Miten luoda toimiva kybertietoisuuskoulutus vuonna 2024? Lue asiantuntijoiden vinkit

T?m? on varmasti monelle tuttu tilanne – HR pakottaa kuuntelemaan j?lleen uuden luennon, joka on t?ynn? varoittavia esimerkkej? kyberturvallisuudesta ja?haittaohjelmista.

Totuus on kuitenkin se, ett? monet kybertietoisuuskoulutukset ovat vanhentuneet tai muuten puutteelliset, mink? vuoksi henkil?kuntakaan ei ole ajan tasalla. T?m?n seurauksena organisaatiot ovat alttiita erilaisille kyberuhille.

Tied?mme ty?ntekij?iden suhtautuvan jopa j??r?p?isen tiet?m?tt?m?sti?tietoturvariskeihin, eiv?tk? 45 minuutin puuduttavat luonnot ja rasti-ruutuun -lomakkeet varsinaisesti inspiroi kiinnostumaan aiheesta.

Nyky??n edes?parhaat virustorjuntaohjelmat?ja haittaohjelmien poistoty?kalut eiv?t suojaa kaikilta olemassaolevilta uhilta. Miten organisaatiot voivat siis rakentaa koulutuksen, jossa ajankohtainen tietoisuus kyberturvasta sis?llytet??n jokap?iv?iseen yrityskulttuuriin?

T?ss? asiantuntijan vinkit yrityksen toimivaan kybertietoisuuskoulutukseen.

“Kaikki kybertietoisuuskoulutuksesta innostuneet, nostakaa k?tenne yl?s”

Phishing-hy?kk?ysten lis??ntyess? vuosittain, ohjelmat joiden tarkoitus on saada henkil?st? liikkeelle ja tehd? heist? organisaation silm?t ja korvat tietoverkossa, ovat yh? suositumpia.

Ty?ntekij?t usein ty?skentelev?t aivan tietoverkon reunalla, miss??tietoturva?on hauraimmillaan. T?st? syyst? on j?rkev?? pit?? heid?t ajan tasalla jatkuvasti muuttuvista kyberuhista ja siit?, miten n?m? uhat voidaan tunnistaa niiden tapahtuma hetkell?.

Monet tietoturvaan valistavat ohjelmat kuitenkin ep?onnistuvat. Syyn? t?h?n ovat tehottomat oppimismenetelm?t ja vanhentunut sis?lt?, mik? varmistaa ettei osallistujien kiinnostus her?? ja jos jotain opitaan, ei se ole aina en?? ajankohtaista. Kaikesta k?ytetyst? energiasta ja ajasta huolimatta lopputuloksena on organisaatio, joka ei ole yht??n aiempaa turvallisempi.

Tietoturvakoulutuksien l?hestymistapa, rakenne ja sis?lt? on suunniteltava siten, ett? se ylitt?? toimistoilmapiirin h?iri?tekij?t ja melun. T?m?n todellisuuden tunnistaminen ja kurssin mukauttaminen vallitseviin olosuhteisiin on asia,? jota jokaisen tietoturva-ammattilaisen on harkittava koulutuksen suunnittelussa.

Sis?piirin uhka vuonna 2024

Organisaatiosta riippumatta ihmiset voivat olla suurin haavoittuvuuden l?hde. Ilmi?t? kutsutaan usein?sis?piirin uhaksi. T?h?n kiteytyy se v?ist?m?tt?m?n riski, joka syntyy, kun sadoilla tai tuhansilla etulinjan ty?ntekij?ill?, johtajilla, esimiehill?, yhteisty?kumppaneilla ja alihankkijoilla on p??sy verkkoresursseihin.

Verkkorikolliset k?ytt?v?t eri tason taktiikoita, joista osa on eritt?in sivistyneit?. Tarkoituksena on huijata kohteet klikkaamaan vaarallisia linkkej? tai lataamaan saastuneita tiedostoja ja liitetiedostoja. Kokemus on osoittanut tekniikan toimivaksi.

Ponemon-instituutin arvostettu?Cost of Insider Risk Global Report -raportti?osoittaa, ett? organisaatioihin kohdistuneiden sis?piirin aiheuttamien uhkatapausten m??r? kasvaa vuosittain ja korjauskustannukset nousevat uhkien mukana.

Vuonna 2022 sis?piirin kohdistuneiden hy?kk?ysten keskim??r?iset kustannukset olivat 15,4 miljoonaa dollaria ja vuonna 2023 luku nousi 16,2 miljoonaan dollariin.

Teko?ly vahvistaa uhkaa

David Emm, Kasperskyn maailmanlaajuisen tutkimus- ja analyysitiimin johtava tietoturvatutkija, kertoi Techopedialle, ett? osa uhista voidaan panna teko?lyn syyksi.

Verkkorikolliset ovat alkaneet hy?dynt?m??n koneoppimista?“j?ljitell?kseen luotettavaa k?ytt?ytymist? ja automatisoidakseen hy?kk?yksi?, mik? vaikeuttaa haitallisten toimintojen havaitsemista.”

MetaCompliancen Chief Evangelist Robert O’Brien?on samaa mielt?. H?n kertoi Techopedialle, ett? hakkereille “annettiin k?yt?nn?ss? taikalamppu ChatGPT:n julkaisun my?t?”.

Viranomaisten ja teollisuuden mukaan hakkerit ovat omaksuneet teko?lyn hy?dynt?misen huijauksissaan huomattavasti odotettua nopeammin. O’Brien toteaa:

“Sis?piirin uhkien n?k?kulmasta teko?lyty?kalut laajentavat useimpien organisaatioiden uhkakuvaa – etenkin, jos teko?lyty?kalujen k?ytt??notto ei ole tiukasti koordinoitua.”

Exabeamin CISO Tyler Farrar?sanoo, ett? teko?ly “voi tuottaa eritt?in aidolta vaikuttavia viestej?, jolloin k?ytt?jien on ??rimm?isen vaikea erottaa, ovatko ne vilpillisi? vai eiv?t. T?m? kasvattaa huijauksen onnistumisprosenttia.”

Inhimillinen tekij?

Kasperskyn Emm v?itt?? kuitenkin, ett??tahalliset?sis?piirin uhat, joissa luotetut ty?ntekij?t aiheuttavat tahallaan vahinkoa, ovat edelleen suurin haaste. Emm t?sment??:

“Yritysten on vaikeampi valvoa t?llaista tilannetta, koska yrityksen ja ty?ntekij?n v?linen luottamus rikkoutuisi. P??synvalvonta, jolla rajoitetaan toimintojen laajuus niihin, jotka sit? tarvitsevat, voi auttaa riskien lievent?misess?. Ty?ntekij?iden apatia ja tietoisuuden puute pahentavat? ongelmia entisest??n, mik? edellytt?? ennakoivaa ja mukautuvaa l?hestymistapaa turvallisuuteen.”

Kuulostaa huolestuttavalta. Ongelma ei ole kuitenkaan uusi.

Tietoisuus sis?piirin uhasta on lis??ntynyt ainakin vuodesta 2014 l?htien. Tuolloin Harvardin tutkimuksessa arvioitiin, ett? yhdysvaltalaiset yritykset kokivat vuosittain?80 miljoonaa verkkohy?kk?yst?, joissa oli osallisena ty?ntekij?it??tai alihankkijoita – luvun oletetaan nykyisin olevan alakanttiin, koska niin monet tietoturvaloukkaukset j?iv?t ilmoittamatta.

Mit? tehd??

Teko?lyn k?ytt?minen laajamittaisten hy?kk?ysten toteuttamiseen on uusi k??nne, mutta vakiintuneemmat hakkerointitekniikat ovat viel?kin tehokkain tapa ty?ntekij?iden huijaamiseen.

“Kyberhy?kk??j?t k?ytt?v?t edelleen sosiaalista manipulointia ensisijaisena keinonaan ihmisten hakkerointiin”, sanoo?Lance Spitzner, SANS Security Awarenessin tekninen johtaja.

Lance kertoi Techopedialle, ett? perinteinen s?hk?postihuijaus on puhelinsoitto- (Vishing) ja viestihy?kk?ysten (Smishing) ohellaan edelleen suosittua.

“Vaikka yleinen strategia on sama, ovat verkkohy?kk??j?t kehittyneet huomattavasti. Kirjoitusvirheet ovat kadonneet. Sen sijaan verkkohy?kk??j?t r??t?l?iv?t hy?kk?yksi? aiotuille uhreilleen k?ytt?m?ll? yrityksens? logoja, viittauksia viimeaikaisiin tapahtumiin ja voimakkaampia tunnek?ytt?ytymisen laukaisijoita.”

Jotkut yhdistelev?t jopa eri elementtej?, kuten s?hk?postia, puheluita, tekstiviestej? ja QR-koodeja.

Vanhat hakkerit toimivat, uusia l?hestymistapoja kehitet??n, ja yritykset ryhtyv?t toimiin. Code42:n vuonna 2023 tekem?ss? tutkimuksessa todettiin, ett? 72 prosenttia organisaatioista?k?ytt?? aikaansa ja budjettiaan tietoverkkotietoisuutta edist?viin koulutusohjelmiin. T?st? huolimatta 71 prosenttia uskoi, ett? sis?piiriin liittyv?t tietoturvaloukkaukset tulisivat lis??ntym??n seuraavan 12 kuukauden aikana.

T?n? vuonna?Proofpointin?mukaan?54 prosenttia CISO:ista?odottaa priorisoivansa ty?ntekij?iden kybertietoisuuden parantamista seuraavien kahden vuoden aikana. Mutta, osoittautuuko kaikki t?m? tuloksettomaksi?

Yhti?n tiedottaja kertoi Techopedialle, ett? vaikka koulutus onkin t?rke?? tietoisuuden lis??miseksi “Se on vasta alkua – jatkuvan tietoturvak?ytt?ytymisen ja -kulttuurin muuttaminen on avain riskien pienent?miseen.”

Mutta miten kybertietoisuus saadaan ihmisten tietoisuuteen ja miten se pidet??n siell??

Kyberturvallisuuskoulutuksen ongelmat

Monien organisaatioiden vastaus on ker?t? ihmiset kokoushuoneisiin, n?ytt?? pelottavia PowerPoint-esityksi? ja j?tt??? muistilista, jota ty?ntekij?t voivat pit?? ty?asemiensa vieress?.

Kun otetaan huomioon nykyaikaisten hy?kk?ysten hienostunut, kehittyv? ja jatkuva luonne – ja ihmisluonnon aineettomuus – perinteiset yrityskoulutusmuodot eiv?t yksinkertaisesti riit?.

Menlo Securityn CISO Devin Ertel?sanoo:

“Uhkatekij?t ovat l?yt?neet uusia tapoja hy?dynt?? ty?ntekij?iden apatiaa, uteliaisuutta ja tietoturvatietoisuuden puutetta, ohittaakseen jopa kaikkein kehittyneimm?t tekniset suojaukset.”

H?n kertoi Techopedialle, ett? “ihmiset ovat edelleen heikoin lenkki”, ja huomautti, ett? “yli 75 prosenttia?tietojenkalasteluun?tarkoitettuja phishing-linkkej? is?nn?id??n luotetuilla verkkosivustoilla, mink? vuoksi niit? on vaikeampi tunnistaa haitallisiksi.”

Next DLP:n tietoturvajohtaja Chris Denbigh-White?kertoi Techopedialle, ett? mink? tahansa tietoverkkotietoisuuden koulutusohjelman on voitettava useita esteit?. Niit? ovat muun muassa:

Tekninen jargoni voi rajoittaa ymm?rryst?

Kyberturvallisuuskoulutus perustuu usein vaikeaan jargoniin, mik? vieraannuttaa ei-tekniset ty?ntekij?t ja saa koulutuksen vaikuttamaan puuduttavalta tai ylivoimaiselta, mik? vaikeuttaa ymm?rt?mist?.

On my?s kysymys siit?, ett? “ihmiset aliarvioivat arvonsa kohteina tai tuntevat olevansa suojassa yrityksen?palomuurien?takana – ns. “minulle ei tapahdu mit??n” -mentaliteetti”.”

Ongelma on pitk?lti tietoturvaryhm?ss?. Turvallisuusryhm?t johtavat turvallisuuskoulutusta, mutta n?iden ohjelmien johtohenkil?t ovat usein hyvin teknisi?. Siksi yritysten pit?isi pohtia, miten turvakoulutuksesta teht?isiin ihmisille yksinkertaista ja heid?n ehdoillaan tapahtuvaa.

SANS Security Awareness -j?rjest?n Lance Spitzner toteaa, ett? useimmat tietoturvakoulutukset ep?onnistuvat, koska “ne eiv?t vastaa ihmisten ajattelu- ja toimintatapoja”. Tietoturvaryhm?t voivat my?s olla huonosti valmennettuja koulutusteht?viin.

“Tietoturvaryhmill? on paljon kokemusta tietokoneiden parissa ty?skentelyst?, mutta hyvin v?h?n kokemusta siit?, miten sitouttaa, motivoida ja kouluttaa ihmisi? tai miten tehd? tietoturvasta yksinkertaista”. He tarvitsevat uusia koulutustaitoja, jotka ovat j?rkeenk?ypi?, eiv?t sit? vastaan sotivia.”

Asiantuntijoiden vinkit tietoturvatietoisuuden lis??miseksi

Asiantuntijoiden mukaan onnistunut kybertietoisuuden koulutusohjelma vaatii resursseja, aikaa ja harkitun l?hestymistavan. T?ss? keskeisi? menestystekij?it?, jotka kannattaa huomioida:

1. Viesti oikein

“Tietoturvatietoisuus on samanlainen kuin mik? tahansa muu organisaation markkinointikampanja”, sanoo MetaCompliancen Robert O’Brien. “T?rkeint? on, ett? ihmiset n?kev?t johdonmukaista ja merkityksellist? viestint??, ei vain koulutuksen suhteen vaan kaikkialla.”

2. Sitoutta ja vahvista

NextDLP:n Chris Denbigh-White ehdottaa, ett? CSO:t kehitt?isiv?t koulutusta, joka on “vuorovaikutteista ja ymm?rrett?v?? ja jossa korostetaan turvallisuusk?yt?nt?jen juurisyit?, ei ainoastaan “miten”. Tunnustus- ja palkitsemisohjelmien lis??minen kannustaa ty?ntekij?it? omaksumaan my?s vahvempia kyberturvallisuusk?yt?nt?j?.”

3. J?rjest? tietoturvaryhmi? koulutusta varten

“Tehokkaimmissa tietoisuusohjelmissa tietoturvatiimiss? on ihmisi?, jotka ovat omistautuneet auttamaan turvallisia ty?ntekij?it?”, sanoo SANSin Lance Spitzner. “N?ill? ihmisill? on taidot, joita tarvitaan tehokkaaseen viestint??n, koulutukseen ja lopulta k?ytt?ytymisen muuttamiseen. Kyps? tietoisuusohjelma on jatkuvaa, ymp?rivuotista ty?t?, joka motivoi, sitouttaa ja kouluttaa ty?ntekij?it? aktiivisesti.”

4. Henkil?kohtaista mikrokoulutuksen avulla

Mika Aalto, Hoxhuntin toinen perustaja ja toimitusjohtaja, kertoi Techopedialle, ett? hy?kk??j?t kohdistavat ihmisten k?ytt?ytymiseen, joten?tietoturvakoulutuksessa?tulisi huomioida my?s k?ytt?ytymist? koskeva l?hestymistapa. “Henkil?kohtaistaminen onnistuu mikrokoulutuksilla, jotka ovat oleellisia k?ytt?j?n taustan ja taitotason kannalta”, Aalto sanoo.

“Kouluttajien tulisi my?s pyrki? tekem??n siit? hauskaa”, h?n lis??. “Phishing-koulutus soveltuu erinomaisesti pelillist?miseen. Uhkaraportoinnin voi upottaa osaksi organisaation kudosta tunnustamalla ja palkitsemalla ihmisi? palkinnoilla todellisen hy?kk?yksen kiinni saamisesta.”

5. Unohda kertaluonteiset istunnot

Exabeamin CISO Tyler Farrar kertoi Techopedialle, ett? menestyksekk??n kyberturvallisuustietoisuuden koulutusohjelman on vuonna 2024 oltava “immersiivinen, mukautuva ja jatkuva, ja siihen on integroitava s??nn?llisi? phishing-simulaatioita, yksil?llisi? koulutusmoduuleja ja vuorovaikutteista sis?lt??, kuten pelillistettyj? harjoituksia ja VR/AR-kokemuksia “. N?ill? elementeill? varmistetaan, ett? ty?ntekij?t ovat sitoutuneita ja voivat liitty? reaalimaailman skenaarioihin, mik? parantaa heid?n kyky??n tunnistaa uhkia ja reagoida niihin.”

6. Ota johtajat mukaan

Stephen Kowski, SlashNext Email Securityn Field CTO,?kertoi Techopedialle, ett? johdon sitoutumista tarvitaan “turvallisuustietoisen kulttuurin viljelemiseksi, mukaansatempaavien, roolipohjaisten moduulien tarjoamiseksi ja riskik?ytt?ytymisen, kuten tietojenkalastelun, korostamiseksi”.

Samaa mielt? oleva Kasperskyn David Emm toteaa, ett? “johdon on annettava aito hyv?ksynt?ns?, jotta v?ltet??n se riski, ett? henkil?st? ja keskijohto asettavat tuottavuuden turvallisuuden edelle.”

MetaCompliancen Robert O’Brien lis??, ett? “ylimm?n johdon aktiivinen osallistuminen on t?rke??, jotta tietoturvatietoisuuden t?rkeytt? saadaan jatkuvasti esille”.

7. Luo oikeaa sis?lt??

Proofpointin tiedottaja kertoi Techopedialle, ett? ” inspiroivan, oleellisen ja sulavan koulutussis?ll?n varmistaminen on elint?rke??, jotta ty?ntekij?iden mielenkiinto s?ilyy. Tarjoa erilaisia k?ytett?vi? materiaaleja, jotka vahvistavat kyberturvallisuuden t?rkeytt? ja ohjaavat ty?ntekij?it? oikeaan k?ytt?ytymiseen”.

“K?ytt?j?t eiv?t ole tietoturva-asiantuntijoita, eik? heill? ole juurikaan kiinnostusta tulla sellaiseksi, joten harkitse kyberturvallisuusprosessin esitt?mist? tarinana tai matkana ja anna tosiel?m?n esimerkkej?, jotka tukevat tiet?myst? ja rakentavat ymm?rryst? mahdollisista seurauksista.”

Onnistunut kybertietoisuuskoulutus: Yksinkertainen 7-vaiheen malli

Yhteenveto

Vishnubhotla on huolissaan, ett? sis?piirin uhat vain monimutkaistuvat t?n? vuonna? kahdesta syyst?: et?ty?n lis??nnytty? ja henkil?kohtaisten laitteiden laajamittaisesta k?yt?st? liiketoiminnan teht?viss?. H?n kommentoi:

“Yritysten on annettava ty?ntekij?illeen mahdollisuus toimia ensimm?isen? puolustuslinjana, edist?m?ll? turvallisuustietoisuuden ja eettisen k?ytt?ytymisen kulttuuria. S??nn?llinen koulutus ja tietoisuusohjelmat ovat ratkaisevan t?rkeit?, jotta ty?ntekij?t saavat tiedot ja taidot tunnistaa mahdolliset uhat ja ilmoittaa niist?.”

Usein kysytyt kysymykset