Yksi yritysten suurimmista huolenaiheista on suojautuminen digitaalisilta uhilta. Ja vaikka otettaisiin käyttöön useita toimenpiteitä, sovelluksia ja innovatiivisia ratkaisuja tunkeutumisten ja tietovarkauksien estämiseksi, ongelma riippuu paitsi edistyneistä teknologioista myös ihmisten käyttäytymisestä. Näin toteaa dataRainin kyberturvallisuusasiantuntija Leonardo Baiardi, joka huomauttaa, että 74 % kyberhyökkäyksistä johtuu inhimillisistä tekijöistä. Johtaja korostaa, kuinka riittävä työntekijöiden koulutus voi olla olennaista tehokkaan turvallisuusstrategian kannalta.
Baiardi pitää ihmistä heikoimpana lenkkinä kyberriskien käsittelyssä yritysympäristössä. "Jokaisen yrityksessä on ymmärrettävä, että he ovat vastuussa tietoturvasta, ja tämä saavutetaan vain koulutuksen, vastuullisuuden ja osastojen välisen viestinnän avulla. Kaikkien on oltava tietoisia riskeistä, joille he altistuvat."
Asiantuntijan lausunto täydentää Proofpointin vuoden 2023 ihmistekijöitä käsittelevän raportin havaintoja, jotka korostavat ihmistekijöiden merkittävää roolia tietoturvahaavoittuvuuksissa. Tutkimus paljastaa mobiililaitteiden kautta tehtyjen sosiaalisen manipuloinnin hyökkäysten määrän kaksitoistakertaistuneen. Kyseessä on hyökkäystyyppi, joka alkaa näennäisesti harmittomilla viesteillä ja luo suhteita. Baiardin mukaan tämä tapahtuu, koska ihmisen käyttäytymistä voidaan manipuloida. "Kuten legendaarinen hakkeri Kevin Mitnick sanoi, ihmismieli on helpoin resurssi hakkeroida. Loppujen lopuksi ihmisillä on emotionaalinen kerros, joka on erittäin altis ulkoisille vaikutuksille, mikä voi johtaa harkitsemattomiin toimiin, kuten haitallisten linkkien napsauttamiseen tai arkaluonteisten tietojen jakamiseen", hän sanoo.
Myös monivaiheisen todennuksen (MFA) ohittamiseen suunnitellut tietojenkalastelupaketit ja pilvipohjaiset hyökkäykset, joiden kohteena on noin 94 % käyttäjistä joka kuukausi, ovat raportissa yleisimmin kirjattujen uhkien joukossa.
Yleisimmät virheet
Yleisimpiin tietoturvaloukkauksiin johtaviin virheisiin Baiardi listaa sähköpostien aitouden tarkistamatta jättämisen, tietokoneiden jättämisen lukitsematta, julkisten Wi-Fi-verkkojen käytön yritystietojen käyttämiseen ja ohjelmistopäivitysten viivyttelyn.
”Tällainen toiminta voi avata ovia tunkeutumisille ja tietojen vaarantumiselle”, hän selittää. Huijausten uhrien välttämiseksi asiantuntija suosittelee välttämään epäilyttävien linkkien napsauttamista. Siksi hän ehdottaa lähettäjän, sähköpostiverkkotunnuksen ja viestin kiireellisyyden tarkistamista. ”Jos epäilyksiä on edelleen, vinkki on jättää hiiren osoitin linkin päälle napsauttamatta sitä, jolloin näet koko URL-osoitteen. Jos se näyttää epäilyttävältä, se on todennäköisesti haitallinen”, hän neuvoo.
Tietojenkalastelu
Tietojenkalastelu on yksi suurimmista kyberuhista, ja se käyttää hyökkäysvektorina yritysten sähköpostia. Suojautumiseksi siltä Baiardi ehdottaa monikerroksista lähestymistapaa: työntekijöiden tiedottamista ja koulutusta sekä vankkoja teknisiä toimenpiteitä.
Ohjelmistojen ja käyttöjärjestelmien pitäminen ajan tasalla on elintärkeää haavoittuvuuksien vähentämiseksi. ”Uusia haavoittuvuuksia syntyy päivittäin. Helpoin tapa vähentää riskejä on pitää järjestelmät ajan tasalla. Toimintakriittisissä ympäristöissä, joissa jatkuvat päivitykset eivät ole mahdollisia, tarvitaan vankempi strategia.”
Hän antaa käytännön esimerkin siitä, miten tehokas koulutus auttaa estämään hyökkäyksiä. "Tietojenkalastelusimulaatioiden ja -koulutuksen käyttöönoton jälkeen havaitsimme merkittävän kasvun työntekijöiden tekemissä tietojenkalasteluyrityksistä tehdyissä ilmoituksissa, mikä osoittaa hienostuneempaa kriittistä tajua uhkien edessä."
Koulutuksen tehokkuuden mittaamiseksi Baiardi ehdottaa selkeän laajuuden määrittelyä ja säännöllisten simulaatioiden suorittamista ennalta määriteltyjen mittareiden avulla. "On tarpeen mitata työntekijöiden mahdollisiin uhkiin liittyvien reaktioiden määrää ja laatua."
Johtaja viittaa kyberturvallisuuskoulutusyritys Knowbe4:n raporttiin, jonka mukaan Brasilia jäi jälkeen esimerkiksi Kolumbiasta, Chilestä, Ecuadorista ja Perusta. Vuoden 2024 kyselyssä korostetaan työntekijöiden ymmärrystä kyberturvallisuuden tärkeydestä, mutta he eivät todellisuudessa ymmärrä, miten uhat toimivat ja toimivat. Siksi siinä korostetaan organisaatiokulttuurin merkitystä turvallisten käytäntöjen edistämisessä: "Ilman hyvin toteutettua kyberturvallisuuskulttuuriohjelmaa on mahdotonta mitata yrityksen kypsyystasoa tällä osa-alueella."
Asiantuntija vastaa myös dataRainin kyberturvallisuustarjousten toimittamisesta. DataRain tarjoaa vankkoja ja nopeasti käyttöönotettavia ratkaisuja, kuten sähköpostin suojauksen, vaatimustenmukaisuuden ja haavoittuvuuksien arvioinnit, päätelaitteiden suojauksen ja pilvipalveluiden hallinnan. ”Kyberturvallisuus on jatkuva haaste, ja ihmiset ovat olennaisia tiedon suojauksen ja järjestelmien eheyden varmistamisessa. Koulutukseen ja tietoisuuteen investoiminen on investoimista koko organisaation turvallisuuteen. Kaikkiin toimituksiimme liittyy tiedonsiirtoa, jonka avulla voimme lisätä asiakkaan tietoisuutta uhkista”, hän päättelee.
