Miksi tietoturvakoulutus on tärkeää?

Kirjoittanut Panu Palmu 8/2021

90% Tietomurroista ja -vuodoista tapahtuu ihmisvirheen takia. Hyökkäykset jakautuvat yleiseen kalasteluun sekä kohdennettuihin hyökkäyksiin. Pääsääntöisesti hyökkääjä pyrkii kalastelun (Phishing) avulla manipuloimaan (Social Engineering) uhria ja saamaan tietoja tai oikeuksia järjestelmiin vapaaehtoisesti. Seuraavaksi kerron tutkimustuloksista, huijausesimerkkejä ja annan tiukkoja argumentteja miksi tietoturvakoulutus on tärkeää jokaiselle organisaatiolle. 

Tämä lyhyt video demonstroi tilanteen täydellisesti, jopa it-tuen osalta.

 

Blogin sisältö:

  1. Tiesitkö että...
  2. Päivän esimerkki
  3. Tietoturvakyselyn vastauksia
  4. Tietoturvakoulutus on pakollista
  5. Tietoturva on meidän kaikkien harteilla
  6. Johtopäätöksiä ja riskit
  7. Kuinka toimia
Tämä blogi on osana suurempaa blogikokonaisuutta tietoturvasta.



1. Tiesitkö että...


Uutisoinnit tietomurroista ja -vuodoista lisääntyvät jatkuvasti. Koronapandemian aikana kalasteluhyökkäykset ovat tuplaantuneet. Suomeen kohdistuvissa viesteissä suomenkieli paranee vuosi vuodelta.

Jos organisaatiolla ei ole järjestetty tietoturvakoulutusta henkilökunnalle, jättää se suurimman tietoturvariskin oman onnen varaan.

Seuraavalla videolla kerron esimerkkejä millaisiin miinoihin ihmiset ja organisaatiot voivat astua sekä kahdesta tietomurrosta mitä Etevän asiakaskuntaan on tapahtunut (esimerkit alkaen kohdasta 9min55s).

Miksi tietoturvakoulutus on tärkeää - 20min - LQ 1080p

 

2. Päivän esimerkki

Kalastelusivun linkki hakutermillä "Antivirus asiakaspalvelu" on Googlen hakutuloksissa sijalla kaksi ja "Facebook asiakaspalvelu" sijalla neljä.

Tätä blogia kirjoittaessa löytyi erinomainen esimerkki minkälaisia huijauksia on olemassa. Tämä oli ensimmäinen laatuaan mihin olen itse törmännyt. "Facebook asiakaspalvelu" -hakusanalla löytyy sijalta neljä seuraava sivusto:


fake Facebook asiakaspalvelu Google tulos

Kyseessä on valitettavasti huijaussivusto. Sivusto on kuitenkin erinomaisesti tehty. Sivustoa kun tutkii hetken, niin ymmärtää, että sivusto ja sen Google optimointi on suunniteltu termeille "Asiakaspalvelu + palvelu/asia". Tarkoitus on nähtävästi saada ihmiset soittamaan numeroon ja saada sitä kautta rahaa tai tietoja. Vastaava kalastelusivu hakutermillä "Antivirus asiakaspalvelu" on hakutuloksissa sijalla kaksi. Sivulla kyllä kerrotaan, että se ei ole virallinen tukisivu vaan kaupallinen sivusto. Miksiköhän sivun alalaidassa oleva osoite on virheellinen? Porista ei löydy Ilmalankuja -nimista tietä.

fake Facebook asiakaspalvelu sivu

 


3. Tietoturvakyselyn vastauksia


Tietoturva on vähän kuin autolla ajaminen. Lähes kaikki luulevat olevansa keskivertoa parempia kuskeja. Näinhän asia ei valitettavasti ole. Etevän tietoturvakoulutuksen yhteydessä osallistujat vastaavat kyselyyn, jossa arvioidaan omaa osaamista ja tekemistä tietoturvan suhteen. Joukossa on useita satoja henkilöitä n. 15 eri yrityksestä ja melkein yhtä monelta toimialalta. Vastaukset ovat erittäin yhteneväisiä toimialasta riippumatta. Organisaatioiden päättäjät usein ajattelevat, että heidän henkilökunta on osaavaampaa kuin keskimäärin. Kyselyn mukaan henkilökunnan oma-arviot eivät valitettavasti tue tätä.

Tässä muutama pelottava tulos

 

Salasanojen hallintatyökalu


Tietoturvakysely
Eli omilla, mahdollisesti suojaamattomilla laitteilla, käytetään työsähköpostia henkilökohtaisissa palveluissa. Nämä kaikki ovat yksittäin merkittäviä riskejä, yhdessä niistä syntyy erilaisia lisähaasteita. Mitä jos oma henkilökohtainen tietokone häviää tai se varastetaan? Siellä voi olla tallennettuna selaimen muistiin työsähköpostiosoitteen salasana ja käyttäjätunnus. Salaamattoman tietokoneen tietoihin pääsee todella helposti käsiksi (Etevän toimittamat koneet salataan oletuksena!).

Kun ihmiset eivät käytä salasananhallintatyökalua johtaa se automaattisesti mutkien oikomiseen salasanojen suhteen. Nyt riskinä on, että samaa salasanaa on viljelty moneen eri tiliin.

Olemme käyneet vastauksia tarkemmin läpi toisessa blogikirjoituksessa:
Lue lisää osoitteessa https://www.etevat.fi/blogi/tietoturvakyselyn-tuloksia-salasanat

 


4. Tietoturvakoulutus on pakollista

Tämä on jo varmasti ärsyttävää, mutta huomauttaisin, että tietoturvakoulutus on pakollista. Kuka tai mikä pakottaa tietoturvakoulutuksen hankkimiseen?

GDPR 

Kaikki organisaatiot EU:n sisällä kuuluvat GDPR tietosuojalain alaisuuteen ja täten jokaisen organisaation tulisi järjestää henkilökunnalle tietoturvakoulutusta.

Tapauskohtaiset pakotteet

Etevän asiakaskunnassa on useita tilanteita missä toimijalta vaaditaan määräysten mukaista (compliance) tietoturvakoulutusta muiden tietoturvatoimenpiteiden lisäksi. Organisaatio voi saada sakot, menettää toimiluvat tai menettää asiakkuuden mikäli se ei ole tehnyt tarvittavia toimenpiteitä. 

  • Finanssivalvonta
  • Omat asiakkaat vaativat (isot organisaatiot, julkinen sektori) 

 

 

5. Tietoturva on meidän kaikkien harteilla


Tietoturvaa voisi verrata autoiluun ja liikenteeseen. Se että, liikenteessä on turvallista on meidän kaikkien kollektiivinen vastuu. Yksikin huono kuski voi pilata homman muilta. Sen takia on pelisääntöjä (tieliikennelaki), hyviä käytäntöjä (ajan kanssa opittua) ja koulutusta (autokoulu).

Huolimaton käyttäjä voi tuoda alas koko organisaation. Jopa kesätyöntekijä voi aiheuttaa peruuttamatonta vahinkoa organisaatiolle omalla leväperäisellä toiminnallaan. Jos et keksi miten tämä on mahdollista, niin suosittelen koulutusta asian tiimoilta.

 


6. Johtopäätöksiä ja riskit


Organisaatioiden tietoturva on erittäin monialaista. Silti ehkä tärkein asia mikä pitäisi priorisoida on henkilökunnan tietotaito. Suurin osa hyökkäyksistä tapahtuu henkilökunnan kautta. Valitettavan usein vielä jopa hymyissä suin ja auttaen!

Mitä riskejä tietoturvattomuus sitten tuo?

  1. Rahaa varastetaan
  2. Tuotanto seisahtuu (päivistä viikkoihin)
  3. Maineen menetys tietovuodon takia

Videolla kerroin miten rahaa varastetaan melko suoraviivaisesti. Vastaamon tapaus taas osoitti mitä tapahtuu, kun tiedot vuotavat ja luottamus organisaation kykyyn hallita asiakkaiden tietoja murtuu. Vastaamon konkurssiin johtaneesta tietomurrosta voit lukea lisää blogistamme.

 

7. Kuinka toimia?

 

Vastuuta organisaatiosta joku järjestämään tietoturvakoulutus. Tasokkaan tietoturvakoulutuksen järjestäminen vie helposti useamman viikon vuodesta asiaan perehtyneeltäkin henkilöltä. Toista tuhatta henkilöä työllistävä yritys voi jo miettiä erilaisia ratkaisuja asian toteuttamiseksi. Isompi yritys voi vaikka palkata oman henkilön tätä varten.

Mitä pienempi yritys on (esim. alle 250hlö) kannattaa koulutus ottaa suoraan palveluna. Näin saa tasokkaan koulutuksen niin, että hinta kokonaisuudessaan on vielä järkevällä tasolla.

Lue lisää Etevän Tietoturvakoulutuspalvelusta täältä.

Etevä Tietoturvakoulutus

 

Muuta luettavaa

 

Tilaa Kyberturvallisuuskeskuksen uutiskirjeitä. Suosittelen tilaamaan vaikka päivittäisen uutiskirjeen (alempi). Näin pääse seuraamaan minkälaisia uhkia on liikenteessä.
https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/tilaa-uutiskirjeita

 

Topics: tietoturva, tietoturvakoulutus

Haluatko kuulla uusista blogijulkaisuista ensimmäisenä? Tilaa ilmoitukset!

Jaa somessa