Takaisin
Kyberturvallisuuskoulutus ja -ohjelmistot yrityksille | MetaCompliance

Tuotteet

Tutustu yksilöllisiin tietoturvatietoisuuskoulutusratkaisuihimme, jotka on suunniteltu antamaan tiimillesi valtaa ja koulutusta nykyaikaisia verkkouhkia vastaan. Alustamme antaa henkilöstöllesi tiedot ja taidot, joita tarvitset organisaatiosi suojaamiseen, aina käytäntöjen hallinnasta phishing-simulaatioihin.

Cyber Security eLearning

Cyber Security eLearning tutustua palkittu eLearning kirjasto, räätälöity joka osastolle

Tietoturvatietoisuuden automatisointi

Aikatauluta vuotuinen tiedotuskampanja muutamalla klikkauksella

Phishing-simulaatio

Pysäytä phishing-hyökkäykset niiden jäljiltä palkitun phishing-ohjelmiston avulla

Politiikan hallinta

Keskitä käytännöt yhteen paikkaan ja hallitse käytänteiden elinkaarta vaivattomasti.

Tietosuojan hallinta

Valvo, seuraa ja hallitse vaatimustenmukaisuutta helposti

Tapahtumien hallinta

Ota sisäiset vaaratilanteet haltuun ja korjaa se, mikä on tärkeää.

Takaisin
Teollisuus

Toimialat

Tutustu ratkaisujemme monipuolisuuteen eri toimialoilla. Tutustu siihen, miten ratkaisumme vaikuttavat useilla eri aloilla dynaamisesta teknologiasektorista terveydenhuoltoon. 


Rahoituspalvelut

Ensimmäisen puolustuslinjan luominen rahoituspalveluorganisaatioille

Hallitukset

Turvallisuustietoisuusratkaisu hallituksille

Yritykset

Turvallisuustietoisuuden koulutusratkaisu suuryrityksille

Etätyöntekijät

Turvallisuustietoisuuden kulttuurin juurruttaminen - myös kotona

Koulutusala

Koulutuksen tietoturvatietoisuuskoulutus koulutusalalle

Terveydenhuollon työntekijät

Tutustu räätälöityyn tietoturvatietoisuuteen terveydenhuollon työntekijöille

Teknologiateollisuus

Tietoturvakoulutuksen muuttaminen teknologiateollisuudessa

NIS2-vaatimustenmukaisuus

Tukea Nis2-vaatimusten noudattamista kyberturvallisuuden tietoisuutta edistävillä aloitteilla

Takaisin
Resurssit

Resurssit

Maksuttomia tietoisuutta lisääviä aineistojamme voi käyttää organisaatiosi tietoisuuden parantamiseen tietoverkkoturvallisuuden osalta julisteista ja käytännöistä lopullisiin oppaisiin ja tapaustutkimuksiin.

Tietoturvatietoisuus Dummiesille

Välttämätön resurssi tietoverkkotietoisuuden kulttuurin luomiseksi.

Dummies-opas kyberturvallisuuteen Elearning

Perimmäinen opas tehokkaan kyberturvallisuuden sähköisen oppimisen toteuttamiseen

Perimmäinen opas phishingiin

Kouluta työntekijöitä siitä, miten phishing-hyökkäykset havaitaan ja estetään.

Ilmaiset tietoisuusjulisteet

Lataa nämä julisteet työntekijöiden valppauden lisäämiseksi.

Phishingin vastainen politiikka

Luo turvallisuustietoinen kulttuuri ja edistä tietoisuutta kyberturvallisuusuhkista.

Tapaustutkimukset

Kuuntele, miten autamme asiakkaitamme edistämään positiivista käyttäytymistä organisaatioissaan.

A-Z Kyberturvallisuuden terminologia

Sanasto tietoverkkoturvallisuuden termeistä, jotka on pakko tietää

Kyberturvallisuuden käyttäytymiskypsyysmalli

Auditoi tietoisuuskoulutuksesi ja vertaile organisaatiosi parhaita käytäntöjä vastaan

Ilmaista tavaraa

Lataa ilmaiset tietoisuutta lisäävät aineistomme organisaatiosi kyberturvallisuustietoisuuden parantamiseksi.

Takaisin
MetaCompliance | Kyberturvallisuuskoulutus ja -ohjelmistot työntekijöille

Tietoja

MetaCompliancella on yli 18 vuoden kokemus kyberturvallisuuden ja vaatimustenmukaisuuden markkinoilta, ja se tarjoaa innovatiivisen ratkaisun henkilöstön tietoturvatietoisuuteen ja vaaratilanteiden hallinnan automatisointiin. MetaCompliance-alusta luotiin vastaamaan asiakkaiden tarpeisiin saada yksi kattava ratkaisu kyberturvallisuuteen, tietosuojaan ja vaatimustenmukaisuuteen liittyvien henkilöriskien hallintaan.

Miksi valita meidät

Lue, miksi Metacompliance on luotettu kumppani tietoturvatietoisuuskoulutuksessa.

Työntekijöiden sitouttamisen asiantuntijat

Helpotamme työntekijöiden sitouttamista ja kybertietoisuuden kulttuurin luomista.

Tietoturvatietoisuuden automatisointi

Automatisoi tietoturvatietoisuuskoulutus, tietojenkalastelukoulutukset ja -käytännöt helposti muutamassa minuutissa.

Johtajuus

Tapaa MetaCompliance-johtoryhmä

MetaBlogi

Pysy ajan tasalla tietoverkkotietoisuutta koskevista koulutusaiheista ja vähennä organisaatiosi riskejä.

Sisäpiirin uhkien opas

0 otsikko

kirjoittajasta

Jaa tämä viesti

Yhdysvaltain kansallinen vastavakoilu- ja turvallisuuskeskus(NSCS) ja kansallinen sisäpiirin uhkatyöryhmä(NITTF) ovat julistaneet syyskuun 2019 kansalliseksi sisäpiirin uhkien tiedostamiskuukaudeksi.

Aloite on perustettu erityisesti lisäämään tietoisuutta sisäpiirin uhkien aiheuttamista vakavista riskeistä ja kannustamaan työntekijöitä tunnistamaan tietoturvaloukkaukset ja ilmoittamaan niistä, jotta niihin voidaan puuttua varhaisessa vaiheessa.

On helppo keskittyä kiireellisempiin kyberturvauhkiin, mutta todellisuudessa sisäpiirin uhat voivat olla yhtä vahingollisia ja vaativat yhtä suurta valppautta, jotta ne voidaan ehkäistä ja havaita.

Tämäntyyppiset hyökkäykset ovat yleisempiä kuin luuletkaan, ja Verizon Insider Threat Report -raportin mukaan 20 prosenttia kyberturvallisuuden vaaratilanteista ja 15 prosenttia tietomurroista on peräisin organisaation sisäpiiristä.

Hyökkäykset voivat olla myös erittäin kalliita, sillä keskimääräinen hyökkäys maksaa organisaatioille yli 8 miljoonaa dollaria. Meillä on tapana ajatella, että nämä hyökkäykset ovat harkittuja ja pahaenteisiä, ja usein ne ovatkin, mutta suurin osa sisäpiirin uhkatilanteista johtuu työntekijöiden huonoista turvallisuuskäytännöistä.

Mikä on sisäpiirin uhka?

Sisäpiirin uhkien opas

Sisäpiirin uhka on tietoturvaloukkaus, joka on peräisin organisaatiosta itsestään eikä ulkoisesta lähteestä. Kyseessä voi olla nykyinen tai entinen työntekijä, urakoitsija, ulkopuolinen myyjä tai mikä tahansa muu liikekumppani, jolla on pääsy organisaation tietoihin ja tietokonejärjestelmiin.

Kaikki organisaatiot ovat haavoittuvia, mutta tietyillä toimialoilla, kuten valmistusteollisuudessa, terveydenhuollossa ja rahoitusalalla, riskiprofiili on yleensä suurempi kuin muilla. Tämä voi johtua siitä, että niillä on hallussaan suuria määriä arvokasta tietoa.

Sisäpiirin uhkatyypit

Sisäpiirin uhkien opas

Sisäpiirihyökkäykset voivat olla erityisen vaarallisia, koska toisin kuin ulkopuoliset toimijat, jotka yrittävät tunkeutua verkkoon, sisäpiiriläisillä on yleensä laillinen pääsy organisaation tietokonejärjestelmiin. He voivat päästä käsiksi arkaluonteisiin tietoihin herättämättä epäilyksiä, ja hyökkäykset voivat usein jäädä huomaamatta viikoiksi tai jopa kuukausiksi.

Jotta organisaatiot voivat pysäyttää sisäpiirin uhat, niiden on tunnettava erityyppiset uhat ja hyökkäyksen taustalla olevat motiivit.

  • Pahansuopa sisäpiiriläinen - Tämä on työntekijä, joka käyttää etuoikeutettua käyttöoikeuttaan hyväkseen varastamalla tietoisesti tietoja tai tekemällä muita kielteisiä tekoja organisaatiota vastaan. Toinen ilkivaltaisen sisäpiiriläisen tyyppi on tyytymätön työntekijä. Hän yrittää tietoisesti löytää keinoja vahingoittaa organisaatiota, jos hän kokee tulleensa kaltoin kohdelluksi. Tämä voi olla esimerkiksi suurten arkaluonteisten tietomäärien muokkaamista tai poistamista tai kriittisten järjestelmien häiritsemistä.
  • Sisäpiirin tietoturvauhka - Tämä voi usein olla yksi vaarallisimmista sisäpiirin uhkatyypeistä, sillä työntekijät eivät välttämättä edes tajua, että heidän tietonsa on vaarantunut. Tyypillisesti heidän tietokoneeseensa on tarttunut haittaohjelma, kun he ovat napsauttaneet phishing-linkkiä tai avanneet haitallisen liitetiedoston.
  • Huolimaton sisäpiiriläinen - Työntekijä, joka ei noudata asianmukaisia tietotekniikkamenettelyjä, tunnetaan huolimattomana sisäpiiriläisenä. Olipa kyseessä sitten tietokoneen lukitsematta jättäminen, arkaluonteisten tietojen jättäminen näkyville tai valtuutetun henkilön päästäminen rakennukseen, nämä työntekijät asettavat organisaationsa suureen vaaraan huonoilla turvallisuuskäytännöillä.

Varoitusmerkit

Sisäpiirin uhkien opas

Usein on olemassa useita varoitusmerkkejä, jotka voivat varoittaa organisaatioita sisäpiirin uhasta. Näitä ovat mm:

  • Suurten arkaluonteisten tietomäärien lataaminen tai käyttäminen
  • Ulkoisten tallennuslaitteiden, kuten USB-tikkujen, käyttö.
  • Pääsy tietoihin, jotka eivät liity työtehtävään
  • Tiedostojen kopiointi arkaluonteisista kansioista
  • Arkaluonteisten tietojen lähettäminen sähköpostitse organisaation ulkopuolelle
  • Persoonallisuuden ja käyttäytymisen muutokset
  • Epätavalliset työajat

Korkean profiilin esimerkkejä

Sisäpiirin uhkien opas

Valitettavasti ei ole pulaa esimerkeistä, joissa organisaatiot ovat joutuneet sisäpiirin uhkatilanteiden kohteeksi. Nämä korkean profiilin hyökkäykset ovat tuoneet esiin taloudelliset ja maineeseen liittyvät vahingot, joita sisäpiirin uhkat voivat aiheuttaa. Merkittävimpiä tapauksia ovat mm:

Punjab National Bank

Yhdessä kalleimmista sisäpiirihyökkäyksistä Punjab National Bankin työntekijä käytti pankkien välistä SWIFT-viestintäjärjestelmää antaakseen luvan rahan liikkeeseenlaskuun maksusitoumusten ja ulkomaisten remburssien kautta. Näiden petollisten tapahtumien avulla työntekijä pystyi siirtämään varoja yhteensä 1,5 miljardia puntaa.

Morrisons

Vuonna 2017 Morrisons, yksi Yhdistyneen kuningaskunnan johtavista valintamyymäläketjuista, joutui vastuuseen sen jälkeen, kun tyytymätön sisäinen tarkastaja julkaisi yli 100 000 työntekijän tiedot. Näihin sisältyi arkaluonteisia tietoja, kuten kansallisia vakuutusnumeroita, syntymäaikoja ja pankkitilitietoja. 5 518 työntekijää haastoi Morrisonsin oikeuteen väittäen, että vuoto oli altistanut heidät identiteettivarkauden ja mahdollisten taloudellisten menetysten vaaralle. Morrisons todettiin vastuulliseksi ja sille aiheutui jopa 2 miljoonan punnan kustannukset.

Kohde

Vuoden 2014 Target-tietomurto tapahtui, kun kolmannen osapuolen työntekijä napsautti phishing-linkkiä, jonka avulla hyökkääjät pääsivät LVI-myyjien verkkoon ja lopulta Targetin verkkoon. Hyökkäys vaaransi yli 70 miljoonan ihmisen nimet, osoitteet, puhelinnumerot, sähköpostiosoitteet ja luottokorttitiedot. Tässä nimenomaisessa tapauksessa sisäpiiriläisellä ei ollut pahansuopia aikeita, mutta hyökkäys aiheutti merkittävää mainetta ja maksoi yritykselle 300 miljoonaa dollaria.

Miten organisaatiot voivat puolustautua sisäpiirin uhkia vastaan?

Turvallisuustietoisuuskoulutus - Koulutuksella on ratkaiseva merkitys, kun työntekijöille opetetaan turvallisuuskäytäntöjä ja uhkia, joita he todennäköisesti kohtaavat päivittäisessä työssään. Kyse voi olla mistä tahansa, phishing-sähköpostista fyysisen turvallisuuden merkitykseen työpaikalla. Pienet arviointivirheet voivat aiheuttaa suurta vahinkoa organisaatiolle, joten henkilöstön on saatava säännöllisesti koulutusta, jotta he osaavat tunnistaa ja reagoida asianmukaisesti kehittyviin uhkiin.

Käytä vahvaa tunnistautumista - Jos organisaation tilit voidaan vaarantaa, sisäpiiriläiset voivat liikkua verkoissa ja varastaa arkaluonteisia tietoja. Työntekijöiden olisi vältettävä salasanojen jakamista, ja arkaluonteisiin sovelluksiin ja järjestelmiin pääsyä varten olisi oltava käytössä vahvat todennusprosessit.

Työntekijöiden verkkokäyttäytymisen seuranta - Organisaatioiden tulisi seurata säännöllisesti työntekijöiden käyttäytymistä epäilyttävän toiminnan havaitsemiseksi. Tällaista toimintaa voi olla kirjautuminen satunnaisiin aikoihin, arkaluonteisten tietojen käyttäminen tai pyrkimys kopioida tietoja kansioista, joita heillä ei ole oikeutta tarkastella. Käyttäytymisanalytiikalla voi olla tärkeä rooli sellaisten käyttäjien tunnistamisessa, jotka käyttäytyvät tavanomaisesta poikkeavasti. Mitä aikaisemmin organisaatiot havaitsevat tällaisen käyttäytymisen, sitä nopeammin ne voivat ratkaista mahdolliset ongelmat.

Tapahtumien raportointiprosessi - Organisaatioilla olisi oltava selkeä menettely kaikkien tietoturvaloukkausten raportointia ja kirjaamista varten. Raportointivalmiudet kattavat kaikki mahdolliset vaaratilanteet ja määrittelevät asianmukaiset vastatoimet. Tämä auttaa havaitsemaan epäilyttävää toimintaa ja antaa kaikki tarvittavat tiedot, joita tarvitaan viranomaisraportointia varten.

MetaCompliance on erikoistunut luomaan markkinoiden parasta kyberturvallisuuskoulutusta. Tuotteemme vastaavat suoraan kyberuhkien ja yritysjohtamisen aiheuttamiin erityishaasteisiin helpottamalla käyttäjien osallistumista kyberturvallisuuteen ja vaatimustenmukaisuuteen. Ota yhteyttä, niin saat lisätietoja siitä, miten voimme auttaa muuttamaan kyberturvallisuuskoulutuksen organisaatiossasi.

Muita artikkeleita aiheesta Cyber Security Awareness Training, jotka saattavat kiinnostaa sinua.