaan kuitenkin neutralisoimisteoriaa. Neutralisoimisteorian keskeinen ajatus on, että henkilön lainvastaisen käyttäytymisen taustalla on jokin neutralisoiva tekijä, jolla toimin-nan syitä voidaan selittää. Siposen ja Vancen tutkimuksen tulosten mukaan neut-ralisoiminen tulisi huomioida merkittävänä tekijänä, kun yrityksessä kehitetään ja otetaan käyttöön tietoturvaohjeita ja -käytänteitä. Jotta työntekijät saadaan nou-dattamaan tietoturvaohjeita, on tietoturvaohjeiden vastattava työntekijän työtehtä-viä ja työntekijän on ymmärrettävä tietoturvaohjeiden sisältö ja merkitys suhtees-sa omiin työtehtäviinsä (Puhakainen 2006; Pahnila, Siponen & Mahmood 2007;

Siponen, Pahnila & Mahmood 2007; Puhakainen & Siponen 2010; Siponen &

Vance 2010; Vance 2010). Huomattavaa on myös, että Höne ja Eloff (2002a) ovat tutkimuksessaan todenneet, että ohjeistukset sisältävät usein termejä, jotka ovat vaikeasti ymmärrettäviä. Ohjeet usein myös kirjoitetaan liian teknisestä näkökul-masta. Heidän mielestään on yleisesti tiedossa, että tietoturvapolitiikka on yksi tärkeimmistä välineistä, kun yrityksessä noudatetaan ja varmistetaan tietoturvaa tehokkaasti.