Yksi tärkeimmistä tavoista hallita tietoturvaloukkausten inhimillistä puolta on räätälöity tietoturvatietoisuuskoulutus työntekijöille.
Tietoturvaloukkaukset ovat nykyään jokapäiväinen huolenaihe yrityksissä kaikilla toimialoilla asiakkaiden luottamuksen menettämisestä sääntöjen noudattamatta jättämisestä aiheutuviin sakkoihin. Tietoturvariskien hallinnassa pysyminen on haasteellista.
Olisi ihanaa, jos tietoturva olisi vain sitä, että tietoverkkorikollisilta suljetaan ovi jonkin teknologian avulla. Kuten IBM:n tutkimus tietomurtojen kustannuksista kuitenkin osoittaa, useimpien tietoverkkouhkien perimmäinen syy on yleensä työntekijä, olipa kyse sitten yksinkertaisesta inhimillisestä erehdyksestä, pahantahtoisesta sisäpiiristä, tietojenkalastelusta tai vaarantuneista tunnistetiedoista.
Työntekijöiden tietoturvatietoisuuskoulutuksen merkitys
Kuten me kaikki tiedämme, koulutus on tärkeää elämässä. Jos henkilö ymmärtää, miksi hän toimii tietyllä tavalla, hän voi helpommin muuttaa kielteistä käyttäytymistään.
Kun työntekijät ja muut kuin työntekijät saadaan tietoisiksi siitä, miten kyberturvallisuus toimii, heistä voi tulla osa koulutettua tiimiä, jolla on myönteinen rooli organisaatioon kohdistuvien verkkohyökkäysten lieventämisessä.
Ihmiset toimivat tietyillä tavoilla käyttäytymisnormien ja tietokoneiden käytön helpottamiseen tähtäävien ennakkoehtojen vuoksi. Tätä käyttäytymistä käytetään työntekijöiden manipuloimiseksi suorittamaan toimia, jotka hyödyttävät huijareita.
Tämä käy ilmi tutkimuksista, jotka osoittavat, että ihmisten käyttäytymisen manipulointi on tietoverkkorikollisuuden ensisijainen väline. Haittaohjelmat voivat olla niitä, jotka poistavat tietoja, mutta ihmiset avaavat oven verkkouhille inhimillisten erehdysten, sosiaalisen manipuloinnin ja kalastelun avulla. Seuraavassa on kolme keskeistä syytä, miksi työntekijöiden tietoturvatietoisuuskoulutus on tärkeää:
Turvallisuustietoisuuskoulutuksessa keskitytään uhkaketjun ihmiseen.
ENISAn mukaan yli 95 prosentissa phishing-sähköposteista haittaohjelmatartunnan aloittaminen edellyttää ihmisen toimia.
Tietoturvakoulutus vähentää kustannuksia
Aiemmin mainitussa IBM:n tutkimuksessa todettiin, että työntekijöiden koulutukset olivat yksi tärkeimmistä keinoista vähentää tietomurron keskimääräisiä kustannuksia.
Turvallisuustietoisuuskoulutuksen avulla toimintaperiaatteet muutetaan toiminnoiksi.
Eräässä toisessa ENISAn tutkimuksessa, joka käsittelee tietoverkkoturvallisuuskulttuuria, korostetaan tietoturvapolitiikkojen noudattamisen valvonnan tärkeyttä. Raportissa todettiin, että loppukäyttäjät pitävät tietoturvakäytäntöjä "ohjeina, mutta ei sääntöinä". Raportissa korostetaan, että on tärkeää muuttaa työntekijöiden tietoturvaa koskevia ajattelutapoja, jotta riskinäkemystä voidaan mukauttaa käyttämällä koordinoitua organisaation turvallisuuskulttuuria, eikä niinkään pakottamalla turvalliseen käyttäytymiseen.
Työntekijöiden olennaiset tietoturvatietoisuuskoulutuksen aiheet
Turvallisuustietoisuuskoulutusohjelmat sisältävät useita aihealueita, jotka ovat välttämättömiä tehokkaan koulutuksen kannalta. Kuusi tärkeintä niistä ovat:
Phishing
Phishing-hyökkäykset ovat edelleen yksi tärkeimmistä tietomurtoihin johtavista menetelmistä. Koulutuksen puutteen ja huonon salasanahygienian ohella phishing-hyökkäykset ovat kolmen tärkeimmän tavan joukossa, joilla lunnasohjelmatartuntoja tapahtuu. Työntekijöiden tietoturvatietoisuuskoulutukseen on sisällyttävä ymmärrys siitä, miten tietojenkalastelu toimii ja mitä erilaisia tietojenkalastelutyyppejä on olemassa, esimerkiksi sähköposti-, puhe- ja tekstiviestien avulla tapahtuva tietojenkalastelu(Vishing), tekstiviestien avulla tapahtuva tietojenkalastelu (SMShing) ja keihäskalastelu(spear phishing). Simuloitu phishing on usein osa tietoisuuspakettia. Simuloidut phishing-harjoitukset on räätälöity niin, että niissä lähetetään testimuotoisia phishing-sähköpostiviestejä, jotta käyttäjät oppisivat tyypillisiä huijareiden käyttämiä temppuja. Monet tietoturvatietoisuuden koulutusohjelmat tarjoavat myös interaktiivisia videoita, jotka auttavat tunnistamaan monentyyppiset petokset, joissa käytetään phishingiä.
Verkkoturvallisuus
Vuonna 2020 Google rekisteröi yli 2 miljoonaa phishing-sivustoa. Haitalliset URL-osoitteet voivat aiheuttaa tunnistetietojen varastamisen ja haittaohjelmatartunnan jopa ilman käyttäjän vuorovaikutusta. On tärkeää kouluttaa loppukäyttäjiä tunnistamaan verkkosivut/huijaukset, joiden tarkoituksena on saastuttaa verkot. Tämä on yhä vaikeampaa, koska phishing-sivustot ovat usein "turvallisia sivustoja"; Anti-Phishing Working Group (APWG) osoittaa, että 83 prosenttia phishing-sivustoista käyttää HTTPS:ää.
Salasanahygienia
LastPassin tilastot kertovat yhteenvetona organisaatioiden kohtaamista salasanaongelmista:
- 66 % ihmisistä käyttää salasanoja uudelleen
- 53 % ei ole vaihtanut salasanojaan yli 12 kuukauteen.
- 41 prosenttia uskoo, että heidän tilinsä eivät ole tarpeeksi arvokkaita houkutellakseen hakkereita.
Turvallisuustietoisuuskoulutuksessa olisi käsiteltävä syitä siihen, miksi salasanahygienia on tärkeää ja miten luoda vankat salasanat.
Mobiililaitteet
Nyt kun monet työntekijät työskentelevät kotoa käsin tai etätyönä ainakin osan ajasta, mobiiliturvallisuus on tärkeämpää kuin koskaan. Noin 70 prosenttia verkkopetoksista tapahtuu mobiilikanavassa. Turvallisuustietoisuuskoulutuksessa olisi keskityttävä mobiililaitteiden turvalliseen käyttöön, kuten turvalliseen Wi-Fi-yhteyteen, sovellushygieniaan ja phishingiin.
Social engineering: Mitä on sosiaalinen manipulointi?
Sosiaalista manipulointia käytetään huijaamaan käyttäjiä antamaan huijareille arvokkaita tietoja, kuten kirjautumistunnuksia ja henkilökohtaisia tietoja. Sosiaalisella manipuloinnilla on suuri merkitys myös monimutkaisissa huijauksissa, kuten Business Email Compromise (BEC), jossa työntekijät huijataan lähettämään rahaa huijarin pankkitilille.
Arkaluonteisten tietojen käsittely
Säännökset ja standardit edellyttävät, että arkaluonteisten tietojen käsittelyssä noudatetaan prosesseja. Työntekijöiden tietoturvatietoisuuskoulutuksessa olisi myös käsiteltävä heidän rooliaan arkaluonteisten ja henkilökohtaisten tietojen sääntöjenmukaisessa käsittelyssä.
Turvallisuustietoisuuskoulutuksen tekeminen kiinnostavaksi työntekijöille
Kyberturvallisuutta pidetään yleensä tylsänä aiheena. Tietoturvakoulutus on kuitenkin kulkenut pitkän matkan alusta lähtien. Nykyaikaiset tietoturvatietoisuusohjelmat on suunniteltu pysyviksi, ja tämä tarkoittaa, että ne voivat olla mielenkiintoisia, jopa hauskoja! Joitakin tapoja tehdä työntekijöille suunnatusta tietoturvatietoisuusohjelmasta hauska ja mielenkiintoinen ovat seuraavat:
Pelaa: Ihmiset oppivat hyvin leikin kautta. Kun on hauskaa tehdä jotain, se jää yleensä mieleen. Räätälöi kyberturvallisuuden oppitunnit niin, että niissä käytetään pelejä, jotta koulutus jää paremmin työntekijöiden mieleen.
Vuorovaikutus: Vuorovaikutteiset koulutustilaisuudet sitouttavat työntekijät ja auttavat heitä oppimaan. Jotkin turvallisuuskoulutusohjelmat tarjoavat vuorovaikutteisia videoita, joissa työntekijät käyvät läpi tyypillisiä huijausprosesseja, jotta he ymmärtäisivät, miten huijarit voivat huijata heitä. Näissä interaktiivisissa istunnoissa työntekijöille annetaan yleensä palautetta koulutustilaisuuden aikana.
Liittykää toisiinne: Ihmiset oppivat hyvin myös peleistä tai interaktiivisista koulutustilaisuuksista, jotka ovat helposti lähestyttäviä. Tietoturvatietoisuuskoulutusohjelma kannattaa pyrkiä räätälöimään siten, että se heijastaa todellisia uhkia, joita liiketoiminta-alasi kohtaa. Aikuisten oppimisen tutkimus, joka tunnetaan nimellä "andragogia", kertoo aikuisten opettamisesta seuraavaa:
"Koska aikuiset etsivät käytännönläheistä oppimista, sisällön tulisi keskittyä heidän työhönsä tai henkilökohtaiseen elämäänsä liittyviin asioihin."
Turvallisuustietoisuuden koulutusresurssit työntekijöille
Seuraavassa on muutama resurssi, joiden avulla saat ideoita siitä, miten työntekijöille voidaan räätälöidä tietoisuutta tietoverkkoturvallisuudesta:
Turvallisuustietoisuuskuukausi: Koko lokakuu on omistettu erilaisille tietoturvatietoisuutta koskeville aiheille, ja siinä tarjotaan neuvoja ja toimia työntekijöiden kouluttamiseksi tietoturvauhkiin liittyvissä asioissa.
Kansallinen kyberturvallisuuskeskus: Tällä kansallisella elimellä on paljon resursseja, joiden avulla voidaan räätälöidä tietoisuutta lisääviä koulutustilaisuuksia.
Googlen phishing-tietokilpailu: Automaattinen nopea ja hauska testi, jossa käydään läpi joitakin yleisiä phishing-temppuja.
MetaCompliance phishing-simulointityökalu: MetaPhish on räätälöity työntekijöillesi, ja se antaa käsityksen siitä, kuinka tehokasta turvallisuuskoulutuksesi on ollut.
Kyberturvallisuutta koskevat tiedotusjulisteet: Ilmaiset julisteet, jotka voit tulostaa tai lähettää muistuttamaan työntekijöitä erilaisista kyberturvallisuuteen liittyvistä olennaisista asioista.