Artikkelikuva

Kyberturvallisuuden akilleen kantapää löytyy näyttöpäätteen ääreltä

Tietoisuus erilaisista tietoturva- ja kyberuhkista on tänä päivänä aivan eri tasolla kuin vielä muutama vuosi sitten. Silti monessa organisaatiossa kompastutaan edelleen hyvinkin simppeleihin sähköposti- ja haittaohjelmahuijauksiin, joissa hyödynnetään ihmisten kiireistä työskentelytapaa ja hyväuskoisuutta. Lisähaasteena on alati lisääntyvä mobiililaitteiden käyttö ja IoT-teknologia.

Takavuosina yksi säännöllisin väliajoin toistuvista perusuutisista oli koloradonkuoriaisten aiheuttama uhka perunasadolle. Kuoriaisuutiset ovat painuneet hiljalleen historiaan, mutta tilalle ovat tulleet toisenlaiset uhkat. Nyt kesäuutisissa toistuvat vuodesta toiseen erilaiset lasku- ja sähköpostihuijaukset sekä tietokoneeseen huomaamatta imaistut haittaohjelmat.

Kyberturvallisuuden akilleen kantapää löytyy näyttöpäätteen ääreltä 1

Helsingin seudun kauppakamarin tietoturva-asiantuntijan Panu Vesterisen mukaan niitä tullaan näkemään kosolti myös tulevana kesänä.

– Kesä on tällaiselle rikollisuudelle otollista aikaa. Monessa organisaatiossa on lomakuukausina sijaistajia, joilta aiheettomat laskut tai tekaistut sähköpostit saattavat mennä hieman helpommin läpi, hän toteaa.

Kokenutkin voi kompastua

Samalla Vesterinen tähdentää, että takavuosien kirjoitus- ja nimivirheitä vilisseistä nigerialaiskirjeistä on menty valtavin loikin eteenpäin. Nyt huijauksiin voi kompastua kokeneempikin konkari, varsinkin jos sähköposteja tai tietokoneen päivitysilmoituksia lukee muiden työkiireiden keskellä.

– Huijausyritykset ovat alati nokkelampia ja vaikeammin havaittavia. Niitä rakentavat alan huippuammattilaiset, jotka hyödyntävät myös tekoälyä. Käytännössä tämä on dopingin tavoin jatkuvaa kilpajuoksua, Vesterinen muistuttaa.

Esimerkiksi haittaohjelman tai aiheettoman laskun sisältävä sähköpostiviesti voi tulla oman esimiehen tai ylimmän johdon nimissä ja olla visuaalisesti täysin yhdenmukainen muiden kanssa. Siksi sitä on vaikea myöskään suoralta kädeltä kyseenalaistaa.

Oman riskilisänsä tuo mobiiliteknologia, etätyö ja monien omaksuma online-työskentelytapa, jossa sähköposteja lueskellaan usein aikaan ja paikkaan katsomatta. Lisänä ovat henkilökohtaiset mobiililaitteet, joilla pääsee myös organisaation sisäisiin järjestelmiin.

– Sen jälkeen tarvitaan vain yksi huolimaton ok-täppäys bussissa, metrossa, lentokentällä, seminaarissa tai kesämökin laiturilla, Vesterinen muistuttaa.

Mobiililaitteet ja IoT lisäävät kyberriskejä

Kevyimmillään kyse voi olla muutaman satasen huijauslaskusta. Pahimmillaan yrityksen tietojärjestelmiin voi kuitenkin uida haittaohjelma, joka sekoittaa taloushallintoa, rahaliikennettä, tuotantoprosesseja ja toiminnanohjausjärjestelmiä. Kyberrikollisuudessa näitä tietoja myydään ja välitetään myös eteenpäin.

– Näin IoT:n yleistyessä riskit ovat tässä suhteessa entistä suurempia ja oman selustan varmistaminen alati tärkeämpää, Vesterinen muistuttaa.

Keskuskauppakamari ja Helsingin seudun kauppakamari ovat tehneet yritysten rikosturvallisuusselvityksiä muutaman vuoden välein. Viimeisimmän, vuonna 2017 julkaistun selvityksen mukaan rikosten ja väärinkäytösten määrä oli kasvanut selvästi etenkin suurissa yrityksissä. Kun lisääntyneistä rikoksista raportoi vuonna 2012 noin joka kolmas suuryritys, oli niitä vuonna 2017 jo yli puolet.

Elinkeinoelämä ja hybridivaikuttaminen 2018

Business community and hybrid threats 2018

Vesterisen mukaan luvuissa on todennäköisesti edelleen kasvua. Puutteelliseen tietoturvaan liittyvät liiketoimintariskit ovat entistä paremmin tiedossa, mutta niiden hallinnassa on vielä petrattavaa.

– Monilta yrityksiltä puuttuu jatkuvuussuunnitelma, jossa määritellään kriittiset toiminnot ja aika, jonka ne voivat olla keskeytyneenä. Mitä esimerkiksi tapahtuu, jos yrityksen keskeiset järjestelmät ovat nurin päivän tai kaksi?, Vesterinen toteaa.

Kannattaa seurata säätiedotuksia

Kyberrikollisten tärkein kohde on edelleen yksittäinen työntekijä ja toive tämän hetkellisestä herpaantumisesta. Alan kokenut asiantuntija tosin varoittaa myös liiallisesta teknologiauskosta, joka sekin voi löysentää asenteita

– Esimerkiksi älypuhelimen kaappaaminen ja keskustelujen kuunteleminen ei ole tänä päivänä temppu eikä mikään.

Millainen sitten on Vesterisen oma muistilista kyberuhkien varalle?

– Ihan ensimmäiseksi on selvitettävä, mitkä ovat yrityskriittisiä tietoja ja otettava niistä varmuuskopiot. Sen jälkeen kannattaa seurata Viestintäviraston kybersäätiedotteita ja ilmoittaa omista havainnoista Kyberturvallisuuskeskukseen. Ja jos itse joutuu tällaisen hyökkäyksen tai huijauksen uhriksi, niin asiasta pitää kertoa heti eteenpäin, Vesterinen painottaa.

CYBERDI torppaa tietoturvauhkia

Alati kasvavat kyberuhat ovat tiedostettu useimmissa yrityksissä ja julkisorganisaatiossa, mutta ajantasaista tietoa ja käytännön osaamista on jo niukemmin.

Viime syksynä käynnistynyt ja vuoden 2021 loppuun jatkuva CYBERDI-projekti pyrkii omalta osaltaan helpottamaan tätä tilannetta.

Jyväskylän ammattikorkeakoulun (JAMK) ja Poliisiammattikorkeakoulun (POLAMK) yhteishanke levittää tietoisuutta kyberrikollisuudesta ja siihen liittyvistä riskeistä yhdessä

  • Elinkeinoelämän keskusliitto (EK),
  • Suomen yrittäjien,
  • Helsingin seudun kauppakamarin sekä
  • alueellisten kehitysyhtiöiden kanssa.

Mukaan on kutsuttu myös sairaanhoitopiirejä ja terveydenhuollon kuntayhtymiä. Projektia rahoittaa opetus- ja kulttuuriministeriö.

Projektia JAMK:n puolella vetävän projektipäällikkö Kirsi Heiskasen mukaan CYBERDI kehittää hyviä ja toimivia käytäntöjä kyberrikosten estämiseen, tutkimiseen ja selvittämiseen. Samalla lisätään yleistä tietoisuutta digitaalisen maailman uhkista ja rikollisuudesta.

– Tavoitteena on tuottaa kansantajuista ja käytännönläheistä tietoa, joka avautuu myös asiaan vihkiytymättömille. On hyvä huomata, että useimpien tapausten taustalla on ihmisen toiminta, esimerkiksi kiire tai pieni huolimattomuus, Heiskanen kertoo.

Projektin kautta halutaan madaltaa myös ilmoituskynnystä viranomaisten ja asiantuntijoiden suuntaan.

– Simppeliin sähköpostihuijaukseen tai haittaohjelmaan kompastunut voi kokea tilanteen niin noloksi, ettei edes halua kertoa siitä muille. Vahinkoa ei kuitenkaan kannata hävetä. Tuore ja avoin tiedonvälitys on paras keino välttyä isommilta vahingoilta, Heiskanen tähdentää.


Lue myös:

Kyberrikolliset kehittivät lokakuussa uusia huijauskohteita, 11.12.2017

Kyberrikolliset kehittivät lokakuussa uusia huijauskohteita  

Helppo raha kiinnostaa kyberrosvoa

Helppo raha kiinnostaa kyberrosvoa

 

 

Epäselvä lasku tuli pitääkö maksaa

Epäselvä lasku tuli – pitääkö ihan oikeasti maksaa?

Lue myös

Päivitetty 17.12.2024: Ukrainan sodan vaikutukset yrityksiin

Olemme koonneet pakotteisiin liittyvää tietoa, tietolähteitä ja toimintaohjeita tähän artikkeliin. Venäjän aloitettua täysimittaisen hyökkäyssodan ja...

Viikon kysymys: Mistä löytyy tietoa yrityksiä koskevasta lainsäädännöstä eri maissa EU:ssa?

Alkuun pääsee Your Europe -portaalissa, jossa on kootusti perustietoja yrityksen perustamisesta,...

Cyber Security Nordic 2022 12.-13.5.2022 Helsingin Messukeskuksessa

Neljättä kertaa järjestettävä kaksipäiväinen kyberturvallisuuden erikoistapahtumaa alkaa Helsingin Messukeskuksessa 12.5.2022.