Turvallisuuskulttuuri on seisahtunut huolimatta kyberhyökkäyksistä

Avoin toiminta
Tiivistelmä

  • Globaali turvallisuuskulttuuri on heikko huolimatta kasvavista kyberhyökkäyksistä – ihmisten virheet ovat suuri tekijä tietoturva-aukoissa
  • Perinteiset turvallisuusratkaisut ja valistaminen ovat tehotonta. Vahvan turvallisuuskulttuurin luominen vaatii jatkuvaa koulutusta, selkeää viestintää ja johtajuutta
  • Organisaatioiden on siirryttävä pois salasanojen käytöstä ja otettava käyttöön monivaiheinen tunnistautuminen paremman suojan saavuttamiseksi

Tutkimusten mukaan kahdeksan kymmenestä kyberhyökkäyksestä alkaa phishing-hyökkäyksillä, ja ne perustuvat loppuviimein ihmisten tekemiin virheisiin. Verkkorikollisuuden ja siihen liittyvien tapausten ja vaikutusten kasvaessa, turvallisuuskulttuuri on nyt tärkeämpää kuin koskaan.

Knowbe4:n tekemä raportti kuitenkin paljastaa, että maailmanlaajuinen kiinnostus kyberturvallisuuden ylläpitämiseen on kuitenkin matalalla tai kohtalaisella tasolla.

Vaikka monet organisaatiot tunnistavatkin, että työntekijöiden tietotaito on avainasemassa kyberhyökkäysten torjunnassa, hyökkäysten kohderyhmät eli hallitukset, teollisuus ja koulutus eivät välttämättä ylläpidä asianmukaisia standardeja turvallisuuden suhteen.

Techopedia haastatteli Knowbe4:ää – maailman suurinta tietoturvan valistamiseen liittyvä yritys – ja kysyi mielipiteitä myös muilta kyberturvallisuuden asiantuntijoilta tutkiakseen globaalia tilannetta alalla.

Keskeiset tulokset: Vuoden 2024 turvallisuuskulttuurin tila

Vuoden 2024 Knowbe4:n julkaiseman turvallisuuskulttuuriraportin mukaan Eurooppa, Pohjois-Amerikka ja Aasia johtavat turvallisuuteen liittyvissä asioissa. Ne saivat raportissa pisteitä 73 100:sta, kun taas Afrikka, Oseania ja Etelä-Amerikka seurasivat tiiviisti perässä.

Knowbe4 määrittelee turvallisuuskulttuurin ideoiksi, tavoiksi ja sosiaalisiksi käyttäytymismalleiksi, jotka vaikuttavat organisaation kyberturvallisuuteen ja vähentävät ihmisten riskejä joutua hyökkäysten kohteeksi.

Tämän määritelmän mukaan pienemmät organisaatiot suoriutuvat paremmin kokonaisuudessaan verrattuna suurempiin, mikä johtuu pääasiassa suurten toimintojen monimutkaisista rakenteista.

Analysoimalla tietoturvaan liittyviä asenteita, käyttäytymistä, tunnistamista, viestintää, normeja ja vastuita, raportissa todettiin, että parhaiten suoriutuvat teollisuudenalat ovat vakuutus, rahoituspalvelut ja pankkitoiminta – alat, jotka ovat olleet kyberhyökkäysten kohteina vuosikymmeniä.

Sen sijaan hallituksen, teollisuuden ja koulutuksen sektorit kamppailevat yhä kyberturvallisuuden ylläpitämisen suhteen huolimatta siitä, että niihin kohdistetaan yhä enemmän hyökkäyksiä kyberrikollisten toimesta.

Tekniikkakeskeiset lähestymistavat eivät rakenna vahvoja turvallisuuskulttuureja

Joanna Huisman – KnowBe4:n strategisten näkemysten ja tutkimuksen varatoimitusjohtaja – kertoi Techopedialle, että turvallisuuskulttuuria ei kannata käsitellä ainoastaan puhtaasti teknologisesti.

“Tekniikkakeskeiset strategiat ovat osoittautuneet yksinään riittämättömiksi, koska kyberrikolliset kiertävät taitavasti perinteiset puolustukset keskittyen hyödyntämään ihmisiin liittyviä haavoittuvuuksia. He katsovat, että tämä on helpompi tapa.

“Monet organisaatiot eivät onnistu täysin integroimaan turvallisuutta yleiseksi käytännöksi, mikä johtaa siihen, että työntekijät käyttäytyvät eri tavalla kuin mitä parhaat käytännöt tietoturvallisuuteen liittyen opastavat,” Huisman sanoi.

“Vaikka vahvan turvallisuuskulttuurin puolesta puhuminen on suoraviivaista, tarvittava sitoutuminen ja ponnistelut ympäristön edistämiseksi ja ylläpitämiseksi vaativat keskittymistä.

“Perinteiset koulutusmenetelmät jäävät vajaiksi, sillä vuosittaiset ohjelmat keskittyvät vain säännösten noudattamiseen eivätkä kokonaisvaltaiseen tietoisuuden lisäämiseen. Tämä taas jättää organisaatiot haavoittuvaisiksi. Tehokas koulutus vaatii jatkuvaa ja kattavaa lähestymistä todella vahvistaakseen organisaation työntekijöitä kohtaamaan kyberhyökkäyksiä.”

Avoimen ja osallistavan turvallisuuskulttuurin edut

Phil George, Mentorcliqin toimitusjohtaja — pilvi- ja mobiilipohjaisen työntekijöiden kouluttamiseen liittyvän ohjelmiston kehittäjä — kertoi Techopedialle, että turvallisuuskulttuurit siirtyvät kohti avoimuutta.

“Työskennellessäni monien eri yritysten kanssa ja tutkiessani heidän ainutlaatuisia työkulttuurejaan, kyberturvallisuuteen liittyvässä tiedossa ja parhaissa käytännöissä on havaittavissa merkittävä muutos,” George sanoi.

“Nykyään ollaan osallistavampia ja tietoisempia kyberturvallisuuden osalta, mikä on tietysti tervetullut uudistus. Jotta yritys voi olla turvallinen, jokaisen jäsenen on ymmärrettävä roolinsa kyberturvallisuuden ylläpidossa.”

George selitti, että internetin alusta lähtien yritykset ovat tyypillisesti luottaneet tietohallintojohtajiin ja IT-tiimeihin, jotka ovat suunnitelleet ja ylläpitäneet kyberturvallisuutta.

“Konsensus on muuttunut ja laajentunut käsittämään kaikki organisaation sisällä toimivat henkilöt. Avoin ja tietoinen kulttuuri on juuri sitä, mitä yritykset tarvitsevat selviytyäkseen nykyaikaisten kyberuhkien kanssa.”

Turvallisuuskulttuureja ajavat tekijät: Tietoisuus, hyökkäykset, budjetit ja tekoäly

Fred Kwong on taas DeVryn yliopiston tietoturvajohtaja, ja hän kertoi Techopedialle, että globaalin turvallisuuskulttuurin tilaa määrittävät laajasti eri tekijät.

“Nykyinen tietoturvamaisema keskittyy voimakkaasti tietoisuuteen, riskitekijöihin, hyökkäysten toistuvuuteen ja taloudellisiin tekijöihin sekä siihen, mitä kaikkea tulevaisuudessa on vielä tulossa tekoälyn, kuten ChatGPT:n, yleistymisen myötä.”

Knowbe4:n raportissa päätellään, että kaikista uusista teknologioista tekoälyllä on todennäköisesti merkittävimpiä vaikutuksia organisaatioiden ja yksilöiden tietoturvaan.

Kwong korosti, että 95 prosenttia tietomurroista perustuu taloudellisen hyödyn tavoitteluun Verizonin vuoden 2023 raportin mukaan.

“Siitä huolimatta, että vastuullisuus ja investoinnit hyökkäysten lieventämiseksi ovat lisääntyneet, monet organisaatioiden johtajat eivät ole vakuuttuneita siitä, että nykyiset järjestelmät ja prosessit ovat tehokkaita yksittäisten työntekijöiden, tietojen ja toimintojen suojaamisessa.”

Kwong lisäsi, että vaikka CISCO:n Turvallisuuden tulokset -raportin kolmannessa osassa todettiin, että 96 prosenttia johtajista pitää tietoturvallisuutta erittäin tärkeänä yrityksilleen, kun taas kaksi kolmasosaa vastaajista raportoi kärsineensä merkittävistä kyberturvallisuuteen liittyvistä ongelmista, jotka pahimmillaan vaaransivat liiketoiminnan.

“Kuten raportti osoittaa, on olemassa silta riskin ja kestävyyden välillä. CISCO:n raportin mukaan ne organisaatiot, jotka edistävät ‘turvallisuuskulttuuria’, ovat kokeneet 46 prosentin kasvun kestävyyden suhteen.”

Miksi yritykset epäonnistuvat huolimatta investoinneista

IBM X-Force Threat Intelligence Index 2024 paljasti merkittävän muutoksen kyberrikollisten käyttämissä tekniikoissa. Sellaiset hyökkäykset, joissa ei käytetä hyväksi tiedostoja, ovat nousseet 71 prosenttia, kun taas tietojenkalastelut ovat lisääntyneet 266 prosenttia.

Keskeinen kysymys on kuitenkin se, että miksi ne yritykset, jotka investoivat paljon tietoturvaan liittyvän tietoisuuden kasvattamiseen, eivät onnistu estämään näitä hyökkäyksiä? Minkälaista teknologiaa voidaan käyttää parantamaan tietoisuutta ja turvallisuuskulttuuria?

Knowbe4:n Huisman kertoi Techopedialle, että organisaatioiden on toteutettava selkeä suunnitelma kulttuurisen muutoksen selkeyden ja vaikutuksen parantamiseksi.

“Hän mainitsi seitsemän perusvaihetta jatkuvan parantamisen kehässä, joita sinun tulisi noudattaa aloittaessasi turvallisuuskulttuurin muutoksen.”

Knowbe4:n seitsemän periaatetta ovat:

  1. Valitse 2–3 käyttötapausta, joita haluaisit muuttaa
  2. Suunnittele toimi käyttäytymisen muuttamiseksi koko organisaation laajuisesti
  3. Hanki itsellesi johtajuus muutoksille
  4. Viesti riittävästi
  5. Toteuta suunnitelma
  6. Mittaa tulokset
  7. Määritä etenemisstrategia

Teknologian osalta Huisman puhui turvallisuustietoisuuden ja simuloitujen phishing-alustojen tärkeydestä, jotka on suunniteltu parantamaan jatkuvaa koulutusta ja vahvistamaan ihmisten valppautta kyberuhkia vastaan.

Näiden alustojen tulisi sisältää kattava valikoima uhkien tietoisuuden lisäämistä ja niihin reagoimiseen liittyvää koulutusta. Lisäksi työntekijöille pitäisi tarjota reaaliaikaista valmennusta, tekoälyllä tehostettua simuloitua sosiaalista manipulointia ja joukkoistettua tietojenkalasteluhyökkäysten torjuntaa.

Arviointi ja tekoäly turvallisuuskulttuurissa

Mentorcliqin George lisäsi, että arvioinnit ovat myös elintärkeitä turvallisuuskulttuurien rakentamisessa ja ylläpidossa.

“Hänen mukaansa liike-elämän tavoittelema vahva turvallisuuskulttuuri ja sen rakentaminen tulee pitää sisällään kyberturvallisuuden parhaat käytännöt ja niiden arviointi,” George sanoi. “Pidän tätä nerokkaana ideana, koska se motivoi työntekijöitä olemaan tietoisia ja ylläpitämään omaa rooliaan yrityksen kyberturvallisuudessa.

“Tekoäly on erinomainen automatisoimaan ja tehostamaan kyberturvallisuuden toisteisuutta ja tiettyjä osa-alueita. Kuitenkin alue, jolla tekoäly jo erinomaisesti menestyy ja tulee menestymään, on uhkien havaitseminen. Odottaisin tekoälyn ottavan tämän osa-alueen vielä enemmän hallintaansa lähitulevaisuudessa.”

Knowbe4:n Huisman myös puhui tekoälyn vaikutuksesta turvallisuuskulttuureihin.

“Tekoälyllä toteutetut hyökkäykset voidaan automatisoida havaitsemaan turvallisuusjärjestelmien aukkoja ja heikkouksia, kuten etsimään ja löytämään huonosti suojauttuja tietoverkkoja,” Huisman sanoi.

“Tekoälyn käyttö voi nopeuttaa hyökkäysprosessia, kasvattaen kohteiden määrää ja lisäten onnistuneiden murtojen todennäköisyyttä.

“Kyse ei ole vain hyökkäysten määrästä, vaan myös niiden laadusta; tekoäly mahdollistaa monimutkaisemmat ja huomaamattomammat kyberuhkat. Kun tekoälyllä toteutetut kyberhyökkäykset kehittyvät monimutkaisemmiksi, on välttämätöntä, että turvallisuuskulttuuri kehittyy myös.”

Organisaatioiden tulisi pysyä valppaina, pysyä ajan tasalla näistä nousevista uhista ja jatkuvasti mukauttaa kyberturvallisuusstrategioitaan lieventääkseen tämän voimakkaan teknologian aiheuttamia riskejä.

6 strategiaa paremman turvallisuuden rakentamiseksi tekoälyn avulla

DeVryn yliopiston Kwong on todennut, että tehokkaan kyberturvallisuuden ja siihen liittyvän kulttuurin rakentamiseksi organisaatioiden on harkittava kuutta eri strategiaa ja näkökulmaa.

Ne ovat seuraavat:

  • Johdon merkitys: Korkean tietoturvallisuuden tärkein lähtökohta on, että johto asettaa sävyn koko organisaatiolle. Työntekijöiden on ymmärrettävä, että heillä kaikilla on oma roolinsa riskien vähentämisessä ja ylläpitämisessä.
  • Turvallisuus kaikkialla organisaatiossa: Kun turvallisuus on kaikkien liiketoimintaprosessien perustana, tarkastukset otetaan käyttöön varmistamaan, että tietoturvallisuus on kaikkien työntekijöiden ja sidosryhmien mielessä koko projektin elinkaaren ajan. Lisäksi johtajat ja työntekijät pitävät protokollia tärkeänä osana toimintaansa, mikä edistää korkeaa tietoturvakulttuuria koko organisaatiossa.
  • Harjoita parhaita käytäntöjä: Vahva tietoturvallisuus vaatii, että kaikki organisaatiossa noudattavat johdonmukaisesti parhaita käytäntöjä. Säännöllinen phishing-hyökkäysten raportointi on hyvä indikaattori siitä, kuinka hyvin työntekijät toteuttavat turvatoimia.
  • Järjestä harjoituksia: Harjoitukset auttavat organisaatioita löytämään haavoittuvuuksia strategioissaan ja työntekijöiden tietotaidoissa. Todellisten skenaarioiden simuloiminen parantaa viestintää, tunnistaa puutteita ja kouluttaa työntekijöitä käsittelemään kyberuhkia.
  • Muuta viestintää: Tehokas viestintä on avain kestävän turvallisuuskulttuurin rakentamiseen. Pelkkien samojen viestien toistaminen on kuitenkin tehotonta. Paras lähestymistapa on levittää tietoisuutta monipuolisesti eri kanavien kautta koko organisaatiolle.
  • Palkitse työntekijöitä: Työntekijöiden hyvien käytäntöjen tunnustaminen ja esimerkiksi lisäkoulutuksen tarjoaminen auttaa rakentamaan positiivista tietoturvakulttuuria. Tämä vahvistaa yksilön vastuuta ja jatkuvan oppimisen tärkeyttä.

“Tekoäly on valmis muuttamaan perusteellisesti kyberturvallisuutta tulevina vuosina,” Kwong sanoi. “Tekoälyä ei kuitenkaan käytetä pelkästään puolustukseen — sitä hyödyntävät myös hakkerit ja kyberrikolliset yhä monimutkaisempien hyökkäysten toteuttamiseen.

Gartnerin “4 tapaa, joilla generatiivinen tekoäly vaikuttaa CISOihin ja heidän tiimeihinsä” -raportin mukaan vuoteen 2025 mennessä generatiivisen tekoälyn hyödyntäminen hyökkäyksissä pakottaa organisaatiot alentamaan kynnystä epäilyttävän toiminnan havaitsemiseen. Se taas aiheuttaa enemmän vääriä hälytyksiä ja siten vaatii enemmän ihmisten huomiota,” Kwong lisäsi.

Turvallisuuskulttuuri – kolme keskeistä aluetta tekoälyn osalta

Kwongin mukaan tekoälyssä tulisi valmistautua kolmeen keskeiseen alueeseen. Ensinnäkin tekoäly ja koneoppiminen tulisi hoitaa siten, että se tapahtuu varmasti turvallisessa ympäristössä.

Käyttäjien toimiin liittyvä analytiikka, automatisoidut vastaukset ja tekoälyyn perustuva haittaohjelmien havaitseminen tulevat oleellisiksi tulevaisuudessa.

Toiseksi on tärkeä laittaa perusasiat kuntoon. “Vaadi monivaiheista tunnistautumista (MFA), tarjoa säännöllistä koulutusta, salaa arkaluonteiset tiedot ja korjaa tietoturva-aukot nopeasti. Valmistautuminen auttaa estämään kyberhyökkäyksiä tehokkaasti,” Kwong sanoi.

Kolmanneksi, suunnittele siirtyväsi pois salasanoista ja hoida käyttäjien tunnistautuminen muilla keinoilla. Kun hakkeroinnissa käytettävät työkalut muuttuvat monimutkaisemmiksi, pelkät salasanat eivät enää riitä käyttäjille.

Turvallisuuskulttuuri – yhteenveto

Huolimatta kyberhyökkäysten lisääntymisestä, globaali turvallisuuskulttuuri pysyy suhteellisen samanlaisena kuin aikaisemmin. Tutkimukset osoittavat, että ihmisten virheet ovat keskeinen tekijä tietomurroissa, mutta organisaatiot eivät siitä huolimatta onnistu kouluttamaan työntekijöitään tehokkaasti erilaisia hyökkäyksiä vastaan.

Perinteiset turvatoimet ja koulutus eivät riitä. Vahva turvallisuuskulttuuri vaatii monipuolista lähestymistapaa, johon kuuluu johdon sitoutuminen, jatkuva koulutus ja selkeä viestintä.

Kyberturvallisuuden tulevaisuus vaikuttaa siltä, että tekoäly tulee näyttelemään merkittävää roolia molemmilla puolilla. Organisaatioiden on mukautettava strategioitaan näihin kehittyviin uhkiin hyödyntämällä tekoälyä puolustuksessa samalla kun painotetaan hyviä turvallisuuskäytäntöjä.

Samankaltaiset termit

Ray Fernandez
Senior Technology Journalist
Ray Fernandez
Teknologiatoimittaja

Ray on kokenut toimittaja, joka on toiminut alalla yli 15 vuoden ajan. Tällä hetkellä hän toimii teknologiatoimittajana Techopedialla sekä TechRepublicissa. Hänen kirjoituksiaan ovat julkaisseet monien muiden ohella Microsoft, Moonlock, Venture Beat, Forbes, Solutions Review, The Sunday Mail, The FinTech Times, Bloomberg, Horasis sekä Nature Conservancy.