Käyttäjän manipulointi organisaation tietoturvauhkana
Mensio, Miikka (2021)
2021
Teknis-taloudellinen kandidaattiohjelma - Bachelor's Programme in Business and Technology Management
Tekniikan ja luonnontieteiden tiedekunta - Faculty of Engineering and Natural Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2021-05-06
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202105024222
https://urn.fi/URN:NBN:fi:tuni-202105024222
Tiivistelmä
Organisaatioiden tietojärjestelmien teknisen tietoturvan ollessa yleisesti ottaen hyvällä tasolla, muodostaa inhimillisiä heikkouksia hyödyntävä käyttäjän manipulointi (engl. Social Engineering, SE) todellisen tietoturvauhkan organisaatioille ja niissä työskenteleville tietotyöntekijöille. Käyttäjän manipuloinnilla tarkoitetaan tämän työn kontekstissa joukkoa kyberhyökkäystekniikoita, joiden avulla hyökkääjä pyrkii manipulatiivisesti vaikuttamaan uhriinsa, eli tietojärjestelmän käyttäjään, saaden tämän paljastamaan arkaluontoista tietoa tai suorittamaan jonkin hyökkääjälle hyödyllisen toiminnon. Päätutkimuskysymyksenä ja siten tutkimuksen tavoitteena on selvittää, miten organisaatio voi puolustautua tältä käyttäjän manipuloinnin muodostamalta uhkalta. Lisäksi tutkimuksessa esitellään yleisimpiä käyttäjän manipuloinnille altistavia psykologisia tekijöitä eli myöntymisperiaatteita, käyttäjän manipulointiin liittyviä hyökkäystekniikoita sekä puolustautumiskeinoja. Työssä kuvataan myös käyttäjän manipulointi -ilmiön luokittelua demonstroiva taksonominen malli ja hyökkäysprosessi.
Käyttäjän manipulointi -hyökkäykset kohdistuvat usein suojattavan tietojärjestelmän heikoimpaan lenkkiin eli järjestelmän käyttäjiin, minkä vuoksi käyttäjän manipuloinnista tietosuutta lisäävä tutkimus on tärkeää ja ajankohtaista. Tutkimuksen pyrkimyksenä on toimia käyttäjän manipuloinnin aiheuttamasta uhkasta kertovana tietotuotteena organisaation tietotyöntekijöille. Työssä keskityttiin käyttäjän manipuloinnin inhimillisiin ja organisatorisiin aspekteihin rajaten tutkimuksen ulkopuolelle siviilihenkilöihin kohdistuva käyttäjän manipulointi. Lisäksi tutkimuksen tarkoituksena oli kuvata ilmiötä helposti ymmärrettävässä muodossa, joten teknisimmät käyttäjän manipuloinnin näkökulmat jätettiin käsittelyn ulkopuolelle tutkimuksessa.
Kandidaatintyö suoritettiin kirjallisuuskatsauksena aiempaan aiheeseen liittyvään tutkimukseen. Lähdeaineistona käytettiin digitaalisia tieteellisiä artikkeleja, kirjoja ja konferenssijulkaisuja. Tieteellisen kirjallisuuden lisäksi työssä käytettiin globaalisti alan asiantuntijoiden hyväksymää ISO 27000:2020-tietoturvallisuusstandardia. Eri tietolähteistä saatua tietoa yhdistelemällä ja vertailemalla sekä omia argumentteja hyödyntäen tutkimuksessa pyrittiin luomaan kattava kokonaiskuva aiheesta.
Tutkimuksen perusteella voidaan päätellä käyttäjän manipuloinnin olevan kyberhyökkääjien suosima, ajankohtainen ja tehokas kyberhyökkäys, joka muodostaa tietoturvauhkan organisaatioille muun muassa käyttäjien inhimillisten virheiden, tietämyksen puutteen ja psykologisten taipumusten takia. Työssä tunnistetaan käyttäjän manipuloinnille altistavat psykologiset tekijät, yleisimpiä organisaatioiden kohtaamia käyttäjän manipulointi -hyökkäystekniikoita sekä ehdotetaan ihmis- ja organisaatiokeskeisiä puolustautumismetodeja käyttäjän manipulointia vastaan: tietoturvapolitiikka, tietoisuuden lisääminen, toimintamallit ja organisatorinen lähestymistapa.
Käyttäjän manipulointi -hyökkäykset kohdistuvat usein suojattavan tietojärjestelmän heikoimpaan lenkkiin eli järjestelmän käyttäjiin, minkä vuoksi käyttäjän manipuloinnista tietosuutta lisäävä tutkimus on tärkeää ja ajankohtaista. Tutkimuksen pyrkimyksenä on toimia käyttäjän manipuloinnin aiheuttamasta uhkasta kertovana tietotuotteena organisaation tietotyöntekijöille. Työssä keskityttiin käyttäjän manipuloinnin inhimillisiin ja organisatorisiin aspekteihin rajaten tutkimuksen ulkopuolelle siviilihenkilöihin kohdistuva käyttäjän manipulointi. Lisäksi tutkimuksen tarkoituksena oli kuvata ilmiötä helposti ymmärrettävässä muodossa, joten teknisimmät käyttäjän manipuloinnin näkökulmat jätettiin käsittelyn ulkopuolelle tutkimuksessa.
Kandidaatintyö suoritettiin kirjallisuuskatsauksena aiempaan aiheeseen liittyvään tutkimukseen. Lähdeaineistona käytettiin digitaalisia tieteellisiä artikkeleja, kirjoja ja konferenssijulkaisuja. Tieteellisen kirjallisuuden lisäksi työssä käytettiin globaalisti alan asiantuntijoiden hyväksymää ISO 27000:2020-tietoturvallisuusstandardia. Eri tietolähteistä saatua tietoa yhdistelemällä ja vertailemalla sekä omia argumentteja hyödyntäen tutkimuksessa pyrittiin luomaan kattava kokonaiskuva aiheesta.
Tutkimuksen perusteella voidaan päätellä käyttäjän manipuloinnin olevan kyberhyökkääjien suosima, ajankohtainen ja tehokas kyberhyökkäys, joka muodostaa tietoturvauhkan organisaatioille muun muassa käyttäjien inhimillisten virheiden, tietämyksen puutteen ja psykologisten taipumusten takia. Työssä tunnistetaan käyttäjän manipuloinnille altistavat psykologiset tekijät, yleisimpiä organisaatioiden kohtaamia käyttäjän manipulointi -hyökkäystekniikoita sekä ehdotetaan ihmis- ja organisaatiokeskeisiä puolustautumismetodeja käyttäjän manipulointia vastaan: tietoturvapolitiikka, tietoisuuden lisääminen, toimintamallit ja organisatorinen lähestymistapa.
Kokoelmat
- Kandidaatintutkielmat [10220]