Kohdistettu huijaussähköposti organisaatioiden tietoturvauhkana

Abstract

Tässä pro-gradu tutkielmassa käsitellään kohdistettua huijaussähköpos-tia organisaation tietoturvauhkana käyttäjien toiminnan näkökulmasta. Tutkielmassa kartoitettiin, mitkä tekijät ovat yhteydessä kohdistetulla huijaussähköpostilla huijatuksi tulemiseen. Tarkastelun kohteina olivat paitsi viestin ominaisuudet myös erilaiset yksilön ominaisuudet, kuten käyttäjän tietoisuus tietoturvariskeistä. Tutkielman aihe on tärkeä, koska organisaatiot ovat yhä riippuvaisempia tietojärjestelmien toiminnasta ja niissä olevista tiedoista. Kohdistetuista huijaussähköposteista voi aiheutua merkittäviä vahinkoja organisaatioille, ja mahdollisuus vahingoille on kasvanut viime vuosien aikana, kun teknologia ja hyökkäystekniikat ovat kehittyneet. Tutkimuksen otos koostui kolmestakymmenestä pankki- ja vakuutusalan organisaatioissa työskentelevästä henkilöstä.

Organisaation tietoturvan näkökulmasta kohdistettu huijaussähköposti (engl. spear phishing) on yksi haastavimmista tietoturvauhista. Teknisellä analyysillä pystytään suodattamaan yksinkertaiset huijaussähköpostit, mutta kohdistettuihin huijaussähköposteihin tekniset ratkaisut toimivat heikosti. Sillä viestin sisältö on personoitu nimenomaiselle sähköpostin vastaanottajalle, eivätkä viestit erotu selkeästi normaalista sähköpostiviestinnästä.

Tässä tutkielmassa muodostettiin lineaarisella regressioanalyysillä malli, joka selitti kohdistetulla huijaussähköpostilla huijatuksi tulemisen todennäköisyyttä. Tämä tutkimus osoitti, että sekä viestiin liittyvillä ominaisuuksilla, että yksilön ominaisuuksilla on yhteyttä huijatuksi tulemiseen kohdistetulla huijaussähköpostilla. Tutkimuksen mukaan, mitä mieluisammaksi tietotekniikan käyttö koettiin, sitä epätodennäköisemmin tuli huijatuksi kohdistetulla huijaussähköpostilla. Lisäksi korkea tietoisuus tietoturvan riskeistä yritykselle näyttäisi ehkäisevän huijatuksi tulemista. Toisaalta viestin ominaisuuksien hyväksi arvioitu luotettavuus ennakoi huijatuksi tulemista kohdistetulla huijaussähköpostilla. Tietoturvan teknisten suojamekanismien ohella käyttäjien koulutus ja asennekasvatus ovat keskeisiä keinoja organisaation tietoturvan kehittämisessä.

The aim of this study was to shed light on spear phishing as a threat for organizations' IT security from a user action point of view. This study examined which factors associate with the probability to fall for spear phishing email. The focus was both on email qualities and on individual factors such as awareness of IT security risks. This topic is important because organizations are increasingly dependent on availability of IT systems and information those contain. Spear phishing may cause remarkable damages to organizations and the probability of damages has increased during last years as technology and attack techniques have developed. The sample consisted of 30 employees working in banking and insurance sector.

Spear phishing is one of the most challenging security threat for organization IT security point of view. Technical filters can defend against simple phishing emails but spear phishing emails are less likely to be detected with technical solutions. Because spear phishing emails are crafted for certain receiver those are hard to point out from normal email flows.

Linear regression analysis showed that email qualities and individual factors predicted statistically significantly the probability to fraud with spear phishing email. The results indicated that that persons who feel pleasant to use information technology were less likely to be fraud with spear phishing email. In addition, knowledge of IT security risks for organization seems prevent probability to be fraud. However, email's features, high reliability seems to be associated with the probability to fall for spear phishing email. There is two key findings based on this study which helps organizations to concentrate resources for developing IT security. In addition to technical IT security, it is important to put effort on user's general IT and attitudinal education.