Skip to content 
Yrittäjät huomio!
Sain tutulta asiakkaaltani sähköpostiin viestin, joka ytimekkäästi kertoi, että Traficomin sivulla on joku tuplatieto ja minun pitäisi siihen reagoida. Viestin liitteenä oli kirjautumislinkki. Luin viestin älypuhelimella juuri syödyn lounaan päätteeksi läheisen lounasravintolan pöydässä.
No epäilykseni heräsi, koska asiakassuhdettamme ei pitäisi Trafin tietojärjestelmät mitenkään liikuttaa.
Lisäksi oman tietoturvaohjeistuksemme sääntöihin kuuluu, älä koskaan varauksetta reagoi pyytämättä tulleeseen linkkiin, tuli se mistä tahansa.
No vastasin viestiin; ”viesti ei todennäköisesti kuulu minulle, mutta jos ei sinun, älä klikkaa.”
Sain välittömästi vastauksen, ”se on sinulle avaa linkki”.
No olisi kiireessä saattanut olla luonnollista avata linkki ja jatkaa sen mukaan.
Muistin taas niitä tietoturvaohjeita, joissa ohjeistettiin olla tekemättä asioita hätiköidysti, joten laitoin puhelimen taskuun koska oli jo kiire työpaikalle.
Päästyäni takaisin toimistolle avasin viestin uudestaan tietokoneella. Ei ole kyseisen asiakkaan tapaista vastata suorasukaisella tavalla. Koska viestit tulivat oikeasti asiakkaan firman sähköpostista olin varma, että hänen sähköpostinsa oli kaapattu.
Pirautin asiakkaalle kertoakseni mahdollisesta tilin kaappauksesta. Kun sain asiakkaan kiinni, hän olikin jo hyvin huolestuneena myrskyn keskellä.
Tili oli kaapattu ja sama viesti oli lähtenyt kenties satoihin osoitteisiin.
Asiantuntijat olivat selvittämässä mitä pitää nyt tehdä. Tilin kaapannut taho operoi edelleen ja hallitsi henkilön sähköpostia ja ohjasi tulevat viestit käyttäjältä piiloon, ettei hän niitä huomaisi, ja kaappaaja vastaili näihin kysymyksiin.
Mielenkiinnosta sitten avasin lähetetyn linkin ja ei niinkään yllätyksellisesti, se pyysi minulta kirjautumista Outlookiin.
No luonnollistahan voi olla, että ei ole kirjautunut Office 365:een, kone mukamas unohtanut kirjauksen, ja nyt pyydettäessä kirjautuu uudestaan.
Kyseessä ei tosin tämmöisessä tapauksessa ole kirjautuminen yhtään mihinkään, vaan käyttäjätunnuksen ja salasanan luovutus nettirikolliselle.
No taas sivuten niitä tietoturvaohjeita, koskaan ei kirjauduta linkistä. Kirjaudutaan aina pääsivun kautta tai sen osoitteen minkä olet kirjanmerkkeihin tallettanut.
Jos nyt olisin, tai joku kymmenistä viestin saajista olisi antanut oikeat tunnukset mitä olisi tapahtunut?
Ensinnäkin rikollinen olisi pystynyt seuraamaan sähköpostiliikennettä. Tätä voi mahdollisesti tehdä rauhassa pitkiäkin aikoja. Tietohallinto ei välttämättä aktiivisesti seuraa mistä kirjautumiset eri henkilöiden sähköposteihin tulee.
Päästyään sisälle rikollinen pääsee käsiksi aikamoiseen määrään tietoa, joista osa voi olla hyvinkin arkaluontoista, salattavaa, henkilötietoja ja liikesalaisuuksia. Näiden tietojen pohjalta suunnitella varsinaisen rikoksen.
No mihin rikolliset sitten haltuun otettua käyttäjätiliä käyttävät?
- Kiristykseen
- Saamaan joku vastaanottajista toimimaan tietyllä tavalla, hyväksymään tilisiirron tms.
- Huijauksen levittämiseen eteenpäin, identiteettivarkaus
- Tietojen varastamiseen, levittämiseen ja myymiseen eteenpäin
- Tietomurron jatkamista eteenpäin kyseisessä organisaatiossa tai käyttäjän muilla tileillä
- Aiheuttamaan vahinkoa yritykselle tai tietylle toimialalle
- Mihin muuhun tahansa.
Myös rikolliset kehittyvät koko ajan, oppivat parempaa suomea, etsivät heikkoja kohtia ja monesti se on ihminen. Rikolliselle kelpaa muutaman satasen hyöty, mutta kyllä ne kaiken ottaa minkä irti saavat.
Rikolliset toimivat suurella massalla. Jos promille saadaan ansaan, on se miljoonasta yrityksestä jo tuhat.
Paraskaan tietoturva palomuureineen, kaksivaiheisine tunnistautumisineen ei auta, jos ihminen itse luovuttaa tietonsa. Kukaan ei sitä tietenkään tarkoituksella tee ja onhan se jälkeen päin ahdistavaa ja noloa.
Tietoturva ei siis missään nimessä ole pelkkä tekninen ratkaisu.
Tietoturvaohjeistus, tietoturvapolitiikka ja muukin tietoturvaan liittyvä tulee agendalle yleensä vasta sitten kun jotain ikävää on jo tapahtunut.
Näiden luomiseen ja jalkauttamiseen ei monessa yrityksessä ole aikaa ja kompetenssia, mutta noudattamiseen on kyllä.
Tietoturvaa osaavia kumppaniyrityksiä on varmasti kaikille tarjolla.
Tietoturvan ei tarvitse olla välttämättä mitään ISO 27001 tasoa. Yksinkertaisimmilla ohjeilla ja politiikoilla pärjätään kyllä. Kaikkien organisaation jäsenillä tulee olla riittävät ohjeet, mitä tietotekniikassa ei saa tehdä ja mitä tehdään välittömästi silloin kun vahinko on huomattu.
Yrityksellä tulee olla suunnitelma, miten esim. yllä mainitun kaltaisessa tietomurtotilanteessa toimitaan, ja kuinka vahingot saadaan rajattua mahdollisimman pieniksi.
Silloin kun ”se” osuu tuulettimeen, on liian myöhäistä alkaa miettimään keinoja. Ne on oltava mietitty valmiiksi ja niiden mukaan toimitaan.
Verkkorikolliset voivat olla pienenkin summan perässä, mutta toisaalta vahingot voivat olla yritykselle valtavat. Monia yrityksiä on ajautunut konkurssiin alle vuoden päästä vakavasta tietomurrosta.
Menetykset maineelle ja asiakassuhteille voivat olla itse vahinkoa suuremmat.
