Muista henkilökunnan osuus tietoturvassa – Apuna hyökkäyssimulaatio ja tietoturvakoulutus
Organisaatioiden tietoturvassa pääpaino on usein teknisissä ratkaisuissa. Tosiasia kuitenkin on, että pelkkä tietojärjestelmien ja -verkkojen suojaus ei riitä. Koska jo yksikin käyttäjän tekemä virhe voi vaarantaa koko liiketoiminnan, tulisi aidosti tietoturvallisen ympäristön luomiseksi teknisten ratkaisujen rinnalle nostaa myös työntekijöiden tietoturvaosaaminen.
Ylivoimaisesti suurin osa yrityksiä vastaan kohdistuvista hyökkäyksistä saa alkunsa loppukäyttäjän tekemästä virheestä. Yksi ainoa klikkaus ja vain yhdet syötetyt tunnukset riittävät liiketoiminnan pysähtymiseen tai organisaation tietojen vuotamiseen julkisuuteen. Rahaan ja maineeseen kohdistuvista haitoista voi pahimmillaan muodostua huomattavan suuria ja pitkäaikaisia.
Sähköpostihuijauksiin on helppo haksahtaa, sillä kyberrikollisilla on keinot saada esimerkiksi phising- eli tietojenkalasteluviestit näyttämään aidoilta ja turvallisilta viesteiltä. Tarkkasilmäisin asiantuntijakaan ei aina kykene huomaamaan eroa aidon ja huijausviestin välillä.
Koulutus ja tekniikka ne yhteen soppii
Käyttäjien tekemiä virheitä voidaan yrittää paikata erilaisilla teknisillä ratkaisuilla, mutta varmin keino välttyä phisingiltä ja kyberhyökkäyksiltä on kouluttaa henkilökuntaa. Koulutus ja tekniset ratkaisut yhdessä käytettynä muodostavat vahvan suojauksen, ja onkin tärkeää muistaa, että ne eivät missään nimessä ole toisiaan poissulkevia vaihtoehtoja. Jos käyttäjä tekee koulutuksesta huolimatta virheen, tai teknologiaratkaisu ei osaakaan torjua entuudestaan tuntematonta hyökkäystä, tukevat ratkaisut toisiaan.
Hyökkäyssimulaatio ja kätevät mikrokoulutukset
Käyttäjien tietoturvaosaamisen kasvattamisen tulisi olla mahdollisimman vaivatonta ja helposti järjestettävissä. On huomattu, että kertaluonteisesta tai harvoin tapahtuvasta koulutustilaisuudesta tulee henkilökunnalle helposti pakkopullaa, ja opit unohtuvat nopeasti. Kouluttamisen tulisi siis tapahtua säännöllisesti ja riittävän kevyesti osana henkilökunnan työarkea.
Me TNNetillä tarjoamme organisaatioille loppukäyttäjiin kohdennettuja hyökkäyssimulaatioita eli huijaussähköpostikampanjoita sekä tietoturvaan liittyviä mikrokoulutuksia. Hyökkäyssimulaatiolla voidaan organisaatiota kuormittamatta saada hyvin realistisesti selville työntekijöiden tietoturvaosaamisen taso.
Säännöllinen koulutus puolestaan pitää tietoturvaosaaminen iskussa. Mikrokoulutukset eivät vaadi organisaatiolta järjestelyjä tai kollektiivista ajankäyttöä, sillä koulutus tapahtuu verkossa jokaisen työntekijän oman aikataulun mukaisesti. Organisaation pääkäyttäjällä on mahdollisuus käyttäjäportaalista seurata henkilökunnan pärjäämistä simulaatiossa ja koulutuksissa.
Säännöllisellä koulutuksella nopeita ja pysyviä tuloksia
Ennen koulutuksen aloittamista simulaatiotulokset kertovat, että keskimäärin 18 % käyttäjistä haksahtaa haitallisiin sähköposteihin. Käytännössä siis joka viides työntekijä klikkaa huijaussähköpostissa olevia linkkejä. Kun palvelun käyttöä on takana kolme kuukautta, klikkaajien määrä saadaan laskettua alle kahteen prosenttiin.
Jos palvelun käyttö lopetetaan, paluu alkuperäisen 18 % lukemaan tapahtuu noin parissa kuukaudessa. Jatkuva ja säännöllinen tietoturvakoulutus saa siis merkittäviä tuloksia aikaan ja on siksi erittäin kannattava tietoturvatoimi muun suojauksen vahvistamiseksi.
Koska nykypäivän yritys joutuu todennäköisemmin kyberhyökkäyksen kuin tulipalon kohteeksi, on henkilökunnan tietoturvataitoihin satsaaminen kuin tapaturmavakuutus tulevan varalle. Tietämättömyydestä johtuvat pienet erehdykset ja niiden huomattavasti suuremmat seuraamukset ovat torjuttavissa yllättävän vähäisellä käyttäjäkohtaisella rahallisella panoksella per kuukausi.
Tutustu TNNetin palveluun täältä.
Esittelemme hyökkäyssimulaatiota ja tietoturvakoulutusta tarkemmin seuraavassa blogissa, pysy kuulolla!