Turvallisuustietoisuuskoulutus on menetelmä, jolla voidaan ehkäistä verkkouhkia ja josta rahoituspalveluyritykset voivat hyötyä. Seuraavassa tarkastellaan tärkeimpiä syitä käyttää tätä koulutusmuotoa, jos olet rahoituspalveluyritys.
Rahoituspalvelut ovat kokeneet viime vuosina valtavan digitaalisen muutoksen. Ala ottaa käyttöön uusia teknologioita varmistaakseen paremman asiakaskokemuksen ja optimoidakseen toimintojaan.
Digitaalinen muutos on kuitenkin merkinnyt sitä, että alasta on tullut myös tietoverkkorikollisten kohde: rahoituspalvelualan CISO:ille ja CIO:ille vuonna 2020 tehdyssä tietoverkkoturvallisuustutkimuksessa todettiin, että 65 prosenttia suurista rahoitusalan organisaatioista oli joutunut tietoverkkohyökkäyksen kohteeksi edellisen 12 kuukauden aikana. Toisessa, tällä kertaa Boston Consultingin laatimassa raportissa todettiin, että rahoitusala joutui 300 kertaa useammin kyberhyökkäysten kohteeksi kuin muut alat.
Turvallisuustietoisuuskoulutus rahoituspalveluille
Hakkeri ei enää asu vanhempiensa kellarissa hupparissa. Sen sijaan kehittyneet, taloudellisesti motivoituneet ja joskus valtion tukemat hakkerijengit tekevät tietoverkkorikollisuudesta kaikkien ulottuvilla olevaa.
Hakkerointityökaluja palveluna tarjoavat liiketoimintamallit ovat helposti ja halvalla saatavilla pimeässä verkossa. Nämä työkalut yhdessä verkkorikollisten yhä kehittyneempien sosiaalisten insinööritaitojen kanssa ovat johtaneet verkkohyökkäysten hyökyaaltoon. Kun tähän yhdistelmään lisätään etä- tai kotityö, voidaan todeta, että kyberuhkien planeetat ovat asettuneet samalle viivalle.
Covid-19 on avannut silmät organisaatioille kaikkialla maailmassa, sillä pandemiaan liittyvää pelkoa hyödyntävät huijaukset ovat lisääntyneet. Työntekijöihin kohdistetuissa huijauksissa käytettiin Covid-19-aiheisiin perustuvia phishing-temppuja kirjautumistietojen tai henkilökohtaisten tietojen varastamiseksi tai työntekijän saamiseksi asentamaan haitallisia ohjelmistoja (mukaan lukien lunnasohjelmat). Työelämän muuttuessa phishing-taktiikat ja sosiaalinen manipulointi ovat edelleen vahingoittamaan pyrkivien tietoverkkorikollisten keskeinen valinta.
Sosiaalisen manipuloinnin ja tietojenkalastelun tulokset ovat kalliita. Sophosin vuonna 2021 tekemän raportin mukaan keskisuuret rahoituspalveluyritykset käyttävät noin 2 miljoonaa dollaria lunnasohjelmahyökkäyksestä toipumiseen, mikä on enemmän kuin maailmanlaajuinen keskiarvo, joka on 1,85 miljoonaa dollaria. Raportissa korostetaan myös, että 34 prosenttia finanssipalveluorganisaatioista kärsi kiristysohjelmahyökkäyksestä vuonna 2020.
Turvallisuustietoisuuskoulutus on tehokas vastaus hakkerien käyttämään sosiaaliseen manipulointiin.
Turvallisuustietoisuuskoulutuksen hyödyt rahoituspalveluissa
Yritykset voivat käyttää tietoturvatietoisuuskoulutusta estääkseen tietoverkkorikollisia hyödyntämästä työntekijöitä käyttämällä sosiaalista manipulointia ja tietojenkalastelumenetelmiä. Rahoituspalveluissa on viisi keskeistä etua, joita tietoturvatietoisuusohjelmaan osallistumisesta on:
Turvallisuuskäyttäytymisen muuttaminen negatiivisesta positiiviseksi
Huijarit, tietoverkkorikolliset, huijarit, mitä tahansa nimitystä käytetäänkin kuvaamaan tätä häijyä toimintaa, kaikki keskittyvät ihmisten käyttäytymiseen. Turvallisuustietoisuutta käytetään huonon turvallisuuskäyttäytymisen muuttamiseen, jotta yrityksen turvallisuuteen voidaan suhtautua myönteisesti.
Positiivisen turvallisuuskäyttäytymisen kehittäminen kouluttaa henkilöstöä sosiaalisen manipuloinnin vaaroista. Tietoisuutta lisäävässä koulutuksessa käsitellään myös virheitä, jotka voivat johtaa tietojen paljastumiseen: tämä on tärkeää, kun otetaan huomioon, että EC-Councilin havaintojen mukaan 64 prosenttia tietojen katoamistapauksista johtuu sisäpiiriläisistä, jotka "tarkoittavat hyvää".
Turvallisuustietoisuuskoulutus opettaa koko organisaation työntekijöille turvallisuuden tärkeyden. Tehokas koulutuspaketti kouluttaa henkilöstöä käyttämällä interaktiivista ja mukaansatempaavaa sisältöä tietoturvatemppujen ja -huijausten osalta sekä tarjoamalla phishing-simulaatioharjoituksia, joissa työntekijät oppivat tunnistamaan phishing-viestit. Jatkuva, tehokas tietoturvatietoisuuskoulutus luo positiivisen palautekierteen, joka kannustaa henkilöstöä käsittelemään tietoturvahyökkäyksiä.
Pysäyttää BEC-huijarit jäljiltään
Lunnasohjelmat saattavat nousta otsikoihin, mutta yrityssähköpostin tietoturvaloukkaukset (Business Email Compromise, BEC) vaikuttavat useampiin yrityksiin. FBI:n Internet Crime Complaint Centerin (IC3) vuoden 2020 raportin mukaan BEC vaikuttaa neljä kertaa useampaan yritykseen kuin lunnasohjelmat. Rahoituspalveluyritykset ovat yhtä suuressa vaarassa joutua BEC-petoksen kohteeksi kuin muutkin organisaatiot.
BankInfoSecurityn vuonna 2020 julkaisemassa paljastuksessa kerrottiin yksityiskohtaisesti useista BEC-petostileistä, joista yksi koski yhdysvaltalaista pankkia. Kyseisessä pankissa eräs työntekijä sai sähköpostia pankin toimitusjohtajaksi naamioituneilta huijareilta. Sähköpostissa pyydettiin työntekijää lähettämään kiireellisesti aiemmin suunniteltu miljoonan dollarin siirto. Viestiin sisältyi tilitietojen muutos, jossa täsmennettiin, että tämä johtui "koronaviruksen puhkeamisesta sekä karanteeniprosesseista ja varotoimista".
BEC-huijauksiin liittyy usein työntekijöiden monimutkainen valvonta. Huijarit jopa rakentavat suhteita help desk -palvelun käyttäjiin ja muihin asiaankuuluvien osastojen työntekijöihin saadakseen tietoa yrityksen prosesseista. Turvallisuustietoisuuskoulutuksessa opetetaan työntekijöille BEC-huijausten merkkejä ja huijareiden käyttämiä sosiaalista suunnittelua koskevia temppuja.
Auttaa varmistamaan lainsäädännön noudattamisen
Työntekijät ovat olennainen osa tietosuojan ja yksityisyyden suojan ylläpitämistä. Heidän toimintansa voi helposti viedä finanssipalveluorganisaation vaatimustenvastaisuuden alueelle. Niinkin yksinkertainen asia kuin sähköpostin harhaanjohtaminen voi johtaa sakkoihin. Tuoreen tutkimuksen mukaan 58 prosenttia työntekijöistä myönsi lähettäneensä sähköpostin väärälle henkilölle.
Turvallisuustietoisuuskoulutus auttaa estämään työntekijöitä tekemästä virheitä. Tehokas ohjelma, joka tarjoaa mittareita ja koulutusautomaatiota, osoittaa myös yrityksen sitoutumista turvallisuuteen. Turvallisuustietoisuuskoulutuksen järjestäminen on joko pakollista tai sitä suositellaan voimakkaasti useissa standardeissa ja säännöksissä, kuten ISO27001- ja PCI-DSS-standardissa, jonka vaatimus 12 sisältää seuraavat vaatimukset:
"Toteuta virallinen tietoturvatietoisuusohjelma, jotta koko henkilöstö on tietoinen kortinhaltijoiden tietoturvapolitiikasta ja -menettelyistä."
Rakenna ihmisen palomuuri
Turvallisuustoimenpiteet, kuten vankka pääsynvalvonta, palomuurit, päätelaitteiden suojaus ja salaus, ovat tärkeitä, mutta sosiaalinen manipulointi on suunniteltu ohittamaan perinteiset turvallisuusratkaisut. Asiantuntevat ja turvallisuuteen luottavat työntekijät ovat olennainen osa rahoituspalveluyrityksen kyberturvallisuustoimenpiteitä.
Käyttämällä tietoturvatietoisuuskoulutusta yritys voi rakentaa "inhimillisen palomuurin". Kukin tiimin jäsen koko organisaatiossa toimii tällöin tiimin muiden jäsenten tukena. Säännöllisen turvallisuuskoulutuksen avulla inhimillisestä palomuurista tulee vahvempi ja tehokkaampi havaitsemaan sosiaalista manipulointia koskevat temput.
Työntekijöiden moraalin vahvistaminen
Carboniten raportti osoittaa verkkohyökkäyksen vaikutuksen yksilöihin: 24 prosenttia työntekijöistä kokee moraalin laskeneen hyökkäyksen jälkeen. Luottamus lisää henkilöstön moraalia. Tietoturvakoulutus on ihmislähtöinen lähestymistapa organisaation omaisuuden turvaamiseen. Antamalla työntekijöille työkalut, joiden avulla he voivat torjua tietoverkkorikollisuutta, organisaatio antaa henkilöstölleen valmiudet estää tietoverkkohyökkäykset. Turvallisuustietoisuuskoulutus auttaa paitsi pitämään organisaation turvassa myös parantamaan henkilöstön työmoraalia.
Rahoituspalveluorganisaatiot ovat kaikkialla maailmassa verkkorikollisten ja huijareiden ensisijainen kohde. Koulutettu henkilöstö on osa laajempaa 360 asteen näkökulmaa, jolla yritys voidaan turvata näiden pahansuovien ja pahaenteisten hyökkäysten tuhoilta.