Kyberturvallisuusalan yritys Fortinetin tutkimus osoittaa, että henkilöstön kyberturvaosaamisella on keskeinen rooli organisaatioon kohdistuvien riskien vähentämisessä. Lähes 70 prosenttia organisaatioista ei kuitenkaan usko henkilöstöllään olevan riittävää osaamista hyökkäysten ehkäisemiseksi.
Fortinetin jokavuotinen Security Awareness and Training -raportti kuvaa organisaatioiden kyberturvatiedon ja -koulutuksen tilaa maailmanlaajuisesti. Vuoden 2024 havaintoihin perustuva raportti korostaa henkilöstön kyberturvatietoisuuden ratkaisevaa roolia organisaatioon kohdistuvien riskien hallinnassa ja vähentämisessä.
Raportin mukaan yli 60 prosenttia vastaajista uskoo yhä useamman työntekijän joutuvan jatkossa tekoälyä hyödyntävien kyberhyökkäysten uhriksi.
Samaan aikaan 80 prosenttia vastaajista sanoo, että tekoälypohjaisia hyökkäyksiä koskevan tiedon ansiosta heidän organisaationsa on aiempaa valmiimpi kehittämään henkilöstön kyberturvatietoisuutta ja tarjoamaan kyberturvakoulutusta.
Lähes 70 prosenttia vastaajista arvioi, että organisaation työntekijöiltä puuttuu kriittistä kyberturvaosaamista. Vuonna 2023 vastaava luku oli 56 prosenttia.
Yli kolme neljäsosaa johtajista sanoo tarjoavansa työntekijöille kyberturvatietoa ja -koulutusta kuukausittain (34 %) tai neljännesvuosittain (47 %). Johtajien mukaan laadukkaalla sisällöllä on tärkeä rooli koulutusten onnistumisessa.
Fortinet Finlandin teknologiajohtaja Jani Ekmanin mukaan kyberhyökkäykset ja tietomurrot ovat lisääntyneet myös Suomessa.
– Uusien teknologioiden, kuten tekoälyn, myötä hyökkäykset ovat muuttuneet myös entistä monimutkaisemmiksi. Tässä uhkaympäristössä työntekijöiden rooli ensimmäisenä puolustuslinjana on kriittinen.
– Fortinetin tutkimusraportti osoittaa, että organisaatioissa on ymmärretty kyberturvallisuuskulttuurin sekä henkilöstön kyberturvatietoisuuden ja -koulutusten merkitys samalla, kun organisaatioon kohdistuvien hyökkäysten määrä ja huoli työntekijöiden riittävästä kyberturvaosaamisesta on kasvussa, Ekman sanoo tiedotteessa.
Hänen mukaansa nyt on korkea aika arvioida oman organisaation kyberturvatiedon ja -koulutusten riittävyys ja ajantasaisuus ja tarvittaessa ryhtyä toimiin näiden kehittämiseksi.
Uusia työntekijöihin kohdistuvia uhkia
Kyberrikolliset tekevät tietojenkalasteluhyökkäyksistä entistä uskottavampia ja vaikeammin havaittavia hyödyntämällä tekoälyä. Koska tietojenkalastelu kohdistuu suoraan yksittäisiin henkilöihin, organisaatiot keskittyvät opettamaan työntekijöilleen, miten tällaiset hyökkäykset voi tunnistaa ja miten huijatuksi tulemiselta voi välttyä.
Yli 80 prosenttiin organisaatioista kohdistui viime vuonna yksittäisiin työntekijöihin suunnattuja hyökkäyksiä, joissa hyödynnettiin esimerkiksi haittaohjelmia, tietojenkalastelua tai salasanan murtamista.
Lähes kaikki (98 %) vastaajat sanovat, että tietojenkalastelun ehkäiseminen sisältyy heidän koulutusohjelmiinsa ja -suunnitelmiinsa. Muita tärkeitä koulutusalueita ovat tietoturva (48 %) ja tietosuoja (41 %).
Jopa 31 prosenttia organisaatioista ei hallitse tai monitoroi sitä, miten työntekijät käyttävät tekoälysovelluksia. Vain 21 prosenttia organisaatioista sallii työntekijöidensä käyttävän vain tiettyjä hyväksyttyjä tekoälysovelluksia.
Peräti 94 prosenttia vastaajista kertoo, että heidän organisaationsa olisi valmis asettamaan tiukempia tietoturvarajoituksia käyttäjille, jotka ovat kaikkein altteimpia tekoälyhyökkäyksille.
Työntekijät ensimmäisenä puolustuslinjana hyökkäyksiä vastaan
Tietoturva- ja IT-tiimit ovat ratkaisevan tärkeitä kyberuhkilta suojautumisessa, mutta myös yrityksen työntekijöillä on merkittävä rooli tietomurtojen ehkäisemisessä.
Useimmat johtajat (86 %) sanovat, että heidän työntekijänsä suhtautuvat myönteisesti kyberturvatietoon ja -koulutukseen.
Valtaosa johtajista (89 %) sanoo, että henkilöstön kyberturvatietoisuus ja -koulutus on parantanut heidän organisaationsa kyberturvallisuutta ainakin jonkin verran.
Kyberturvakoulutus on välttämätöntä
Useimmat organisaatiot alkavat kehittämään henkilöstön kyberturvatietoisuutta ja tarjoamaan kyberturvakoulutusta sen perusteella, millaista kokemusta tietomurroista niillä itsellään on tai mitä ne tietävät omaan toimialaansa kohdistuvista uhkista.
Johtajista 97 prosenttia sanoo, että työntekijöiden kyberturvatietoisuuden lisääminen vahvistaisi organisaation kyberturvallisuutta.
Lähes kaikki (96 %) vastaajat myös sanovat, että heidän yrityksensä johtoryhmä tukee työntekijöiden kyberturvakoulutusta.
Vastaajista 86 prosenttia on tyytyväisiä nykyiseen kyberturvakoulutusratkaisuunsa. Koulutukseen tyytymättömien keskuudessa yleisin tyytymättömyyden syy on kiinnostavan sisällön puute.
Myös koulutuksen kestolla on merkitystä; työntekijöitä ei kannata väsyttää liian pitkillä koulutuksilla. Johtajat ehdottivat kyberturvakoulutuksen suositeltavaksi kestoksi keskimäärin kolme tuntia.
Tutkimukseen osallistui yli 1 850 ylimmän ja keskijohdon edustajaa 29 eri maasta. Osallistujat edustivat organisaatioita, jotka panostavat kyberturvatietoisuuteen ja -koulutukseen. Vastaajat edustivat useita eri toimialoja, mukaan lukien valmistava teollisuus (17 %), finanssialan palvelut (13 %) sekä teknologia- ja asiantuntijapalvelut (11 %)
