Kohdistettu huijaussähköposti organisaatioiden tietoturvauhkana

Tässä pro-gradu tutkielmassa käsitellään kohdistettua huijaussähköpos-tia organisaation tietoturvauhkana käyttäjien toiminnan näkökulmasta. Tutkielmassa kartoitettiin, mitkä tekijät ovat yhteydessä kohdistetulla huijaussähköpostilla huijatuksi tulemiseen. Tarkastelun kohteina olivat paitsi viestin ominaisuudet myös erilaiset yksilön ominaisuudet, kuten käyttäjän tietoisuus tietoturvariskeistä. Tutkielman aihe on tärkeä, koska organisaatiot ovat yhä riippuvaisempia tietojärjestelmien toiminnasta ja niissä olevista tiedoista. Kohdistetuista huijaussähköposteista voi aiheutua merkittäviä vahinkoja organisaatioille, ja mahdollisuus vahingoille on kasvanut viime vuosien aikana, kun teknologia ja hyökkäystekniikat ovat kehittyneet. Tutkimuksen otos koostui kolmestakymmenestä pankki- ja vakuutusalan organisaatioissa työskentelevästä henkilöstä. Organisaation tietoturvan näkökulmasta kohdistettu huijaussähköposti (engl. spear phishing) on yksi haastavimmista tietoturvauhista. Teknisellä analyysillä pystytään suodattamaan yksinkertaiset huijaussähköpostit, mutta kohdistettuihin huijaussähköposteihin tekniset ratkaisut toimivat heikosti. Sillä viestin sisältö on personoitu nimenomaiselle sähköpostin vastaanottajalle, eivätkä viestit erotu selkeästi normaalista sähköpostiviestinnästä. Tässä tutkielmassa muodostettiin lineaarisella regressioanalyysillä malli, joka selitti kohdistetulla huijaussähköpostilla huijatuksi tulemisen todennäköisyyttä. Tämä tutkimus osoitti, että sekä viestiin liittyvillä ominaisuuksilla, että yksilön ominaisuuksilla on yhteyttä huijatuksi tulemiseen kohdistetulla huijaussähköpostilla. Tutkimuksen mukaan, mitä mieluisammaksi tietotekniikan käyttö koettiin, sitä epätodennäköisemmin tuli huijatuksi kohdistetulla huijaussähköpostilla. Lisäksi korkea tietoisuus tietoturvan riskeistä yritykselle näyttäisi ehkäisevän huijatuksi tulemista. Toisaalta viestin ominaisuuksien hyväksi arvioitu luotettavuus ennakoi huijatuksi tulemista kohdistetulla huijaussähköpostilla. Tietoturvan teknisten suojamekanismien ohella käyttäjien koulutus ja asennekasvatus ovat keskeisiä keinoja organisaation tietoturvan kehittämisessä.