Tietojenkalastelusimulaationa järjestetyn koulutuksen vaikutus työntekijöiden kykyyn tunnistaa sähköpostin kautta tulevia tietojenkalasteluviestejä
Toikkanen, Perttu (2020-05-27)
Toikkanen, Perttu
27.05.2020
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe2020052739451
https://urn.fi/URN:NBN:fi-fe2020052739451
Tiivistelmä
Tietojenkalastelu (engl. phishing) on maailmanlaajuisesti mittava uhka. Tietojenkalastelu tapahtuu usein sähköpostin välityksellä. Tietojenkalastelua vastaan taisteltaessa voidaan käyttää erilaisia teknologisia ratkaisuja. Se ei kuitenkaan yksin riitä, sillä ihminen eli käyttäjä on aina tietoturvan heikoin lenkki. Ihmisiä on näin ollen koulutettava tunnistamaan tietojenkalasteluun käytettäviä haitallisia sähköpostiviestejä. Tässä tutkimuksessa selvitettiin, kuinka suuri vaikutus koulutuksella on työntekijöiden kykyyn havaita sähköpostitse leviäviä tietojenkalasteluviestejä.
Tutkimuksen teoreettisessa viitekehyksessä paneudutaan tietoturvan ja tietojenkäsittelyn käsitteisiin ja niistä tehtyihin tutkimuksiin. Tietoturvakäyttäytyminen ja sen parantaminen on tutkimuksen kannalta keskeinen asia. Nimenomaan koulutuksen merkitys on tässä keskiössä.
Tutkimuksessa tutkittiin tietoturvakoulutusjärjestelmän tehokkuutta. Kyseisen sovelluksen avulla asiakasyritysten työntekijöille lähetetään tekaistuja kalasteluviestejä sähköpostitse. Koulutussovelluksessa syntynyttä dataa käytettiin tutkimuksessa aineistona.
Henkilöiden sähköpostiin tulevat haitalliset viestit tai linkit voivat olla vaikeasti havaittavissa monestakin eri syystä. Tutkimuksessa saatiin vahva näyttö siitä, että tietojenkalastelusimulaationa järjestetyllä koulutuksella oli suuri vaikutus yrityksen työntekijöiden kykyyn tunnistaa haitallisia sähköposteja. Koulutuksen jatkuessa työntekijöiden kyky tunnistaa kalasteluviestejä parani selvästi. Phishing is a major threat worldwide. Phishing often happens via email. In the fight against phishing, a variety of technological solutions can be used. However, that alone is not enough, as the human being, i.e. the user, is always the weakest link in security. Therefore, people need to be trained to identify malicious e-mails used for phishing. This study examined the impact of training on employees’ ability to detect phishing messages spread by e-mail.
The theoretical framework of the research focuses on the concepts of information security and data processing and the research conducted on them. Behavior towards data security and its improvement is central to this research. More specifically the importance of training and education is in the focus.
An information security training system was used in the study. This training application, which effectiveness was studied in the study, is in use in many companies. The application is used to send fake phishing messages by e-mail to employees of companies that are using the training application. Data generated by the training application was used as data for the study.
Malicious messages or links to individuals’ emails can be difficult to detect for a variety of reasons. The study provided strong evidence that simulatied phishing training had a major impact on the ability of a company’s employees to identify malicious emails. As the training continued, the ability of employees to recognize phishing messages clearly improved.
Tutkimuksen teoreettisessa viitekehyksessä paneudutaan tietoturvan ja tietojenkäsittelyn käsitteisiin ja niistä tehtyihin tutkimuksiin. Tietoturvakäyttäytyminen ja sen parantaminen on tutkimuksen kannalta keskeinen asia. Nimenomaan koulutuksen merkitys on tässä keskiössä.
Tutkimuksessa tutkittiin tietoturvakoulutusjärjestelmän tehokkuutta. Kyseisen sovelluksen avulla asiakasyritysten työntekijöille lähetetään tekaistuja kalasteluviestejä sähköpostitse. Koulutussovelluksessa syntynyttä dataa käytettiin tutkimuksessa aineistona.
Henkilöiden sähköpostiin tulevat haitalliset viestit tai linkit voivat olla vaikeasti havaittavissa monestakin eri syystä. Tutkimuksessa saatiin vahva näyttö siitä, että tietojenkalastelusimulaationa järjestetyllä koulutuksella oli suuri vaikutus yrityksen työntekijöiden kykyyn tunnistaa haitallisia sähköposteja. Koulutuksen jatkuessa työntekijöiden kyky tunnistaa kalasteluviestejä parani selvästi.
The theoretical framework of the research focuses on the concepts of information security and data processing and the research conducted on them. Behavior towards data security and its improvement is central to this research. More specifically the importance of training and education is in the focus.
An information security training system was used in the study. This training application, which effectiveness was studied in the study, is in use in many companies. The application is used to send fake phishing messages by e-mail to employees of companies that are using the training application. Data generated by the training application was used as data for the study.
Malicious messages or links to individuals’ emails can be difficult to detect for a variety of reasons. The study provided strong evidence that simulatied phishing training had a major impact on the ability of a company’s employees to identify malicious emails. As the training continued, the ability of employees to recognize phishing messages clearly improved.