Turvallisuuskulttuuri on seisahtunut huolimatta kyberhy?kk?yksist?

Avoin toiminta
Tiivistelm?

  • Globaali turvallisuuskulttuuri on heikko huolimatta kasvavista kyberhy?kk?yksist? – ihmisten virheet ovat suuri tekij? tietoturva-aukoissa
  • Perinteiset turvallisuusratkaisut ja valistaminen ovat tehotonta. Vahvan turvallisuuskulttuurin luominen vaatii jatkuvaa koulutusta, selke?? viestint?? ja johtajuutta
  • Organisaatioiden on siirrytt?v? pois salasanojen k?yt?st? ja otettava k?ytt??n monivaiheinen tunnistautuminen paremman suojan saavuttamiseksi

Tutkimusten mukaan kahdeksan kymmenest? kyberhy?kk?yksest? alkaa phishing-hy?kk?yksill?, ja ne perustuvat loppuviimein ihmisten tekemiin virheisiin. Verkkorikollisuuden ja siihen liittyvien tapausten ja vaikutusten kasvaessa, turvallisuuskulttuuri on nyt t?rke?mp?? kuin koskaan.

Knowbe4:n tekem? raportti kuitenkin paljastaa, ett? maailmanlaajuinen kiinnostus kyberturvallisuuden yll?pit?miseen on kuitenkin matalalla tai kohtalaisella tasolla.

Vaikka monet organisaatiot tunnistavatkin, ett? ty?ntekij?iden tietotaito on avainasemassa kyberhy?kk?ysten torjunnassa, hy?kk?ysten kohderyhm?t eli hallitukset, teollisuus ja koulutus eiv?t v?ltt?m?tt? yll?pid? asianmukaisia standardeja turvallisuuden suhteen.

Techopedia haastatteli Knowbe4:?? – maailman suurinta tietoturvan valistamiseen liittyv? yritys – ja kysyi mielipiteit? my?s muilta kyberturvallisuuden asiantuntijoilta tutkiakseen globaalia tilannetta alalla.

Sis?llysluettelo Sis?llysluettelo

Keskeiset tulokset: Vuoden 2024 turvallisuuskulttuurin tila

Vuoden 2024 Knowbe4:n julkaiseman turvallisuuskulttuuriraportin mukaan Eurooppa, Pohjois-Amerikka ja Aasia johtavat turvallisuuteen liittyviss? asioissa. Ne saivat raportissa pisteit? 73 100:sta, kun taas Afrikka, Oseania ja Etel?-Amerikka seurasivat tiiviisti per?ss?.

Knowbe4 m??rittelee turvallisuuskulttuurin ideoiksi, tavoiksi ja sosiaalisiksi k?ytt?ytymismalleiksi, jotka vaikuttavat organisaation kyberturvallisuuteen ja v?hent?v?t ihmisten riskej? joutua hy?kk?ysten kohteeksi.

T?m?n m??ritelm?n mukaan pienemm?t organisaatiot suoriutuvat paremmin kokonaisuudessaan verrattuna suurempiin, mik? johtuu p??asiassa suurten toimintojen monimutkaisista rakenteista.

Analysoimalla tietoturvaan liittyvi? asenteita, k?ytt?ytymist?, tunnistamista, viestint??, normeja ja vastuita, raportissa todettiin, ett? parhaiten suoriutuvat teollisuudenalat ovat vakuutus, rahoituspalvelut ja pankkitoiminta – alat, jotka ovat olleet kyberhy?kk?ysten kohteina vuosikymmeni?.

Sen sijaan hallituksen, teollisuuden ja koulutuksen sektorit kamppailevat yh? kyberturvallisuuden yll?pit?misen suhteen huolimatta siit?, ett? niihin kohdistetaan yh? enemm?n hy?kk?yksi? kyberrikollisten toimesta.

Tekniikkakeskeiset l?hestymistavat eiv?t rakenna vahvoja turvallisuuskulttuureja

Joanna Huisman – KnowBe4:n strategisten n?kemysten ja tutkimuksen varatoimitusjohtaja – kertoi Techopedialle, ett? turvallisuuskulttuuria ei kannata k?sitell? ainoastaan puhtaasti teknologisesti.

“Tekniikkakeskeiset strategiat ovat osoittautuneet yksin??n riitt?m?tt?miksi, koska kyberrikolliset kiert?v?t taitavasti perinteiset puolustukset keskittyen hy?dynt?m??n ihmisiin liittyvi? haavoittuvuuksia. He katsovat, ett? t?m? on helpompi tapa.

“Monet organisaatiot eiv?t onnistu t?ysin integroimaan turvallisuutta yleiseksi k?yt?nn?ksi, mik? johtaa siihen, ett? ty?ntekij?t k?ytt?ytyv?t eri tavalla kuin mit? parhaat k?yt?nn?t tietoturvallisuuteen liittyen opastavat,” Huisman sanoi.

“Vaikka vahvan turvallisuuskulttuurin puolesta puhuminen on suoraviivaista, tarvittava sitoutuminen ja ponnistelut ymp?rist?n edist?miseksi ja yll?pit?miseksi vaativat keskittymist?.

“Perinteiset koulutusmenetelm?t j??v?t vajaiksi, sill? vuosittaiset ohjelmat keskittyv?t vain s??nn?sten noudattamiseen eiv?tk? kokonaisvaltaiseen tietoisuuden lis??miseen. T?m? taas j?tt?? organisaatiot haavoittuvaisiksi. Tehokas koulutus vaatii jatkuvaa ja kattavaa l?hestymist? todella vahvistaakseen organisaation ty?ntekij?it? kohtaamaan kyberhy?kk?yksi?.”

Avoimen ja osallistavan turvallisuuskulttuurin edut

Phil George, Mentorcliqin toimitusjohtaja — pilvi- ja mobiilipohjaisen ty?ntekij?iden kouluttamiseen liittyv?n ohjelmiston kehitt?j? — kertoi Techopedialle, ett? turvallisuuskulttuurit siirtyv?t kohti avoimuutta.

“Ty?skennelless?ni monien eri yritysten kanssa ja tutkiessani heid?n ainutlaatuisia ty?kulttuurejaan, kyberturvallisuuteen liittyv?ss? tiedossa ja parhaissa k?yt?nn?iss? on havaittavissa merkitt?v? muutos,” George sanoi.

“Nyky??n ollaan osallistavampia ja tietoisempia kyberturvallisuuden osalta, mik? on tietysti tervetullut uudistus. Jotta yritys voi olla turvallinen, jokaisen j?senen on ymm?rrett?v? roolinsa kyberturvallisuuden yll?pidossa.”

George selitti, ett? internetin alusta l?htien yritykset ovat tyypillisesti luottaneet tietohallintojohtajiin ja IT-tiimeihin, jotka ovat suunnitelleet ja yll?pit?neet kyberturvallisuutta.

“Konsensus on muuttunut ja laajentunut k?sitt?m??n kaikki organisaation sis?ll? toimivat henkil?t. Avoin ja tietoinen kulttuuri on juuri sit?, mit? yritykset tarvitsevat selviyty?kseen nykyaikaisten kyberuhkien kanssa.”

Turvallisuuskulttuureja ajavat tekij?t: Tietoisuus, hy?kk?ykset, budjetit ja teko?ly

Fred Kwong on taas DeVryn yliopiston tietoturvajohtaja, ja h?n kertoi Techopedialle, ett? globaalin turvallisuuskulttuurin tilaa m??ritt?v?t laajasti eri tekij?t.

“Nykyinen tietoturvamaisema keskittyy voimakkaasti tietoisuuteen, riskitekij?ihin, hy?kk?ysten toistuvuuteen ja taloudellisiin tekij?ihin sek? siihen, mit? kaikkea tulevaisuudessa on viel? tulossa teko?lyn, kuten ChatGPT:n, yleistymisen my?t?.”

Knowbe4:n raportissa p??tell??n, ett? kaikista uusista teknologioista teko?lyll? on todenn?k?isesti merkitt?vimpi? vaikutuksia organisaatioiden ja yksil?iden tietoturvaan.

Kwong korosti, ett? 95 prosenttia tietomurroista perustuu taloudellisen hy?dyn tavoitteluun Verizonin vuoden 2023 raportin mukaan.

“Siit? huolimatta, ett? vastuullisuus ja investoinnit hy?kk?ysten lievent?miseksi ovat lis??ntyneet, monet organisaatioiden johtajat eiv?t ole vakuuttuneita siit?, ett? nykyiset j?rjestelm?t ja prosessit ovat tehokkaita yksitt?isten ty?ntekij?iden, tietojen ja toimintojen suojaamisessa.”

Kwong lis?si, ett? vaikka CISCO:n Turvallisuuden tulokset -raportin kolmannessa osassa todettiin, ett? 96 prosenttia johtajista pit?? tietoturvallisuutta eritt?in t?rke?n? yrityksilleen, kun taas kaksi kolmasosaa vastaajista raportoi k?rsineens? merkitt?vist? kyberturvallisuuteen liittyvist? ongelmista, jotka pahimmillaan vaaransivat liiketoiminnan.

“Kuten raportti osoittaa, on olemassa silta riskin ja kest?vyyden v?lill?. CISCO:n raportin mukaan ne organisaatiot, jotka edist?v?t ‘turvallisuuskulttuuria’, ovat kokeneet 46 prosentin kasvun kest?vyyden suhteen.”

Miksi yritykset ep?onnistuvat huolimatta investoinneista

IBM X-Force Threat Intelligence Index 2024 paljasti merkitt?v?n muutoksen kyberrikollisten k?ytt?miss? tekniikoissa. Sellaiset hy?kk?ykset, joissa ei k?ytet? hyv?ksi tiedostoja, ovat nousseet 71 prosenttia, kun taas tietojenkalastelut ovat lis??ntyneet 266 prosenttia.

Keskeinen kysymys on kuitenkin se, ett? miksi ne yritykset, jotka investoivat paljon tietoturvaan liittyv?n tietoisuuden kasvattamiseen, eiv?t onnistu est?m??n n?it? hy?kk?yksi?? Mink?laista teknologiaa voidaan k?ytt?? parantamaan tietoisuutta ja turvallisuuskulttuuria?

Knowbe4:n Huisman kertoi Techopedialle, ett? organisaatioiden on toteutettava selke? suunnitelma kulttuurisen muutoksen selkeyden ja vaikutuksen parantamiseksi.

“H?n mainitsi seitsem?n perusvaihetta jatkuvan parantamisen keh?ss?, joita sinun tulisi noudattaa aloittaessasi turvallisuuskulttuurin muutoksen.”

Knowbe4:n seitsem?n periaatetta ovat:

  1. Valitse 2–3 k?ytt?tapausta, joita haluaisit muuttaa
  2. Suunnittele toimi k?ytt?ytymisen muuttamiseksi koko organisaation laajuisesti
  3. Hanki itsellesi johtajuus muutoksille
  4. Viesti riitt?v?sti
  5. Toteuta suunnitelma
  6. Mittaa tulokset
  7. M??rit? etenemisstrategia

Teknologian osalta Huisman puhui turvallisuustietoisuuden ja simuloitujen phishing-alustojen t?rkeydest?, jotka on suunniteltu parantamaan jatkuvaa koulutusta ja vahvistamaan ihmisten valppautta kyberuhkia vastaan.

N?iden alustojen tulisi sis?lt?? kattava valikoima uhkien tietoisuuden lis??mist? ja niihin reagoimiseen liittyv?? koulutusta. Lis?ksi ty?ntekij?ille pit?isi tarjota reaaliaikaista valmennusta, teko?lyll? tehostettua simuloitua sosiaalista manipulointia ja joukkoistettua tietojenkalasteluhy?kk?ysten torjuntaa.

Arviointi ja teko?ly turvallisuuskulttuurissa

Mentorcliqin George lis?si, ett? arvioinnit ovat my?s elint?rkeit? turvallisuuskulttuurien rakentamisessa ja yll?pidossa.

“H?nen mukaansa liike-el?m?n tavoittelema vahva turvallisuuskulttuuri ja sen rakentaminen tulee pit?? sis?ll??n kyberturvallisuuden parhaat k?yt?nn?t ja niiden arviointi,” George sanoi. “Pid?n t?t? nerokkaana ideana, koska se motivoi ty?ntekij?it? olemaan tietoisia ja yll?pit?m??n omaa rooliaan yrityksen kyberturvallisuudessa.

“Teko?ly on erinomainen automatisoimaan ja tehostamaan kyberturvallisuuden toisteisuutta ja tiettyj? osa-alueita. Kuitenkin alue, jolla teko?ly jo erinomaisesti menestyy ja tulee menestym??n, on uhkien havaitseminen. Odottaisin teko?lyn ottavan t?m?n osa-alueen viel? enemm?n hallintaansa l?hitulevaisuudessa.”

Knowbe4:n Huisman my?s puhui teko?lyn vaikutuksesta turvallisuuskulttuureihin.

“Teko?lyll? toteutetut hy?kk?ykset voidaan automatisoida havaitsemaan turvallisuusj?rjestelmien aukkoja ja heikkouksia, kuten etsim??n ja l?yt?m??n huonosti suojauttuja tietoverkkoja,” Huisman sanoi.

“Teko?lyn k?ytt? voi nopeuttaa hy?kk?ysprosessia, kasvattaen kohteiden m??r?? ja lis?ten onnistuneiden murtojen todenn?k?isyytt?.

“Kyse ei ole vain hy?kk?ysten m??r?st?, vaan my?s niiden laadusta; teko?ly mahdollistaa monimutkaisemmat ja huomaamattomammat kyberuhkat. Kun teko?lyll? toteutetut kyberhy?kk?ykset kehittyv?t monimutkaisemmiksi, on v?ltt?m?t?nt?, ett? turvallisuuskulttuuri kehittyy my?s.”

Organisaatioiden tulisi pysy? valppaina, pysy? ajan tasalla n?ist? nousevista uhista ja jatkuvasti mukauttaa kyberturvallisuusstrategioitaan lievent??kseen t?m?n voimakkaan teknologian aiheuttamia riskej?.

6 strategiaa paremman turvallisuuden rakentamiseksi teko?lyn avulla

DeVryn yliopiston Kwong on todennut, ett? tehokkaan kyberturvallisuuden ja siihen liittyv?n kulttuurin rakentamiseksi organisaatioiden on harkittava kuutta eri strategiaa ja n?k?kulmaa.

Ne ovat seuraavat:

  • Johdon merkitys: Korkean tietoturvallisuuden t?rkein l?ht?kohta on, ett? johto asettaa s?vyn koko organisaatiolle. Ty?ntekij?iden on ymm?rrett?v?, ett? heill? kaikilla on oma roolinsa riskien v?hent?misess? ja yll?pit?misess?.
  • Turvallisuus kaikkialla organisaatiossa: Kun turvallisuus on kaikkien liiketoimintaprosessien perustana, tarkastukset otetaan k?ytt??n varmistamaan, ett? tietoturvallisuus on kaikkien ty?ntekij?iden ja sidosryhmien mieless? koko projektin elinkaaren ajan. Lis?ksi johtajat ja ty?ntekij?t pit?v?t protokollia t?rke?n? osana toimintaansa, mik? edist?? korkeaa tietoturvakulttuuria koko organisaatiossa.
  • Harjoita parhaita k?yt?nt?j?: Vahva tietoturvallisuus vaatii, ett? kaikki organisaatiossa noudattavat johdonmukaisesti parhaita k?yt?nt?j?. S??nn?llinen phishing-hy?kk?ysten raportointi on hyv? indikaattori siit?, kuinka hyvin ty?ntekij?t toteuttavat turvatoimia.
  • J?rjest? harjoituksia: Harjoitukset auttavat organisaatioita l?yt?m??n haavoittuvuuksia strategioissaan ja ty?ntekij?iden tietotaidoissa. Todellisten skenaarioiden simuloiminen parantaa viestint??, tunnistaa puutteita ja kouluttaa ty?ntekij?it? k?sittelem??n kyberuhkia.
  • Muuta viestint??: Tehokas viestint? on avain kest?v?n turvallisuuskulttuurin rakentamiseen. Pelkkien samojen viestien toistaminen on kuitenkin tehotonta. Paras l?hestymistapa on levitt?? tietoisuutta monipuolisesti eri kanavien kautta koko organisaatiolle.
  • Palkitse ty?ntekij?it?: Ty?ntekij?iden hyvien k?yt?nt?jen tunnustaminen ja esimerkiksi lis?koulutuksen tarjoaminen auttaa rakentamaan positiivista tietoturvakulttuuria. T?m? vahvistaa yksil?n vastuuta ja jatkuvan oppimisen t?rkeytt?.

“Teko?ly on valmis muuttamaan perusteellisesti kyberturvallisuutta tulevina vuosina,” Kwong sanoi. “Teko?ly? ei kuitenkaan k?ytet? pelk?st??n puolustukseen — sit? hy?dynt?v?t my?s hakkerit ja kyberrikolliset yh? monimutkaisempien hy?kk?ysten toteuttamiseen.

Gartnerin “4 tapaa, joilla generatiivinen teko?ly vaikuttaa CISOihin ja heid?n tiimeihins?” -raportin mukaan vuoteen 2025 menness? generatiivisen teko?lyn hy?dynt?minen hy?kk?yksiss? pakottaa organisaatiot alentamaan kynnyst? ep?ilytt?v?n toiminnan havaitsemiseen. Se taas aiheuttaa enemm?n v??ri? h?lytyksi? ja siten vaatii enemm?n ihmisten huomiota,” Kwong lis?si.

Turvallisuuskulttuuri – kolme keskeist? aluetta teko?lyn osalta

Kwongin mukaan teko?lyss? tulisi valmistautua kolmeen keskeiseen alueeseen. Ensinn?kin teko?ly ja koneoppiminen tulisi hoitaa siten, ett? se tapahtuu varmasti turvallisessa ymp?rist?ss?.

K?ytt?jien toimiin liittyv? analytiikka, automatisoidut vastaukset ja teko?lyyn perustuva haittaohjelmien havaitseminen tulevat oleellisiksi tulevaisuudessa.

Toiseksi on t?rke? laittaa perusasiat kuntoon. “Vaadi monivaiheista tunnistautumista (MFA), tarjoa s??nn?llist? koulutusta, salaa arkaluonteiset tiedot ja korjaa tietoturva-aukot nopeasti. Valmistautuminen auttaa est?m??n kyberhy?kk?yksi? tehokkaasti,” Kwong sanoi.

Kolmanneksi, suunnittele siirtyv?si pois salasanoista ja hoida k?ytt?jien tunnistautuminen muilla keinoilla. Kun hakkeroinnissa k?ytett?v?t ty?kalut muuttuvat monimutkaisemmiksi, pelk?t salasanat eiv?t en?? riit? k?ytt?jille.

Turvallisuuskulttuuri – yhteenveto

Huolimatta kyberhy?kk?ysten lis??ntymisest?, globaali turvallisuuskulttuuri pysyy suhteellisen samanlaisena kuin aikaisemmin. Tutkimukset osoittavat, ett? ihmisten virheet ovat keskeinen tekij? tietomurroissa, mutta organisaatiot eiv?t siit? huolimatta onnistu kouluttamaan ty?ntekij?it??n tehokkaasti erilaisia hy?kk?yksi? vastaan.

Perinteiset turvatoimet ja koulutus eiv?t riit?. Vahva turvallisuuskulttuuri vaatii monipuolista l?hestymistapaa, johon kuuluu johdon sitoutuminen, jatkuva koulutus ja selke? viestint?.

Kyberturvallisuuden tulevaisuus vaikuttaa silt?, ett? teko?ly tulee n?yttelem??n merkitt?v?? roolia molemmilla puolilla. Organisaatioiden on mukautettava strategioitaan n?ihin kehittyviin uhkiin hy?dynt?m?ll? teko?ly? puolustuksessa samalla kun painotetaan hyvi? turvallisuusk?yt?nt?j?.

Samankaltaiset termit

Aiheeseen liittyv?t artikkelit

Ray Fernandez
Senior Technology Journalist
Ray Fernandez
Teknologiatoimittaja

Ray on kokenut toimittaja, joka on toiminut alalla yli 15 vuoden ajan. T?ll? hetkell? h?n toimii teknologiatoimittajana Techopedialla sek? TechRepublicissa. H?nen kirjoituksiaan ovat julkaisseet monien muiden ohella Microsoft, Moonlock, Venture Beat, Forbes, Solutions Review, The Sunday Mail, The FinTech Times, Bloomberg, Horasis sek? Nature Conservancy.

',a='';if(l){t=t.replace('data-lazy-','');t=t.replace('loading="lazy"','');t=t.replace(/