Phishing Simulations in Preventing Business Email Compromise Attacks
Makkonen, Joni; Karjalainen, Pauliina (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025052114055
https://urn.fi/URN:NBN:fi:amk-2025052114055
Tiivistelmä
Kalasteluviestit muodostavat yhä isomman uhan organisaatioiden kyberturvallisuudelle, koska entistä useammat Business Email Compromise – poikkeama käynnistyy onnistuneella kalasteluhyökkäyksellä. Tämän opinnäytetyön tavoitteena oli selvittää, että miten organisaatioiden toteuttamat kalastelusimulaatiot vaikuttavat työntekijöiden kykyyn tunnistaa sekä torjua aidot kalasteluviestit. Tämän lisäksi tavoitteena oli selvittää, että onko noin 3 vuoden aikajanalla havaittavissa muutoksia simulaatioiden tuloksissa. Tavoitteena oli verrata tuloksia eri organisaatioiden välillä, ymmärtää ydintekijät kalasteluiden onnistumisessa ja etsiä
suositusehdotuksia parantamaan simulaatioiden tehokkuutta.
Opinnäytetyö perustui kolmen eri organisaation yhdenvertaisesti anonymisoituihin kalastelusimulaatioista kerättyihin aineistoihin. Jokainen organisaatio toteutti säännöllisesti noin kolmen vuoden ajan useita kampanjoita kuukaudessa. Simulaatioviesteissä käytettiin vaihtelevia teemoja ja tuloksena saatu käyttäjien simulaatioiden epäonnistumisprosentti (failure rate) laskettiin simulaatiolinkin klikkausten suhteena simulaatioviestin nähneisiin henkilöihin. Tällä tavoin opinnäytetyö sai vertailukelpoista ja luotettavaa ainestoa, joka analysoitiin vertailevilla menetelmillä ottaen huomioon myös kausivaihtelut, kuten kesä- ja joululomien aikaiset muutokset.
Saadut tulokset osoittivat, että jokaisessa organisaatiossa simulaatioiden epäonnistumisprosentti oli alkuvaiheessa korkea, mutta ensimmäisen vuoden aikana sen laskiessa merkittävästi, kehitys tasaantui 6–12 kuukauden jälkeen. Yhteisenä ilmiönä havaittiin myös kesä – ja joululomien aikaan sijoittuvat nousut epäonnistumisprosentissa. Organisaatioiden välillä erot kehityksessä joko parempaan tai huonompaan olivat vähäisiä, joka viittaa siihen, että kalasteluiden taustalla vaikuttavat ilmiöt ovat universaaleja. Näitä ilmiöitä ovat esimerkiksi kausivaihtelu sekä ihmisten virheherkkyys kiireen ja paineen alla. Opinnäytetyön johtopäätöksenä säännölliset kalastelusimulaatiot vähentävät ihmisvirheitä sekä auttavat ihmisiä tunnistamaan oikeat kalasteluviestit varsinkin ensimmäisen vuoden aikana. Kuitenkin tämän alkuvaiheen jälkeen pelkkä kalastelusimulaatioihin pohjautuva työntekijöiden kouluttaminen ei ylläpidä oppimista ja laske epäonnistumisprosenttia pidemmällä aikavälillä. Simulaatioiden parhaan hyödyn varmistamiseksi organisaatioiden tulisi täydentää oppimiskokemusta esimerkiksi säännöllisillä tiedottamisilla ajankohtaisista uhkista ja interaktiivisilla harjoituksilla. Näiden lisäksi organisaatiot voivat yhdistää erilaisia mikrokoulutuksia esimerkiksi tilanteisiin, joissa työntekijä on klikannut simulaatioviestin linkkiä.
suositusehdotuksia parantamaan simulaatioiden tehokkuutta.
Opinnäytetyö perustui kolmen eri organisaation yhdenvertaisesti anonymisoituihin kalastelusimulaatioista kerättyihin aineistoihin. Jokainen organisaatio toteutti säännöllisesti noin kolmen vuoden ajan useita kampanjoita kuukaudessa. Simulaatioviesteissä käytettiin vaihtelevia teemoja ja tuloksena saatu käyttäjien simulaatioiden epäonnistumisprosentti (failure rate) laskettiin simulaatiolinkin klikkausten suhteena simulaatioviestin nähneisiin henkilöihin. Tällä tavoin opinnäytetyö sai vertailukelpoista ja luotettavaa ainestoa, joka analysoitiin vertailevilla menetelmillä ottaen huomioon myös kausivaihtelut, kuten kesä- ja joululomien aikaiset muutokset.
Saadut tulokset osoittivat, että jokaisessa organisaatiossa simulaatioiden epäonnistumisprosentti oli alkuvaiheessa korkea, mutta ensimmäisen vuoden aikana sen laskiessa merkittävästi, kehitys tasaantui 6–12 kuukauden jälkeen. Yhteisenä ilmiönä havaittiin myös kesä – ja joululomien aikaan sijoittuvat nousut epäonnistumisprosentissa. Organisaatioiden välillä erot kehityksessä joko parempaan tai huonompaan olivat vähäisiä, joka viittaa siihen, että kalasteluiden taustalla vaikuttavat ilmiöt ovat universaaleja. Näitä ilmiöitä ovat esimerkiksi kausivaihtelu sekä ihmisten virheherkkyys kiireen ja paineen alla. Opinnäytetyön johtopäätöksenä säännölliset kalastelusimulaatiot vähentävät ihmisvirheitä sekä auttavat ihmisiä tunnistamaan oikeat kalasteluviestit varsinkin ensimmäisen vuoden aikana. Kuitenkin tämän alkuvaiheen jälkeen pelkkä kalastelusimulaatioihin pohjautuva työntekijöiden kouluttaminen ei ylläpidä oppimista ja laske epäonnistumisprosenttia pidemmällä aikavälillä. Simulaatioiden parhaan hyödyn varmistamiseksi organisaatioiden tulisi täydentää oppimiskokemusta esimerkiksi säännöllisillä tiedottamisilla ajankohtaisista uhkista ja interaktiivisilla harjoituksilla. Näiden lisäksi organisaatiot voivat yhdistää erilaisia mikrokoulutuksia esimerkiksi tilanteisiin, joissa työntekijä on klikannut simulaatioviestin linkkiä.