Oletko kuullut simuloiduista hyökkäyksistä? Näin ne parantavat tietoturvaa

Henkilöstö on yrityksen tietoturvan tärkein lenkki. Tietoturvaosaamisen kehittäminen onkin tärkeää erityisesti niissä tilanteissa, joissa käyttäjällä on suuri vaikutus. Konkreettisena esimerkkinä on sähköposti – suurin osa PK-yritysten tietoturvauhista liittyy sähköpostiin.

Tunnistaako yrityksesi henkilöstö epäilyttävät sähköpostiviestit? Toimivatko he tietoturvallisella tavalla ja ilmoittavat tietoturvauhista IT:lle?

Tässä blogissa tietoturva-asiantuntijamme kertoo, miten simuloidut tietoturvahyökkäykset auttavat yritystä tunnistamaan henkilöstön tietoturvaosaamisen tason ja harjoittamaan sitä osana tietoturvavarautumista.

Simuloidut hyökkäykset testaavat henkilöstön tietoturvaosaamista

Tietojenkalastelu- eli phishing-viestit ovat yksi suurimmista PK-yritysten tietoturvauhista. Siksi henkilöstön tietoturvaosaamisessa tulisi painottaa kykyä tunnistaa epäilyttävät viestit.

Simuloidut hyökkäykset ovat konkreettinen keino varmistaa henkilöstön osaamista. Simuloitua hyökkäystä voidaan käyttää sekä tietoturvaosaamisen kartoittamiseen tai vaikkapa tietoturvakoulutuksen jälkeen osaamisen testaamiseen.

Ideaalitilanteessa simulaatioista tulee säännöllinen, esimerkiksi vuosittainen, osa yrityksen tietoturvavarautumista. 

Säännölliset phishing-kampanjat hyödyttävät sekä yritystä että henkilöstöä

Käyttäjien reagointi tietojenkalasteluyritykseen on tärkeää tietoa yritykselle. Se auttaa tunnistamaan tietoturvaosaamisen nykytason ja paljastaa tärkeimmät kehityskohteet.

Säännöllisistä simulaatioista on hyötyä myös henkilöstölle. Ne tukevat yksilön tietoturvaosaamista ja pitävät parhaimmat käytänteet kirkkaana mielessä. Haittaviestien tunnistamisesta on hyötyä henkilöstölle myös vapaa-ajalla. Phishing-viestit eivät ole vain yritysten riesa, vaan ne tavoittavat myös yksityishenkilöt.

Sitä kautta simulaatioilla on myös yhteiskunnallista arvoa. Haittaviesteistä on tärkeää käydä julkista keskustelua, sillä se lisää tietoisuutta ja valveutuneisuutta. Epäilyttävien viestien tunnistaminen on tärkeä digitaito jokaiselle.

Phishing-viesti suunnitellaan tarkasti

Käytännössä simulaatioita voidaan toteuttaa IT-ympäristöön katsomatta. Tuloksista saa parhaan hyödyn silloin kun testausryhmän koko on vähintään 20 henkilöä. Pienempien ryhmien tuloksista ei voida vetää luotettavia johtopäätöksiä.

Phishing-kampanja suunnitellaan aina tiiviissä yhteistyössä yrityksen IT:n kanssa. Kampanjalle asetetaan selkeät tavoitteet ja tarkoitus. Pistokoemaiseen testaamiseen sopii yksittäinen massalähetys ja systemaattisempaan testaamiseen esimerkiksi kolmen kuukauden välein lähtevä phishing-kampanja.

Simuloidun phishing-kampanjan tuloksia mittaroidaan neljällä tasolla:

1. Kuinka suuri osuus henkilöstöstä avaa epäilyttävän viestin?
2. Kuinka suuri osuus henkilöstöstä ja viestin avaajista klikkaa vieraalle sivustolle?
3. Kuinka suuri osuus henkilöstöstä ja sivustolle klikanneista jättävät tunnuksensa?
4. Kuinka suuri osuus henkilöstöstä ilmoittaa esimerkiksi IT:lle haittaviestistä?

Ideaalitilanteessa viestiä ei avata, ja siitä ilmoitetaan IT:lle. Huonoin tilanne on tietenkin tunnusten luovuttaminen haittasivustolla.

Tulokset paljastavat tärkeimmät kehityskohteet, joita painottaa seuraavassa tietoturvakoulutuksessa.

Ota yhteys asiantuntijoihin

Kuulostaako hyödylliseltä ja kiinnostavalta? Ota yhteyttä asiantuntijoihimme, jotka kertovat mielellään lisää. Jutellaan ja etsitään yhdessä tärkeimmät tietoturvaa parantavat toimenpiteet ja keinot.

Sinua saattavat kiinnostaa myös nämä sisällöt:

• Tietomurrot lisääntyvät – miten suojaudut niiltä? -webinaari
• Tunnista yrityksesi tietoturvan nykytila ja kehityskohteet -opas
• Tietoturvallisen työn ohjenuorat – vinkit käyttäjille ja yritykselle -blogi