Jo antiikin Roomassa käytettiin salasanoja, mutta nyt on korkea aika luopua niistä. Ihminen on kehittäjä ja samalla sitkeä kehityksen tulppa. Hyvä esimerkki on turvallisuus, joka kuuluu perustarpeisiimme. Lukot ja avaimet ovat pitkään varmistaneet, että ulkopuoliset pysyvät poissa ja voimme turvata tilamme.
Muuttuva ympäristö vaatii uusia turvatoimia. Avain ja lukko eivät välttämättä ole tehokkaimpia tapoja ulkopuolisilta suojautumiseen, mutta tutut symboliset esineet ja käytännöt pitävät pintansa.
Vanhoista ajattelutavoista on äärimmäisen vaikeaa oppia pois. Vaikka maailma muuttuu, toistamme tuttuja turvallisuuden keinoja. Salasanat olivat käytössä antiikin Roomassa, eivätkä ne edes silloin olleet täysin varma keino pitää konnia loitolla. Silti luomme turvallisuutta edelleen muun muassa salasanoihin nojaten, vaikka salasanaton ratkaisu olisi helpompi, parempi ja turvallisempi tapa.
”Auton oven saa nykyisin avattua koskettamalla kahvaa. Älypuhelimissa on kasvojen tunnistus, joka on otettu hyvin vastaan. Ennen emme olisi uskoneet tähän ja nyt emme osaisi olla ilman”, Loihteen tietoturva-asiantuntija Aino Kivilahti toteaa.
Voiko aidosti olla turvallista kirjautumista ilman salasanaa?
Niin järjenvastaiselta kuin asia voi tuntua, salasanaton kirjautuminen itse asiassa parantaa turvallisuutta. Heikoin lenkki on ihminen, joka luo helposti arvattavia, kirjoitettavia ja lyhyitä salasanoja – ja käyttää samoja salasanoja surutta useissa palveluissa.
“Turvakontrolli on tärkeää. On kuitenkin hyvä tarkastella, miten turvallisuutta lisätään, ja olisiko sille vaihtoehtoja. Uusien ja harkitsemattomien turvatoimen kasaaminen ei välttämättä lisää turvallisuutta, vaan voi vaikeuttaa arjen toimintaa, jolloin se kääntyy itseään vastaan”, Aino muistuttaa.
Tietoturva-asiantuntijatkaan eivät ole turvassa heikolta käytettävyydeltä.
”Minulla oli aikoinaan käytössä VPN, virtuaalinen erillisverkko, jonka pitäisi lisätä verkon käytön turvallisuutta. Yhteys kuitenkin katkeili ja jouduin kirjautumaan sisään uudelleen tiheään tahtiin. Se oli ärsyttävää, joten aloin toimia niin, että verkko ei katkeaisi. Lakkasin lukitsemasta koneeni. Jos en olisi ollut kotona etätöissä, olisin tehnyt ulkopuoliselle pääsyn koneelleni erittäin helpoksi”, Kivilahti tunnustaa.
Vanhan päälle rakentaminen toistaa myös vanhat ajatusvirheet
Kivilahden mukaan ajattelutapaa täytyisi muuttaa ja ajatella koko turvallisuus uudesta lähtökohdasta – turvattavan ihmisen näkökulmasta.
”Teknologiassa on monimutkaisia puolia, mutta kun pureutuu syvemmälle, kaikki on ihmisen suunnittelemaa. Monet asiat pohjautuvat kehitysjatkumossa edelliseen asiaan. Internet on rakentunut puhelinverkosta opittujen ajatusten päälle, joka taas pohjautuu kirjepostin ideaan”, Kivilahti kertoo. Kokonaisturvallisuuden tuottamiseen liittyy paljon yksityiskohtia, joita voisi jättää pois, tehdä toisin – paremmin.
Salasanojen hallintaan on kehitetty salasanamanageri, joka voi helpottaa arkea ja lisää turvallisuutta, mutta ei ratkaise ongelmaa, eli salasanojen tarvetta ylipäätään.
Kun uutta rakennetaan vanhan päälle, on vaara, että suunnittelussa toistuvat myös ajatusmallit ja -harhat. Samalla muuttuvan ympäristön riskit ja tarpeet voivat jäädä huomioimatta.
”Turvallisuutta pitäisi jatkossa tuottaa menemällä ihmistä kohti ja pureutua tämän käytökseen”, Kivilahti toteaa.
Mikä ärsyttää arjessa?
Tervetuloa käyttämään uutta palvelua! Valitse käyttäjätunnus ja salasana. Syötä salasana uudelleen. Salasana ei kelpaa. Salasanan tulee olla 12 merkkiä pitkä ja sisältää numeroita isoja kirjaimia sekä erikoismerkkejä. Luo uusi salasana. Syötä salasana uudelleen. Kiitos! Olemme lähettäneet sinulle sähköpostin. Käythän varmentamassa sähköpostisi. Linkki on voimassa 15 minuuttia. Jos et löydä linkkiä, tarkistathan roskapostikansiosi.
Uuden palvelun käyttöönotto on usein tuskainen kokemus. Myös uudessa työpaikassa aloittaminen vaatii lukuisten työkalujen käyttöönoton – ja nipun uusia salasanoja. Tästä on päästävä eroon.
Jokaisessa yrityksessä voisi käydä läpi, mitä turvakontrolleja on käytössä, mitkä niistä häiritsevät työpäivää ja miten päivästä voisi tehdä mukavamman. Ratkaisut eivät tule yhdessä yössä. Psykologisia esteitä täytyy purkaa ajan kanssa. Ideaalissa tilanteessa turvaratkaisut olisivat Kivilahden mukaan kuin aurinkolasit.
”Jos ajatellaan aurinkolasien funktiota, se on suojata silmiä auringolta. Kuitenkin ihmiset odottavat sitä, että saa laittaa arskat päähän. On kiva fiilis ja lupaus keväästä. Ne ovat asuste ja muotia, vaikka ovatkin turvallisuustuote. Haluaisin nähdä turvallisuustuotteiden kehityksessä vastaavia enemmän, eikä ainakaan mennä aktiivisesti siitä poispäin.”
Mutta miten vallankumous tehdään?
”Huomaamatta. Kun joku toimintatapa tulee osaksi arkea, on vaikea enää elää ilman sitä. Esimerkiksi kasvojentunnistus älypuhelimissa vaati sen, että suuret puhelinvalmistajat alkoivat tarjota sitä. Nyt siitä on tullut meille arkea”, Kivilahti toteaa.
Seitsemän kuolemansyntiä:
1. Unohdetaan, että ollaan turvaamassa ihmistä.
2. Haetaan tuttuja merkkejä turvallisuudesta, vaikka niillä ei olisi mitään tekemistä turvallisuuden kanssa. Maailma muuttuu.
3. Odotetaan, että joku muut tekee ensin, sen sijaan, että sijoitettaisiin aikaa ja etsittäisiin uutta, itselle sopivaa parasta tapaa.
4. Tehdään itse alusta loppuun, eikä luoteta toisen ratkaisuun vain, koska se on toisen keksimä.
5. Ei uskalleta myöntää, ettei ymmärretä, miten joku asia toimii.
6. Laiskotellaan uusien asioiden opettelussa.
7. Ei osata tai uskalleta kyseenalaistaa vanhoja rakenteita. Joskus pyörän voi ja se kannattaa keksiä uudelleen.
Blogin on kirjoittanut Loihteella työskennellyt tietoturva-asiantuntija Aino Kivilahti.