- 7.9.2017

Kyberturvallisuus ei ole vain sähköpostien ongelma

Suomi on kuin lintukoto, mutta liialliseen turvallisuudentunteeseen ei ole varaa tuudittautua. Kyberrikollisuus on yhä kasvava uhka niin yrityksille kuin kotitalouksille.

Viestintäviraston Kyberturvallisuuskeskus kirjoitti vastikään, että Suomessa havaittiin kesäkuussa 2017 runsaasti tietojenkalasteluun tähtääviä sähköposteja. Kalasteluyritykset olivat kohdennettu suomalaisten organisaatioiden johtotehtävissä oleville henkilöille.

Mutta, ongelma ei koske vain sähköpostia vaan myös muita yrityksen viestintäkanavia ja työympäristöjä.

Todellinen uhka

Kyberturvallisuuskeskuksen kirjoituksessa kerrotaan, miten kesäkuun kalasteluyrityksissä kyberrikolliset tavoittelivat muun muassa pääsyä henkilöiden Office 365 -tileille. Kun sähköpostitunnukset päätyivät vääriin käsiin, hyökkääjät tekivät luvattomia sähköpostien uudelleenohjauksia, joiden olemassaoloa on vaikea havaita normaaleilla ylläpidon työkaluilla.

Tyypillisesti tietojen onkiminen tapahtuu kalastelusivuilla, joihin käyttäjä pyritään ohjaamaan sähköpostiviestin avulla. Tai sähköpostissa voi olla mukana liitetiedosto, jonka avaaminen vaatii omien tunnusten syöttämistä.

Office 365 -tunnusten kohdalla uhka on erityisen vakava. Usein samalla tunnuksella ja salasanalla kirjaudutaan useampaan yrityksen tietojärjestelmään. Suomessa Office 365 on käytössä lähes jokaisessa keskisuuressa ja suuressa yrityksessä, joten uhka on hyvin todellinen.

Toiminta on tänä päivänä paljon hienovaraisempaa ja suunnitellumpaa kuin aikaisemmin – muistat varmasti nigerialaisen prinssin avustuspyynnöt ja vastaavat lähestymiset. Kun hyökkääjällä on pääsy sähköpostiin, hän voi tarkkailla kommunikaatiota ja suunnitella yhä tarkemmin, miten ja mihin iskeä.

Suomessa Office 365 on käytössä lähes jokaisessa keskisuuressa ja suuressa yrityksessä, joten uhka on hyvin todellinen.

Yksi hyvin tyypillinen esimerkki on, että toimitusjohtajan nimissä lähetetään lasku talousosastolle. Etenkin isommassa yrityksessä tällainen jää helposti huomaamatta. Kun viesti tulee kollegalta, ensimmäiseksi ei välttämättä tule mieleen kyseenalaistaa viestin sisältöä.

Kun tunnukset ovat väärissä käsissä, hyökkääjät voivat lähettää viestejä myös yhteistyökumppaneille ja täten aiheuttaa merkittäviä vahinkoja yrityksen liiketoiminnalle sekä maineelle.

Ei vain sähköpostien ongelma

Sähköpostista ja tietoturvasta puhutaan paljon. Todellisuudessa tietoturvassa pitäisi huomioida muutkin kanavat vastaavalla pieteetillä. Miten teillä esimerkiksi huomioidaan yrityksen sähköiset ryhmätyötilat ja ulkopuoliset sovellukset, kun fokuksessa on kyberturvallisuus?

Tietojen keräämiseen löytyy muitakin tapoja kuin sähköposti. Hakkeroinnin fyysinen ja sosiaalinen ulottuvuus jäävät helposti taka-alalle. Sosiaalinen hakkerointisocial engineering – on esimerkiksi hyvin yleinen tapa kalastella tietoja ihmisiltä, joko puhelimitse tai jopa kasvotusten.

Hyökkääjä voi kalastella tietoja suoraan henkilöltä tai pyrkiä esimerkiksi resetoimaan palvelun salasanan puhelimitse. Tai joskus joku vieras sielu saattaa eksyä kiireiseen työympäristöön kenenkään huomaamatta. Suosittelen tutustumaan sosiaalisen hakkeroinnin mestariin Kevin Mitnickiin.

Mobiililaitteet mahdollistavat paljon, mutta myös tuottavat täysin uudenlaisia tietoturvauhkia. Älypuhelimen selailu tai läppärillä surffailu julkisilla paikoilla voi aiheuttaa yllättäviäkin tietoturvauhkia. Intranetin tai extranetin avaaminen ruuhkaisassa kahvilamiljöössä voi olla tietoturvariski. Myös mobiililaitteella otetut valokuvat yritysympäristöstä saattavat sisältää arkaluonteista tietoa, ja kuvan päätyminen sosiaaliseen mediaan voi olla hyvinkin vakavaa.

IBM:n vuonna 2015 tekemän tutkimuksen mukaan 60% kaikista yrityksiin kohdistuneista kyberhyökkäyksistä tulee yrityksen sisältä.

Oman kerroksensa muodostavat yrityksen ulkopuoliset pilvipohjaiset palvelut. Varjo-IT, kollaboraatiokaaos ja sovelluskaaos ovat kuumia aiheita tällä hetkellä ja syystäkin. Kullakin meistä on omat lempityökalut, oli kyse sitten muistiinpanoista tai projektinhallinnasta. Toisten työkalujen käyttökokemus miellyttää enemmän kuin oman organisaation työkaluissa.

Pahimmillaan tämä johtaa tietojen pirstaloitumiseen eikä kenelläkään organisaatiossa ole kokonaisvaltaista käsitystä tietojen sijainnista. Ja tämän myötä mahdollisiin tietoturvauhkiin on yhä vaikeampaa varautua. Ratkaisu ei voi pidemmässä juoksussa olla vain ulkopuolisten sovellusten käyttökielto. Parempi ratkaisua ja tavoite on rakentaa ja mukauttaa organisaation omia työkaluja entistä käyttäjäystävällisemmiksi.

Kyberturvallisuus – 6 vinkkiä, joilla voit varautua pahimpaan

Me ihmiset olemme hyväuskoisia olentoja, mutta kun suunnittelet oman yrityksesi kyberturvallisuus- ja tietoturvastrategiaa, varaudu pahimpaan. Mitä epätodennäköisempi uhka, sitä yllättävämpi se on. Seuraavien vinkkien avulla voit varautua pahimpaan.

  • Määrittäkää yhteiset pelisäännöt ulkopuolisten sovellusten ja ohjelmien käyttöön.
  • Luokaa käytännöt tietoturvapoikkeamien järjestelmälliseen käsittelyyn. Mitä käyttäjän tulee tehdä, jos hän havaitsee poikkeamia omalla sähköpostitillään?
  • Tietojärjestelmien poikkeamien kohdalla, tarkkailkaa IP-osoitteiden perusteella mistä kirjautumiset tulevat.
  • Salatkaa dokumentit siten, että niitä ei voi kuljettaa yrityksen ulkopuolelle esimerkiksi usb-tikun avulla.
  • Mahdollistakaa intranetin turvallinen selaaminen mobiililaitteilla, jotta ohjeistuksia ja tiedostoja ei tarvitse aina lähettää sähköpostiin.
  • Tehkää ryhmätyövälineistä helposti käytettäviä ja selkeitä, jotta käyttäjille ei tule kiusausta siirtyä käyttämään esimerkiksi WhatsAppia ryhmäkeskustelujen välineenä.

Tekniset apuvälineet ovat laiha lohtu, jos ihmisiä ei valisteta kyberuhkista. Tässäkin maalaisjärjellä pääsee pitkälle. Jos jokin pyyntö sähköpostissa tai puhelimessa kuulostaa yllättävältä tai rohkealta, uskalla epäillä. Totuus on, että jokaisen yrityksen tietoturvan heikoin lenkki on edelleen inhimillinen elementti.

Jos kaipaat konsultointia tietoturvallisten työtapojen kehittämiseen, ota yhteyttä.

Tietoa kirjoittajasta