Protecting against social engineering attacks in a corporate environment

Tämän Pro gradu –tutkielman tarkoitus on tutkia yritysten tapoja suojautua käyttäjän manipulointiin (eng. Social Engineering) pyrkiviltä hyökkäyksiltä. Tutkielma toteutettiin kirjallisuuskatsauksen ja haastatteluihin perustuvan kvalitatiivisen tutkimuksen keinoin. Tutkimuksen haastateltavat edustavat Suomen suurimpien yritysten tietoturvajohtoa. Työn kirjallisuuskatsaus tarkastelee käyttäjän manipulointia ilmiönä eri näkökulmista. Ensin määritellään käyttäjän manipulointi käsitteenä, minkä jälkeen tarkastellaan erilaisia käyttäjän manipulointiin tähtääviä hyökkäysmalleja ja metodeja. Hyökkäysmetodit luokitellaan taksonomisesti aiempaan kirjallisuuteen perustuen. Lopuksi tarkastellaan erilaisia keinoja suojautua käyttäjän manipulointiin tähtääviltä hyökkäyksiltä. Kirjallisuuskatsaus luo pohjan työn empiiriselle tutkimukselle, jossa tarkastellaan keinoja, joita yritykset ovat käyttöönottaneet sosiaaliselta manipuloinnilta suojautumiseen reaalimaailmassa. Tehdyn tutkimuksen perusteella käyttäjän manipulointi voidaan määritellä toiminnaksi, jossa ihmismielen heikkouksia hyväksikäyttämällä pyritään manipuloimaan uhria siten, että saataisiin tämä joko luovuttamaan arkaluontoista tietoa, tai sallimaan siihen pääsy. Tutkimuksen perusteella vaikuttaa siltä, että suomalaiset organisaatiot ovat suojautuneet käyttäjän manipuloinnilta melko hyvin. Kehityskohteita vaikuttaa kuitenkin olevan erityisesti käyttäjien koulutuksessa ja fyysisen turvallisuuden kontrolleissa.