Henkilöstön kouluttaminen on yksi tehokkaimmista keinoista taistella kyberuhkia vastaan

Kyberturvallisuus on kansalaistaito, joka tulisi jokaiselta nykypäivän digitaalisessa maailmassa toimivalta ihmiseltä löytyä. Tätä taitoa pitää ylläpitää jatkuvasti koulutuksella ja kertomalla ihmisille ajankohtaisista riskeistä – samalla tavalla kuin fyysistä kuntoa pitää ylläpitää treenaamalla. Yrityksille henkilöstön jatkuva ja läpinäkyvä kouluttaminen on tehokas keino suojautua kyberuhilta.

Kyberhyökkäykset kehittyvät ja jäljittelevät nopealla syklillä maailmalla tapahtuvia ilmiöitä. Esimerkiksi ”koronakevään” aikana nähtiin paljon COVID-19 -aiheisia huijaussähköposteja. Lisäksi vaikkapa pilvipalveluihin siirtyminen ohjaa myös kyberrikollisia murtautumaan yritysten pilvipalveluihin.

Kyberturvallisuusteknologia on kehittynyt viime vuosina niin paljon, että tehokkain ja nopein tapa päästä yritysten tietoihin ei suinkaan ole murtaa teknologian tarjoamaa suojaa, vaan huijata käyttäjää tekemään jotain, joka mahdollistaa luvattoman pääsyn. Analogiana on helpompi huijata ihmistä antamaan maksukortin tiedot, kun murtautua pankkiin.

Sähköposti on kyberhyökkäyksissä usein avain onneen

Sähköpostin hyödyntäminen on edelleenkin ensisijainen keino hyökkääjille sekä rikoksen suorittamiseen että sen aloittamiseen. Perinteisen tiedon kalastelun keinoin varastetaan salasanoja ja tunnuslukuja. Kohdennettujen viestien avulla pyritään usein niin sanottuihin laskutus- ja toimitusjohtajahuijauksiin. Näissä hyökkäyksissä rikollisen tavoitteena on saada yritys maksamaan väärennetty lasku. Lasku toimitetaan esimerkiksi toimitusjohtajan nimissä kiireellisenä laskustusosastolle ja maksusuoritus päätyy rikollisen tilille.

Elisa kouluttaa henkilöstöään jatkuvilla simuloiduilla kalasteluviesteillä, jotka muistuttavat aitoja hyökkäyksiä. Simulaatioharjoittelu on rakennettu pelin muotoon, tarkoittaen sitä, että koulutukseen osallistuvat ihmiset kilpailevat keskenään kuka löytää eniten kalastelusimulaatioviestejä ja kuinka nopeasti. Samalla tavalla henkilöstö raportoi myös aidot kalastelu-uhat. Lisäksi kvartaaleittain järjestetään palkintotilaisuus, jossa parhaiten suoriutuneet henkilöt julkistetaan ja palkitaan sekä jaetaan yleisesti tietoa elisalaisten kyvystä havaita ja raportoida sähköpostitse tulevia kyberuhkia.

Elisa kehittää aktiivisesti omia kyberturvakyvykkyyksiään ja tarjoaa samoja hyväksi todettuja palveluita myös asiakkailleen. Yhdessä Elisan kanssa yritykset pystyvät kehittämään kyberturvakyvykkyyksiään kokonaisvaltaisesti alkaen verkon turvallisuudesta aina henkilöstön kyberturvataitoihin. Elisan omat kyberturvallisuuden periaatteet ovat läpinäkyvyys, selkeä viestintä, vahva sidosryhmäyhteistyö, suojausten kerroksellisuus ja toiminnan jatkuva kehittäminen. Läpinäkyvyyden nimissä Elisa onkin kuvannut keskeisimmät kyberkyvykkyydet yhdelle sivustolle, johon kaikessa muussa sisäisessä kommunikaatiossa viitataan.

Kyberuhat tutuiksi tarinoiden keinoin

Toinen tehokas tapa ylläpitää kyberturvatietoisuutta ja luoda avoimuuden kulttuuria on tarinoiden kerronta. Elisa julkaisi vuonna 2020 sisäisen juttusarjan ”Cyber War Stories”, joka kertoo Elisalla tapahtuneista kyberturvahaasteista. Juttusarja alkoi ihmisten haastatteluilla ja jatkuu loppuvuoden sarjakuvien merkeissä. Sarjakuvia tullaan hyödyntämään myös Elisan tietoturvaperiaatteiden viestinnässä vuosittaisten verkkokoulutusten tukena – tarinan kautta pyritään siis poistamaan kyberturvan yllä olevaa mustaa huppua. Elisan tietoturvatiimi tekee myös aktiivisesti vierailuita vakiintuneisiin, koko Elisalle suunnattuihin viestintätilaisuuksiin ja kehittää keinoja omaan systemaattiseen viestintään. Tästä esimerkkeinä ”Cyber Menu” -niminen sisäinen julkaisu, jonka kautta kyberturvallisuuden tilannekuvaa viestitään elisalaisille, sekä reaaliaikainen, aktiivinen ja määrämuotoinen viestintä havaituista uhista.

Lokakuu on kansainvälinen kyberturvallisuuskuukausi ja myös Elisa on suunnitelmallisesti aloittanut kyberturvallisuusviestinnän eri kanavissa, sisäisesti ja ulkoisesti. Tästä esimerkkinä on muutama viikko sitten julkaistu kirjoitus sosiaalisesta manipuloinnista.

Kirjoittanut

Kirjoittaja työskentelee Elisan tietoturvajohtajana vastuullaan kyberturvallisuuden kokonaisuus. Mäkelä on työskennellyt lähes 20 vuotta tietoturva- ja tietoliikenne-alalla ja hänellä on kokemusta niin suurista kansainvälisistä ICT-alan yrityksistä kuin alan konsultoinnista. Teemu Mäkelä sai syksyllä 2020 Vuoden Tietoturvapäällikkö® -tunnustuksen.