Toinen vuosi on melkein ohi, eikä tietoverkkorikollisuuden taso ja määrä ole vieläkään laskenut. Jatkuvien verkkohyökkäysten lieventämiseksi MetaCompliance ehdottaa viittä parasta verkkoturvallisuuskäytäntöä vuonna 2023.
Vuonna 2021 tietoverkkouhkia tutkivat tutkimukset ja raportit sisälsivät vakavia varoituksia: IBM kirjasi "Cost of a Data Breach Report 2021" -raportissaan, että kyberhyökkäykset aiheuttivat tänä vuonna korkeimmat tietoturvaloukkauksiin liittyvät kustannukset, joita on koskaan aiheutunut tietoturvaloukkauksista raportin 17-vuotisen historian aikana; eräässä toisessa raportissa todettiin, että lunnasohjelmat olivat lähes kaksinkertaistuneet vuoden 2021 ensimmäisellä puoliskolla; ja Verizonin mukaan tietojenkalasteluhyökkäysten määrä on edelleen suurin hyökkäyslaji, ja sähköpostin tietoturva määriteltiin vuoden tärkeimmäksi tietotekniikkaprojektiksi.
Kaikki tämä toiminta luo pohjan sille, mitä ensi vuonna on luvassa ja millaisia haavoittuvuuksia organisaatiosi joutuu kohtaamaan. Viime vuosien kokemusten perusteella voimme kehittää parhaita käytäntöjä, joiden avulla organisaatiomme voi selviytyä verkkohyökkäyksistä vuonna 2023 ja sen jälkeen.
Verkkorikolliset suosivat edelleen varastettuja tunnistetietoja ja tietojenkalastelua.
Viime vuoden analyytikkoraporteissa ja tutkimuksissa on havaittu, että varastetut tunnistetiedot ovat yhteinen tekijä, joka sitten johtaa tietomurtoihin. Taktiikat ja tekniikat ketjuuntuvat yhteen verkkohyökkäykseksi:
Phishing johtaa varastettuihin tunnistetietoihin, jotka johtavat luvattomaan pääsyyn, joka puolestaan johtaa tietomurtoihin, haittaohjelmiin ja lunnasohjelmatartuntoihin.
IBM:n tietoturvaloukkauksen kustannukset -raportissa analysoitiin yli 500 organisaation tietoturvaloukkauksia. Raportissa todettiin, että COVID-pandemian jälkiseuraukset, kuten kotityö ja pilvipalveluiden lisääntynyt käyttö, ovat johtaneet lisääntyneisiin ja kalliimpiin tietoverkkohyökkäyksiin. Tämä johtui suurelta osin siitä, että tietoturva ei pystynyt pysymään mukana äkillisessä siirtymisessä uusiin työtapoihin ja teknologiaan.
Tutkimuksessa todettiin, että varastetut tunnistetiedot olivat yleisin syy tietoturvaloukkauksiin. Raportissa todettiin myös, että 82 prosenttia henkilöistä käyttää salasanoja uudelleen useilla tileillä, mikä johtaa tunnistetietojen täyttämishyökkäyksiin ja tilien haltuunottoon.
Marraskuussa 2021 alan julkaisu Dark Reading toteutti tutkimuksen, jossa tarkasteltiin edellisen 12 kuukauden aikana esiintyneitä kyberuhkia. Tulokset osoittavat, että tietojenkalastelu on edelleen tietoturvaloukkausten tärkein syy, ja yli puolet kyselyyn osallistuneista yrityksistä ilmoitti joutuneensa tietoturvaloukkauksen uhriksi.
5 parasta kyberturvallisuuskäytäntöä vuonna 2023
Seuraavassa esitetyt parhaat käytännöt vuonna 2023 tarjoavat keinoja torjua verkkohyökkäysten uhka suoraan:
1. Tee vuodesta 2023 vuosi, jolloin turvallisuuspolitiikkasi heräävät henkiin.
Turvallisuuspolitiikkojen ei pitäisi olla pelkkä rasti ruutuun -harjoitus. Hyvin harkittu ja toteuttamiskelpoinen tietoturvapolitiikka on perusta järkevälle lähestymistavalle tietoturvaan ja myönteisen tietoturvatilanteen kehittämiselle.
Vuonna 2023 siirrä turvallisuuspolitiikan valintapyörää ottamalla työntekijät mukaan käytäntöjen käyttöönottoon ja täytäntöönpanoon. Politiikanhallintaohjelmisto voi auttaa sinua saavuttamaan tämän, kun saat työntekijät mukaan heitä koskeviin tärkeisiin politiikan osa-alueisiin. Vankka ja toimiva käytäntö suojaa myös yrityksesi mainetta ja asemaa turvallisuusstandardien ja tietosuojasäännösten suhteen.
2. Ota henkilökunta mukaan taisteluun kyberuhkia vastaan.
Yhdistyneen kuningaskunnan kansallinen kyberturvallisuuskeskus (NCSC) on todennut:
"Ihmisten tulisi olla kaikkien kyberturvallisuusstrategioiden keskiössä"
Vuoden 2023 on oltava vuosi, jolloin organisaatiot luovat voimaa koulutuksen avulla.
Työntekijöilläsi on keskeinen rooli verkkohyökkäysten torjunnassa. Hakkerit käyttävät usein sosiaalisesti suunniteltuja huijauksia päästäkseen käsiksi arkaluonteisiin tietoihin ja huijaavat työntekijöitä suorittamaan tahattomasti tehtäviä huijarin puolesta.
Nämä temput kietoutuvat petollisiin sähköposteihin, varastettuihin salasanoihin, sosiaalisen median huijauksiin, BEC-huijauksiin (Business Email Compromise) ja niin edelleen. Vahingossa tapahtuvat tietomurrot ovat myös yleinen tietojen paljastumisen muoto. Olivatpa ne tahattomia tai tahallisia, molemmat aiheuttavat organisaatiolle hämmennystä, korjauskustannuksia ja aiheuttavat sen, että organisaatio ei noudata säännöksiä.
Hakkerointia vastaan on taisteltava molemmilla rintamilla sisäisten ja ulkoisten uhkien torjumiseksi. Varmista vuonna 2023, että organisaatiossasi rakennetaan kulttuuri, jossa työntekijät ymmärtävät, miten tietoturvatapahtumat tapahtuvat ja miten ne voidaan estää vahingoittamasta yritystäsi. Rakenna inhimillinen palomuuri, joka perustuu hyvin koulutettuihin työntekijöihin, ja henkilökunnallasi on pienempi todennäköisyys vetää tietoturvaliipaisimesta ja siitä tulee paras puolustuksesi.
3. Automatisoi tietoturvatietoisuuskoulutus
Tietoturvatietoisuusohjelmienautomatisoinnin ansiosta organisaatio voi tarjota työntekijöilleen entistä tehokkaammin ja tuloksellisemmin laadukasta tietoturvakoulutussisältöä. Automaatioalustat on suunniteltu perustamaan jatkuvia koulutusohjelmia, jotka tarjoavat myös analyysin ohjelman mittareista, jotta koulutusta voidaan jatkuvasti optimoida.
4. Turvallisuuden älykkääksi tekeminen
Älykkäässä tietoturvassa on kyse muuttuvaan uhkakuvaan vastaamisesta mukautuvien ja monipuolisten tietoturvaratkaisujen avulla.
Ole fiksu:
Muuttuvat uhat: tietoturvauhkia on yhä vaikeampi havaita ja torjua. Vastaus tähän ovat älykkäät tietoturvaratkaisut, jotka pysyvät automaattisesti ajan tasalla tietoturvatrendien muutoksista. Nämä älykkäät työkalut käyttävät tekoälyä mukautuakseen päivitettyihin uhkiin, ja ne voidaan ottaa käyttöön palveluna tai MSP:n kautta.
Työntekijöiden kirjautuminen: Varmista, että otat mahdollisuuksien mukaan käyttöön vankat kirjautumistiedot, kuten kaksitekijätodennuksen ja riskiperusteisen kirjautumisen. Nämä toimenpiteet eivät ole idioottivarmoja, mutta ne auttavat suojaamaan pääsyä yrityssovelluksiin ja muihin resursseihin.
Verkon ja päätelaitteiden ylläpito: Pidä kaikki sovellukset, päätelaitteet ja palvelinohjelmistot korjattuina ja ajan tasalla. Ota käyttöön automaattinen korjausten hallinta tätä tehtävää varten, jotta inhimilliset virheet jäävät pois yhtälöstä.
5. Hanki ammattitaitoa
(ISC)2:n tekemän tutkimuksen mukaan yli puolet organisaatioista odottaa, että kyberriskit kasvavat henkilöstöön liittyvien haasteiden vuoksi. Jos et pysty rekrytoimaan ammattitaitoisia tietoturva-ammattilaisia, on kaksi vaihtoehtoa:
- Kouluta henkilöstösi: tarjoa kaikille työntekijöille jatkuvaa tietoturvatietoisuuskoulutusta, jotta heillä on tiedot verkkohyökkäysten estämiseksi. Tarjoudu myös lähettämään kiinnostuneita työntekijöitä sertifiointikursseille. Nämä koulutetut työntekijät voivat auttaa hallinnoimaan ja toteuttamaan tietoturvatietoisuuskoulutusta muulle henkilöstölle.
- Ulkoista tietoturvatarpeet: erikoistuneet yritykset voivat tarjota hallinnoituja palveluja, kuten simulaatioharjoituksia, konsultteja ja/tai tukea henkilöstön kouluttamista tietoturvatietoisuuteen.
Tee vuodesta 2023 vuosi, jolloin voitat kyberuhkia vastaan.
Tietoverkkorikolliset haastavat jatkuvasti organisaatioita kaikkialla maailmassa hyödyntämällä työntekijöitä ja liikekumppaneita. Keskity vuonna 2023 muuttamaan verkkohyökkäysten dynamiikkaa vähentämällä henkilöstön haavoittuvuutta ja olemalla kyberturvallisuuden kannalta älykäs.