Stressi ja toksinen työkulttuuri voivat aiheuttaa sisäisiä kyberturvallisuusuhkia

Sisäisiä uhkia ja poikkeavaa käyttäytymistä syntyy, kun organisaation nykyiset tai entiset työntekijät tai yhteistyökumppanit väärinkäyttävät pääsyään organisaation järjestelmiin – joko tahallaan tai vahingossa. Emmanuel Antin tietojärjestelmätieteen väitöskirja tuo esiin, että pelko, stressi, organisaatiokulttuuri, moraaliset ja eettiset jännitteet sekä tunnekuormitus voivat kaikki vaikuttaa poikkeavaan digitaaliseen käyttäytymiseen.

– Sääntöjen rikkominen ei aina ole suunniteltua. Tahattomat teot, kuten luottamuksellisten sähköpostien lähettäminen väärälle vastaanottajalle tai tietojenkalasteluun lankeaminen, voivat juontua stressistä, paineista ja tuen puutteesta työyhteisössä, Anti selittää.

Osa työntekijöistä käyttää niin sanottua poikkeavaa luovuutta keksiessään tapoja kiertää turvallisuusmääräyksiä. Tällainen kekseliäs mutta riskialtis sisäpiiritiedon hyödyntäminen voi altistaa organisaation kyberuhille. Työntekijä saattaa esimerkiksi lähettää luottamuksellisia tiedostoja omaan sähköpostiinsa säästääkseen aikaa ja viimeistelläkseen työnsä etänä, tietäen, että järjestelmä ei merkitse salaamattomia tietoja tai estä henkilökohtaisia osoitteita.

– Kun turvajärjestelmät ja -käytännöt ovat liian jäykkiä, työntekijät luovat kiertoteitä. Ennen kuin organisaatiot voivat vahvistaa sääntöjen noudattamista ja turvallisuuskulttuuria, niiden täytyy ymmärtää, miksi ihmiset ylipäätään kiertävät sääntöjä, Anti sanoo.

Teknologia yksin ei riitä torjumaan sisäisiä riskejä

Perinteisesti organisaatiot ovat turvautuneet teknologiaan sisäpiiriuhkien hallinnassa, mutta Antin mukaan tämä lähestymistapa sivuuttaa inhimillisen näkökulman. Nykyiset AI-pohjaiset valvontajärjestelmät voivat suosia nopeutta huolellisuuden sijaan ja leimata huolelliset työntekijät tehottomiksi. Tämä voi ajan myötä lisätä turhautumista ja heikentää luottamusta.

– Sisäisten uhkien ehkäisemisen sijaan nämä järjestelmät saattavat edesauttaa niiden syntymistä. Sisätoimijan poikkeavuus on usein reaktio emotionaalisiin, kontekstuaalisiin ja ympäristöpaineisiin, Anti varoittaa.

Anti ehdottaa vaihtoehtoiseksi lähestymistavaksi empaattista, muotoiluajatteluun perustuvaa turvallisuusmallia, jossa kyberturvallisuutta kehitetään yhdessä työntekijöiden kanssa heidän tarpeensa ja hyvinvointinsa ymmärtäen.

– Empatia rakentaa luottamusta. Kun työntekijät tuntevat tulleensa ymmärretyiksi, he ovat halukkaampia ilmoittamaan virheistään niiden peittelemisen sijaan ja noudattavat turvallisuussääntöjä, koska ovat itse olleet mukana luomassa niitä, Anti toteaa.

Väitöskirja

Anti, Emmanuel (2025). Insider Deviant Behavior in Cybersecurity. Acta Wasaensia 570. Väitöskirja. Vaasan yliopisto.

Julkaisun PDF

Väitöstilaisuus

KTM Emmanuel Antin väitöstutkimus ”Insider Deviant Behavior in Cybersecurity” tarkastetaan tiistaina 2.12.2025 klo 12 Vaasan yliopiston Kurtén-auditoriossa.

Väitöstilaisuutta on mahdollista seurata myös etäyhteyden kautta: https://uwasa.zoom.us/j/68520234877?pwd=XXoMegtobfMbKLt8nBdcXO9qrLpXI7.1

Password: 067919

Vastaväittäjänä tilaisuudessa toimii Associate Professor Wael Soliman (University of Adger) ja kustoksena professori Tero Vartiainen.

Lisätietoja

Emmanuel Anti on syntynyt Ghanassa vuonna 1985. Hän on suorittanut kauppatieteiden maisterin tutkinnon (Service Innovation and Management: Information Systems) ja diplomi-insinöörin tutkinnon (Full Stack Software Development). Hän työskentelee tällä hetkellä projektitutkijana Vaasan yliopistossa.