Oppitunti kyberpetoksista
Hiljattain kaksi suomalaista yhtiötä on tullut julkisuuteen myöntäen, että ne ovat joutuneet kyberpetoksen uhreiksi. Samankaltaiset tapaukset ovat yleisiä myös muualla maailmassa. Tapauksissa rikoksentekijät ovat identiteettivarkautta ja muita petollisia toimia hyödyntäen huijanneet yritykset maksamaan huomattavia summia. Kyberpetoksista on uutisoitu laajasti, mikä on erinomainen asia, sillä tietoisuus liiketoimintaan liittyvistä uhista lisääntyy. Uutisoinnissa tapauksia kutsutaan ”toimitusjohtajahuijauksiksi” (CEO fraud) tai ”liiketoimintasähköpostin murtamisiksi” (Business email compromise). Kun liiketoimintaan liittyvät uhat ja niiden mahdolliset vaikutukset tunnetaan, on niihin varautuminen entistä helpompaa. Lisäksi nyt on erinomainen tilaisuus pohtia, mitä julkisuudessa olleista tapahtumista voisi oppia.
Tietoturvallisuuden näkökulmasta tarkastellen huomio kiinnittyy uutisoinnissa identiteettivarkaus-termiin. Uutisoinnissa annetaan ymmärtää, että rikoksentekijät ovat esiintyneet henkilöinä, joiden kautta he ovat saaneet varsinaisen uhrin tekemään rahansiirtoja identiteettivarkaiden haluamalla tavalla. Käytännössä rikoksentekijät ovat esiintyneet yhtiön ylimmän johdon edustajana ja tällä auktoriteetilla johtaneet kontrolleria harhaan. Varautumiskeinoja tulee siis pohtia sekä rahaa siirtäneen uhrin, eli kontrollerin, että identiteettivarkauden uhrin, eli johtajan, osalta.
Helpoin keino estää kyberpetoksia on tietoisuuden lisääminen siitä, minkälaisia huijauksia pelkästään sähköpostin kautta voidaan tehdä. Tietoisuutta on hyvä lisätä läpi yrityksen, mutta erityisesti rahaa ja yrityssalaisuuksia käsittelevien avainhenkilöiden kohdalla sen tulee olla järjestelmällistä. Näin huijaukset voivat tyrehtyä jo ensimetreille, kun potentiaalinen uhri ei avaakaan haitallista linkkiä, jonka kautta käyttäjätunnus ja salasana kalastellaan. Tai huijaus epäonnistuu, kun valveutunut työntekijä varmistaa puhelimitse, onko sähköpostitse saatu epätavallinen viesti aito. Sähköposti on usein ensimmäinen hyökkäysvektori: se on helposti tavoitettavissa oleva ja näkyvä osa yritystä, koska matti.meikalainen@yritys.fi on helppo tietää uhrille kuuluvaksi osoitteeksi.
Myös teknisiä kontrolleja tarvitaan
Tietoisuuden tueksi tarvitaan myös teknisiä tietoturvakontrolleja, joilla suojataan sähköpostitiliä ja sähköposteja. Käytännössä vahva tunnistaminen ja sähköinen allekirjoitus ovat tämän kaltaisissa tapauksissa avainsanoja. ”Toimitusjohtajahuijauksen” kaltaisiin kyberpetoksiin eivät perinteiset roskapostisuodattimet valitettavasti auta, sillä kyseessä on jokaisessa tunnetussa tapauksessa tarkoin valmisteltu ja kohdennettu viestintä. Näissä tapauksissa useampaa yhtiön edustajaa ja työntekijää on siis suunnitelmallisesti huijattu. Identiteettivarkaan työtä vaikeuttaa huomattavasti, kun uhrin sähköpostitilille kirjautumiseen vaaditaan muutakin kuin käyttäjätunnus ja salasana. Epäilyttävän viestin vastaanottajan on puolestaan helpompi tunnistaa huijausviestit, jos näistä puuttuu asianmukainen sähköinen allekirjoitus. Tietoturva-alan henkilöille näistä puhuminen on arkipäivää, mutta mikä on talousosaston ja ylimmän johdon näkemys tietoturvallisuudesta ja sen tilasta yrityksessä?
Ehkä tärkein opetus, joita kyberpetoksista voidaan oppia, on, että tietoturvallisuus ei ole pelkästään tietohallinnon asia. Modernin tietoturvapäällikön tulee ymmärtää, missä, millä triggerillä ja miten yritykselle tärkeä data liikkuu. Lisäksi tulee ymmärtää, mikä on liiketoimintavaikutus, mikäli data sotketaan, tuhoutuu tai kulkeutuu väärään paikkaan. Jotta tämä tieto olisi saatavilla, tulee tietoturvapäällikön tehdä yhteistyötä eri osastojen kanssa, tunnistaa liiketoiminnan kannalta kriittisimmät prosessit ja olla jatkuvasti tietoinen siitä, miten liiketoimintaan liittyvät uhat muuttuvat.