Petteri Pyyny
17. elokuuta, 2025 14:30
Yritykset ja organisaatiot kouluttavat jatkuvasti henkilöstöään muuttivien tietoturvariskien varalta.
Mutta yksi tietoturvaongelma ei tuoreen tutkimuksen mukaan helpota pätkääkään, vaikka työntekijöitä kouluttaisi aiheesta miten paljon tahansa.
University of California San Diegossa tehdyn tutkimuksen mukaan (PDF) tietojenkalasteluun eli phishingiin ei näytä purevan mikään koulutus tai ohjeistus.
Tutkimuksessa otettin mukaan 19 000 työntekijää kyseisen yliopiston terveystieteen laitokselta ja työntekijät jaettiin viiteen eri ryhmään. Yksi ryhmistä toimi ns. kontrolliryhmänä, jolle ei annettu mitään erityisiä ohjeita tai koulutusta tietojenkalastelun varalle. Muut ryhmät näkivät erilaisia ohjeita, jos he klikkasivat tai tarttuivat muilla tavoin heille lähetettyihin tietojenkalasteluviesteihin.
Kontrolliryhmänä toimineelle ryhmälle tietojenkalastelulinkit ohjasivat vain 404-virheilmoitussivulle. Muille ryhmille linkin klikkaaminen avasi neljällä eri tekniikalla toteutetun koulutussivun, jossa kerrottiin käyttäjän klikanneen huijauslinkkiä - ja kerrottiin, miten sellaisia pystyisi välttämään jatkossa.
Kahdeksan kuukautta kestäneen testin jälkeen minkään ryhmän kohdalla ei havaittu merkittävää parannusta tietojenkalastelun tunnistamisessa tai sellaisiin reagoinnissa. Paraskin ryhmä paransi toimintaansa vain 1,7 prosentin verran verrattuna lähtötilanteeseen.
Kokeen aikana työntekijöille lähetettiin mm. viestejä, joissa kerrottiin organisaation lomakäytäntöjen muuttuneen - ja että asiasta löytyy lisätietoa viestissä olevasta linkistä. Noin 30 prosenttia työntekijöistä klikkasi linkkiä, vaikka se vei huijaussivulle. Samoja klikkausprosentteja nähtiin myös viesteissä, joissa kerrottiin organisaation uudistuneesta pukeutumiskäytännöstä.
Tutkijoiden viesti olikin varsin karu. SC Worldin mukaan käytännössä kaikki ihmiset lankeavat tietojenkalasteluihin jossain vaiheessa, kun vain aikaa kuluu tarpeeksi paljon.
Osa tutkimukseen osallistetuista työntekijöistä ei lukenut koulutussivuja lainkaan koko testin aikana, vaan aina klikattuaan kokeellista huijausviestiä ja päädyttyään ohjesivulle, he sulkivat sivun välittömästi.