Takaisin
Kyberturvallisuuskoulutus ja -ohjelmistot yrityksille | MetaCompliance

Tuotteet

Tutustu yksilöllisiin tietoturvatietoisuuskoulutusratkaisuihimme, jotka on suunniteltu antamaan tiimillesi valtaa ja koulutusta nykyaikaisia verkkouhkia vastaan. Alustamme antaa henkilöstöllesi tiedot ja taidot, joita tarvitset organisaatiosi suojaamiseen, aina käytäntöjen hallinnasta phishing-simulaatioihin.

Kyberturvallisuuden eLearning

Cyber Security eLearning tutustua palkittu eLearning kirjasto, räätälöity joka osastolle

Tietoturvatietoisuuden automatisointi

Aikatauluta vuotuinen tiedotuskampanja muutamalla klikkauksella

Phishing-simulaatio

Pysäytä phishing-hyökkäykset niiden jäljiltä palkitun phishing-ohjelmiston avulla

Politiikan hallinta

Keskitä käytännöt yhteen paikkaan ja hallitse käytänteiden elinkaarta vaivattomasti.

Tietosuojan hallinta

Valvo, seuraa ja hallitse vaatimustenmukaisuutta helposti

Tapahtumien hallinta

Ota sisäiset vaaratilanteet haltuun ja korjaa se, mikä on tärkeää.

Takaisin
Teollisuus

Toimialat

Tutustu ratkaisujemme monipuolisuuteen eri toimialoilla. Tutustu siihen, miten ratkaisumme vaikuttavat useilla eri aloilla dynaamisesta teknologiasektorista terveydenhuoltoon. 


Rahoituspalvelut

Ensimmäisen puolustuslinjan luominen rahoituspalveluorganisaatioille

Hallitukset

Turvallisuustietoisuusratkaisu hallituksille

Yritykset

Turvallisuustietoisuuden koulutusratkaisu suuryrityksille

Etätyöntekijät

Turvallisuustietoisuuden kulttuurin juurruttaminen - myös kotona

Koulutusala

Koulutuksen tietoturvatietoisuuskoulutus koulutusalalle

Terveydenhuollon työntekijät

Tutustu räätälöityyn tietoturvatietoisuuteen terveydenhuollon työntekijöille

Teknologiateollisuus

Tietoturvakoulutuksen muuttaminen teknologiateollisuudessa

NIS2-vaatimustenmukaisuus

Tukea Nis2-vaatimusten noudattamista kyberturvallisuuden tietoisuutta edistävillä aloitteilla

Takaisin
Resurssit

Resurssit

Maksuttomia tietoisuutta lisääviä aineistojamme voi käyttää organisaatiosi tietoisuuden parantamiseen tietoverkkoturvallisuuden osalta julisteista ja käytännöistä lopullisiin oppaisiin ja tapaustutkimuksiin.

Tietoturvatietoisuus Dummiesille

Välttämätön resurssi tietoverkkotietoisuuden kulttuurin luomiseksi.

Dummies-opas kyberturvallisuuteen Elearning

Perimmäinen opas tehokkaan kyberturvallisuuden sähköisen oppimisen toteuttamiseen

Perimmäinen opas phishingiin

Kouluta työntekijöitä siitä, miten phishing-hyökkäykset havaitaan ja estetään.

Ilmaiset tietoisuusjulisteet

Lataa nämä julisteet työntekijöiden valppauden lisäämiseksi.

Phishingin vastainen politiikka

Luo turvallisuustietoinen kulttuuri ja edistä tietoisuutta kyberturvallisuusuhkista.

Tapaustutkimukset

Kuuntele, miten autamme asiakkaitamme edistämään positiivista käyttäytymistä organisaatioissaan.

A-Z Kyberturvallisuuden terminologia

Sanasto tietoverkkoturvallisuuden termeistä, jotka on pakko tietää

Kyberturvallisuuden käyttäytymisen kypsyysmalli

Auditoi tietoisuuskoulutuksesi ja vertaile organisaatiosi parhaita käytäntöjä vastaan

Ilmaista tavaraa

Lataa ilmaiset tietoisuutta lisäävät aineistomme organisaatiosi kyberturvallisuustietoisuuden parantamiseksi.

Takaisin
MetaCompliance | Kyberturvallisuuskoulutus ja -ohjelmistot työntekijöille

Tietoja

MetaCompliancella on yli 18 vuoden kokemus kyberturvallisuuden ja vaatimustenmukaisuuden markkinoilta, ja se tarjoaa innovatiivisen ratkaisun henkilöstön tietoturvatietoisuuteen ja vaaratilanteiden hallinnan automatisointiin. MetaCompliance-alusta luotiin vastaamaan asiakkaiden tarpeisiin saada yksi kattava ratkaisu kyberturvallisuuteen, tietosuojaan ja vaatimustenmukaisuuteen liittyvien henkilöriskien hallintaan.

Miksi valita meidät

Lue, miksi Metacompliance on luotettu kumppani tietoturvatietoisuuskoulutuksessa.

Työntekijöiden sitouttamisen asiantuntijat

Helpotamme työntekijöiden sitouttamista ja kybertietoisuuden kulttuurin luomista.

Tietoturvatietoisuuden automatisointi

Automatisoi tietoturvatietoisuuskoulutus, tietojenkalastelukoulutukset ja -käytännöt helposti muutamassa minuutissa.

MetaBlogi

Pysy ajan tasalla tietoverkkotietoisuutta koskevista koulutusaiheista ja vähennä organisaatiosi riskejä.

Quishing - Rokotusselfieiden ja ulkonaliikkumiskieltojen välissä kukoistava ilmiö

quishing

kirjoittajasta

Jaa tämä viesti

Covid-19-pandemian aikana pieni, mustavalkoinen neliö asettui tiukasti rokoteselfieiden ja ulkonaliikkumiskieltojen väliin: QR-koodi. Vielä vähän aiemmin sitä oli pidetty kuolleena ja tuskin kannatti tarttua älypuhelimeen, mutta nyt siitä tuli nopeasti eräänlainen monikäyttöinen työkalu. Pikatestit, varoitussovellukset, rokotustodistukset, junaliput, kontaktivapaat maksut... tai lyhyesti sanottuna: portti normaaliin elämään. On tunnettu tosiasia, että valoa ei ole ilman varjoa. Niinpä tämän huomaamattoman pienen laatikon sisältämä vaaran mahdollisuus on pelottava. 

QR-koodin traaginen paluu markkinoille

QR on lyhenne sanoista "quick response code" (pikaviestikoodi). Se on kaksiulotteinen viivakoodi, ja se vaikuttaa luonnolliselta ja orgaaniselta tulokselta halustamme päästä käsiksi kaikkeen mahdollisimman nopeasti ja helposti - kaikki on vain yhden skannauksen päässä. Se mahdollistaa suurten tietomäärien välittömän siirtämisen. Sekä sen helppokäyttöisyys että pandemia toimivat katalysaattoreina uudenlaiselle phishing-hyökkäykselle: niin sanotulle quishingille, joka on termi, jossa yhdistyvät "QR" ja "phishing". 

Perinteisissä phishing-hyökkäyksissä verkkorikolliset käyttävät epäilyttäviä sähköpostiviestejä, pikaviestejä tai verkkosivustoja salasanojen ja muiden henkilökohtaisten tietojen kalasteluun. 

Quishing-hyökkäyksissä rikolliset hyödyntävät QR-koodien edellä mainittuja ominaisuuksia piilottaakseen harhaanjohtavaa tietoa mustavalkoisten ruutujen taakse. Quishing-sähköpostit on yleensä suunniteltu erittäin huolellisesti - voisi jopa sanoa, että rakastavasti. Ne on tehty näyttämään aidoilta. Ilmeisesti verkkorikollisten keskuudessa ei ole enää muodissa yrittää kosiskella potentiaalisia uhreja uutisilla miljoonien dollarien perinnöstä. Vaikka osa mahdollisista vastaanottajista varmasti nauttisi mielikuvitusmatkasta unelmiensa kesäasuntoon Saint-Tropez'iin, varsinkin pimeinä talvikuukausina. 

Nykypäivän verkkorikolliset suosivat hienovaraista lähestymistapaa. He kohdistavat hyökkäyksensä ihmismielen heikkouksiin. Sietämättömän kidutuksen tunne, kun joudut käsittelemään hankalia menettelyjä. Niinpä he uhkaavat sulkea pankkitilin tai suosikkiverkkokaupan käyttäjätilin. 

Kosketukseton käsitys ja sen jälkeinen putoaminen

Perinteiset turvamekanismit tarkastavat vain tavalliset liitetiedostot ja URL-osoitteet. Nämä toimenpiteet epäonnistuvat kuitenkin yleensä QR-koodien kohdalla. Suosituimpia järjestelmiä ovat pyynnöt hyväksyä päivitetty tietopolitiikka tai kehotukset ottaa käyttöön uusi turvallisuusmenettely. Ja tämä kaikki voidaan tietysti tehdä yksinkertaisesti ja mukavasti skannaamalla QR-koodi. Rikollisten työkalupakissa on jopa tärkeitä asiakirjoja, jotka voi ladata vaivattomasti QR-koodin avulla. 

On ymmärrettävää, että vastaanottajat haluavat päästä eroon tästä epämiellyttävästä tunteiden sekoituksesta mahdollisimman nopeasti: vaikutelma siitä, että heidät pakotetaan toimimaan, yhdistettynä haluun kääntyä nautinnollisempiin asioihin juuri nyt. Mutta kukapa ei haluaisi nauttia tuottavuuden tunteesta sen jälkeen, kun on hoitanut sen ärsyttävän pankkiasian? Koodin skannaaminen on vain sekuntien kysymys - usein katastrofaalisin seurauksin. Toisin kuin Pyhän Marian tapauksessa, tämä kosketusvapaa sikiäminen voi muuttua synniksi.

Tietoja vaanivat muraalit

Ne, jotka suostuvat harhaanjohtaviin pyyntöihin, löytävät itsensä väärennetyiltä verkkosivustoilta, jotka on laadittu huolella ja yksityiskohtaisesti. Loppujen lopuksi otsikon on oltava täsmälleen samansävyinen kuin Volksbankin logo, joka on varastettu alkuperäiseltä verkkosivustolta. Haitallisten linkkien häivyttämiseksi ja varoitusviestien ohittamiseksi käytetään erilaisia tekniikoita. Yleinen menetelmä on WordPressin kaltaisten sisällönhallintajärjestelmien ja niiden lisäosien väärinkäyttö. Väärennettyjen laskeutumissivujen taakse piilotettuna ne houkuttelevat potentiaalisia uhreja ansaan. On myös raportoitu, että verkkorikolliset ovat käyttäneet Googlen FeedBurner-syötteiden välityspalvelinta uudelleenohjaustarkoituksiin. Toinen yleinen käytäntö on mukautetun verkkotunnuksen käyttäminen uudelleenohjausprosessissa sekä itse phishing-sivustolla. Vaara on uhkaava - vaikka haittaohjelmien suojausjärjestelmät eivät hälyttäisikään. 

Kun täydellinen harha on luotu, verkkorikolliset haluavat vain yhtä asiaa: henkilötietoja. Kuin muraali, joka vaanii luolassaan ja odottaa pääsevänsä käsiksi käyttäjätunnuksiin ja salasanoihin. Liian moni vastaanottaja unohtaa kaikki varotoimet, kun työpäivä on päättymässä ja auringonlasku kutsuu terassilta. Heiltä jää huomaamatta lisäkirjain URL-osoitteessa, ja vain sekunteja myöhemmin heidän tietonsa on syötetty petollisen realistiselta näyttävään rekisteröintikäyttöliittymään. Sparkassen asiakkaisiin kohdistuvat phishing-URL-osoitteet alkavat usein kirjaimella "spk-", kun taas "vr-" on yleinen etuliite väärennetyille Volksbank-sivustoille. 

Työympäristöissä on erityinen riski, kun yksityiset älypuhelimet ohittavat yrityksen sisäiset turvamekanismit. Quishing soveltuu tähän tarkoitukseen erinomaisesti. Kun vaarallinen koodi on skannattu, haitallinen sisältö tunkeutuu salaa mobiililaitteeseen. Sieltä se pääsee nopeasti sähköpostilaatikoihin, yhteystietoihin tai asiakirjoihin, joita hallinnoidaan pilviratkaisujen kautta. Täydellinen yhdyskäytävä. Jos tällainen hyökkäys tapahtuu ja vaikuttaa kriittisiin tietoihin, tuli leviää todennäköisesti ja tartuttaa yrityksen resursseja. Eräs viime aikoina erityistä huomiota herättänyt haittaohjelmatyyppi on ransomware. Sen uhkapotentiaali on valtava. Pahaenteinen imperatiivi, ja BSI:n (Saksan liittovaltion tietoturvavirasto) mukaan sen kyky aiheuttaa vahinkoa moninkertaistuu, kun se vaikuttaa yritysverkkoihin. 

Quishing - Rokotusselfieiden ja ulkonaliikkumiskieltojen välissä kukoistava ilmiö

Volksbank & Sparkassen sähköpostiviestien kalastelu

Digitaalinen Reginheris

Kiristysohjelmien tarkoituksena on salata käyttäjän tiedot. Kun tämä prosessi on saatu päätökseen, uhri joutuu maksamaan lunnaita. Tartunnan saaneiden yritysten määrä on järkyttävän suuri. Niiden tietotekniikka- ja liiketoimintaprosessit häiriintyvät. Lisäksi rikolliset uhkaavat usein luovuttaa tai myydä tiedot. Heidän kohteinaan ovat kaikenmuotoiset ja -kokoiset yritykset. Hiscoxin vuonna 2022 julkaiseman Cyber Readiness Report -raportin mukaan 48 prosenttia saksalaisista yrityksistä maksaa lunnaita tällaisen hyökkäyksen jälkeen. Kiristetty summa on usein kuusinumeroinen euromäärä. BSI:n mukaan joissakin tapauksissa on kuitenkin vaadittu kahdeksannumeroisia summia.

Monet uhrit ovat järkyttyneitä huomatessaan, että rikolliset jatkavat vaatimuksia myös sen jälkeen, kun he ovat maksaneet. Voisi ajatella, että rikolliset olisivat voineet nousta esiin jostain kohtalaisen jännittävästä historiadokumentista. Nämä skenaariot muistuttavat vuotta 845, jolloin viikinkijohtaja Reginheri piiritti Pariisin. Länsi-Frankian kuningas Kaarle Kalju päätti, että vastarinta oli turhaa, ja maksoi tanskalaisjoukkojen vetäytymisestä 7 000 puntaa hopeaa. Samoin kuin heidän kollegansa kyberissä 1 200 vuotta myöhemmin, norjalaiset ja kilpiherrat eivät kyenneet vastustamaan kiusausta kiristää lisämaksuja. Niinpä he jatkoivat hyökkäyksiään.

Nykyaikaisilla rikollisilla ei ehkä ole punottuja parroja tai taistelukirveitä olkapäillään, mutta he ovat tosissaan vaatimuksissaan, vaikka lunnaat olisi jo maksettu. Antautuvatpa kiristysyritykset tai eivät, seuraukset ovat yleensä vakavia yksityishenkilöille, yrityksille ja julkisille laitoksille. Kiristäminen voi aiheuttaa valtavia vahinkoja: tietojen ja maineen menetys, GDPR:n rikkomiset tai taloudelliset tappiot, vain muutamia esimerkkejä mainitakseni. 

Miten voin suojata itseni kalastelulta?

Kysymyksellä ei ehkä ole samanlaista elokuvallista potentiaalia kuin viikinkihyökkäyksillä, mutta se sisältää yhtä paljon jännitystä: miten voit suojautua quishingiltä? 

"Jos olet epävarma, älä skannaa mitään QR-koodeja" - tämä on melko ilmeinen, mutta kuitenkin pätevä vastaus. Ongelmia syntyy kuitenkin usein tapauksissa, joissa ei näytä olevan mitään epäilyksiä. Tietoverkkorikolliset ovat taitavia hyödyntämään syvään juurtuneita inhimillisiä taipumuksia ja tarpeita manipuloidakseen yksilöitä - niin sanottua social engineeringiä. Tarvitaan vain ripaus tietämättömyyttä, jotta katastrofin cocktail on valmis. Tämä tekee itsesuojelusta niin vaikeaa. On kuitenkin olemassa muutamia yksinkertaisia sääntöjä, joiden avulla riski voidaan minimoida:   

  • Käsittele QR-koodeja kuin linkkejä. Olipa niitä sitten sissikampanjajulisteissa, asiakirjoissa tai sähköposteissa, QR-koodit ovat pohjimmiltaan linkkejä, ja niihin liittyy samat riskit.
  • Älä anna arkaluonteisia tietoja. Hyvämaineiset palveluntarjoajat eivät koskaan lähetä sähköpostia, jossa sinua pyydetään antamaan luottamuksellisia kirjautumistietoja. 
  • Tarkista aina sähköpostiosoite tai selaimen osoiteriviltä, jos olet jo menossa epäilyttävälle verkkosivulle. 
  • Tarkista sähköpostit ja verkkosivustojen sisältö huolellisesti. Huvittavat kirjoitusvirheet eivät enää ole verkkorikollisuuden erityispiirre. Useimmat tekstit ovat hyvin muotoiltuja. Silti BSI mainitsee useita piirteitä, joiden pitäisi herättää epäilyksiä, vaikka vain yksi niistä soveltuisi: 
  1. Kiireellinen toiminnan tarve  
  2. Uhkaukset vakavista seurauksista, jos sääntöjä ei noudateta. 
  3. Pyyntö syöttää arkaluonteisia tietoja 
  4. Sähköposti sisältää linkkejä, QR-koodeja tai lomakkeita 
  5. Tunnetun henkilön tai organisaation epätavalliset pyynnöt 
  • Jos olet epävarma, tarkista asia kyseisen palveluntarjoajan virallisen viestintäkanavan kautta
  • Älä koskaan lataa tai avaa tiedostoja sähköpostin liitetiedostoista tai verkkosivustoilta, ellet ole täysin varma, että ne ovat aitoja. 

Käytä kaksi- tai monitekijätodennusta. Vaikka rikolliset saisivat tietosi haltuunsa, heiltä puuttuu silti lisätekijä kirjautumiseen. 

Aivan kuten tupakoitsijoiden keuhkojen kuvat savukepakkauksissa, pelon lietsominen ja yksinkertaistetut käyttäytymissäännöt ovat vain kohtalaisen onnistuneita - ne unohtuvat yleensä jo muutaman päivän kuluttua. Tämä tarkoittaa, että tietoturva on sisällytettävä yritysfilosofiaan. Siksi tärkein vinkkimme on jatkuva koulutus ja tietoisuuden lisääminen yrityksessänne. Tätä silmällä pitäen tarjoamme tietoturvakurssimme, joka sisältää kattavaa tietoa rikollisten verkkohyökkäysten eri riskeistä. Se on edelleen tosiasia: tietämättömät työntekijät ovat edelleen suurin kohde kaikenlaisille verkkohyökkäyksille. 

Muita artikkeleita aiheesta Cyber Security Awareness Training, jotka saattavat kiinnostaa sinua.