Työpaikan kyberturvallisuudesta on tullut yhä tärkeämpää, kun yhä useammat yritykset siirtyvät käyttämään digitaalisia resursseja ja pilvipalveluja. Lunnasohjelmat ovat organisaation lamauttavien uhkien listan kärjessä, ja nämä hyökkäykset alkavat usein tietyille työntekijöille suunnatulla pahantahtoisella phishing-sähköpostilla. Vain yksi työntekijä tarvitsee joutua kehittyneen hyökkäyksen uhriksi, ja organisaatiosi voi joutua rampautetuksi estetyn tiedostojen käytön, varastettujen tietojen ja verkkoon piilotettujen kehittyneiden pysyvien uhkien vuoksi.
Colonial Pipeline -putkistoon, joka kuljettaa kaasua ja lentopetrolia Teksasista itärannikolle, tehtiin lunnasohjelmahyökkäys. Hyökkäys pysäytti tuotannon ja pakotti energiainfrastruktuurin pysähtymään. Tämäntyyppiset hyökkäykset ovat vain kiihtyneet, ja ne alkavat kohdistamalla hyökkäyksen sisäiseen työntekijään, joka ei tunnista, että viesti on haitallinen. Kyse on usein työpaikan kyberturvallisuuskoulutuksen ja -tietoisuuden puutteesta.
CryptoLocker, yksi ensimmäisistä ja suosituimmista kiristysohjelmahyökkäyksistä, alkoi phishing-sähköpostilla. Se vaikutti lähes 500 000 tietokoneeseen ja johti laajamittaiseen tietojen menetykseen eri puolilla maailmaa. Haittaohjelma otettiin käyttöön lähettämällä suuria määriä sähköpostiviestejä, jotka sisälsivät ZIP-tiedoston liitetiedoston. Kun lunnasohjelma avattiin, se skannasi tietokoneet ja salasi tiedostot niin, että ne lukittiin eikä niihin päässyt käsiksi, ellei lunnaita maksettu. Käyttäjien tulisi tietää, että ZIP-tiedoston liitetiedoston sisältäviä sähköpostiviestejä tulisi käsitellä epäilyttävinä.
CISO: Synnin syöjän arvo
Tietoturvajohtajan (Chief Information Security Officer, CISO) rooli muistuttaa paljon englantilaisen kansanperinteen myyttistä ja keskiaikaista "synnin syöjää". Synnin syöjä söi aterian ja imi itseensä kuolleiden synnit. Synnin syöjä kantoi sitten muiden ihmisten syntejä mukanaan vapauttaakseen heidät syyllisyydestä, häpeästä ja seurauksista tuonpuoleisessa.
CISO:lla on samankaltainen rooli, jossa sisäisten työntekijöiden synnit vaikuttavat CISO:n maineeseen, työsuoritukseen ja tulevaisuuden näkymiin. Jos työntekijä joutuu sisäisten kyberturvallisuusskandaalien uhriksi, hän pilaa organisaation maineen ja kaataa tuotantopalvelut. Suojellakseen tiettyä työntekijää kielteisiltä vaikutuksilta ja seurauksilta CISO ottaa vastuulleen onnettoman uhrin synnit ja vastaa hänen virheestään.
Vaikka organisaatiossa on vain yksi CISO, se ei tarkoita, että vastuu on vain yhdellä henkilöllä. Vastuu on koko organisaatiolla. Equifaxin tietomurron tapauksessa palvelinten ylläpitäjät ja CISO, joka vastasi ohjelmistojen seurannasta ja korjaamisesta, saattoivat olla yksin vastuussa yhdestä tähän mennessä suurimmista tietomurroista, mutta Equifaxin organisaatiota kokonaisuudessaan pidettiin vastuuttomana, ja se otti vastuun seurauksista.
Sen lisäksi, että CISO vastaa sisäisestä kyberturvallisuudesta, hänen työtaakkansa kasvaa, kun yhä useammat organisaatiot siirtyvät pilvipalveluihin ja digitalisoituvat vuoden 2020 pandemiasulun aikana. Organisaatioiden oli pakko sallia kotona työskentelevät työntekijät, jotta ne pysyisivät tuottavina sen jälkeen, kun COVID levisi maailmanlaajuisesti. Tämä työympäristöjen muutos johti äkilliseen sysäykseen kohti pilvipalveluja ja digitaalisia työnkulkuja. Seurauksena oli, että yritykset olivat nyt pilvipalveluissa ottamatta juurikaan huomioon kyberturvallisuutta. Kyberturvallisuus jäi taka-alalle, ja uhkatoimijat käyttivät huolimattomuutta hyväkseen. Phishing- ja lunnasohjelmat kukoistivat, kun yhä useammat työntekijät joutuivat yksityishenkilöihin kohdistettujen kehittyneiden kampanjoiden uhreiksi.
Kyberturvallisuuden seitsemän kuolemansyntiä työpaikalla
Tietoturvatietoisuus on ratkaisevan tärkeää riskien välttämiseksi. Jos työntekijäsi eivät tunne phishing-hyökkäyksen anatomiaa, heidän ei voida odottaa välttävän sitä. Inhimilliset virheet ovat merkittävä tekijä tietomurroissa, mutta tässä on seitsemän kuolemansyntiä ja keinoja välttää seuraavaksi uhriksi joutuminen:
- Huonot salasanat. Salasanojen monimutkaisuus ja pituus vähentävät työntekijän tunnistetietoihin kohdistuvan raa'an hyökkäyksen mahdollisuutta. Järjestelmänvalvojat voivat asettaa salasanasääntöjä, jotka edellyttävät tiettyä pituutta ja monimutkaisuutta ja estävät käyttäjiä käyttämästä salasanoja uudelleen.
- Julkisen Wi-Fi:n riskit. Käyttäjien tulisi olla tietoisia julkiseen Wi-Fi-yhteyteen liittyvistä riskeistä. Kaikkia kriittisiä sovelluksia tulisi käyttää VPN-verkon (Virtual Private Network) kautta, eikä käyttäjien tulisi koskaan siirtää tietoja salaamattomana.
- Virustorjunta on asennettu ja päivitetty. Organisaatioiden, jotka tarjoavat BYOD-käytäntöä (bring-your-own-device), olisi valistettava käyttäjiä virustorjunnan ja sen päivittämisen tärkeydestä. Järjestelmänvalvojat voivat pakottaa päivitykset työasemiin, mutta he luottavat siihen, että käyttäjät pitävät omat laitteensa turvassa uusimmalla virustorjuntaohjelmistolla.
- Sähköpostin liitetiedostojen avaaminen. Järjestelmänvalvojat voivat estää epäilyttävät sähköpostiviestit, mutta väärät negatiiviset tulokset antavat uhkaajille mahdollisuuden huijata vastaanottajia avaamaan haitallisia liitetiedostoja. Käyttäjien tulisi tietää, ettei liitetiedostoja kannata avata, varsinkaan jos ne tulevat ulkopuolisilta lähettäjiltä.
- Linkkien napsauttaminen sähköpostissa. Haitalliset linkit avaavat hyökkääjien hallitsemia sivustoja, joilla käyttäjät voidaan huijata paljastamaan verkkotietonsa tai muita arkaluonteisia tietoja. Käyttäjien tulisi tietää, että he eivät saa syöttää tunnistetietoja linkkejä napsautettuaan. Sen sijaan he voivat kirjoittaa verkkotunnuksen selaimeen varmistaakseen, että viesti on laillinen.
- Tunnistetietojen jakaminen muiden käyttäjien kanssa. Käyttäjien ei tulisi koskaan jakaa salasanoja. Jos he jakavat salasanoja, työntekijä, joka ei ole enää yrityksessä, voi edelleen päästä kriittisiin järjestelmiin, vaikka hänen oma tilinsä on poistettu käytöstä.
- Tietoverkkoturvallisuustietoisuus puuttuu. Ilman koulutusta käyttäjillä ei ole resursseja tunnistaa hyökkäystä. CISO:n vastuulla on luoda ympäristö, jossa kyberturvallisuuskoulutus edistää riskien parempaa välttämistä ja vähentää inhimillisiä virheitä.
Työntekijöiden auttaminen kyberhyökkäysten torjunnassa ja tietoisuuden lisäämisessä kyberympäristössä
Jos CISO:t eivät käytä aikaa työntekijöiden kouluttamiseen, he jättävät suuren aukon yrityksen kyberturvallisuuspanssariin. Tietoturvatietoisuus on ensimmäinen puolustuskeino inhimillisiin virheisiin tähtääviä kehittyneitä hyökkäyksiä vastaan, joten sen pitäisi aina olla pakollista koulutusta aloitteleville työntekijöille ja nykyiselle henkilöstölle.
Tietoisuutta voidaan tarjota monin eri tavoin: verkko-opiskeluna, käytännön koulutuksena ja toimintaperiaatteina. Työntekijät eivät ole hakkereita, joten tiedon on oltava helposti ymmärrettävää. Heidän pitäisi ymmärtää hyökkäyksen uhriksi joutumisen seuraukset, ja työntekijöillä pitäisi olla tietoa, jonka avulla he voivat kyseenalaistaa sähköpostin, puhelinsoiton, verkkosivuston ja minkä tahansa muun verkkohyökkäyksen laillisuuden. Heidän ei tarvitse olla täysin teknisesti perehtyneitä, mutta työntekijöillä on oltava oikeat tiedot.
Organisaatioihin kohdistuvat suurimmat uhat ovat tietojenkalastelu ja lunnasohjelmat, mutta koulutus vähentää näihin uhkiin liittyviä riskejä. Oikeilla tiedoilla varustetut työntekijät tunnistavat hyökkäyksen, välttävät joutumasta uhriksi, hälyttävät oikeat henkilöt, ja CISO:lla on paljon stressittömämpi työ. Ilman tietoverkkoturvallisuustietoutta CISO reagoi edelleen reaktiivisesti hyökkäyksiin, jotka voivat pilata CISO:n ja organisaation maineen.
