”Kyberturvallisuus kuuluu kaikille” : viestinnälliset kehykset yksityishenkilöille suunnatussa tietoturvaviestinnässä

Abstract

Tässä tutkielmassa tarkasteltiin yksityishenkilöille suunnattua tietoturvaviestintää. Yksityishenkilöillä ei ole samanlaista ohjaavaa tukiverkostoa tietoturvakäyttäytymisensä tueksi kuin esimerkiksi organisaatioiden jäsenillä, vaikka myös yksityishenkilöt voivat joutua tietoturvaloukkausten uhriksi. Näin ollen tietoturvauhista ja toivotusta käyttäytymisestä tiedottaminen myös yksityishenkilöille on tärkeää. Suomessa yksityishenkilöille tietoturvasta viestii esimerkiksi kansallinen tietoturvatoimija Kyberturvallisuuskeskus, jonka viestintämateriaalit muodostivat tutkielman aineiston. Tutkielmassa aineistoja tarkasteltiin suojelumotivaatioteorian sekä sosiaalisen markkinoinnin teorian luoman teoreettisen viitekehyksen pohjalta, ja tarkoituksena oli tutkia, miten viestintämateriaalit pyrkivät vaikuttamaan kohderyhmän eli yksityishenkilöiden tietoturvakäyttäytymiseen. Analyysi toteutettiin kehysanalyyttisella menetelmällä, jonka avulla tarkasteltiin aineistossa esiintyneitä viestinnällisiä kehyksiä. Viestinnällisten kehysten tutkiminen on tärkeää, jotta voidaan ymmärtää, miten tietoturvasta puhutaan ja minkälaista kuvaa siitä luodaan. Analyysin keskiössä oli kaksi kehystä: suojelumotivaatioteoriaan perustuva uhkapuheen kehys sekä sosiaaliseen markkinointiin nojaava yhteiskunnallisen ulottuvuuden kehys. Analyysissa selvisi, että molempia kehyksiä esiintyi aineistossa lähes yhtä paljon, mutta osittain epätasaisesti eri aineistotyyppien välillä. Aineistossa vedottiin usein uhkien vakavuuteen, alttiuteen uhille sekä minäpystyvyyteen. Sen sijaan sosiaalisen markkinoinnin teoriaan kuuluvaa ajatusta vaihtokaupasta olisi voitu hyödyntää enemmänkin. Tutkimustulokset auttavat tutkijoita ja viestijöitä tunnistamaan tietoturvaviestinnässä hyödynnettäviä viestinnällisiä kehyksiä sekä sitä, miten niitä pystyttäisi käyttämään tietoisesti hyväksi toivotun tietoturvakäyttäytymisen edistämiseksi.

This study was about information security communication targeted at private individuals, who often do not have the same guidance available to support their information security behaviour than members of organisations have. However, private individuals face similar threat of becoming victims of cyber incidents. Therefore, it is important to inform private individuals about cyber threats and the desired information security behaviour. In Finland, the information security communication is done by for example the National Cyber Security Centre, and its materials were analysed in this study. The theoretical framework of the study consisted of the Protection Motivation Theory, and the Social Marketing Theory. The aim of the study was to examine how communication materials try to influence the behaviour of the target audience. With the help of frame analysis, the study examined the frames that appeared in the materials. Studying the frames in communication is important because they can increase understanding of how information security is being talked about. Two frames were prominent in the analysis: the frame of threat speech that was based on the Protection Motivation Theory, and the frame of social dimension that was lead from the theory of Social Marketing. The main findings are the following. Firstly, the number of the appearances of both frames in the material were almost equal, but they were split unevenly between the two material types used in the analysis. Secondly, the most used appeals were the severity, the vulnerability, and the self-efficacy. Instead, the idea of exchange that is a part of Social Marketing could have been utilized even more in the materials. The study and its results can help researchers and practitioners to recognise the frames that appear in the information security communication, and how they could be utilized to achieve the desired information security behaviour.