Miten luoda toimiva kybertietoisuuskoulutus vuonna 2024? Lue asiantuntijoiden vinkit

Avoin toiminta
Tiivistelmä

  • Työntekijät ovat yksi suurimmista kyberhaavoittuvuuden lähteistä.
  • Henkilöstön kouluttaminen riskitietoiseksi on olennainen osa tehokasta puolustusstrategiaa, mutta se on helpommin sanottu kuin tehty.
  • Tietoturvaväsymys, häiriötekijät, epämukavuus ja haavoittumattomuuden tunne estävät ihmisiä ajattelemasta riskikäyttäytymistään riittävän tarkasti.
  • Hakkeri käyttävät puolestaan tekoälyä hyökkäystensä tehostamiseen.
  • Ratkaisu on pohtia ja arvioida uudelleen, miten henkilöstö koulutetaan kyberturvaan. Kysyimme asiantuntijoilta onnistumisen esteistä ja niiden voittamisesta.

Tämä on varmasti monelle tuttu tilanne – HR pakottaa kuuntelemaan jälleen uuden luennon, joka on täynnä varoittavia esimerkkejä kyberturvallisuudesta ja haittaohjelmista.

Totuus on kuitenkin se, että monet kybertietoisuuskoulutukset ovat vanhentuneet tai muuten puutteelliset, minkä vuoksi henkilökuntakaan ei ole ajan tasalla. Tämän seurauksena organisaatiot ovat alttiita erilaisille kyberuhille.

Tiedämme työntekijöiden suhtautuvan jopa jääräpäisen tietämättömästi tietoturvariskeihin, eivätkä 45 minuutin puuduttavat luonnot ja rasti-ruutuun -lomakkeet varsinaisesti inspiroi kiinnostumaan aiheesta.

Nykyään edes parhaat virustorjuntaohjelmat ja haittaohjelmien poistotyökalut eivät suojaa kaikilta olemassaolevilta uhilta. Miten organisaatiot voivat siis rakentaa koulutuksen, jossa ajankohtainen tietoisuus kyberturvasta sisällytetään jokapäiväiseen yrityskulttuuriin?

Tässä asiantuntijan vinkit yrityksen toimivaan kybertietoisuuskoulutukseen.

“Kaikki kybertietoisuuskoulutuksesta innostuneet, nostakaa kätenne ylös”

Phishing-hyökkäysten lisääntyessä vuosittain, ohjelmat joiden tarkoitus on saada henkilöstö liikkeelle ja tehdä heistä organisaation silmät ja korvat tietoverkossa, ovat yhä suositumpia.

Työntekijät usein työskentelevät aivan tietoverkon reunalla, missä tietoturva on hauraimmillaan. Tästä syystä on järkevää pitää heidät ajan tasalla jatkuvasti muuttuvista kyberuhista ja siitä, miten nämä uhat voidaan tunnistaa niiden tapahtuma hetkellä.

Monet tietoturvaan valistavat ohjelmat kuitenkin epäonnistuvat. Syynä tähän ovat tehottomat oppimismenetelmät ja vanhentunut sisältö, mikä varmistaa ettei osallistujien kiinnostus herää ja jos jotain opitaan, ei se ole aina enää ajankohtaista. Kaikesta käytetystä energiasta ja ajasta huolimatta lopputuloksena on organisaatio, joka ei ole yhtään aiempaa turvallisempi.

Tietoturvakoulutuksien lähestymistapa, rakenne ja sisältö on suunniteltava siten, että se ylittää toimistoilmapiirin häiriötekijät ja melun. Tämän todellisuuden tunnistaminen ja kurssin mukauttaminen vallitseviin olosuhteisiin on asia,  jota jokaisen tietoturva-ammattilaisen on harkittava koulutuksen suunnittelussa.

Sisäpiirin uhka vuonna 2024

Organisaatiosta riippumatta ihmiset voivat olla suurin haavoittuvuuden lähde. Ilmiötä kutsutaan usein sisäpiirin uhaksi. Tähän kiteytyy se väistämättömän riski, joka syntyy, kun sadoilla tai tuhansilla etulinjan työntekijöillä, johtajilla, esimiehillä, yhteistyökumppaneilla ja alihankkijoilla on pääsy verkkoresursseihin.

Verkkorikolliset käyttävät eri tason taktiikoita, joista osa on erittäin sivistyneitä. Tarkoituksena on huijata kohteet klikkaamaan vaarallisia linkkejä tai lataamaan saastuneita tiedostoja ja liitetiedostoja. Kokemus on osoittanut tekniikan toimivaksi.

Ponemon-instituutin arvostettu Cost of Insider Risk Global Report -raportti osoittaa, että organisaatioihin kohdistuneiden sisäpiirin aiheuttamien uhkatapausten määrä kasvaa vuosittain ja korjauskustannukset nousevat uhkien mukana.

Vuonna 2022 sisäpiirin kohdistuneiden hyökkäysten keskimääräiset kustannukset olivat 15,4 miljoonaa dollaria ja vuonna 2023 luku nousi 16,2 miljoonaan dollariin.

Kyberturvan uhkatyypit ja esimerkit

Tekoäly vahvistaa uhkaa

David Emm, Kasperskyn maailmanlaajuisen tutkimus- ja analyysitiimin johtava tietoturvatutkija, kertoi Techopedialle, että osa uhista voidaan panna tekoälyn syyksi.

Verkkorikolliset ovat alkaneet hyödyntämään koneoppimista “jäljitelläkseen luotettavaa käyttäytymistä ja automatisoidakseen hyökkäyksiä, mikä vaikeuttaa haitallisten toimintojen havaitsemista.”

MetaCompliancen Chief Evangelist Robert O’Brien on samaa mieltä. Hän kertoi Techopedialle, että hakkereille “annettiin käytännössä taikalamppu ChatGPT:n julkaisun myötä”.

Viranomaisten ja teollisuuden mukaan hakkerit ovat omaksuneet tekoälyn hyödyntämisen huijauksissaan huomattavasti odotettua nopeammin. O’Brien toteaa:

“Sisäpiirin uhkien näkökulmasta tekoälytyökalut laajentavat useimpien organisaatioiden uhkakuvaa – etenkin, jos tekoälytyökalujen käyttöönotto ei ole tiukasti koordinoitua.”

Exabeamin CISO Tyler Farrar sanoo, että tekoäly “voi tuottaa erittäin aidolta vaikuttavia viestejä, jolloin käyttäjien on äärimmäisen vaikea erottaa, ovatko ne vilpillisiä vai eivät. Tämä kasvattaa huijauksen onnistumisprosenttia.”

Inhimillinen tekijä

Kasperskyn Emm väittää kuitenkin, että tahalliset sisäpiirin uhat, joissa luotetut työntekijät aiheuttavat tahallaan vahinkoa, ovat edelleen suurin haaste. Emm täsmentää:

“Yritysten on vaikeampi valvoa tällaista tilannetta, koska yrityksen ja työntekijän välinen luottamus rikkoutuisi. Pääsynvalvonta, jolla rajoitetaan toimintojen laajuus niihin, jotka sitä tarvitsevat, voi auttaa riskien lieventämisessä. Työntekijöiden apatia ja tietoisuuden puute pahentavat  ongelmia entisestään, mikä edellyttää ennakoivaa ja mukautuvaa lähestymistapaa turvallisuuteen.”

Kuulostaa huolestuttavalta. Ongelma ei ole kuitenkaan uusi.

Tietoisuus sisäpiirin uhasta on lisääntynyt ainakin vuodesta 2014 lähtien. Tuolloin Harvardin tutkimuksessa arvioitiin, että yhdysvaltalaiset yritykset kokivat vuosittain 80 miljoonaa verkkohyökkäystä, joissa oli osallisena työntekijöitä tai alihankkijoita – luvun oletetaan nykyisin olevan alakanttiin, koska niin monet tietoturvaloukkaukset jäivät ilmoittamatta.

Mitä tehdä?

Tekoälyn käyttäminen laajamittaisten hyökkäysten toteuttamiseen on uusi käänne, mutta vakiintuneemmat hakkerointitekniikat ovat vieläkin tehokkain tapa työntekijöiden huijaamiseen.

“Kyberhyökkääjät käyttävät edelleen sosiaalista manipulointia ensisijaisena keinonaan ihmisten hakkerointiin”, sanoo Lance Spitzner, SANS Security Awarenessin tekninen johtaja.

Lance kertoi Techopedialle, että perinteinen sähköpostihuijaus on puhelinsoitto- (Vishing) ja viestihyökkäysten (Smishing) ohellaan edelleen suosittua.

“Vaikka yleinen strategia on sama, ovat verkkohyökkääjät kehittyneet huomattavasti. Kirjoitusvirheet ovat kadonneet. Sen sijaan verkkohyökkääjät räätälöivät hyökkäyksiä aiotuille uhreilleen käyttämällä yrityksensä logoja, viittauksia viimeaikaisiin tapahtumiin ja voimakkaampia tunnekäyttäytymisen laukaisijoita.”

Jotkut yhdistelevät jopa eri elementtejä, kuten sähköpostia, puheluita, tekstiviestejä ja QR-koodeja.

Vanhat hakkerit toimivat, uusia lähestymistapoja kehitetään, ja yritykset ryhtyvät toimiin. Code42:n vuonna 2023 tekemässä tutkimuksessa todettiin, että 72 prosenttia organisaatioista käyttää aikaansa ja budjettiaan tietoverkkotietoisuutta edistäviin koulutusohjelmiin. Tästä huolimatta 71 prosenttia uskoi, että sisäpiiriin liittyvät tietoturvaloukkaukset tulisivat lisääntymään seuraavan 12 kuukauden aikana.

Tänä vuonna Proofpointin mukaan 54 prosenttia CISO:ista odottaa priorisoivansa työntekijöiden kybertietoisuuden parantamista seuraavien kahden vuoden aikana. Mutta, osoittautuuko kaikki tämä tuloksettomaksi?

Yhtiön tiedottaja kertoi Techopedialle, että vaikka koulutus onkin tärkeää tietoisuuden lisäämiseksi “Se on vasta alkua – jatkuvan tietoturvakäyttäytymisen ja -kulttuurin muuttaminen on avain riskien pienentämiseen.”

Mutta miten kybertietoisuus saadaan ihmisten tietoisuuteen ja miten se pidetään siellä?

Kyberturvallisuuskoulutuksen ongelmat

Monien organisaatioiden vastaus on kerätä ihmiset kokoushuoneisiin, näyttää pelottavia PowerPoint-esityksiä ja jättää  muistilista, jota työntekijät voivat pitää työasemiensa vieressä.

Kun otetaan huomioon nykyaikaisten hyökkäysten hienostunut, kehittyvä ja jatkuva luonne – ja ihmisluonnon aineettomuus – perinteiset yrityskoulutusmuodot eivät yksinkertaisesti riitä.

Menlo Securityn CISO Devin Ertel sanoo:

“Uhkatekijät ovat löytäneet uusia tapoja hyödyntää työntekijöiden apatiaa, uteliaisuutta ja tietoturvatietoisuuden puutetta, ohittaakseen jopa kaikkein kehittyneimmät tekniset suojaukset.”

Hän kertoi Techopedialle, että “ihmiset ovat edelleen heikoin lenkki”, ja huomautti, että “yli 75 prosenttia tietojenkalasteluun tarkoitettuja phishing-linkkejä isännöidään luotetuilla verkkosivustoilla, minkä vuoksi niitä on vaikeampi tunnistaa haitallisiksi.”

Next DLP:n tietoturvajohtaja Chris Denbigh-White kertoi Techopedialle, että minkä tahansa tietoverkkotietoisuuden koulutusohjelman on voitettava useita esteitä. Niitä ovat muun muassa:

  • kilpailevat työn painopisteet
  • kyberuhkien pikemminkin abstrakti kuin fyysinen luonne
  • tietoturvamenettelyjen hankaluus
  • jatkuvasta tietoturvavaroitusten ja -päivitysten virrasta aiheutuva “turvallisuusväsymys”.
Miten saada tietoturvakoulutus toimimaan?
Epäpersonaalinen, täynnä jargonia, tylsä. Nykyinen tietoturvakoulutus vaikuttaa tuomitulta epäonnistumaan. Lähde: Shutterstock/OPOLJA

Tekninen jargoni voi rajoittaa ymmärrystä

Kyberturvallisuuskoulutus perustuu usein vaikeaan jargoniin, mikä vieraannuttaa ei-tekniset työntekijät ja saa koulutuksen vaikuttamaan puuduttavalta tai ylivoimaiselta, mikä vaikeuttaa ymmärtämistä.

On myös kysymys siitä, että “ihmiset aliarvioivat arvonsa kohteina tai tuntevat olevansa suojassa yrityksen palomuurien takana – ns. “minulle ei tapahdu mitään” -mentaliteetti”.”

Ongelma on pitkälti tietoturvaryhmässä. Turvallisuusryhmät johtavat turvallisuuskoulutusta, mutta näiden ohjelmien johtohenkilöt ovat usein hyvin teknisiä. Siksi yritysten pitäisi pohtia, miten turvakoulutuksesta tehtäisiin ihmisille yksinkertaista ja heidän ehdoillaan tapahtuvaa.

SANS Security Awareness -järjestön Lance Spitzner toteaa, että useimmat tietoturvakoulutukset epäonnistuvat, koska “ne eivät vastaa ihmisten ajattelu- ja toimintatapoja”. Tietoturvaryhmät voivat myös olla huonosti valmennettuja koulutustehtäviin.

“Tietoturvaryhmillä on paljon kokemusta tietokoneiden parissa työskentelystä, mutta hyvin vähän kokemusta siitä, miten sitouttaa, motivoida ja kouluttaa ihmisiä tai miten tehdä tietoturvasta yksinkertaista”. He tarvitsevat uusia koulutustaitoja, jotka ovat järkeenkäypiä, eivät sitä vastaan sotivia.”

Asiantuntijoiden vinkit tietoturvatietoisuuden lisäämiseksi

Asiantuntijoiden mukaan onnistunut kybertietoisuuden koulutusohjelma vaatii resursseja, aikaa ja harkitun lähestymistavan. Tässä keskeisiä menestystekijöitä, jotka kannattaa huomioida:

1. Viesti oikein

“Tietoturvatietoisuus on samanlainen kuin mikä tahansa muu organisaation markkinointikampanja”, sanoo MetaCompliancen Robert O’Brien. “Tärkeintä on, että ihmiset näkevät johdonmukaista ja merkityksellistä viestintää, ei vain koulutuksen suhteen vaan kaikkialla.”

2. Sitoutta ja vahvista

NextDLP:n Chris Denbigh-White ehdottaa, että CSO:t kehittäisivät koulutusta, joka on “vuorovaikutteista ja ymmärrettävää ja jossa korostetaan turvallisuuskäytäntöjen juurisyitä, ei ainoastaan “miten”. Tunnustus- ja palkitsemisohjelmien lisääminen kannustaa työntekijöitä omaksumaan myös vahvempia kyberturvallisuuskäytäntöjä.”

3. Järjestä tietoturvaryhmiä koulutusta varten

“Tehokkaimmissa tietoisuusohjelmissa tietoturvatiimissä on ihmisiä, jotka ovat omistautuneet auttamaan turvallisia työntekijöitä”, sanoo SANSin Lance Spitzner. “Näillä ihmisillä on taidot, joita tarvitaan tehokkaaseen viestintään, koulutukseen ja lopulta käyttäytymisen muuttamiseen. Kypsä tietoisuusohjelma on jatkuvaa, ympärivuotista työtä, joka motivoi, sitouttaa ja kouluttaa työntekijöitä aktiivisesti.”

4. Henkilökohtaista mikrokoulutuksen avulla

Mika Aalto, Hoxhuntin toinen perustaja ja toimitusjohtaja, kertoi Techopedialle, että hyökkääjät kohdistavat ihmisten käyttäytymiseen, joten tietoturvakoulutuksessa tulisi huomioida myös käyttäytymistä koskeva lähestymistapa. “Henkilökohtaistaminen onnistuu mikrokoulutuksilla, jotka ovat oleellisia käyttäjän taustan ja taitotason kannalta”, Aalto sanoo.

“Kouluttajien tulisi myös pyrkiä tekemään siitä hauskaa”, hän lisää. “Phishing-koulutus soveltuu erinomaisesti pelillistämiseen. Uhkaraportoinnin voi upottaa osaksi organisaation kudosta tunnustamalla ja palkitsemalla ihmisiä palkinnoilla todellisen hyökkäyksen kiinni saamisesta.”

5. Unohda kertaluonteiset istunnot

Exabeamin CISO Tyler Farrar kertoi Techopedialle, että menestyksekkään kyberturvallisuustietoisuuden koulutusohjelman on vuonna 2024 oltava “immersiivinen, mukautuva ja jatkuva, ja siihen on integroitava säännöllisiä phishing-simulaatioita, yksilöllisiä koulutusmoduuleja ja vuorovaikutteista sisältöä, kuten pelillistettyjä harjoituksia ja VR/AR-kokemuksia “. Näillä elementeillä varmistetaan, että työntekijät ovat sitoutuneita ja voivat liittyä reaalimaailman skenaarioihin, mikä parantaa heidän kykyään tunnistaa uhkia ja reagoida niihin.”

6. Ota johtajat mukaan

Stephen Kowski, SlashNext Email Securityn Field CTO, kertoi Techopedialle, että johdon sitoutumista tarvitaan “turvallisuustietoisen kulttuurin viljelemiseksi, mukaansatempaavien, roolipohjaisten moduulien tarjoamiseksi ja riskikäyttäytymisen, kuten tietojenkalastelun, korostamiseksi”.

Samaa mieltä oleva Kasperskyn David Emm toteaa, että “johdon on annettava aito hyväksyntänsä, jotta vältetään se riski, että henkilöstö ja keskijohto asettavat tuottavuuden turvallisuuden edelle.”

MetaCompliancen Robert O’Brien lisää, että “ylimmän johdon aktiivinen osallistuminen on tärkeää, jotta tietoturvatietoisuuden tärkeyttä saadaan jatkuvasti esille”.

7. Luo oikeaa sisältöä

Proofpointin tiedottaja kertoi Techopedialle, että ” inspiroivan, oleellisen ja sulavan koulutussisällön varmistaminen on elintärkeää, jotta työntekijöiden mielenkiinto säilyy. Tarjoa erilaisia käytettäviä materiaaleja, jotka vahvistavat kyberturvallisuuden tärkeyttä ja ohjaavat työntekijöitä oikeaan käyttäytymiseen”.

“Käyttäjät eivät ole tietoturva-asiantuntijoita, eikä heillä ole juurikaan kiinnostusta tulla sellaiseksi, joten harkitse kyberturvallisuusprosessin esittämistä tarinana tai matkana ja anna tosielämän esimerkkejä, jotka tukevat tietämystä ja rakentavat ymmärrystä mahdollisista seurauksista.”

Onnistunut kybertietoisuuskoulutus: Yksinkertainen 7-vaiheen malli

  • Hyödynnä vuorovaikutus

    Käytä vuorovaikutteisia istuntoja, joissa on tosielämän skenaarioita, jotta työntekijät pysyvät sitoutuneina ja oppimisesta tulee käytännöllistä.

  • Päivitä usein

    Tarjoa työntekijöille säännöllisesti päivityksiä uusista uhista ja turvallisuuskäytännöistä, jotta he pysyvät ajan tasalla muuttuvassa kyberturvallisuusympäristössä.

  • Korosta mobiilitietoja

    Korosta mobiilitietoturvan merkitystä. Valista työntekijöitä tarkistamattomien sovellusten käytön riskeistä ja korosta mobiililaitteiden jatkuvan valvonnan, suojauksen ja uhkien mallintamisen tarvetta.

  • Tee sisällöstä roolikohtaista

    Räätälöi koulutusta yrityksen eri rooleille, jotta voidaan käsitellä kunkin roolin mahdollisia erityisriskejä.

  • Arvioi säännöllisesti

    Arvioi jatkuvasti koulutuksen tehokkuutta ja anna palautetta työntekijöille, jotta he voivat parantaa käytäntöjään.

  • Sisällytä osaksi päivittäisiä rutiineja

    Tee kyberturvallisuudesta osa päivittäisiä rutiineja sisällyttämällä käytännöt osaksi yrityskulttuuria.

  • Ota johtajat mukaan

    Varmista, että johtokunta ja johtajat osallistuvat koulutusohjelmaan ja tukevat sitä, jotta koulutusohjelman tärkeys käy ilmi ja asenne tietoturvaa kohtaan huomioidaan.

  • Yhteenveto

    Vishnubhotla on huolissaan, että sisäpiirin uhat vain monimutkaistuvat tänä vuonna  kahdesta syystä: etätyön lisäännyttyä ja henkilökohtaisten laitteiden laajamittaisesta käytöstä liiketoiminnan tehtävissä. Hän kommentoi:

    “Yritysten on annettava työntekijöilleen mahdollisuus toimia ensimmäisenä puolustuslinjana, edistämällä turvallisuustietoisuuden ja eettisen käyttäytymisen kulttuuria. Säännöllinen koulutus ja tietoisuusohjelmat ovat ratkaisevan tärkeitä, jotta työntekijät saavat tiedot ja taidot tunnistaa mahdolliset uhat ja ilmoittaa niistä.”

    Usein kysytyt kysymykset

    Mitä on tietoverkkotietoisuuskoulutus?

    Miten koulutan työntekijöitäni kyberturvallisuuteen?

    Kuinka usein työntekijöitä on koulutettava kyberturvallisuustietoisuuteen?

    Kuinka kauan kybertietoisuuskoulutus kestää?

    Voinko saada kyberturvallisuustodistuksen ilmaiseksi?

    Samankaltaiset termit

    Aiheeseen liittyvät artikkelit

    Mark De Wolf
    Technology Journalist
    Mark De Wolf
    Teknologiajournalisti

    Mark on freelance-tekniikkatoimittaja, joka käsittelee teksteissään ohjelmistoja, kyberturvallisuutta ja SaaS:ää. Hänen töitään on julkaistu muun muassa Dow Jonesissa, The Telegraphissa, SC Magazinen, Strategian, InfoWorldin, Redshiftin ja The Startupissa. Mark valmistui kiitettävin arvosanoin Ryersonin yliopiston journalistikoulusta, jossa hän opiskeli New York Timesin, BBC:n ja Toronto Starin johtavien toimittajien johdolla, rahoittaen opintonsa mainostoimittajan töillä. Mark on toiminut ulkoisena viestintäneuvonantajana teknologia-alan startup- ja scale-up-yrityksille ja tukenut niitä lanseerauksesta menestyksekkääseen poistumiseen. Menestystarinoita ovat muun muassa SignRequest (jonka Box osti), Zeigo (jonka Schneider Electric osti), Prevero (jonka Unit4 osti), Rimilia (jonka Blackline osti) ja The Defence Works (jonka Proofpoint osti).