Elina Partanen

Elina Partanen

Elina is a partner and owner of Mint Security and specializes in risk management.

Hyvään tietoturvaan ei riitä se, että kirjoitetaan käytännöt ja menettelytavat jonnekin ylös. Dokumentaatioon kirjattujen asioiden toteutuminen edellyttää, että ylläpidetään tietoisuutta ja järjestetään henkilöstölle koulutusta. Ajoitus on myös tärkeää — klassinen virhe on julkaista kaikki ohjeistukset kerralla. Esimerkiksi 25 uutta tietoturvakäytäntöä ja -menettelyä samana päivänä.

Historiallisesta vinkkelistä tarkasteltuna tietoturvatietoisuuskoulutusta on pidetty enemmän compliance-vaatimukset täyttävänä asiana kuin ihan oikeana tietoturvakontrollina. Ajan myötä, kyberuhkien kehittyessä ja monimutkaistuessa, näin ei kuitenkaan onneksi enää ole.

ISO 27001 vaatimukset

ISO 27001 -tietoturvastandardi edellyttää, että organisaation jokaisen työntekijän sekä tarvittaessa myös alihankkijoiden, konsulttien ja muiden vastaavien kolmansien osapuolten käyttäjien tulee saada asianmukaista tietoturvatietoisuuskoulutusta sekä säännöllisiä päivityksiä organisaation käytännöistä ja menettelytavoista, siltä osin kuin ne liittyvät kunkin toimenkuvaan.

Tietoisuuden jakaminen on tärkeää tietoturvakulttuurin luomiseksi organisaatioon ja siihen, ettei tietoturvallisuus jäisi pienen piirin pistemäiseksi toiminnoksi, vaan jokainen voisi omaksua siitä asioita omaan työhönsä ja myös auttaa tietoturvaorganisaatiota esim. kertomalla tärkeistä havainnoista.

Lisäksi ISO 27001 edellyttää organisaatiota:

  • kartoittamaan ja määrittelemään, mitä tietoja ja -taitoja kultakin tietoturvan hallintajärjestelmään (ISMS) liittyvältä roolilta tai henkilöstöryhmältä vaaditaan
  • järjestämään ja suorittamaan koulutuksia määritettyjen tietojen ja taitojen saavuttamiseksi
  • mittaamaan, onko kukin yksilö saavuttanut halutun tiedon ja taitojen tason (esim. testien tai haastattelujen avulla)

Kaikilla edellä mainituilla toimilla tähdätään siihen, että organisaation luottamukselliset tiedot pysyisivät turvassa.

ISO27001 - training and awareness

Tietojenkalastelulla sisään verkkoihin ja järjestelmiin

Vuosien saatossa hyökkääjät ovat etsineet uusia tapoja päästä organisaation verkkoon ja käsiksi luottamuksellisiin tietoihin. Vielä jokin aika sitten SQL-injektiot hallitsivat tällaisten tilastojen kärkisijaa. Viime aikoina yrityksiä ovat vaivanneet erityisesti etätukiohjelmilla tehdyt hyökkäykset. Mutta yksi hyökkäysvektori on pysynyt tiiviisti näiden kyseenalaisten kilpajuoksutilastojen kärjen tietämillä jo pitkään: tietojenkalastelu.

Tietojenkalastelun tavoitteena on sosiaalisen hakkeroinnin keinoin huijata uhri uskomaan, että hänelle lähetetty viesti sisältää jotain mitä uhri haluaa tai tarvitsee — esimerkiksi pyynnön pankilta tai toimintaohjeita yrityksessä työskentelevältä toiselta henkilöltä. ”Klikkaa linkkiä tai lataa liite.”

Hyökkääjän päämääränä on useimmiten käyttäjänimien, salasanojen ja tili- tai muiden taloudellisten tietojen saaminen.  Luettelo hyökkäyksen seurauksista yritykselle on pitkä ja surullisenkuuluisa.

KnowBe4 phishing statistics

Onnistunut tietojenkalastelu voi johtaa:

  • identiteettivarkauksiin
  • arkaluonteisten tietojen varastamiseen
  • asiakastietojen varastamiseen
  • tietopääoman menetykseen
  • varkauksiin yrityksen tai asiakkaiden tileiltä
    mainehaittaan
  • luvattomiin tilisiirtoihin
  • luottokorttipetoksiin
  • kiristyshaittaohjelmien ja muiden haittaohjelmien asennukseen
  • pääsyyn järjestelmiin uusien hyökkäysten käynnistämiseksi
  • tietojen myyntiin vakoiluorganisaatioille, kilpailijoille ja rikollisille

Suojaudu ja täytä samalla ISO 27001 -vaatimukset KnowBe4:n avulla

Toimiakseen koulutuksen osalta ISO 27001 mukaisesti, organisaation tulee tunnistaa mitä koulutusta henkilöstö tarvitsee, tarjota koulutus ja mitata koulutuksen tehokkuutta. Arkaluontoista tietoa käytetään organisaatioissa monin eri tavoin koko organisaatiossa. Jokainen näistä tavoista on huomioitava ja kirjattava ylös tiedot ja taidot, joita tarvitaan näiden tietojen turvaamiseen. Tietojenkalastelu on yhteinen nimittäjä monissa näissä tavoissa ja tapauksissa.

Sähköpostien skannaus, DNS-kyselyjen suodatus ja päätelaitteiden suojaus ovat hyviä keinoja pienentää riskiä joutua tietomurron kohteeksi. Koulutus lisää näihin vielä suojauskerroksen, jossa hyödynnetään ihmisiä ylimääräisenä turvamekanismina. Kun käyttäjille annetaan tietoa siitä, miltä kalasteluhyökkäykset näyttävät, he voivat havaita huijaukset helpommin organisaatiota vaarantamatta.

KnowBe4-alusta

KnowBe4 on ensimmäinen ja suurin seuraavan sukupolven tietoturvaharjoittelu- ja tietojenkalastelusimulointialusta. Se on rakennettu käyttäjäystävälliseksi ja erittäin intuitiiviseksi auttamaan kiireisiä IT-ammattilaisia, joilla on paljon muitakin kiireitä jatkuvasti hoidettavanaan.

Järjestelmien käyttäjiä on koulutettava — mutta tylsä, ”vanhan liiton tietoturvakoulutus” ei enää auta nykyaikaisiin uhkiin vastaamisessa. Työntekijät altistuvat kehittyneille tietojenkalastelu- ja ransomware-hyökkäyksille koko ajan lisää.

KnowBe4-alusta yhdistää kaikki toiminnot yhteen helppokäyttöiseen käyttöliittymään. Sen avulla voidaan aloittaa harjoituskampanjat ja simuloidut hyökkäykset vain muutamassa minuutissa. Omia malleja, aloitussivuja ja simuloituja liitteitä voi muokata vapaasti sekä väärentää oman verkkotunnuksesi simuloituja toimitusjohtajan petoshyökkäyksiä varten käyttämällä vastausten seurantaa.

KnowBe4 platform

Mutta meillä on jo pari omaa koulutusvideota?

Jos halutaan täydentää KnowBe4:n koulutustarjontaa organisaation omilla kursseilla tai vaikkapa tietoturvan johtamisjärjestelmän perusteilla, se onnistuu helposti suoraan KnowBe4-alustalta. Omaa sisältöä pystyy lataaman ja määrittämään kampanjoihin mukaan kuten minkä tahansa KnowBe4 ModStore -harjoitusmoduulin, videomoduulin tai pelin yhteydessä.
KnowBe4 - Human Error. Conqured.
KnowBe4 - Human Error. Conqured.

KnowBe4

Human Error. Conquered. Phishing simulations. Security Training. KnowBe4:n kurssien avulla työntekijöillä on paremmat valmiudet kohdata jokapäiväisiä tietoturvahaasteita KnowBe4 on maailman laajin tietoturvatietoisuuskoulutuksen alusta ja simuloidun

Lue lisää »
Phishing email

Tietoturvatietoisuus on muutakin kuin Phishing-testausta

Tietoturvatietoisuus (security awareness) tarkoittaa käytännössä yleistä tietoturvakoulutusta yleisistä tai toimialakohtaisista teemoista. Tyypillisesti termiin sisällytetään jatkuva koulutusprosessi, joka luo yritykselle yhtenäistä tietoturvakulttuuria. Tietoisuutta ISO27001 vaatii, että

Lue lisää »
Training kills

KnowBe4 ja ISO 27001

ISO 27001 -tietoturvastandardi edellyttää, että organisaation jokaisen työntekijän sekä tarvittaessa myös alihankkijoiden, konsulttien ja muiden vastaavien kolmansien osapuolten käyttäjien tulee saada asianmukaista tietoturvatietoisuuskoulutusta. KnowBe4 on ensimmäinen ja suurin seuraavan sukupolven tietoturvaharjoittelu- ja tietojenkalastelusimulointialusta.

Lue lisää »
Elina Partanen

Elina Partanen

Elina is a partner and owner of Mint Security and specializes in risk management.

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.