Murtautumistestauksen harjoittelun soveltuvuus tietoturvallisuustietoisuuden lisäämiseksi

Abstract

Verkkorikollisuudelle alttiit internetiin kytketyt tietojärjestelmät ja tietoaineistot ovat entistä kiinteämmin osa jokapäiväistä elämäämme, mikä altistaa meidät merkittäville tietoturvariskeille. Yksi oleellisimmista vastatoimista tietoturvariskejä vastaan on tietoturvatietoisuuden lisääminen. Tietoturvatietoisuuden lisäämiseksi on olemassa useita menetelmiä, joilla on omat haasteensa ja rajoitteensa. Tämän työn tarkoitus oli tutkia yhtä mahdollista koulutusmenetelmää, pelillistä murtautumistestauksen harjoittelua, tavoitteena selvittää, miten murtautumistestauksen harjoittelu soveltuu tietoturvatietoisuuden lisäämiseksi.

Tämä tutkimus toteutettiin osin kirjallisuustutkimuksena ja osin laadullisena kokemuksiin perustuvana reflektoivana tutkimuksena, jonka tuloksia vertailtiin tekoälyavusteisiin vertailututkimukseen. Kirjallisuustutkimuksella koottiin tutkimuksen teoreettinen viitekehys, sekä yleinen katsaus murtautumistestauksen roolista osana tietoturvallisuutta. Laadullisella tutkimuksella tutkittiin kuinka pelillistetty murtautumistestauksen harjoittelu voi vaikuttaa tietoturvatietoisuuteen, sekä tietoturvallisuuteen yleisesti. Laadullinen tutkimus tehtiin reflektoimalla tutkijan omia kokemuksia murtautumistestauksen harjoittelusta TryHackMe-alustalla, sekä vertailemalla näitä kokemuksia muiden käyttäjien kokemuksiin. Muiden käyttäjien kokemukset kasattiin sosiaalisessa mediassa, eritysiesti Youtube-palvelussa, jaettujen aineistojen perusteella. Muiden käyttäjien kokemukset analysoitiin tekoälyavusteisesti ChatGPT-työkalun avulla.

Tutkimuksen perusteella pelillinen murtautumistestauksen harjoittelu on kiinnostava koulutusmuoto, joka vaikuttaa oikein kohdennettuna positiivisesti oppimiseen sekä tietoturvatietoisuuden lisääntymiseen. Harjoittelumuoto ei kuitenkaan työläytensä puolesta sovi harjoitusmuotona laajamittaiseen käyttöön. Murtautumistestauksen harjoittelu sopii osaksi koulutustarjontaa käytettäväksi rajatuissa tapauksissa vastaamaan kohdennettua koulutustarvetta. Koulutusmenetelmällä voidaan muuttaa asenteita sekä työskentelytapoja tukemaan paremmin tietoturvallisia käytänteitä. Jatkotutkimukseksi suositellaan kuitenkin tutkimusaineiston laajentamista useampaan otokseen, kattamaan laajemmin eri harjoittelualustoja ja kokonaisuuksia sekä kehittämään rinnakkaisanalyysiä käyttäjän ja tekoälyavusteisen työkalun kanssa.

With the growing integration of internet-connected information systems and digital resources in our daily lives, exposure to cybersecurity threats has significantly increased. Enhancing cybersecurity awareness is essential in mitigating these risks. However, traditional training methods have various challenges and limitations. This research examines a gamified penetration testing as a tool for increasing cyber security awareness. Aim of this study is to assess the effectiveness and applicability of this type of training method as a tool for raising cybersecurity awareness.

The research was conducted as a mixed-methods study, combining a literature review and qualitative reflection research methods. The literature review established the theoretical framework and explored the role of penetration testing in cybersecurity. The qualitative analysis included researcher’s own experiences training with TryHackMe platform and an AI-assisted comparative study of peer user experiences. Peer insights were gathered from social media sources, particularly YouTube, and analyzed using the ChatGPT tool for AI-assisted comparative research.

Findings suggest that gamified training of penetration testing can positively impact learning and cybersecurity awareness when targeted correctly. However, due to the time-intensive nature of these exercises, the method may not be suitable for widespread usage. The method can be effective in addressing targeted educational needs for selected user groups by influencing attitudes and practices and promoting secure behaviors. Further research should expand the participant base and consider alternative training platforms and trainings as well. Also, the method for creating comparative insights with AI-assisted tools should be studied further to generate more comprehensive understanding on applicability of such method for qualitative research.