Tämä on varmasti monelle tuttu tilanne – HR pakottaa kuuntelemaan jälleen uuden luennon, joka on täynnä varoittavia esimerkkejä kyberturvallisuudesta ja haittaohjelmista.
Totuus on kuitenkin se, että monet kybertietoisuuskoulutukset ovat vanhentuneet tai muuten puutteelliset, minkä vuoksi henkilökuntakaan ei ole ajan tasalla. Tämän seurauksena organisaatiot ovat alttiita erilaisille kyberuhille.
Tiedämme työntekijöiden suhtautuvan jopa jääräpäisen tietämättömästi tietoturvariskeihin, eivätkä 45 minuutin puuduttavat luonnot ja rasti-ruutuun -lomakkeet varsinaisesti inspiroi kiinnostumaan aiheesta.
Nykyään edes parhaat virustorjuntaohjelmat ja haittaohjelmien poistotyökalut eivät suojaa kaikilta olemassaolevilta uhilta. Miten organisaatiot voivat siis rakentaa koulutuksen, jossa ajankohtainen tietoisuus kyberturvasta sisällytetään jokapäiväiseen yrityskulttuuriin?
Tässä asiantuntijan vinkit yrityksen toimivaan kybertietoisuuskoulutukseen.
“Kaikki kybertietoisuuskoulutuksesta innostuneet, nostakaa kätenne ylös”
Phishing-hyökkäysten lisääntyessä vuosittain, ohjelmat joiden tarkoitus on saada henkilöstö liikkeelle ja tehdä heistä organisaation silmät ja korvat tietoverkossa, ovat yhä suositumpia.
Työntekijät usein työskentelevät aivan tietoverkon reunalla, missä tietoturva on hauraimmillaan. Tästä syystä on järkevää pitää heidät ajan tasalla jatkuvasti muuttuvista kyberuhista ja siitä, miten nämä uhat voidaan tunnistaa niiden tapahtuma hetkellä.
Monet tietoturvaan valistavat ohjelmat kuitenkin epäonnistuvat. Syynä tähän ovat tehottomat oppimismenetelmät ja vanhentunut sisältö, mikä varmistaa ettei osallistujien kiinnostus herää ja jos jotain opitaan, ei se ole aina enää ajankohtaista. Kaikesta käytetystä energiasta ja ajasta huolimatta lopputuloksena on organisaatio, joka ei ole yhtään aiempaa turvallisempi.
Tietoturvakoulutuksien lähestymistapa, rakenne ja sisältö on suunniteltava siten, että se ylittää toimistoilmapiirin häiriötekijät ja melun. Tämän todellisuuden tunnistaminen ja kurssin mukauttaminen vallitseviin olosuhteisiin on asia, jota jokaisen tietoturva-ammattilaisen on harkittava koulutuksen suunnittelussa.
Sisäpiirin uhka vuonna 2024
Organisaatiosta riippumatta ihmiset voivat olla suurin haavoittuvuuden lähde. Ilmiötä kutsutaan usein sisäpiirin uhaksi. Tähän kiteytyy se väistämättömän riski, joka syntyy, kun sadoilla tai tuhansilla etulinjan työntekijöillä, johtajilla, esimiehillä, yhteistyökumppaneilla ja alihankkijoilla on pääsy verkkoresursseihin.
Verkkorikolliset käyttävät eri tason taktiikoita, joista osa on erittäin sivistyneitä. Tarkoituksena on huijata kohteet klikkaamaan vaarallisia linkkejä tai lataamaan saastuneita tiedostoja ja liitetiedostoja. Kokemus on osoittanut tekniikan toimivaksi.
Ponemon-instituutin arvostettu Cost of Insider Risk Global Report -raportti osoittaa, että organisaatioihin kohdistuneiden sisäpiirin aiheuttamien uhkatapausten määrä kasvaa vuosittain ja korjauskustannukset nousevat uhkien mukana.
Vuonna 2022 sisäpiirin kohdistuneiden hyökkäysten keskimääräiset kustannukset olivat 15,4 miljoonaa dollaria ja vuonna 2023 luku nousi 16,2 miljoonaan dollariin.
Tekoäly vahvistaa uhkaa
David Emm, Kasperskyn maailmanlaajuisen tutkimus- ja analyysitiimin johtava tietoturvatutkija, kertoi Techopedialle, että osa uhista voidaan panna tekoälyn syyksi.
Verkkorikolliset ovat alkaneet hyödyntämään koneoppimista “jäljitelläkseen luotettavaa käyttäytymistä ja automatisoidakseen hyökkäyksiä, mikä vaikeuttaa haitallisten toimintojen havaitsemista.”
MetaCompliancen Chief Evangelist Robert O’Brien on samaa mieltä. Hän kertoi Techopedialle, että hakkereille “annettiin käytännössä taikalamppu ChatGPT:n julkaisun myötä”.
Viranomaisten ja teollisuuden mukaan hakkerit ovat omaksuneet tekoälyn hyödyntämisen huijauksissaan huomattavasti odotettua nopeammin. O’Brien toteaa:
“Sisäpiirin uhkien näkökulmasta tekoälytyökalut laajentavat useimpien organisaatioiden uhkakuvaa – etenkin, jos tekoälytyökalujen käyttöönotto ei ole tiukasti koordinoitua.”
Exabeamin CISO Tyler Farrar sanoo, että tekoäly “voi tuottaa erittäin aidolta vaikuttavia viestejä, jolloin käyttäjien on äärimmäisen vaikea erottaa, ovatko ne vilpillisiä vai eivät. Tämä kasvattaa huijauksen onnistumisprosenttia.”
Inhimillinen tekijä
Kasperskyn Emm väittää kuitenkin, että tahalliset sisäpiirin uhat, joissa luotetut työntekijät aiheuttavat tahallaan vahinkoa, ovat edelleen suurin haaste. Emm täsmentää:
“Yritysten on vaikeampi valvoa tällaista tilannetta, koska yrityksen ja työntekijän välinen luottamus rikkoutuisi. Pääsynvalvonta, jolla rajoitetaan toimintojen laajuus niihin, jotka sitä tarvitsevat, voi auttaa riskien lieventämisessä. Työntekijöiden apatia ja tietoisuuden puute pahentavat ongelmia entisestään, mikä edellyttää ennakoivaa ja mukautuvaa lähestymistapaa turvallisuuteen.”
Kuulostaa huolestuttavalta. Ongelma ei ole kuitenkaan uusi.
Tietoisuus sisäpiirin uhasta on lisääntynyt ainakin vuodesta 2014 lähtien. Tuolloin Harvardin tutkimuksessa arvioitiin, että yhdysvaltalaiset yritykset kokivat vuosittain 80 miljoonaa verkkohyökkäystä, joissa oli osallisena työntekijöitä tai alihankkijoita – luvun oletetaan nykyisin olevan alakanttiin, koska niin monet tietoturvaloukkaukset jäivät ilmoittamatta.
Mitä tehdä?
Tekoälyn käyttäminen laajamittaisten hyökkäysten toteuttamiseen on uusi käänne, mutta vakiintuneemmat hakkerointitekniikat ovat vieläkin tehokkain tapa työntekijöiden huijaamiseen.
“Kyberhyökkääjät käyttävät edelleen sosiaalista manipulointia ensisijaisena keinonaan ihmisten hakkerointiin”, sanoo Lance Spitzner, SANS Security Awarenessin tekninen johtaja.
Lance kertoi Techopedialle, että perinteinen sähköpostihuijaus on puhelinsoitto- (Vishing) ja viestihyökkäysten (Smishing) ohellaan edelleen suosittua.
“Vaikka yleinen strategia on sama, ovat verkkohyökkääjät kehittyneet huomattavasti. Kirjoitusvirheet ovat kadonneet. Sen sijaan verkkohyökkääjät räätälöivät hyökkäyksiä aiotuille uhreilleen käyttämällä yrityksensä logoja, viittauksia viimeaikaisiin tapahtumiin ja voimakkaampia tunnekäyttäytymisen laukaisijoita.”
Jotkut yhdistelevät jopa eri elementtejä, kuten sähköpostia, puheluita, tekstiviestejä ja QR-koodeja.
Vanhat hakkerit toimivat, uusia lähestymistapoja kehitetään, ja yritykset ryhtyvät toimiin. Code42:n vuonna 2023 tekemässä tutkimuksessa todettiin, että 72 prosenttia organisaatioista käyttää aikaansa ja budjettiaan tietoverkkotietoisuutta edistäviin koulutusohjelmiin. Tästä huolimatta 71 prosenttia uskoi, että sisäpiiriin liittyvät tietoturvaloukkaukset tulisivat lisääntymään seuraavan 12 kuukauden aikana.
Tänä vuonna Proofpointin mukaan 54 prosenttia CISO:ista odottaa priorisoivansa työntekijöiden kybertietoisuuden parantamista seuraavien kahden vuoden aikana. Mutta, osoittautuuko kaikki tämä tuloksettomaksi?
Yhtiön tiedottaja kertoi Techopedialle, että vaikka koulutus onkin tärkeää tietoisuuden lisäämiseksi “Se on vasta alkua – jatkuvan tietoturvakäyttäytymisen ja -kulttuurin muuttaminen on avain riskien pienentämiseen.”
Mutta miten kybertietoisuus saadaan ihmisten tietoisuuteen ja miten se pidetään siellä?
Kyberturvallisuuskoulutuksen ongelmat
Monien organisaatioiden vastaus on kerätä ihmiset kokoushuoneisiin, näyttää pelottavia PowerPoint-esityksiä ja jättää muistilista, jota työntekijät voivat pitää työasemiensa vieressä.
Kun otetaan huomioon nykyaikaisten hyökkäysten hienostunut, kehittyvä ja jatkuva luonne – ja ihmisluonnon aineettomuus – perinteiset yrityskoulutusmuodot eivät yksinkertaisesti riitä.
Menlo Securityn CISO Devin Ertel sanoo:
“Uhkatekijät ovat löytäneet uusia tapoja hyödyntää työntekijöiden apatiaa, uteliaisuutta ja tietoturvatietoisuuden puutetta, ohittaakseen jopa kaikkein kehittyneimmät tekniset suojaukset.”
Hän kertoi Techopedialle, että “ihmiset ovat edelleen heikoin lenkki”, ja huomautti, että “yli 75 prosenttia tietojenkalasteluun tarkoitettuja phishing-linkkejä isännöidään luotetuilla verkkosivustoilla, minkä vuoksi niitä on vaikeampi tunnistaa haitallisiksi.”
Next DLP:n tietoturvajohtaja Chris Denbigh-White kertoi Techopedialle, että minkä tahansa tietoverkkotietoisuuden koulutusohjelman on voitettava useita esteitä. Niitä ovat muun muassa:
- kilpailevat työn painopisteet
- kyberuhkien pikemminkin abstrakti kuin fyysinen luonne
- tietoturvamenettelyjen hankaluus
- jatkuvasta tietoturvavaroitusten ja -päivitysten virrasta aiheutuva “turvallisuusväsymys”.
Tekninen jargoni voi rajoittaa ymmärrystä
Kyberturvallisuuskoulutus perustuu usein vaikeaan jargoniin, mikä vieraannuttaa ei-tekniset työntekijät ja saa koulutuksen vaikuttamaan puuduttavalta tai ylivoimaiselta, mikä vaikeuttaa ymmärtämistä.
On myös kysymys siitä, että “ihmiset aliarvioivat arvonsa kohteina tai tuntevat olevansa suojassa yrityksen palomuurien takana – ns. “minulle ei tapahdu mitään” -mentaliteetti”.”
Ongelma on pitkälti tietoturvaryhmässä. Turvallisuusryhmät johtavat turvallisuuskoulutusta, mutta näiden ohjelmien johtohenkilöt ovat usein hyvin teknisiä. Siksi yritysten pitäisi pohtia, miten turvakoulutuksesta tehtäisiin ihmisille yksinkertaista ja heidän ehdoillaan tapahtuvaa.
SANS Security Awareness -järjestön Lance Spitzner toteaa, että useimmat tietoturvakoulutukset epäonnistuvat, koska “ne eivät vastaa ihmisten ajattelu- ja toimintatapoja”. Tietoturvaryhmät voivat myös olla huonosti valmennettuja koulutustehtäviin.
“Tietoturvaryhmillä on paljon kokemusta tietokoneiden parissa työskentelystä, mutta hyvin vähän kokemusta siitä, miten sitouttaa, motivoida ja kouluttaa ihmisiä tai miten tehdä tietoturvasta yksinkertaista”. He tarvitsevat uusia koulutustaitoja, jotka ovat järkeenkäypiä, eivät sitä vastaan sotivia.”
Asiantuntijoiden vinkit tietoturvatietoisuuden lisäämiseksi
Asiantuntijoiden mukaan onnistunut kybertietoisuuden koulutusohjelma vaatii resursseja, aikaa ja harkitun lähestymistavan. Tässä keskeisiä menestystekijöitä, jotka kannattaa huomioida:
1. Viesti oikein
“Tietoturvatietoisuus on samanlainen kuin mikä tahansa muu organisaation markkinointikampanja”, sanoo MetaCompliancen Robert O’Brien. “Tärkeintä on, että ihmiset näkevät johdonmukaista ja merkityksellistä viestintää, ei vain koulutuksen suhteen vaan kaikkialla.”
2. Sitoutta ja vahvista
NextDLP:n Chris Denbigh-White ehdottaa, että CSO:t kehittäisivät koulutusta, joka on “vuorovaikutteista ja ymmärrettävää ja jossa korostetaan turvallisuuskäytäntöjen juurisyitä, ei ainoastaan “miten”. Tunnustus- ja palkitsemisohjelmien lisääminen kannustaa työntekijöitä omaksumaan myös vahvempia kyberturvallisuuskäytäntöjä.”
3. Järjestä tietoturvaryhmiä koulutusta varten
“Tehokkaimmissa tietoisuusohjelmissa tietoturvatiimissä on ihmisiä, jotka ovat omistautuneet auttamaan turvallisia työntekijöitä”, sanoo SANSin Lance Spitzner. “Näillä ihmisillä on taidot, joita tarvitaan tehokkaaseen viestintään, koulutukseen ja lopulta käyttäytymisen muuttamiseen. Kypsä tietoisuusohjelma on jatkuvaa, ympärivuotista työtä, joka motivoi, sitouttaa ja kouluttaa työntekijöitä aktiivisesti.”
4. Henkilökohtaista mikrokoulutuksen avulla
Mika Aalto, Hoxhuntin toinen perustaja ja toimitusjohtaja, kertoi Techopedialle, että hyökkääjät kohdistavat ihmisten käyttäytymiseen, joten tietoturvakoulutuksessa tulisi huomioida myös käyttäytymistä koskeva lähestymistapa. “Henkilökohtaistaminen onnistuu mikrokoulutuksilla, jotka ovat oleellisia käyttäjän taustan ja taitotason kannalta”, Aalto sanoo.
“Kouluttajien tulisi myös pyrkiä tekemään siitä hauskaa”, hän lisää. “Phishing-koulutus soveltuu erinomaisesti pelillistämiseen. Uhkaraportoinnin voi upottaa osaksi organisaation kudosta tunnustamalla ja palkitsemalla ihmisiä palkinnoilla todellisen hyökkäyksen kiinni saamisesta.”
5. Unohda kertaluonteiset istunnot
Exabeamin CISO Tyler Farrar kertoi Techopedialle, että menestyksekkään kyberturvallisuustietoisuuden koulutusohjelman on vuonna 2024 oltava “immersiivinen, mukautuva ja jatkuva, ja siihen on integroitava säännöllisiä phishing-simulaatioita, yksilöllisiä koulutusmoduuleja ja vuorovaikutteista sisältöä, kuten pelillistettyjä harjoituksia ja VR/AR-kokemuksia “. Näillä elementeillä varmistetaan, että työntekijät ovat sitoutuneita ja voivat liittyä reaalimaailman skenaarioihin, mikä parantaa heidän kykyään tunnistaa uhkia ja reagoida niihin.”
6. Ota johtajat mukaan
Stephen Kowski, SlashNext Email Securityn Field CTO, kertoi Techopedialle, että johdon sitoutumista tarvitaan “turvallisuustietoisen kulttuurin viljelemiseksi, mukaansatempaavien, roolipohjaisten moduulien tarjoamiseksi ja riskikäyttäytymisen, kuten tietojenkalastelun, korostamiseksi”.
Samaa mieltä oleva Kasperskyn David Emm toteaa, että “johdon on annettava aito hyväksyntänsä, jotta vältetään se riski, että henkilöstö ja keskijohto asettavat tuottavuuden turvallisuuden edelle.”
MetaCompliancen Robert O’Brien lisää, että “ylimmän johdon aktiivinen osallistuminen on tärkeää, jotta tietoturvatietoisuuden tärkeyttä saadaan jatkuvasti esille”.
7. Luo oikeaa sisältöä
Proofpointin tiedottaja kertoi Techopedialle, että ” inspiroivan, oleellisen ja sulavan koulutussisällön varmistaminen on elintärkeää, jotta työntekijöiden mielenkiinto säilyy. Tarjoa erilaisia käytettäviä materiaaleja, jotka vahvistavat kyberturvallisuuden tärkeyttä ja ohjaavat työntekijöitä oikeaan käyttäytymiseen”.
“Käyttäjät eivät ole tietoturva-asiantuntijoita, eikä heillä ole juurikaan kiinnostusta tulla sellaiseksi, joten harkitse kyberturvallisuusprosessin esittämistä tarinana tai matkana ja anna tosielämän esimerkkejä, jotka tukevat tietämystä ja rakentavat ymmärrystä mahdollisista seurauksista.”
Onnistunut kybertietoisuuskoulutus: Yksinkertainen 7-vaiheen malli
Hyödynnä vuorovaikutus
Käytä vuorovaikutteisia istuntoja, joissa on tosielämän skenaarioita, jotta työntekijät pysyvät sitoutuneina ja oppimisesta tulee käytännöllistä.
Päivitä usein
Tarjoa työntekijöille säännöllisesti päivityksiä uusista uhista ja turvallisuuskäytännöistä, jotta he pysyvät ajan tasalla muuttuvassa kyberturvallisuusympäristössä.
Korosta mobiilitietoja
Korosta mobiilitietoturvan merkitystä. Valista työntekijöitä tarkistamattomien sovellusten käytön riskeistä ja korosta mobiililaitteiden jatkuvan valvonnan, suojauksen ja uhkien mallintamisen tarvetta.
Tee sisällöstä roolikohtaista
Räätälöi koulutusta yrityksen eri rooleille, jotta voidaan käsitellä kunkin roolin mahdollisia erityisriskejä.
Arvioi säännöllisesti
Arvioi jatkuvasti koulutuksen tehokkuutta ja anna palautetta työntekijöille, jotta he voivat parantaa käytäntöjään.
Sisällytä osaksi päivittäisiä rutiineja
Tee kyberturvallisuudesta osa päivittäisiä rutiineja sisällyttämällä käytännöt osaksi yrityskulttuuria.
Ota johtajat mukaan
Varmista, että johtokunta ja johtajat osallistuvat koulutusohjelmaan ja tukevat sitä, jotta koulutusohjelman tärkeys käy ilmi ja asenne tietoturvaa kohtaan huomioidaan.
Yhteenveto
Vishnubhotla on huolissaan, että sisäpiirin uhat vain monimutkaistuvat tänä vuonna kahdesta syystä: etätyön lisäännyttyä ja henkilökohtaisten laitteiden laajamittaisesta käytöstä liiketoiminnan tehtävissä. Hän kommentoi:
“Yritysten on annettava työntekijöilleen mahdollisuus toimia ensimmäisenä puolustuslinjana, edistämällä turvallisuustietoisuuden ja eettisen käyttäytymisen kulttuuria. Säännöllinen koulutus ja tietoisuusohjelmat ovat ratkaisevan tärkeitä, jotta työntekijät saavat tiedot ja taidot tunnistaa mahdolliset uhat ja ilmoittaa niistä.”
Usein kysytyt kysymykset
Mitä on tietoverkkotietoisuuskoulutus?
Miten koulutan työntekijöitäni kyberturvallisuuteen?
Kuinka usein työntekijöitä on koulutettava kyberturvallisuustietoisuuteen?
Kuinka kauan kybertietoisuuskoulutus kestää?
Voinko saada kyberturvallisuustodistuksen ilmaiseksi?
Lähteet
- Ponemon Cost of Insider Risks Global Report – DTEX Systems Inc (Dtexsystems)
- The Danger from Within (Hbr)
- 2023 Data Exposure Report – Code42 (Code42)
- Voice of the CISO Report: Insights & Trends | Proofpoint US (Proofpoint)