Artikkelit

Oletko kuullut simuloiduista hyökkäyksistä? Näin ne parantavat tietoturvaa

Kirjoittanut Triuvare Oy | 10.3.2023 6:06:10

Henkilöstö on yrityksen tietoturvan tärkein lenkki. Tietoturvaosaamisen kehittäminen onkin tärkeää erityisesti niissä tilanteissa, joissa käyttäjällä on suuri vaikutus. Konkreettisena esimerkkinä on sähköposti – suurin osa PK-yritysten tietoturvauhista liittyy sähköpostiin.

Tunnistaako yrityksesi henkilöstö epäilyttävät sähköpostiviestit? Toimivatko he tietoturvallisella tavalla ja ilmoittavat tietoturvauhista IT:lle?

Tässä blogissa tietoturva-asiantuntijamme kertoo, miten simuloidut tietoturvahyökkäykset auttavat yritystä tunnistamaan henkilöstön tietoturvaosaamisen tason ja harjoittamaan sitä osana tietoturvavarautumista.

 

Simuloidut hyökkäykset testaavat henkilöstön tietoturvaosaamista

Tietojenkalastelu- eli phishing-viestit ovat yksi suurimmista PK-yritysten tietoturvauhista. Siksi henkilöstön tietoturvaosaamisessa tulisi painottaa kykyä tunnistaa epäilyttävät viestit.

Simuloidut hyökkäykset ovat konkreettinen keino varmistaa henkilöstön osaamista. Simuloitua hyökkäystä voidaan käyttää sekä tietoturvaosaamisen kartoittamiseen tai vaikkapa tietoturvakoulutuksen jälkeen osaamisen testaamiseen.

Ideaalitilanteessa simulaatioista tulee säännöllinen, esimerkiksi vuosittainen, osa yrityksen tietoturvavarautumista. 


Mikä on simuloitu tietoturvahyökkäys?


Simuloitu tietoturvahyökkäys on tarkkaan suunniteltu, turvallinen ja eettinen tapa testata henkilöstön reagointia phishing-kampanjaan. 

Simuloidun hyökkäyksen ideana on testata yrityksen henkilöstön kykyä tunnistaa epäilyttävä viesti analysoimalla avataanko se, klikataanko viestin linkkiä ja jätetäänkö tunnukset sivustolle. Lisäksi kampanjan aikana seurataan, ilmoittaako henkilöstö viestistä esimerkiksi IT:lle.

Käytännössä se on kuin oikea phishing-viesti, mutta mahdollisia luovutettuja tunnuksia ei kerätä ja tallenneta. Yrityksen IT on aina tiiviisti mukana simulaation suunnittelussa ja testauksessa.

 

Säännölliset phishing-kampanjat hyödyttävät sekä yritystä että henkilöstöä

Käyttäjien reagointi tietojenkalasteluyritykseen on tärkeää tietoa yritykselle. Se auttaa tunnistamaan tietoturvaosaamisen nykytason ja paljastaa tärkeimmät kehityskohteet.

Säännöllisistä simulaatioista on hyötyä myös henkilöstölle. Ne tukevat yksilön tietoturvaosaamista ja pitävät parhaimmat käytänteet kirkkaana mielessä. Haittaviestien tunnistamisesta on hyötyä henkilöstölle myös vapaa-ajalla. Phishing-viestit eivät ole vain yritysten riesa, vaan ne tavoittavat myös yksityishenkilöt.

Sitä kautta simulaatioilla on myös yhteiskunnallista arvoa. Haittaviesteistä on tärkeää käydä julkista keskustelua, sillä se lisää tietoisuutta ja valveutuneisuutta. Epäilyttävien viestien tunnistaminen on tärkeä digitaito jokaiselle.

Phishing-viesti suunnitellaan tarkasti

Käytännössä simulaatioita voidaan toteuttaa IT-ympäristöön katsomatta. Tuloksista saa parhaan hyödyn silloin kun testausryhmän koko on vähintään 20 henkilöä. Pienempien ryhmien tuloksista ei voida vetää luotettavia johtopäätöksiä.

Phishing-kampanja suunnitellaan aina tiiviissä yhteistyössä yrityksen IT:n kanssa. Kampanjalle asetetaan selkeät tavoitteet ja tarkoitus. Pistokoemaiseen testaamiseen sopii yksittäinen massalähetys ja systemaattisempaan testaamiseen esimerkiksi kolmen kuukauden välein lähtevä phishing-kampanja.

Simuloidun phishing-kampanjan tuloksia mittaroidaan neljällä tasolla:

  1. Kuinka suuri osuus henkilöstöstä avaa epäilyttävän viestin?
  2. Kuinka suuri osuus henkilöstöstä ja viestin avaajista klikkaa vieraalle sivustolle?
  3. Kuinka suuri osuus henkilöstöstä ja sivustolle klikanneista jättävät tunnuksensa?
  4. Kuinka suuri osuus henkilöstöstä ilmoittaa esimerkiksi IT:lle haittaviestistä?

Ideaalitilanteessa viestiä ei avata, ja siitä ilmoitetaan IT:lle. Huonoin tilanne on tietenkin tunnusten luovuttaminen haittasivustolla.

Tulokset paljastavat tärkeimmät kehityskohteet, joita painottaa seuraavassa tietoturvakoulutuksessa.


Muista, että tietojenkalastelu on laitonta

Simuloituja hyökkäyksiä ei kannata tehdä omin päin. Jos sopimukset ja pohjatyö eivät ole kunnossa, siirrytään harmaalle alueelle.

Tyypillisesti simuloidut hyökkäykset kaatuvat jo yritystason roskapostifiltteriin. Silloin yrityksen infraan tehdään minimaalinen ohitus esimerkiksi valitulle lähettäjälle. Tarkalla suunnittelulla ja huolellisella testaamisella varmistetaan, ettei simulaatio vaaranna yrityksen infraa todellisuudessa.

Asiantuntijakumppani auttaa varmistamaan, että simulaatio on turvallinen ja eettinen.

 

Ota yhteys asiantuntijoihin

Kuulostaako hyödylliseltä ja kiinnostavalta? Ota yhteyttä asiantuntijoihimme, jotka kertovat mielellään lisää. Jutellaan ja etsitään yhdessä tärkeimmät tietoturvaa parantavat toimenpiteet ja keinot.

Sinua saattavat kiinnostaa myös nämä sisällöt: