Työntekijöiden tietoturvatietoisuus puolustuskeinona sähköpostikalasteluun pk-yrityksissä

Abstract

Inhimillisten tekijöiden, kuten huolimattomuuden ja virheiden merkitys tieto-murroissa on merkittävä. Esimerkiksi Verizonin Data Breach Investigations Raportin DBIR (2023) sekä Gartnerin (2023a) tietoturvaohjeen mukaan vuonna 2022 tapahtuneissa tietomurroissa ja -vuodoissa 82 % piti sisällään inhimillisen tekijän. Tässä tutkielmassa tarkastellaan työntekijöiden tietoturvatietoisuutta puolustuskeinona sähköpostikalastelua vastaan. Ratkaisua tutkimusongelmaan haetaan kahden tutkimuskysymyksen kautta. Aluksi tarkastellaan, miten sähköpostikalastelijat pyrkivät huijaamaan kohteitaan. Ensin selvitetään sähköpostikalasteluhyökkäyksien onnistumiseen johtavia tekijöitä. Sen lisäksi arvioidaan niiden merkitystä kyberturvan kentällä. Sähköpostikalastelijoiden havaittiin huijaavan kohteitaan tekeytymällä kohteelle entuudestaan tutuksi lähettäjäksi. Toisella tutkimuskysymyksellä selvitetään tietoturvatietoisuuden rooli yrityksen tietoturvassa. Kirjallisuuskatsauksesta käy ilmi tietoturvatietoisuuden olevan perusedellytys organisaation tietoturvakulttuurin luomisessa. Sen lisäksi avataan tietoturvan, kyberturvan ja tietoturvatietoisuuden käsitteitä seikkaperäisemmin. Ihmiskeskeisen kyberturvan kautta pohditaan tietoturvatietoisuuden merkityksestä pienien ja keskisuurien yritysten eli pk-yritysten tietoturvan rakentamisessa sekä esitellään sen arvioimiseen käytettäviä mittareita. Luvussa esitellään myös työntekijän tietoturvatietoisuuteen vaikuttavia psykologisia, fysiologisia, sosiaalisia sekä organisatorisia tekijöitä. Viimeiseksi tarkastellaan työntekijöiden tietoturvatietoisuuden ja sähköpostikalastelun suhdetta ja merkitystä toisiinsa pk-yritysten näkökulmasta. Tietoturvatietoisuuden voidaan ajatella mahdollistavan yritykselle oikeanlasten sähköpostikalastelua ennaltaehkäisevien toimenpiteiden tekemisen.

Human factors such as negligence and errors play a significant role in data breaches. For example, according to Verizon's Data Breach Investigations Report DBIR (2023) and Gartner's (2023a) security advisory, 82% of data breaches and leaks in 2022 involved a human factor. This thesis examines employee in-formation security awareness as a defense against email phishing. The solution to the research problem is sought through two research questions. First, the factors that lead to the success of an email phishing attack will be explored. It then assesses their relevance in the modern cyber security arena. Email phishers were found to deceive their targets by posing as a sender the recipient already knew. The second research question examines the role of security awareness in todays’ cyber security of the enterprise. The literature review shows that security awareness is a basic prerequisite for creating a security culture in an organisation. In addition, the concepts of information security, cyber security and in-formation security awareness are explained in more detail. Through a human-centred cybersecurity approach, the importance of security awareness in building information security in small and medium-sized enterprises (SMEs) will be discussed and the indicators used to assess it will be presented. The chapter also presents the psychological, physiological, social, and organisational factors that influence employee security awareness. The final chapter presents the findings of the literature review and examines the relationship and importance of the relationship between employee security awareness and email phishing from the perspective of SMEs. Security awareness can be thought to enable a company to take the right preventive measures against email phishing.