Ihmisvirheen rooli onnistuneissa tietomurroissa
Ei ole yhtään ihmistä elossa, joka ei tekisi virheitä. Itse asiassa virheiden tekeminen on keskeinen osa ihmiskokemusta - sen avulla me kasvamme ja opimme. Tietoturvallisuuden alalla ihmisvirheet jätetään kuitenkin aivan liian usein huomiotta.
IBM:n tutkimuksen mukaan ihmisvirheet ovat suurin syy 95 prosenttissa tietomurroissa. Toisin sanoen, jos ihmisvirheet voitaisiin jotenkin poistaa kokonaan, 19 20:stä tietomurrosta ei ehkä olisi tapahtunut lainkaan!
Miksi ihmisvirheet aiheuttavat niin paljon tietomurtoja, ja miksi nykyiset ratkaisut eivät ole pystyneet puuttumaan niihin? Tutustutaanpa ihmisvirheen taustalla olevaan tarinaan - ja siihen, mitä voit tehdä parantaaksesi työntekijöiden tietoturvakäyttäytymistä organisaatiossasi.
Mitä on ihmisvirhe tietoturvassa?
Kun puhutaan ihmisvirheestä tietoturvallisuuden alalla, termillä tarkoitetaan hieman eri asiaa kuin yleispuheessa.
Turvallisuuskontekstissa ihmisvirheellä tarkoitetaan työntekijöiden ja käyttäjien tahattomia toimia - tai toimimattomuutta - jotka aiheuttavat, levittävät tai sallivat tietomurron.
Tämä kattaa hyvin monenlaisia toimia - haittaohjelmalla saastuneen liitetiedoston lataamisesta vahvan salasanan käytön laiminlyöntiin - mikä on osasyy siihen, miksi siihen voi olla niin vaikea puuttua.
Yhä kehittyneemmissä ja monimutkaisemmissa työympäristöissämme meillä on yhä enemmän työkaluja ja palveluita, joita käytämme - ja meillä on käyttäjätunnuksia, salasanoja ja muita asioita, jotka meidän on muistettava jokaista niistä varten. Tämä kaikki kasautuu, ja jos työntekijöille ei tarjota vaihtoehtoisia, turvallisia ratkaisuja, he alkavat käyttää oikoteitä tehdäkseen elämästään helpompaa.
Aivan kuin tämä ei olisi riittänyt loppukäyttäjille, jotka joutuvat kamppailemaan oikeiden toimien tekemisestä, heidän on myös kohdattava jatkuva uhka siitä, että tietoverkkorikolliset vaikuttavat heidän päätöksentekoonsa. Sosiaalisella manipuloinnilla on yhä suurempi rooli kaikenlaisissa tietomurroissa, ja sitä käytetään hyväksi, kun työntekijät pystyvät luovuttamaan tietoja tai valtakirjoja suoraan pahantekijöiden käsiin ilman, että heidän tarvitsee kirjoittaa riviäkään haittaohjelmaan tai ohjelmistohyökkäykseen.
Ihmisvirheen tyypit
Vaikka ihmisvirheen mahdollisuudet ovat lähes rajattomat, ne voidaan jakaa karkeasti kahteen eri tyyppiin: taitoihin ja päätöksiin perustuviin virheisiin. Näiden kahden välinen ero perustuu lähinnä siihen, oliko henkilöllä tarvittava tietämys oikean toimenpiteen suorittamiseksi.
Taitoihin perustuvat virheet
Taitoihin perustuvat ihmisvirheet koostuvat lipsahduksista ja virheistä: pienistä virheistä, joita tapahtuu tuttuja tehtäviä ja toimintoja suoritettaessa. Näissä tilanteissa loppukäyttäjä tietää, mikä on oikea toimintatapa, mutta ei tee sitä tilapäisen virheen, erehdyksen tai huolimattomuuden vuoksi. Nämä voivat johtua siitä, että työntekijä on väsynyt, ei ole tarkkaavainen, on hajamielinen tai hänen muistinsa on muuten hetkellisesti pätkinyt.
Päätöksentekoon perustuvat virheet
Päätöksentekoon perustuvia virheitä ovat tilanteet, joissa käyttäjä tekee virheellisen päätöksen. Tähän voi vaikuttaa useita eri tekijöitä: usein käyttäjällä ei ole tarvittavaa tietämystä, hänellä ei ole riittävästi tietoa tietystä tilanteesta tai hän ei edes tajua tekevänsä päätöstä toimimattomuutensa vuoksi.
Lue, miten usecure auttaa yrityksiä edistämään turvallista käyttäytymistä älykkäästi automatisoidulla tietoturvallisuuskoulutuksella, jota työntekijät rakastavat.
Esimerkkejä ihmisvirheestä liiketoiminnassa
Ihmisvirheet voivat vaarantaa yrityksesi tietoturvan lähes loputtomalla määrällä eri tapoja, mutta tietyntyyppiset virheet ovat yleisempiä kuin muut. Tarkastellaanpa joitakin näistä erittäin yleisistä virheistä.Toimitusvirhe
Virhetoimitus - jonkin viestin lähettäminen väärälle vastaanottajalle - on yleinen uhka yritysten tietoturvalle. Verizonin vuoden 2018 tietoturvaloukkausraportin mukaan virhetoimitus oli viidenneksi yleisin syy kaikkiin verkkoturvaloukkauksiin. Koska monet ihmiset luottavat sähköpostiohjelmiensa automaattisten ehdotusten kaltaisiin ominaisuuksiin, kuka tahansa käyttäjä voi helposti lähettää luottamuksellisia tietoja vahingossa väärälle henkilölle, jos hän ei ole varovainen.
Yksi vakavimmista ihmisvirheiden aiheuttamista tietomurroista oli se, että eräs NHS:n vastaanotto paljasti yli 800 HIV-klinikalla käyneen potilaan sähköpostiosoitteet (ja siten nimet). Miten virhe tapahtui? Työntekijä, joka lähetti sähköposti-ilmoituksen HIV-potilaille, kirjoitti vahingossa heidän sähköpostiosoitteensa "to"-kenttään eikä "bcc"-kenttään, jolloin heidän tietonsa paljastuivat toisilleen. Tämä on klassinen esimerkki taitoihin perustuvasta virheestä, sillä työntekijä tiesi oikean toimintatavan, mutta ei yksinkertaisesti ollut tarpeeksi huolellinen varmistaakseen, että hän teki sen, mitä aikoi.
Salasanaongelmat
Ihmiset ja salasanat eivät yksinkertaisesti tule toimeen keskenään. YK:n kansallisen kyberturvallisuuskeskuksen vuoden 2019 raportin faktat antavat synkän kuvan: 123456 on edelleen maailman suosituin salasana, ja 45 prosenttia ihmisistä käyttää pääsähköpostitilinsä salasanaa uudelleen muissa palveluissa. Sen lisäksi, että kouluttamattomat käyttäjät eivät luo vahvoja, yksilöllisiä salasanoja, he tekevät monia muitakin salasanavirheitä, kuten kirjoittavat salasanoja post-it-lappuihin näyttöönsä tai jakavat niitä kollegoilleen.
Tietoturvapäivitykset
Verkkorikolliset etsivät jatkuvasti uusia heikkouksia ohjelmistoista. Kun haavoittuvuuksia löydetään, ohjelmistokehittäjät pyrkivät korjaamaan haavoittuvuuden ja lähettämään päivityksen kaikille käyttäjille, ennen kuin verkkorikolliset ehtivät vaarantaa lisää käyttäjiä. Siksi on tärkeää, että käyttäjät asentavat tietoturvapäivitykset tietokoneisiinsa heti, kun ne ovat saatavilla. Valitettavasti loppukäyttäjät viivyttelevät päivitysten asentamista useimmiten - ja sillä on ikävät seuraukset.
Vuoden 2017 WannaCry-lunnasohjelmahyökkäys vaikutti satoihin tuhansiin tietokoneisiin maailmanlaajuisesti ja aiheutti yrityksille ja organisaatioille miljoonien dollarien vahingot. Microsoft oli kuitenkin korjannut hyökkäyksessä käytetyn EternalBlue-nimellä tunnetun haavoittuvuuden kuukausia ennen hyökkäyksiä. Jos kyseisiin tietokoneisiin olisi vain ladattu ja asennettu tietoturvapäivitys, ne eivät olisi koskaan joutuneet vaaraan.
Fyysiset turvallisuusvirheet
Vaikka tietomurrot johtuvat useimmiten verkkohyökkäyksistä, yritykset ovat alttiita myös fyysisille uhkille. Luvaton henkilö voi varastaa luottamuksellisia tietoja ja valtakirjoja tai saada niitä nähtäväkseen, jos hän pääsee turvattuihin tiloihin.
Fyysisiä turvallisuusvirheitä on monenlaisia, mutta yksi yleisimmistä on arkaluonteisten asiakirjojen jättäminen vartioimatta työpöydille, kokoushuoneisiin tai jopa tulostimen tulostusalustoille. Kuka tahansa, joka pääsee yrityksen tiloihin, voi sitten vain ottaa asiakirjan haltuunsa ilman, että kukaan edes huomaa sen kadonneen.
Toinen hyvin yleinen fyysisen turvallisuuden virhe on tailgating-hyökkäyksen salliminen. Tailgating tarkoittaa sitä, että luvaton henkilö seuraa jotakuta turvallisen oven tai esteen läpi - yleensä yksinkertaisesti kävelemällä läheltä hänen perässään. Monet työntekijät kokevat epäkohteliasta kiistää, että joku seuraa heidän takanaan ovesta sisään, mikä takaa korkean onnistumisprosentin seuraamisyrityksissä.
Mitkä tekijät aiheuttavat ihmisvirheitä?
Ihmisvirheisiin vaikuttavat monet eri tekijät, mutta useimmat niistä tiivistyvät näihin kolmeen: tilaisuus, ympäristö ja tietoisuuden puute.
Mahdollisuus
Ihmisvirheitä voi tapahtua vain silloin, kun siihen on mahdollisuus. Tämä saattaa tuntua itsestään selvältä, mutta mitä enemmän mahdollisuuksia on mennä pieleen, sitä suurempi on todennäköisyys, että virhe tehdään jossain vaiheessa.
Ympäristö
Monet ympäristötekijät voivat lisätä virheiden todennäköisyyttä.
Työpaikan fyysinen ympäristö voi vaikuttaa merkittävästi virheiden määrään. Jokainen rakennustyömaan työntekijä voi kertoa, että virheet ovat yleisempiä kiehuvan kuumina tai hyytävän kylminä päivinä - nämä seikat pätevät myös toimistoihin. Oikea toimiston lämpötila on tärkeä näkökohta, mutta myös yksityisyys, melutaso ja ryhti voivat lisätä virhealttiutta.
Kulttuurilla on myös tärkeä rooli ympäristönäkökohdissa. Usein loppukäyttäjät tietävät oikean toimintatavan, mutta eivät toteuta sitä, koska on olemassa helpompi tapa tehdä asiat tai koska he eivät yksinkertaisesti pidä sitä tärkeänä. Kulttuuri, jossa turvallisuus jää aina taka-alalle, johtaa siihen, että virheet yleistyvät.
Tietoisuuden puute
Suuri osa ihmisvirheistä johtuu siitä, että loppukäyttäjät eivät yksinkertaisesti tiedä, mikä on oikea toimintatapa. Esimerkiksi käyttäjät, jotka eivät ole tietoisia tietojenkalasteluriskistä, lankeavat paljon todennäköisemmin tietojenkalasteluyrityksiin, ja jos joku ei tiedä julkisten Wi-Fi-verkkojen riskejä, hänen tietonsa varastetaan nopeasti. Tietämyksen puute ei lähes koskaan ole käyttäjän vika, mutta organisaation olisi puututtava siihen, jotta loppukäyttäjillä olisi tarvittavat tiedot ja taidot, jotta he voivat pitää itsensä ja yrityksensä turvassa.
Miten estää ihmisvirheet yrityksessäsi?
Ihmisvirheitä voi tapahtua vain silloin, kun siihen on mahdollisuus, ja siksi on tärkeää poistaa virhemahdollisuudet mahdollisimman hyvin. Samaan aikaan loppukäyttäjät jatkavat virheiden tekemistä, jos he eivät tiedä, mitkä ovat oikeat toimet ja mitkä ovat riskit. Tämän kuilun ylittämiseksi on tärkeää lähestyä ihmisvirheitä molemmilta puolilta, jotta organisaatiollesi voidaan luoda kattava puolustus.
Vähennä mahdollisuuksia
Työtapojen, rutiinien ja tekniikoiden muuttaminen siten, että virheiden mahdollisuus vähenee järjestelmällisesti, on paras tapa aloittaa lieventämistoimet. Vaikka tapa, jolla saavutat tämän, riippuu yrityksesi erityisistä toiminnoista ja ympäristöistä, on olemassa joitakin yleisiä suuntaviivoja ihmisvirheiden mahdollisuuksien vähentämiseksi.
Käyttöoikeuksien hallinta: varmista, että käyttäjilläsi on pääsy vain niihin tietoihin ja toimintoihin, joita he tarvitsevat roolinsa hoitamiseen. Tämä vähentää paljastuvien tietojen määrää, vaikka käyttäjä tekisi virheen, joka johtaa tietomurtoon.
Salasanojen hallinta: Koska salasanoihin liittyvät virheet ovat suurin ihmisvirheiden riski, käyttäjien etäännyttäminen salasanoista voi auttaa vähentämään riskejä. Salasanahallintasovellusten avulla käyttäjät voivat luoda ja tallentaa vahvoja salasanoja ilman, että heidän tarvitsee muistaa niitä tai kirjoittaa niitä post-it-lappuihin. Sinun tulisi myös määrätä yrityksesi käyttämään kaksitekijätodennusta, jotta tilisi saavat lisäsuojaa.
Muuta kulttuuriasi
Turvallisuuskeskeinen kulttuuri on avainasemassa ihmisvirheiden vähentämisessä. Turvallisuuskulttuurissa turvallisuus otetaan huomioon kaikissa päätöksissä ja toimissa, ja loppukäyttäjät etsivät aktiivisesti turvallisuusongelmia ja keskustelevat niistä, kun he kohtaavat niitä.
Voit tehdä monia asioita, joilla voit auttaa luomaan organisaatiossasi turvallisuushenkisen kulttuurin.
Rohkaise keskustelua. Yksi parhaista tavoista varmistaa, että turvallisuus pysyy esillä, on saada ihmiset puhumaan siitä. Nosta esiin turvallisuuteen liittyviä keskusteluaiheita ja varmista, että ne liittyvät loppukäyttäjien päivittäiseen työhön, jotta he osallistuvat todennäköisemmin. Tämä auttaa heitä näkemään, mitä kukin voi tehdä henkilökohtaisesti organisaation turvallisuuden ylläpitämiseksi.
Tee kysymysten esittäminen helpoksi. Osana oppimisprosessia loppukäyttäjät törmäävät todennäköisesti moniin tilanteisiin, joissa he eivät ole varmoja turvallisuusvaikutuksista. Näissä tilanteissa on parempi, että he kysyvät sinulta tai joltakulta muulta tietävältä henkilöltä kuin että he arvaavat ja ottavat riskin, että he tekevät itse väärän valinnan. Varmista, että joku on aina saatavilla vastaamaan loppukäyttäjien kysymyksiin ystävällisesti, ja palkitse käyttäjät, jotka esittävät hyviä kysymyksiä.
Käytä julisteita ja muistutuksia. Turvallisuusjulisteet ja -vinkit toimivat pieninä muistutuksina, jotka auttavat varmistamaan, että loppukäyttäjät ajattelevat turvallisuutta koko työpäivän ajan. Esimerkiksi vahvoista salasanoista kertovan julisteen avulla käyttäjät näkevät helposti, mitkä ovat vaatimukset yritystilien pitämiseksi turvassa.
Tietämyksen puutteen korjaaminen koulutuksella
Vaikka virhemahdollisuuksien vähentäminen on olennaista, virheiden syitä on lähestyttävä myös ihmisnäkökulmasta. Kouluttamalla työntekijöitäsi tietoturvan perusasioista ja parhaista käytännöistä he voivat tehdä parempia päätöksiä, ja heidän avullaan he voivat pitää tietoturvan mielessään ja hakea lisäohjeita, kun he eivät ole varmoja siitä, mitä seurauksia tietyllä toiminnalla on.
Kouluta työntekijät kaikista keskeisistä tietoturva-aiheista: Koska ihmisvirheet voivat ilmetä hyvin monin eri tavoin, on tärkeää, että koulutat työntekijät perustasolla kaikista tietoturva-aiheista, joita he saattavat kohdata päivittäisessä työssään. Sähköpostin, internetin ja sosiaalisen median käyttö sekä tietojenkalastelu- ja haittaohjelmakoulutus ovat vainosa aiheista, jotka koulutuksen tulisi kattaa.
Koulutuksen on oltava mukaansatempaavaa ja merkityksellistä: Sinun on varmistettava, että koulutus ei saa heitä nukahtamaan. Vuorovaikutteiset koulutukset, joissa käytetään kuva- ja videosisältöä, ovat paljon tehokkaampia kuin tunnin mittaiset PowerPoint-istunnot. Koulutusta ei myöskään pitäisi järjestää vuosittaisina istuntoina, jotka työntekijäsi unohtavat viikon kuluttua, vaan sen pitäisi toistua säännöllisesti koko työelämän ajan lyhyessä ja helposti omaksuttavassa muodossa.
Ihmisten ei tarvitse olla heikoin lenkki.
Aloitimme tämän artikkelin pelottavalla tilastolla siitä, kuinka monta tietoturvaloukkausta aiheutuu ihmisvirheistä - mutta tätä tilastoa voi ajatella myös toisella tavalla. Jos 95 prosenttia tietoturvaloukkauksista johtuu ihmisvirheistä, pienimmätkin toimet ihmisvirheiden vähentämiseksi voivat parantaa turvallisuutta valtavasti.
Ihmisvirheiden vähentäminen on toteutettava kahdesta näkökulmasta: vähentämällä mahdollisuuksia ja kouluttamalla käyttäjiä. Mitä vähemmän mahdollisuuksia virheisiin on, sitä vähemmän käyttäjien tietämystä testataan - ja mitä enemmän käyttäjillä on tietoa, sitä epätodennäköisempää on, että he tekevät virheen silloinkin, kun heillä on siihen tilaisuus.
Me usecure-yhtiössä edistämme lähestymistapaa, joka kannustaa sinua näkemään ihmisriskit eri valossa. Kouluttamattomat loppukäyttäjät saattavat olla organisaatiosi heikoin lenkki, mutta oikeilla työkaluilla ja koulutuksella voit antaa heille mahdollisuuden toimia ensimmäisenä puolustuslinjana hyökkäyksiä tai tietoturvaloukkauksia vastaan, mikä turvaa liiketoimintasi pitkällä aikavälillä.
Aloita ihmisten muuttaminen vahvimmaksi puolustuslinjaksi.
usecure on ihmisriskien hallintaratkaisu (HRM), jonka avulla yritykset voivat vähentää käyttäjiin liittyviä tietomurtoja, rakentaa kyberkestävän työvoiman ja saavuttaa vaatimustenmukaisuusstandardit automaattisten käyttäjäkoulutusohjelmien avulla.
Johtavien IT-ammattilaisten ja hallinnoitujen palveluntarjoajien (MSP) luottamuksen ansainnut usecure analysoi, vähentää ja valvoo ihmisten kyberriskiä riskilähtöisten turvatietoisuuskoulutusohjelmien, simuloitujen tietojenkalastelu-kampanjoiden, yksinkertaistetun käytäntöjen hallinnan ja jatkuvan pimeän verkon tietoturvaloukkausten seurannan avulla - kaikki yhdeltä alustalta.