10.03.2023

Henkilöstö on yrityksen tietoturvan tärkein lenkki. Tietoturvaosaamisen kehittäminen onkin tärkeää erityisesti niissä tilanteissa, joissa käyttäjällä on suuri vaikutus. Konkreettisena esimerkkinä on sähköposti – suurin osa PK-yritysten tietoturvauhista liittyy sähköpostiin.

Tunnistaako yrityksesi henkilöstö epäilyttävät sähköpostiviestit? Toimivatko he tietoturvallisella tavalla ja ilmoittavat tietoturvauhista IT:lle?

Tässä blogissa tietoturva-asiantuntijamme kertoo, miten simuloidut tietoturvahyökkäykset auttavat yritystä tunnistamaan henkilöstön tietoturvaosaamisen tason ja harjoittamaan sitä osana tietoturvavarautumista.

 

Simuloidut hyökkäykset testaavat henkilöstön tietoturvaosaamista

Tietojenkalastelu- eli phishing-viestit ovat yksi suurimmista PK-yritysten tietoturvauhista. Siksi henkilöstön tietoturvaosaamisessa tulisi painottaa kykyä tunnistaa epäilyttävät viestit.

Simuloidut hyökkäykset ovat konkreettinen keino varmistaa henkilöstön osaamista. Simuloitua hyökkäystä voidaan käyttää sekä tietoturvaosaamisen kartoittamiseen tai vaikkapa tietoturvakoulutuksen jälkeen osaamisen testaamiseen.

Ideaalitilanteessa simulaatioista tulee säännöllinen, esimerkiksi vuosittainen, osa yrityksen tietoturvavarautumista. 


Mikä on simuloitu tietoturvahyökkäys?

Simuloitu tietoturvahyökkäys on tarkkaan suunniteltu, turvallinen ja eettinen tapa testata henkilöstön reagointia phishing-kampanjaan. 

Simuloidun hyökkäyksen ideana on testata yrityksen henkilöstön kykyä tunnistaa epäilyttävä viesti analysoimalla avataanko se, klikataanko viestin linkkiä ja jätetäänkö tunnukset sivustolle. Lisäksi kampanjan aikana seurataan, ilmoittaako henkilöstö viestistä esimerkiksi IT:lle.

Käytännössä se on kuin oikea phishing-viesti, mutta mahdollisia luovutettuja tunnuksia ei kerätä ja tallenneta. Yrityksen IT on aina tiiviisti mukana simulaation suunnittelussa ja testauksessa.

 

Säännölliset phishing-kampanjat hyödyttävät sekä yritystä että henkilöstöä

Käyttäjien reagointi tietojenkalasteluyritykseen on tärkeää tietoa yritykselle. Se auttaa tunnistamaan tietoturvaosaamisen nykytason ja paljastaa tärkeimmät kehityskohteet.

Säännöllisistä simulaatioista on hyötyä myös henkilöstölle. Ne tukevat yksilön tietoturvaosaamista ja pitävät parhaimmat käytänteet kirkkaana mielessä. Haittaviestien tunnistamisesta on hyötyä henkilöstölle myös vapaa-ajalla. Phishing-viestit eivät ole vain yritysten riesa, vaan ne tavoittavat myös yksityishenkilöt.

Sitä kautta simulaatioilla on myös yhteiskunnallista arvoa. Haittaviesteistä on tärkeää käydä julkista keskustelua, sillä se lisää tietoisuutta ja valveutuneisuutta. Epäilyttävien viestien tunnistaminen on tärkeä digitaito jokaiselle.

Phishing-viesti suunnitellaan tarkasti

Käytännössä simulaatioita voidaan toteuttaa IT-ympäristöön katsomatta. Tuloksista saa parhaan hyödyn silloin kun testausryhmän koko on vähintään 20 henkilöä. Pienempien ryhmien tuloksista ei voida vetää luotettavia johtopäätöksiä.

Phishing-kampanja suunnitellaan aina tiiviissä yhteistyössä yrityksen IT:n kanssa. Kampanjalle asetetaan selkeät tavoitteet ja tarkoitus. Pistokoemaiseen testaamiseen sopii yksittäinen massalähetys ja systemaattisempaan testaamiseen esimerkiksi kolmen kuukauden välein lähtevä phishing-kampanja.

Simuloidun phishing-kampanjan tuloksia mittaroidaan neljällä tasolla:

  1. Kuinka suuri osuus henkilöstöstä avaa epäilyttävän viestin?
  2. Kuinka suuri osuus henkilöstöstä ja viestin avaajista klikkaa vieraalle sivustolle?
  3. Kuinka suuri osuus henkilöstöstä ja sivustolle klikanneista jättävät tunnuksensa?
  4. Kuinka suuri osuus henkilöstöstä ilmoittaa esimerkiksi IT:lle haittaviestistä?

Ideaalitilanteessa viestiä ei avata, ja siitä ilmoitetaan IT:lle. Huonoin tilanne on tietenkin tunnusten luovuttaminen haittasivustolla.

Tulokset paljastavat tärkeimmät kehityskohteet, joita painottaa seuraavassa tietoturvakoulutuksessa.


Muista, että tietojenkalastelu on laitonta

Simuloituja hyökkäyksiä ei kannata tehdä omin päin. Jos sopimukset ja pohjatyö eivät ole kunnossa, siirrytään harmaalle alueelle.

Tyypillisesti simuloidut hyökkäykset kaatuvat jo yritystason roskapostifiltteriin. Silloin yrityksen infraan tehdään minimaalinen ohitus esimerkiksi valitulle lähettäjälle. Tarkalla suunnittelulla ja huolellisella testaamisella varmistetaan, ettei simulaatio vaaranna yrityksen infraa todellisuudessa.

Asiantuntijakumppani auttaa varmistamaan, että simulaatio on turvallinen ja eettinen.

 

Ota yhteys asiantuntijoihin

Kuulostaako hyödylliseltä ja kiinnostavalta? Ota yhteyttä asiantuntijoihimme, jotka kertovat mielellään lisää. Jutellaan ja etsitään yhdessä tärkeimmät tietoturvaa parantavat toimenpiteet ja keinot.

Ota yhteyttä

Sinua saattavat kiinnostaa myös nämä sisällöt:

 
Triuvare Oy

Triuvare Oy

Lisää kirjoituksiamme

10.03.2023 Oletko kuullut simuloiduista hyökkäyksistä? Näin ne parantavat tietoturvaa
24.02.2023 Automaatiosta työkaveri rutiinitehtäviin
18.10.2022 Triuvare Oy on liittynyt osaksi Frendy Oy:tä

IT-kilpailuttamisen opas

IT Competition Guide

Pilvipalvelintilan ostajan-opas

Pilvipalvelintilan ostajan-opas

PK-yrityksen tietoturvaopas

PK-yrityksen tietoturvaopas

Varaa 30 minuutin keskusteluaika asiantuntijamme kanssa!

Mietitään yhdessä yrityksesi tilanteeseen sopivat ratkaisut, joilla lisätään työtehoa ja poistetaan tietotekniikkamurheet. Pääset samalla kysymään kaikki mieltäsi askarruttavat kysymykset. Täytä lomake niin olemme sinuun yhteydessä ajan sopimiseksi.

Triuvare Oy 

Toimisto: 020 555 0 000
Myynti: 020 555 0 100myynti@triuvare.fi
Tuki: 020 555 0 555tuki@triuvare.fi

Tampereen toimipiste

Viinikankatu 47, 33800 Tampere
Yhteystiedot ja sijainti

Vantaan toimipiste

Virkatie 10, 01510 Vantaa
Yhteystiedot ja sijainti

Vaasan toimipiste

Olympiakatu 16, 65100 Vaasa

Espoon toimipiste

Koivu-Mankkaan tie 3, 02200 Espoo

Oulun toimipiste

Typpitie 1, 90620 Oulu

Puolan toimipiste

Triuvare Sp. z o.o., Wrocław
+48 717 000 322
support@triuvare.pl

Ajankohtaista

© 2020 Triuvare