Yhdistyneen kuningaskunnan hallituksen hiljattain tekemässä tutkimuksessa "Cyber resilience captains of industry survey 2021" on mielenkiintoisia näkemyksiä tietoisuudesta kyberturvallisuusriskeistä organisaation C-suite- ja hallitustasolla.
Kyselyssä todettiin, että lähes kaikki vastaajat näkevät, että hallitus ottaa kyberriskit huomioon laajemmissa yritysasioissa. Raportissa kuitenkin varoitetaan tästä seuraavalla varoituksella:
"Kapteenit ovat edelleen sitä mieltä, että hallituksen jäsenten varustamiseksi kyberuhkien torjumiseksi voidaan tehdä enemmän. Kapteenit mainitsivat yleisimmin hallituksen jäsenten tietoisuuden lisäämisen ja kohdennetun koulutuksen."
C-suite ja johtokunta ovat erityisryhmiä, jotka tarvitsevat räätälöityä koulutusta vastaamaan heidän yksilöllisiä tarpeitaan. Seuraavassa on muutamia ideoita C-suitea varten tarkoitetun tietoturvatietoisuusohjelman luomiseen.
Miksi kouluttaa C-suitea?
C-suiteissa työskentelevät henkilöt ovat vaikutusvaltaisia yrityksessään.Tämä vaikutusvalta on elintärkeää, kun pyritään saamaan aikaan johdonmukaista ja tehokasta turvallisuustietoisuutta koko organisaatiossa. Siksi on järkevää kohdistaa tietoturvatietoisuuskampanja tähän ryhmään.
Huipulla vallitseva ääni on tunnettu ilmiö turvallisuusriskien hallinnassa. Tätä "huipulla vallitsevaa sävyä" korostetaan European Directors' Associationin (ecoDa) käsikirjassa, jossa annetaan useita keskeisiä suosituksia riskien vähentämiseksi laajojen kyberuhkien aikakaudella. Yksi suosituksista on asettaa tietoisuuden sävy koko organisaatiossa - raportissa todetaan näin:
"Hallituksen ja johdon pitäisi antaa sävy huipulla ja kehittää oikeanlaista kulttuuria ja lisätä tietoisuutta kyberkestävyyden kehittämiseksi."
C-suiten kohdennetun tietoturvatietoisuusohjelman osatekijät
On huomionarvoista, että Yhdistyneen kuningaskunnan hallituksen teollisuuskapteeni -raportissa todettiin, että tietoturvatietoisuus on saavuttanut johtokunnat. C-suiten ja hallituksen jäsenten on kuitenkin oltava osa yleistä ja kohdennettua tietoturvatietoisuusohjelmaa. Tietoisuuden lisääminen tällä tasolla voi vakiinnuttaa turvallisuusajattelun kulttuurin.
Seuraavassa on lueteltu C-suiteen suunnatun tiedotuskampanjan kriittiset tekijät:
Rakenna jännite riskin avulla
C-suite joutuu jongleeraamaan monilla palloilla. Yrityksen ydinliiketoiminnan on aina oltava etusijalla. Mutta jos tämä ydinliiketoiminta on vaarassa kyberuhkien vuoksi, yrityksen on asetettava nämä uhat etusijalle.
Aseta näyttämö C-suite-koulutusta varten osoittamalla, että tietoturvatietoisuuskoulutusohjelman tarjoaminen tuottaa sijoitetulle pääomalle tuottoa. IBM:n ja Ponemon Cost of a Data Breach -raportista löytyy joitakin lukuja, jotka voivat auttaa tämän määrittelyssä: Yhdistynyt kuningaskunta on yksi suurimmista maista tietomurtokustannusten osalta, sillä keskimääräinen kustannus on 4,67 miljoonaa dollaria (3,8 miljoonaa puntaa) tietomurtoa kohden.
Kun olet saanut C-suiten hyväksynnän, voit luoda puitteet tehokkaalle tietoturvatietoisuuden koulutusohjelmalle, joka on suunnattu huipulla oleville henkilöille.
Suorita C-suite-roolipohjainen tietoturvatietoisuusohjelma.
Tietoverkkorikolliset keskittyvät yhä useammin yksittäisiin henkilöihin ja rooleihin organisaatiossa. Tämä on järkevää, sillä mitä enemmän ihmiset ovat tietoisia tietoturvaongelmista, sitä vaikeampaa on huijata työntekijöitä. Jos hakkeri kuitenkin ymmärtää kohteensa, hän voi luoda nokkelia, vaikeasti tunnistettavia phishing-sähköposteja. C-suite on tietoverkkorikollisten tähtäimessä, sillä he ovat yrityksen taloudellinen sydän ja auktoriteettiasema.
C-suite-painotteinen hyökkäys kohdistui yhdysvaltalaiseen Scoular Co -yritykseen, joka joutui BEC-hyökkäyksen ( Business Email Compromise ) uhriksi. Yritys menetti 17,2 miljoonaa dollaria verkkorikollisille kolmella tilisiirrolla sen jälkeen, kun huijarit olivat kohdistaneet hyökkäyksen yrityksen toimitusjohtajaan väärennettyjen sähköpostien avulla.
Verizon 2021 Data Breach Investigations Report (DBIR) -raportissa ( Verizon 2021 Data Breach Investigations Report, DBIR) todetaan, että tietoturvatietoisuuskoulutuksen räätälöinti on tärkeää:
"Tietomurtoihin johtavien inhimillisten riskien minimoimiseksi ei ole olemassa yhtä ainoaa lähestymistapaa. Kukin yritys kokee samantyyppisiä hyökkäyksiä eri tavoin, ja niiden on räätälöitävä käyttäytymistekniikka- ja kyberturvallisuuskoulutusohjelmansa sen mukaisesti."
Suunnittele tietoturvatietoisuuskoulutus yrityksen roolien mukaan ja ota mukaan C-suiten roolit. Keskity hyökkäyksiin, jotka kohdistuvat C-tason henkilöstöön, kuten BEC ja toimitusjohtajaksi tekeytyminen.
Laita sosiaaliset asiat C-suiteen
Verkkorikolliset, jotka kohdistavat hyökkäyksensä "isoihin phish-tapauksiin", kuten toimitusjohtajaan ja talousjohtajaan, saavat selville saaliinsa. He tekevät tämän osana sosiaalisen suunnittelun ketjua, jossa käytetään erilaisia tekniikoita käyttäytymisen manipuloimiseksi.
Yksi tällainen taktiikka on esiintyä johtajina, mikä tunnetaan myös nimellä "valaanpyynti" tai "johtajan imitointi". Yksi pahamaineinen esimerkki tästä oli vuonna 2019 tehty "deep fake" -hyökkäys, jossa yrityksen toimitusjohtajan ääntä väärennettiin, jotta Ison-Britannian toimitusjohtaja saataisiin lähettämään 243 000 dollaria huijarin pankkitilille.
Tämä sosiaalisen manipuloinnin muoto on voimakkaassa kasvussa, ja vuosina 2020-2021 on havaittu 131 prosentin kasvu. Tämäntyyppiset petokset perustuvat kohteen profiilin luomiseen, jotta saadaan tietoa sosiaalisen manipuloinnin suorittamiseksi.
Laita sosiaalinen insinööritietoisuus tiukasti turvallisuuskoulutuskalenteriin ja kouluta C-suite haavoittuvuudestaan tällä alalla.
Spear-Phish the C-Suite
C-suite on vaarassa spear-phishing-hyökkäyksille, jotka ovat kohdennettu phishingin muoto. Äskettäisessä phishing-sähköpostikampanjassa käytettiin väärennettyjä Microsoft Office 365 -sähköpostiviestejä tunnistetietojen varastamiseen. Kampanja kohdistui C-suite-johtajiin ja heidän avustajiinsa monilla toimialoilla.
Spear-phishing C-suite, verkkorikollinen menee suoraan organisaation päätöksentekijöille. Spear phishing toimii, koska väärennetyt sähköpostiviestit perustuvat kohteeseen liittyviin tiedustelutietoihin. Spear-fisherit käyttävät usein juuri niitä sovelluksia, kuten Office 365:tä, joita yritys käyttää säännöllisesti.
Luo hienostunut simuloitu phishing-kampanja, joka on suunnattu nimenomaan C-suiteesi. Käytä tietämystäsi roolipohjaisesta phishingistä luodaksesi realistisen näköisiä spear-phishing-sähköpostiviestejä, jotka on suunnattu C-suiteesi. Käytä kehittynyttä simuloitua phishing-alustaa, joka käyttää "tarvepisteen" oppimista. Tämä tallentaa käyttäytymisongelmat niiden ilmetessä ja antaa käyttäjälle tietoa siitä, mikä meni pieleen ja miksi.
Tunne C-suite tietoturvatietoisuuskoulutuksen mittareiden avulla
Phishing-simulaatioalustat, kuten MetaPhish, tarjoavat mittareita kojelaudan muodossa, joka näyttää phishing-simulaatioiden tulokset. Näin saat palautetta siitä, kuinka moni C-suite-jäsenesi on klikannut simuloidun phishing-sähköpostin linkkiä. Raportit voivat jopa näyttää, millä laitteella phishing-sähköpostia käytettiin; näin voit tarkemmin räätälöidä ja keskittää ponnistelusi johtajien turvallisuuskäyttäytymisen parantamiseen.
Aseta turvallisuuden sävy huipulla
C-suiteissa työskentelevät johtajasi ovat sisäisiä vaikuttajiasi. Heidän on kuitenkin oltava esimerkkinä erinomaisesta turvallisuuskäyttäytymisestä, jotta he näyttävät esimerkkiä koko henkilöstölle. Turvallisuutta koskevan sävyn antaminen huipulla kannustaa turvallisuusajatteluun. Tämä turvallisuusajattelu on olennaisen tärkeää turvallisuuskulttuurin luomisessa ja yrityksen kyberriskien vähentämisessä.