by

by

No amount of phishing simulations will fix a broken cybersecurity system.

(suomeksi alla)

Every year, organizations spend millions on cybersecurity training. By the time they reach the phishing simulation phase, they realise that the data points towards one conclusion: the employees who perform best are often the ones who barely check their emails at all.

Not so helpful.

Social engineering has always been one step ahead of the security trainings. With most organizations, there’s always a combination of a [wrong email + right employee (victim)] that would bring a whole system to a halt. Why? Because in a way, cybersecurity trainings use the leftovers of previous data breaches, while hackers are working on the next technique.

On the other hand, cybercriminals adapt much faster than staff. The real question isn’t how do we train employees better? but why are we relying on them in the first place?

A better approach: Systems that work for everyone

Instead of trying to turn every employee into a cybersecurity expert, we should focus on building systems that protect everyone by default. Think of it like this: we don’t organize martial arts trainings for employees to ensure their physical safety – instead, we install door locks and badge readers that work for everyone regardless of their combat skills.

This approach, often called “security by design,” has several key principles:

Assume Human Error: Design systems with people in mind. People have bad days sometimes and will make mistakes. We have to ensure those mistakes can’t spiral into major breaches by working with the situation and not around it.

Compartmentalization: Ensure that if one person’s account is compromised, the damage is contained. This is similar to how ships have multiple watertight compartments – a breach in one doesn’t sink the whole vessel.

Automation Over Education: Replace human decision points with automated systems that handle security decisions consistently and reliably.

FIDO2: The Future of Authentication

FIDO2 is an authentication standard. It is the cornerstone of a system that works for everyone: It provides a hardware security solution for a cybersecurity problem.

What is FIDO2?

If you haven’t heard of this before, FIDO2 stands Fast Identity Online. It normally comes in the shape of USB key or a card. You can think of it as an equivalent of a regular house key, except that you use it on your computer. A digital key. People do not need special training to use a house key, and similarly they will not need training to use a FIDO2 key. This makes security feel more natural.

How Does It Work?

Once you get your own FIDO2 key:

  • Setup: First, you pair your FIDO2 key with your account by plugging it into your device or connecting it wirelessly. The service will guide you through a quick setup process, which might include adding a PIN or scanning your fingerprint, depending on the key.
  • Login: When you want to log in, plug in your FIDO2 key or tap it if it’s wireless. The system might ask for your PIN or a biometric check to verify it’s really you.
  • Access Granted: That’s it! No need to type in passwords or worry about remembering them. The key handles the security part for you.
  • When you need to log in, you either:
    • Insert the security key and tap it
    • Use your fingerprint or face recognition on your phone
    • Enter a simple PIN

Why is FIDO2 “better”?

  • No Passwords to Steal: FIDO2 replaces traditional passwords with cryptographic keys. Since these keys are stored securely on your device and never shared, there’s nothing for hackers to steal or guess. You don’t need to worry about weak passwords or reusing the same one across multiple sites. And this means that it eliminates the man-in-the-middle.
  • Built-in Phishing Protection: FIDO2 prevents you to login to fake websites. When you try to log in, it verifies the site’s corresponding FIDO key and if this doesn’t match with they the authentic key for the real site, then you are not able proceed. This is what we call mutual authentication: both the user and the site are verified for veracity.
  • Local Authentication: FIDO2 authentication credentials never leaves your device. The private key associated to your public FIDO key is securely stored on the device and the authentication process happens locally between your device and your Internet browser. No secrets are sent to the service provider over the Internet, ensuring that your sensitive personal information stays private.

The Path Forward

Instead of investing thousands of hours in training that may be outdated by the time it’s completed, organizations should:

  1. Implement FIDO2: Start with critical systems and gradually expand.
  2. Focus on Systems: Invest in technologies that make security the default state rather than something employees need to actively maintain.
  3. Change the Culture: Move from a “blame the user” mentality to one that emphasizes systematic protection.

Remember: The best security system isn’t the one that requires perfect human behavior – it’s the one that works despite our imperfections. By adopting technologies like FIDO2 and embracing security by design, we can create safer digital environments that protect everyone, regardless of their cybersecurity expertise.

 

 

Mikään määrä tietoturvakoulutusta ei korvaa vajavaista tietoturvajärjestelmää.

 

Organisaatiot käyttävät vuosittain miljoonia euroja kyberturvallisuuskoulutukseen. Kun ne pääsevät tietoturvan testausvaiheeseen, ne huomaavat, että tiedot viittaavat yhteen johtopäätökseen: parhaiten suoriutuvat työntekijät ovat usein niitä, jotka eivät juuri lainkaan tarkista sähköpostejaan.

Ei niin hyödyllistä.

Sosiaalinen manipulointi on aina ollut askeleen tietoturvakoulutuksia edellä. Useimmissa organisaatioissa on aina olemassa [väärä sähköposti + oikea työntekijä (uhri)], joka saa koko järjestelmän pysähtymään. Miksi? Koska tietyllä tavalla kyberturvallisuuskoulutuksissa käytetään aiempien tietomurtojen jäänteitä, kun taas hakkerit työstävät seuraavaa tekniikkaa.

Toisaalta kyberrikolliset sopeutuvat paljon nopeammin kuin henkilöstö. Todellinen kysymys ei olekaan se, miten koulutamme työntekijöitä paremmin, vaan miksi luotamme siihen, ettei inhimillisiä vahinkoja tapahdu?

Parempi lähestymistapa: Järjestelmät, jotka toimivat kaikille

Sen sijaan, että yritämme tehdä jokaisesta työntekijästä tietoturva-asiantuntijan, meidän pitäisi keskittyä rakentamaan järjestelmiä, jotka suojaavat kaikkia oletusarvoisesti. Ajattele asiaa näin: emme järjestä itsepuolustuskursseja työntekijöille varmistaaksemme heidän fyysisen turvallisuutensa – sen sijaan asennamme lukkoja oviin ja käytämme kulkulupia, jotka toimivat kaikilla heidän itsepuolustustaidoistaan riippumatta.

Tähän lähestymistapaan, jota kutsutaan usen “suunnitteluperusteiseksi turvallisuudeksi”, kuuluu useita keskeisiä periaatteita:

Oletetaan inhimillinen virhe: Suunnittele järjestelmät ihmisiä ajatellen. Ihmisillä on joskus huonoja päiviä ja he tekevät virheitä. Meidän on varmistettava, että nämä virheet eivät pääse kehittymään suuriksi vahingoiksi, ja työskenneltävä tilanteen kanssa eikä sen ympärillä.

Osastointi Lokerointi: Varmista, että jos yhden henkilön tili vaarantuu, vahinko pysyy hallinnassa. Tämä on samanlaista kuin laivoissa, joissa on useita vesitiiviitä osastoja – yhden osaston rikkoutuminen ei upota koko alusta.

Automaatio koulutuksen sijaan: Korvaa inhimilliset päätöksentekopisteet automaattisilla järjestelmillä, jotka käsittelevät turvallisuuspäätöksiä johdonmukaisesti ja luotettavasti.

FIDO2: Todentamisen tulevaisuus

FIDO2 on todentamisstandardi. Se on kaikkien kannalta toimivan järjestelmän kulmakivi: se tarjoaa laitteistoturvaratkaisun kyberturvallisuusongelmaan.

Mikä on FIDO2?

Jos et ole kuullut aiemmin, FIDO2 tarkoittaa Fast Identity Online. Se on yleensä USB-avaimen tai kortin muodossa. Voit ajatella, että se vastaa tavallista kotiavainta, mutta sitä käytetään tietokoneessa. Digitaalinen avain. Ihmiset eivät tarvitse erityiskoulutusta kotiavaimen käyttöön, eivätkä he myöskään tarvitse koulutusta FIDO2-avaimen käyttöön. Tämä saa turvallisuuden tuntumaan luonnollisemmalta.

Miten se toimii?

Kun saat oman FIDO2-avaimen:

  • Käyttöönotto: Ensin paritat FIDO2-avaimen tilisi kanssa kytkemällä sen laitteeseen tai yhdistämällä sen langattomasti. Palvelu opastaa sinut nopean käyttöönottoprosessin läpi, johon voi avaimesta riippuen kuulua PIN-koodin lisääminen tai sormenjäljen skannaaminen.
  • Sisään kirjautuminen: Kun haluat kirjautua sisään, liitä FIDO2-avain laitteeseen tai napauta sitä, jos se on langaton. Järjestelmä saattaa pyytää PIN-koodia tai biometristä tarkistusta varmistaakseen, että olet todella sinä.
  • Pääsyn myöntäminen: Siinä kaikki! Sinun ei tarvitse kirjoittaa salasanoja tai huolehtia niiden muistamisesta. Avain hoitaa tietoturvaosuuden puolestasi.
  • Kun sinun on kirjauduttava sisään, voit joko:
    • Asettaa turva-avaimen paikalleen ja painaa painiketta
    • Käyttää puhelimen sormenjälki- tai kasvojentunnistusta
    • Syöttää yksinkertaisen PIN-koodin

Miksi FIDO2 on “parempi”?

  • Ei varastettavia salasanoja: FIDO2 korvaa perinteiset salasanat kryptografisilla avaimilla. Koska nämä avaimet tallennetaan turvallisesti laitteeseesi eikä niitä koskaan jaeta, hakkerit eivät voi varastaa tai arvata mitään. Sinun ei tarvitse huolehtia heikoista salasanoista tai saman salasanan käyttämisestä useilla sivustoilla. Ja tämä tarkoittaa, että se eliminoi välikädet.
  • Sisäänrakennettu kalastelu-suojaus: FIDO2 estää kirjautumisen väärennetyille verkkosivustoille. Kun yrität kirjautua sisään, se tarkistaa sivuston vastaavan FIDO-avaimen, ja jos se ei vastaa todellisen sivuston aitoa avainta, et voi jatkaa. Tätä kutsutaan vastavuoroiseksi todennukseksi: sekä käyttäjä että sivusto todennetaan.
  • Paikallinen todennus: FIDO2-todennustiedot eivät koskaan poistu laitteestasi. Julkiseen FIDO-avaimeen liittyvä yksityinen avain tallennetaan turvallisesti laitteeseen, ja todennusprosessi tapahtuu paikallisesti laitteen ja Internet-selaimen välillä. Salaisuuksia ei lähetetä palveluntarjoajalle Internetin kautta, mikä varmistaa, että arkaluonteiset henkilötietosi pysyvät yksityisinä.

Tie eteenpäin

Sen sijaan, että organisaatiot investoisivat tuhansia tunteja koulutukseen, joka saattaa olla jo vanhentunutta, kun se on saatu päätökseen, niiden tulisi:

  1. Ottaa käyttöön FIDO2: Aloita kriittisistä järjestelmistä ja laajenna vähitellen.
  2. Keskittyä järjestelmiin: Investoi teknologioihin, jotka tekevät tietoturvasta oletustilan sen sijaan, että työntekijät joutuisivat aktiivisesti ylläpitämään sitä.
  3. Muuttaa kulttuuria: Siirry ”syytetään käyttäjää” -mentaliteetista järjestelmällistä suojautumista korostavaan mentaliteettiin.

Muista: Paras turvajärjestelmä ei ole se, joka edellyttää täydellistä ihmisen käyttäytymistä – se on se, joka toimii puutteistamme huolimatta. Ottamalla käyttöön FIDO2:n kaltaisia tekniikoita ja ottamalla käyttöön suunnitelmallisen tietoturvan, voimme luoda turvallisempia digitaalisia ympäristöjä, jotka suojaavat kaikkia, riippumatta heidän kyberturvallisuusosaamisestaan.