Käytettävyyden merkitys kyberturvallisuudessa Suomen kontekstissa

Abstract

Kyberturvallisuus on alati kasvava ala, johon liittyy paljon haasteita. Se on uu-si ala, joka tarvitsee kipeästi uutta tutkimusta. Uuden tutkimuksen avulla voidaan luoda entistäkin turvallisempia järjestelmiä. Näiden uusien järjestelmien tietoturvaa suunniteltaessa ja toteutettaessa pitää kuitenkin ottaa huomioon myös käytettävyysnäkökulma. Jos käytettävyyttä ei huomioida tarpeeksi, niin järjestelmän toteutus voi jopa täysin epäonnistua tai järjestelmää voi olla mahdotonta käyttää tietoturvallisesti. Käytettävyys on perusta järjestelmän turvalliselle käytölle. Kyberturvallisuudessa on tehty erilaisia ohjenuoria ja säädöksiä siitä, miten kyberturvallisia tietojärjestelmäympäristöjä tulisi toteuttaa. Ottavatko nämä ohjeistukset kantaa järjestelmän käytettävyyteen? Suljetaanko merkittävä osa järjestelmän koko-naisturvallisuudesta ulkopuolelle ohjeistuksissa, kun käytettävyydelle ei anneta sitä merkitystä, mikä sillä pitäisi olla? Mitä Suomen valtionhallinto linjaa tietoturvaohjeistuksissaan käytettävyydestä? Tässä kandidaatintutkielmassa tarkoituksenani on tutkia, mikä merkitys käytettävyydellä on kyberturvallisuudessa. Aiheesta löytyy jo jonkin verran tieteellistä tutkimusta, mutta on tärkeää laatia niistä yhteenveto. Tutkielmassa otetaan esille käytettävyyden merkitys kyberturvallisuudessa ja tutkitaan myös, mitä Suomen valtionhallinnon linjaukset kyberturvallisuudesta ja tietoturvasta sanovat käytettävyydestä.

Cybersecurity is a growing field, which includes many challenges. It is a new field that needs more research. With new research, one can create more secure systems. When designing new systems and implementing them usability must be considered as well. If usability is not considered enough, then system development may fail altogether, or it may not be possible to use the system securely. Usability is part of the foundation of using a system securely. In cybersecurity, there are many different guidelines and regulations about how secure systems should be developed and designed. Do these instructions on systems development include usability? Does the overall security of the system suffer when usability is not considered as it should be? What does the Finnish gov-ernment say in their security guidelines about usability? In this thesis it is investigated that what significance does usability have in cybersecurity. There is some research about the subject, but it is important to create a summary of them. In addition to investigating the significance, it is also investigated whether Finnish government considers usability in their security or cybersecurity guidelines when designing or implementing systems.