Takaisin
Kyberturvallisuuskoulutus ja -ohjelmistot yrityksille | MetaCompliance

Tuotteet

Tutustu yksilöllisiin tietoturvatietoisuuskoulutusratkaisuihimme, jotka on suunniteltu antamaan tiimillesi valtaa ja koulutusta nykyaikaisia verkkouhkia vastaan. Alustamme antaa henkilöstöllesi tiedot ja taidot, joita tarvitset organisaatiosi suojaamiseen, aina käytäntöjen hallinnasta phishing-simulaatioihin.

Kyberturvallisuuden eLearning

Cyber Security eLearning tutustua palkittu eLearning kirjasto, räätälöity joka osastolle

Tietoturvatietoisuuden automatisointi

Aikatauluta vuotuinen tiedotuskampanja muutamalla klikkauksella

Phishing-simulaatio

Pysäytä phishing-hyökkäykset niiden jäljiltä palkitun phishing-ohjelmiston avulla

Politiikan hallinta

Keskitä käytännöt yhteen paikkaan ja hallitse käytänteiden elinkaarta vaivattomasti.

Tietosuojan hallinta

Valvo, seuraa ja hallitse vaatimustenmukaisuutta helposti

Tapahtumien hallinta

Ota sisäiset vaaratilanteet haltuun ja korjaa se, mikä on tärkeää.

Takaisin
Teollisuus

Toimialat

Tutustu ratkaisujemme monipuolisuuteen eri toimialoilla. Tutustu siihen, miten ratkaisumme vaikuttavat useilla eri aloilla dynaamisesta teknologiasektorista terveydenhuoltoon. 


Rahoituspalvelut

Ensimmäisen puolustuslinjan luominen rahoituspalveluorganisaatioille

Hallitukset

Turvallisuustietoisuusratkaisu hallituksille

Yritykset

Turvallisuustietoisuuden koulutusratkaisu suuryrityksille

Etätyöntekijät

Turvallisuustietoisuuden kulttuurin juurruttaminen - myös kotona

Koulutusala

Koulutuksen tietoturvatietoisuuskoulutus koulutusalalle

Terveydenhuollon työntekijät

Tutustu räätälöityyn tietoturvatietoisuuteen terveydenhuollon työntekijöille

Teknologiateollisuus

Tietoturvakoulutuksen muuttaminen teknologiateollisuudessa

NIS2-vaatimustenmukaisuus

Tukea Nis2-vaatimusten noudattamista kyberturvallisuuden tietoisuutta edistävillä aloitteilla

Takaisin
Resurssit

Resurssit

Maksuttomia tietoisuutta lisääviä aineistojamme voi käyttää organisaatiosi tietoisuuden parantamiseen tietoverkkoturvallisuuden osalta julisteista ja käytännöistä lopullisiin oppaisiin ja tapaustutkimuksiin.

Tietoturvatietoisuus Dummiesille

Välttämätön resurssi tietoverkkotietoisuuden kulttuurin luomiseksi.

Dummies-opas kyberturvallisuuteen Elearning

Perimmäinen opas tehokkaan kyberturvallisuuden sähköisen oppimisen toteuttamiseen

Perimmäinen opas phishingiin

Kouluta työntekijöitä siitä, miten phishing-hyökkäykset havaitaan ja estetään.

Ilmaiset tietoisuusjulisteet

Lataa nämä julisteet työntekijöiden valppauden lisäämiseksi.

Phishingin vastainen politiikka

Luo turvallisuustietoinen kulttuuri ja edistä tietoisuutta kyberturvallisuusuhkista.

Tapaustutkimukset

Kuuntele, miten autamme asiakkaitamme edistämään positiivista käyttäytymistä organisaatioissaan.

A-Z Kyberturvallisuuden terminologia

Sanasto tietoverkkoturvallisuuden termeistä, jotka on pakko tietää

Kyberturvallisuuden käyttäytymisen kypsyysmalli

Auditoi tietoisuuskoulutuksesi ja vertaile organisaatiosi parhaita käytäntöjä vastaan

Ilmaista tavaraa

Lataa ilmaiset tietoisuutta lisäävät aineistomme organisaatiosi kyberturvallisuustietoisuuden parantamiseksi.

Takaisin
MetaCompliance | Kyberturvallisuuskoulutus ja -ohjelmistot työntekijöille

Tietoja

MetaCompliancella on yli 18 vuoden kokemus kyberturvallisuuden ja vaatimustenmukaisuuden markkinoilta, ja se tarjoaa innovatiivisen ratkaisun henkilöstön tietoturvatietoisuuteen ja vaaratilanteiden hallinnan automatisointiin. MetaCompliance-alusta luotiin vastaamaan asiakkaiden tarpeisiin saada yksi kattava ratkaisu kyberturvallisuuteen, tietosuojaan ja vaatimustenmukaisuuteen liittyvien henkilöriskien hallintaan.

Miksi valita meidät

Lue, miksi Metacompliance on luotettu kumppani tietoturvatietoisuuskoulutuksessa.

Työntekijöiden sitouttamisen asiantuntijat

Helpotamme työntekijöiden sitouttamista ja kybertietoisuuden kulttuurin luomista.

Tietoturvatietoisuuden automatisointi

Automatisoi tietoturvatietoisuuskoulutus, tietojenkalastelukoulutukset ja -käytännöt helposti muutamassa minuutissa.

MetaBlogi

Pysy ajan tasalla tietoverkkotietoisuutta koskevista koulutusaiheista ja vähennä organisaatiosi riskejä.

Tailgating työpaikalla: Kyberuhka

Tailgating

kirjoittajasta

Jaa tämä viesti

Tailgatingin ymmärtäminen sosiaalisessa manipuloinnissa

Mitä on tailgating? Tailgating on sosiaalisen manipuloinnin tekniikka, jota käyttävät henkilöt, jotka pyrkivät luvattomaan pääsyyn suojatuille alueille seuraamalla valtuutetun henkilön perässä. Tämä taktiikka käyttää hyväkseen ihmisten kohteliaisuutta, jolloin tunkeutuja pääsee sisään ilman asianmukaista todentamista.

Uutisotsikot ovat täynnä massiivisia tietoturvaloukkauksia, ja analyytikot kertovat meille usein monimutkaisista hakkeroinneista.

Frank Abagnale oli yksi maailman pahamaineisimmista hakkereista. Hänen rikollinen toimintansa tuli tunnetuksi hänen elämästään kertovasta elokuvasta "Catch me if you can". Frank teki suuren osan hakkeroinnistaan 1960-luvulla. Hän käytti matalan teknologian sosiaalisia tekniikoita, kuten "Tailgatingia", esiintyäkseen lääkärinä ja lentäjänä helpottaakseen erilaisia taloudellisia huijauksia. Huijauksissaan Frank väärensi väärillä henkilöllisyyksillä shekkejä ja lunasti ne. Frank varasti suuria rahasummia ja päätyi lopulta 12 vuoden vankeuteen petoksesta. Frank on sittemmin jo kauan sitten jättänyt rikollisen elämänsä ja ryhtynyt neuvomaan, miten tietoverkkorikollisuutta voidaan ehkäistä.

Frank käytti sosiaalista manipulointia tehdäkseen petoksia manipuloimalla tilanteita ja ihmisiä. Näissä hyökkäysmenetelmissä keskitytään tyypillisesti ihmisen käyttäytymisen heikkouksiin, joita hyödynnetään kyberhyökkäysten, kuten rikosvahinkojen, varastovarkauksien, lunnasohjelmatartuntojen, yrityssähköpostin vaarantamisen (Business Email Compromise, BEC) ja tietojen paljastumisen, käynnistämiseen. Termi "insinöörityö" pettää monien sosiaaliseen insinöörityöhön liittyvien ongelmien usein hienovaraisen ja matalan teknologian luonteen. Seuraavassa tarkastellaan matalan teknologian hakkerointitaktiikkaa, joka tunnetaan nimellä "Tailgating".

Mitä on perässäjuoksu kyberuhan yhteydessä?

Uutisotsikot ovat täynnä massiivisia tietoturvaloukkauksia, ja analyytikot kertovat meille usein monimutkaisista hakkeroinneista. Kaikki hakkeroinnit eivät kuitenkaan ole digitaalisia, vaan monet niistä tehdään matalan teknologian keinoin. Jopa nämä matalan teknologian hyökkäykset voivat kuitenkin johtaa suuriin tietoturvaloukkauksiin ja varkauksiin.

Tailgating, joka tunnetaan toisinaan nimellä "Piggbacking", on matalan teknologian sosiaalinen manipulointi, joka on pikemminkin fyysinen kuin digitaalinen hakkerointi. Tämä fyysinen hyökkäys voi kuitenkin johtaa digitaaliseen kyberhyökkäykseen.

Tyypillinen esimerkki pyristelystä on se, että huijari pääsee yrityksen rakennukseen teeskentelemällä olevansa laillinen vierailija, tavarantoimittaja tai vastaava. Siemens Enterprise Communicationsin konsultti Colin Greenless osoitti vuonna 2009, kuinka helppoa ja vahingollista pyristely on. Greenless pääsi luvatta FTSE 100 -listalla olevaan rahoituslaitoksen rakennukseen ja löysi 20 minuutissa erittäin arkaluonteisen yrityskauppoja ja -järjestelyjä koskevan asiakirjan, joka oli näkyvillä pöydällä.

Tailgatingin tai Piggbackingin psykologia

Takaa-ajossa tai piggbackingissa hyödynnetään ihmisten käyttäytymistä ja tilanteita. Tailgating on in situ social engineering -taktiikka, eli tailgaterin on oltava fyysisesti ympäristössä, jota hän haluaa hyödyntää. Tämä tuo esiin muita tärkeitä tekijöitä onnistuneen salakatselun kannalta, nimittäin tekosyiden käytön (pretexting).

Tekosyiden käyttäminen on luultavasti yhtä vanhaa kuin ihmisyhteiskunta. Se on Frank Abagnalen tapaan sitä, että esiintyy jonain toisena henkilönä saadakseen arkaluonteisia tai tärkeitä tietoja toiselta henkilöltä tai ryhmältä. Pyrkiessään tekaistuun tekoon rikoksentekijä usein omaksuu sellaisen identiteetin, joka saa kohteen olemaan avoimempi paljastamaan tietoja tai suorittamaan jonkin teon (kuten avaamaan oven). Tekosyyn käyttäminen edellyttää kohteen tutkimista. Se rakentuu myös luottamuksen käsitteelle - mitkä edellytykset auttavat luotettavan persoonan rakentamisessa, jotta mikä tahansa sosiaalisen manipuloinnin skenaario onnistuisi paremmin? Jos sosiaalinen insinööri haluaa esimerkiksi varjostaa kohdeyritystä, hän voi käyttää aikaa sen tutkimiseen, minkälaisia kävijöitä organisaation rakennukseen tulee; onko esimerkiksi toimitukset tehty tiettyyn aikaan. Tämän tiedonkeruun avulla huijari voi rakentaa luotettavan persoonan, jota hän voi käyttää manipuloidakseen ja vaikuttaakseen työntekijöihin niin, että he päästävät hänet normaalisti suojattuun rakennukseen tai huoneeseen.

Tailgatingin aiheuttamat vahingot työpaikalla

Tailgating ei ole vain sitä, että joku leikkii hölmöä ja pääsee rakennukseen huvikseen. Tailgatingiin liittyy ilkivaltainen tarkoitus, ja tekijät tekevät tämän teon aiheuttaakseen omaisuusvahinkoja, varastakseen tietoja, asentaakseen haittaohjelmia ja jopa vaarantaakseen henkilökunnan hengen. Boon Edamin hiljattain tekemässä tutkimuksessa 71 prosenttia vastaajista tunsi olevansa vaarassa joutua fyysisen rikkomuksen kohteeksi, joka johtui salakatselusta.

Tailgatingia esiintyy missä tahansa muodossa, ja sen harjoittajat voivat olla entisiä työntekijöitä tai tuntemattomia.

Entiset työntekijät: Tutkimusten mukaan 80 prosenttia kybervastuukanteista johtuu työntekijöiden huolimattomuudesta, mukaan lukien huijarit. Nämä entiset työntekijät ovat usein tyytymättömiä, etsivät kostoa ja vahingoittavat omaisuutta sekä varastavat yrityksen tietoja ja arkaluonteisia tietoja koston toteuttamiseksi.

Muukalaisvaara: Colin Greenlessin takapakki-harjoituksen aikana 17 työntekijää antoi pyynnöstä Colinille salasanansa. Huijarit suunnittelevat hyökkäyksensä yleensä hyvissä ajoin etukäteen. He tietävät, ketkä ovat heidän kohteensa, ja salasanojen lisäksi myös kulkuluvat ovat heidän pakkohankintalistallaan. Kohteliaisuus tuntemattomalle voi johtaa vaarantuneisiin tileihin, tietomurtoon ja jopa haittaohjelman asentamiseen.

Miten lopettaa Tailgating

Turvallisuuspolitiikka on tärkeä ensimmäinen askel pyrittäessä kehittämään menetelmiä, joilla estetään "tailgating"-tapahtumat. Politiikassa on otettava huomioon pyristelyn menetelmät ja se, miten pyristelijä voidaan pysäyttää. Jos haluat pysäyttää tailgating-toiminnan ennen kuin se pääsee organisaatiosi ihon alle, tarkastele seuraavia osa-alueita:

Perusteet

Opeta työntekijöille, mitä peräänajaminen on, miten se tapahtuu ja mitä seurauksia sillä on. Tämän pitäisi olla osa jatkuvaa tietoturvatietoisuuskoulutusohjelmaa. Tietoturvatietoisuusohjelmien tulisi kattaa kaikki kyberuhkien näkökohdat, sekä digitaalisen että fyysisen turvallisuuden.

Valppaus

Kannusta työntekijöitä valppaaseen asenteeseen. Kaikkia epäilyttäviltä vaikuttavia henkilöitä on pyydettävä esittämään valtakirjansa. Vielä parempi on ottaa käyttöön prosessi, jonka avulla työntekijät voivat ilmoittaa epäilyksistään turvallisuustiimin jäsenelle tai esimiehelle.

Ympäristötietoisuus

Kouluta työntekijöitä seuraajien toimista, kuten yrityksistä päästä fyysisesti rajoitetuille alueille, kun valtuutettu henkilö astuu tilaan. Varmista, että työntekijät tietävät, että hännystelyyn liittyy luottamuksen rakentamiseen käytettäviä temppuja.

Itsevarmuus

Kohteliaisuus on tärkeää, mutta määrätietoisuus voi auttaa estämään vakavan yritysrikkomuksen. Työntekijöille on opetettava, millaisia temppuja hännänvartijoilla on ja miten rikolliset käyttävät epäkohteliaalta näyttämisen pelkoa turvatoimien kiertämiseen.

Tailgatingin oven sulkeminen

Colin Greenless oli valkohattuinen hakkeri, ja hänen seikkailunsa tehtiin läpinäkyviksi, jotta estettäisiin perässäjuoksu. Tailgating on kuitenkin edelleen arkipäiväinen tapahtuma. Tuoreempi esimerkki koski naista, joka pääsi Mar-a-Lago Trump Resortin rajoitetulle alueelle mukanaan neljä mobiililaitetta, kannettava tietokone, ulkoinen kiintolevy ja haittaohjelmia sisältävä muistitikku. Vaikka turvatasot olivat presidentin tasolla, nainen pystyi kiertämään turvatoimet teeskentelemällä, ettei hän ymmärrä turvahenkilöstön kysymyksiä, minkä seurauksena "turvahenkilöstö syytti kielimuuria ja päästi hänet sisään".

Henkilöt, joiden tarkoituksena on vahingoittaa organisaatiota ja/tai syyllistyä petokseen, tekevät kovasti töitä huijaamaan työntekijöitä. Inhimilliset piirteet, kuten kohteliaisuus tai valppauden puute tai vain työn häiritsevyys, voivat johtaa siihen, että pahansuovat henkilöt pääsevät organisaatioon pahansuovassa tarkoituksessa. Työntekijöitä on valistettava vaaroista, joita voi aiheutua harmittomalta vaikuttavista tilanteista, kuten siitä, että toimistoon ilmestyy joku, jonka ei ehkä pitäisi olla siellä. Turvallisuustietoisuuskoulutuksella suljetaan ovi salakatselulta ja annetaan työntekijöille tarvittavat tiedot tämän salakavalan ongelman ratkaisemiseksi.

Muita artikkeleita aiheesta Cyber Security Awareness Training, jotka saattavat kiinnostaa sinua.