Tietojenkalastelu ja siitä ilmoittaminen suomalaisessa it-alan organisaatiossa

Abstract

Tämän pro-gradu tutkimuksen tarkoituksena on tutkia sitä miten suomalaisen IT-alan organisaation työntekijät reagoivat saamiinsa tietojenkalasteluviesteihin. Tämän lisäksi tutkimuksessa pyritään selvittämään, onko tietojenkalasteluviestien kehittyneisyydellä vaikutusta siihen, luodaanko kalasteluviestistä ilmoitus ja vaikuttaako tietojenkalastelun onnistumiseen se, avataanko viesti mobiililaitteella. Tutkimus koostuu kirjallisuuskatsauksesta, sekä tutkimusosiosta, joka suoritettiin kenttäkokeena, jota täydennettiin kahden otoksen suhteiden testillä suoritettavalla data-analyysillä, sekä haastatteluilla. Tutkimuksen aineisto koostuu kahdesta tietojenkalasteluaallosta, sekä niiden jälkeen suoritetuista haastatteluista. Tietojenkalasteluaallot suoritettiin osana kohdeorganisaatioon tehtävää tietojenkalastelusimulaatiota. Osana tutkimusta suoritettujen tietojenkalasteluaaltojen, sekä haastatteluiden avulla voitiin saada laadullista ja määrällistä dataa henkilöiden toiminnasta saatuaan tietojenkalasteluviestin. Tässä tutkimuksessa kerätty data on laaja-alaista ja se on kerätty todenmukaisissa olosuhteissa. Osana tutkimusta päästiin myös haastattelemaan henkilöitä, jotka olivat saaneet tutkimuksen simulaatiossa lähetettyjä tietojenkalasteluviestejä. Tutkimuksen tulokset osoittivat, että ihmiset reagoivat monin eri tavoin vastaanottamiinsa tietojenkalasteluviesteihin ja organisaation sisällä kommunikoitiin monipuolisesti tietojenkalasteluviesteistä. Tutkimuksen tulokset osoittivat myös, että tietojenkalasteluviestin kohdentamisella oli vaikutusta siihen, oliko tietojenkalastelu onnistunutta. Tietojenkalastelun kohdentamisella ei tämän tutkimuksen tulosten perusteella ole vaikutusta siihen luodaanko kalasteluviestistä ilmoitus. Mobiililaitteen käyttämisen ja tietojenkalasteluviestin onnistumisen väliltä ei voitu tämän tutkimuksen perusteella vetää suoria johtopäätöksiä, sillä tietojenkalasteluviestejä avattiin hyvin harvoin mobiililaitteella, jonka vuoksi dataa siitä ei kertynyt tarpeeksi. Tätä tutkimusta voidaan soveltaa organisaatioiden sisäisten ilmoituskäytäntöjen, sekä muiden tietoturvamekanismien kehittämiseen. Tutkimusta voidaan myös hyödyntää tulevissa tietojenkalastelusimulaatioissa, sekä tietojenkalasteluun liittyvissä tutkimuksissa.

The purpose of this master's thesis is to investigate how employees of a Finnish IT organization react to phishing emails they receive. Additionally, the study aims to determine whether the sophistication of phishing emails has an impact on whether the phishing is successful and whether a report is generated. The study also aims to determine if the success of phishing is influenced by opening the email on a mobile device. The research consists of a literature review and a research section. The research section was conducted as a field study and it was supplemented by data analysis using a two-sample proportions test, and interviews. The data for the study consists of two phishing waves and interviews conducted after these waves. The phishing waves were conducted as part of a phishing simulation in the target organization. Through the phishing waves and interviews conducted as part of the study, qualitative and quantitative data were collected on how individuals behave when they receive phishing emails. The data collected in this study is comprehensive and was collected under realistic conditions. As part of the research, interviews were conducted with individuals who had received phishing emails sent as part of the research simulation. The results of the study showed that people react in various ways to the phishing emails they receive, and there was diverse communication within the organization regarding phishing emails. The study also found that the sophistication of phishing emails had an impact on whether phishing attempts were successful. Based on the results of this study, the sophistication of phishing did not affect whether a report was generated. Regarding the relationship between using a mobile device to open phishing emails and the success of phishing, no direct conclusions could be drawn from this study because phishing emails were rarely opened on mobile devices, and therefore, there was not enough data. This research can be applied to the development of internal notification practices and other security mechanisms within organizations. It can also be used in future phishing simulation exercises and research related to phishing.