Henkilöstön kouluttaminen on yksi tehokkaimmista keinoista taistella kyberuhkia vastaan

21.10.2020 · Blogit

Lukuaika 2 min

Kyberturvallisuus on kansalaistaito, joka tulisi jokaiselta nykypäivän digitaalisessa maailmassa toimivalta ihmiseltä löytyä. Tätä taitoa pitää ylläpitää jatkuvasti koulutuksella ja kertomalla ihmisille ajankohtaisista riskeistä – samalla tavalla kuin fyysistä kuntoa pitää ylläpitää treenaamalla.

Yrityksille henkilöstön jatkuva ja läpinäkyvä kouluttaminen on tehokas keino suojautua kyberuhilta.

Kyberhyökkäykset kehittyvät ja jäljittelevät nopealla syklillä maailmalla tapahtuvia ilmiöitä. Esimerkiksi ”koronakevään” aikana nähtiin paljon COVID-19 -aiheisia huijaussähköposteja. Lisäksi vaikkapa pilvipalveluihin siirtyminen ohjaa myös kyberrikollisia murtautumaan yritysten pilvipalveluihin.

Kyberturvallisuusteknologia on kehittynyt viime vuosina niin paljon, että tehokkain ja nopein tapa päästä yritysten tietoihin ei suinkaan ole murtaa teknologian tarjoamaa suojaa, vaan huijata käyttäjää tekemään jotain, joka mahdollistaa luvattoman pääsyn. Analogiana on helpompi huijata ihmistä antamaan maksukortin tiedot, kun murtautua pankkiin.

Sähköposti on kyberhyökkäyksissä usein avain onneen

Sähköpostin hyödyntäminen on edelleenkin ensisijainen keino hyökkääjille sekä rikoksen suorittamiseen että sen aloittamiseen. Perinteisen tiedon kalastelun keinoin varastetaan salasanoja ja tunnuslukuja.

Kohdennettujen viestien avulla pyritään usein niin sanottuihin laskutus- ja toimitusjohtajahuijauksiin. Näissä hyökkäyksissä rikollisen tavoitteena on saada yritys maksamaan väärennetty lasku. Lasku toimitetaan esimerkiksi toimitusjohtajan nimissä kiireellisenä laskustusosastolle ja maksusuoritus päätyy rikollisen tilille.

Elisa kouluttaa henkilöstöään jatkuvilla simuloiduilla kalasteluviesteillä, jotka muistuttavat aitoja hyökkäyksiä. Simulaatioharjoittelu on rakennettu pelin muotoon, tarkoittaen sitä, että koulutukseen osallistuvat ihmiset kilpailevat keskenään kuka löytää eniten kalastelusimulaatioviestejä ja kuinka nopeasti. Samalla tavalla henkilöstö raportoi myös aidot kalastelu-uhat.

Lisäksi kvartaaleittain järjestetään palkintotilaisuus, jossa parhaiten suoriutuneet henkilöt julkistetaan ja palkitaan sekä jaetaan yleisesti tietoa elisalaisten kyvystä havaita ja raportoida sähköpostitse tulevia kyberuhkia.

Elisa kehittää aktiivisesti omia kyberturvakyvykkyyksiään ja tarjoaa samoja hyväksi todettuja palveluita myös asiakkailleen. Yhdessä Elisan kanssa yritykset pystyvät kehittämään kyberturvakyvykkyyksiään kokonaisvaltaisesti alkaen verkon turvallisuudesta aina henkilöstön kyberturvataitoihin.

Elisan omat kyberturvallisuuden periaatteet ovat läpinäkyvyys, selkeä viestintä, vahva sidosryhmäyhteistyö, suojausten kerroksellisuus ja toiminnan jatkuva kehittäminen. Läpinäkyvyyden nimissä Elisa onkin kuvannut keskeisimmät kyberkyvykkyydet yhdelle sivustolle, johon kaikessa muussa sisäisessä kommunikaatiossa viitataan.

Kyberuhat tutuiksi tarinoiden keinoin

Toinen tehokas tapa ylläpitää kyberturvatietoisuutta ja luoda avoimuuden kulttuuria on tarinoiden kerronta. Elisa julkaisi vuonna 2020 sisäisen juttusarjan ”Cyber War Stories”, joka kertoo Elisalla tapahtuneista kyberturvahaasteista. Juttusarja alkoi ihmisten haastatteluilla ja jatkuu loppuvuoden sarjakuvien merkeissä.

Sarjakuvia tullaan hyödyntämään myös Elisan tietoturvaperiaatteiden viestinnässä vuosittaisten verkkokoulutusten tukena – tarinan kautta pyritään siis poistamaan kyberturvan yllä olevaa mustaa huppua.

Elisan tietoturvatiimi tekee myös aktiivisesti vierailuita vakiintuneisiin, koko Elisalle suunnattuihin viestintätilaisuuksiin ja kehittää keinoja omaan systemaattiseen viestintään. Tästä esimerkkeinä ”Cyber Menu” -niminen sisäinen julkaisu, jonka kautta kyberturvallisuuden tilannekuvaa viestitään elisalaisille, sekä reaaliaikainen, aktiivinen ja määrämuotoinen viestintä havaituista uhista.

Lokakuu on kansainvälinen kyberturvallisuuskuukausi ja myös Elisa on suunnitelmallisesti aloittanut kyberturvallisuusviestinnän eri kanavissa, sisäisesti ja ulkoisesti. Tästä esimerkkinä on muutama viikko sitten julkaistu kirjoitus sosiaalisesta manipuloinnista.

Lue myös

Kyberhyökkäyksen anatomia – näin tapahtuu tietomurto

Tietoisuuden kasvattaminen ja harjoittelu ovat kalastelun torjunnan A ja O

Näin Caruna pitää kyberrikolliset pois sähköverkosta

Harjoittelu on tärkeä osa kyberuhkiin varautumista

Avainsanat

Ota yhteyttä Kaikki artikkelit Kaikki artikkelit

Kirjoittanut

Teemu Mäkelä
Chief Information Security Officer

Elisa Oyj:n tietoturvajohtaja (CISO) Teemu Mäkelä on liiketoimintakeskeinen kyberturvallisuusjohtaja, jolla on yli 25 vuoden käytännön kokemus alasta. Teemu on ihmislähtöisen turvallisuuden puolestapuhuja, joka uskoo, että kyberturvallisuus on mahdollisuus, ei este ja sen tulee aina perustua asianmukaiseen riskienhallintaan mahdollistamalla liiketoiminta. Hänen merkittävä panoksensa alalla sai tunnustusta, kun Suomen suurin kyberturvallisuuden ammattilaisten verkosto Tietoturva Ry valitsi hänet Vuoden CISOksi vuonna 2020.