Paras tapa pysäyttää ihmiskeskeiset tietoturvahyökkäykset on luoda ihmiskeskeinen tietoturvatietoisuuskulttuuri. Näin se onnistuu.
Hieno yritys rakentuu hienojen ihmisten varaan: organisaatio on riippuvainen siitä, että sillä on henkilökuntaa, johon se voi luottaa, joka tekee hyvää työtä ja johon voi luottaa. Ihmiset saavat yrityksen toimimaan, mutta he voivat myös kaataa sen. Myös verkkorikolliset keskittyvät ihmisiin.
85 prosentissa tietoverkkohyökkäyksistä ihmisen on suoritettava jokin hyökkääjän hyödyksi oleva toimenpide: tämä voi olla sähköpostin linkin napsauttaminen, saastuneen liitetiedoston lataaminen, kirjautumis- ja salasanatietojen syöttäminen väärennetylle verkkosivustolle tai jotakin vastaavaa.
Mitä ihmiskeskeinen tietoturvatietoisuuskulttuuri tarkalleen ottaen on?
Tilastot puhuvat puolestaan: ihmisten käyttäytymistä voidaan manipuloida, ja tuloksena on lunnasohjelmia, tietomurtoja ja yleisiä tietotekniikka- ja liiketoimintahaittoja ja häiriöitä. Deloitten raportin mukaan 91 prosentissa tapauksista verkkohyökkäys alkaa phishing-sähköpostilla. Sosiaaliseen manipulointiin perustuvat verkkohyökkäykset, joista phishing on yksi esimerkki, lisääntyivät 270 prosenttia vuonna 2021.
MetaCompliance-julkaisu "Social Engineering: Hacking the Human", jossa tutkittiin ihmisen käyttäytymisen syvään juurtuneita piirteitä, joita verkkorikolliset käyttävät hyväkseen. Huonojen tietoturvakäyttäytymismallien murtaminen ja muuttaminen positiivisiksi tietoturvakäyttäytymismalleiksi on se, joka ohjaa ihmiskeskeistä tietoturvatietoisuuskulttuuria: kyberrikolliset keskittyvät ihmisiin, ja he puolestaan ovat paras tapa torjua kyberhyökkäyksiä.
Kun työntekijöille annetaan tietoverkkoturvallisuuden huijausosaamista, he omaksuvat turvallisuusajattelun hyökkäysten etulinjassa olevissa ihmisissä - henkilöstössämme. Käyttämällä oikeaa lähestymistapaa tämän tietoturvatietoisuuden tuottamisessa ja vaalimisessa tuloksena on ihmiskeskeisen tietoturvatietoisuuskulttuurin muodostuminen.
Ihmiskeskeisen turvallisuustietoisuuden kulttuurin osatekijät
Kulttuuri määritellään normeilla ja käyttäytymismalleilla, jotka muodostavat ryhmän tai yhteiskunnan. Toisin sanoen termi "kulttuuri" kuvaa elämäntapaa ja uskomusjärjestelmää, jota ihmisryhmä käyttää luodakseen kestävän yhteiskunnan.
Tyypillisesti kulttuurin matriisiin on kudottu järjestelmiä, jotka tekevät elämästä helpompaa ja menestyksekkäämpää yhteiskunnan yksilöille. Organisaatio voi luoda kulttuurin samalla tavalla kuin ryhmä, kylä, kaupunki tai maa, sillä myös se koostuu yksilöistä.
Hyvät turvallisuuskäytännöt edellyttävät työntekijöiltä käyttäytymisen muutosta, joka hyödyttää näiden turvallisuuskäyttäytymisten sisällyttämistä kulttuuriin: tämä saavutetaan parhaiten varmistamalla, että turvallisuudesta tulee olennainen osa yleistä yrityskulttuuria. Tietoisuus ei kuitenkaan yksinään luo tällaista kulttuuria. Seuraavassa on lueteltu osatekijät, joita tarvitaan ihmislähtöisen turvallisuustietoisuuden kulttuurin luomiseen:
Aseta odotukset
Aseta perustaso odotetulle turvallisuuskäyttäytymiselle.
Tämä perustaso luodaan ymmärtämällä organisaatiosi nykyinen tietoturvatilanne ja se, mitä sen parantamiseksi on tehtävä. Tietojen keräämiseen voidaan käyttää erilaisia menetelmiä, joiden avulla voidaan määrittää vaadittu hyvän turvallisuuskäyttäytymisen perustaso. Näihin kuuluvat määrälliset mittarit, jotka saadaan suorittamalla alustavia testejä phishing-simulaatio-ohjelmilla, sekä laadulliset tiedot kyselyistä ja keskusteluryhmistä.
Tämä tiedonkeruuharjoitus yhdistetään sitten tietoturvatietoisuuden koulutusohjelmaan, jotta voidaan tarjota ihmisiin keskittyvää koulutusta. Tunnettujen tietoturvakäyttäytymisen heikkouksien kartoittaminen työntekijöiden henkilöihin auttaa laatimaan tehokkaan ja räätälöidyn koulutusohjelman, jonka avulla voidaan vaikuttaa käyttäytymiseen yksilöiden, osastojen ja koko organisaation tasolla.
Tästä lähtökohdasta käsin ja selkein odotuksin toteutettu toiminta antaa henkilöstölle suunnan, jota seurata ja joka auttaa luomaan turvallisuuskulttuurin, jossa turvallisuus on etusijalla.
- Määrittele odotettavissa olevan käyttäytymisen perustaso ja räätälöi sen perusteella henkilöstökeskeinen tietoturvatietoisuusohjelma.
Opi sosiaalisesti
Ihmiset haluavat olla osa jotain itseään suurempaa.
Kulttuurit rakentuvat ihmisten sosiaalisen vuorovaikutuksen selkärangalle. Kulttuurievoluutioteoriat tarjoavat selityksiä siihen, miten kulttuurit kehittyvät. Yksi näistä teorioista koskee sosiaalista oppimista: ihmiset oppivat parhaiten vertaisiaan tarkkailemalla ja mallintamalla skenaarioita, esimerkiksi tarinoita. Kulttuuri syntyy, kun ihmiset välittävät tietoa, tietoja ja taitoja toistensa välillä.
Kansantarinat ovat hyvä esimerkki sosiaalisesta oppimisesta, jonka tarkoituksena on usein käyttäytymisen muuttaminen, esimerkiksi: "Älä mene metsään yksin, muuten iso paha susi syö sinut"; monet tarinat ovat peräisin useista eri kulttuureista vuosituhansien ajalta. Turvallisuustietoisuuden oppimisen pitäisi olla yhteistyöhön perustuva hanke, jossa työntekijät työskentelevät yhdessä, oppivat sosiaalisesti, vuorovaikutteisesti ja sitouttavasti.
Turvallisuustietoisuuden oppimiseen sosiaalisen oppimisen tyyppisten skenaarioiden avulla käytetään yleensä pelejä, interaktiivisia moduuleja ja asiantuntijakouluttajien panosta. Asiantuntijoiden käyttö liittyy ihmisillä esiintyvään käsitteeseen "arvovaltainen sosiaalinen oppiminen", jonka tiedetään auttavan aikuisia oppimaan vaikeita käsitteitä.
- Valitse tietoturvatietoisuusohjelma, joka tarjoaa kiinnostavaa sisältöä, joka sisältää henkilökohtaista sisältöä ja luo myönteistä turvallisuuskäyttäytymistä, jota voidaan jakaa.
Säilyttää myönteinen turvallisuuskäyttäytyminen
Ihmiskeskeisen turvallisuustietoisuuskulttuurin luominen onnistuu osittain tehokkaalla sinnikkyydellä.
Myönteisen turvallisuuskäyttäytymisen ylläpitäminen edellyttää jatkuvaa turvallisuustietoisuuskoulutusta. Turvallisuustietoisuuden säännölliseen kouluttamiseen on kaksi syytä. Ensinnäkin säännöllisillä koulutuspäivityksillä varmistetaan, että muuttuva uhkakuva näkyy koulutuspaketeissa. Tämä on elintärkeää, sillä verkkorikolliset muuttavat jatkuvasti käyttäytymistään ja taktiikkaansa huijatakseen työntekijöitä helpommin. Toiseksi säännöllinen koulutus pitää tietoturvan työntekijöiden mielessä, mikä auttaa ylläpitämään yrityksen turvallisuuskulttuuria.
- Ylläpidä turvallisuuskulttuuria toteuttamalla säännöllisiä tietoturvatietoisuuskoulutuspäivityksiä.
Arvo Työntekijöiden panos
Turvallisuus on kaikkien vastuulla; poista syyllisyys kulttuuristasi.
PwC:n tutkimuksen mukaan lähes kolme neljäsosaa haastatelluista pelkäsi kostotoimia, jos he raportoivat tietoturvaongelmista. Turvallisuuskulttuuri voi säilyä vain, jos pelko poistetaan yhtälöstä. Älä syytä työntekijää, joka avaa vahingossa phishing-viestin ja klikkaa haitallista linkkiä. Käytä sitä sen sijaan oppimisharjoituksena.
Varmista, että työntekijäsi tietävät, että he ovat osa ratkaisua, eivät osa ongelmaa. Tee tietoturvaloukkauksista raportoinnista olennainen osa laajempaa henkilöstökeskeistä tietoturvatietoisuuskulttuuria. Anna työntekijöille työkalut, joiden avulla raportoinnista tulee helppoa ja osa heidän jokapäiväistä työelämäänsä. Näytä heille, miten tietoturvaraportointi johtaa parempaan kyberturvallisuuden havaitsemiseen ja ennaltaehkäisyyn.
- Anna henkilöstöllesi mahdollisuus raportoida tietoturvaloukkauksista.
Ihmiskeskeistä turvallisuustietoisuuden kulttuuria ei luoda yhdessä yössä. Kun organisaatiossasi kuitenkin luodaan oikeat rakenteet, se alkaa nopeasti kehittää pysyvää ja myönteistä tietoturvakäyttäytymistä.