BLOGI

Keinot muuttuvat, mutta tämä on edelleen yritysten suurin tietoturvariski

 

"Amatöörit hakkeroivat järjestelmiä, ammattilaiset ihmisiä."

 

Yrityksen suurin tietoturvariski on yhä ja edelleen...minä ja sinä, eli yrityksen tietojärjestelmien käyttäjät. Yksikään tekninen ratkaisu ei pysty täydellisesti ennaltaehkäisemään tai estämään käyttäjiä tekemästä inhimillisiä virheitä. Tämän lisäksi verkkorikolliset ovat jatkuvasti askeleen edellä ja keksivät teknologian kehityksen mahdollistamana mitä taitavampia hyökkäyksiä, joihin fiksumpi ja kokeneempi IT-jamppakin lankeaa – uunituoreesta HR-harjoittelijasta puhumattakaan.

 

Social Engineering on toimintaa, jonka tarkoituksena on saada käyttäjä paljastamaan tai antamaan pääsy salattuihin tietoihin.

 

Tiesitkö, että netistä löytyy nykyisin helppokäyttöisiä ohjelmia, joilla on mahdollista lähettää tekstiviestejä niin, että lähettäjä voi valita kenen numerosta ne näyttävät tulevan? Jos olet tallentanut vaikkapa esimiehesi numeron puhelimeesi, voidaan viesti saada näyttämään siltä, että se tulisi häneltä. Vastaavaa on mahdollista toteuttaa myös sähköpostitse tai soittamalla. Tämän tyyppisille hyökkäyksille on olemassa oma termikin, Spoofing attack, josta puhutaan siis silloin, kun yksittäinen henkilö tai ohjelma ”naamioidaan” toiseksi tietoja väärentämällä laittomia tarkoituksia varten.

Verkkohuijareiden tuoreesta työkalupakista löytyy myös vishing (voice phising), jonka avulla saadaan kalasteltua kohteelta ääninäyte, jota voidaan hyödyntää Spoofing-hyökkäyksessä. Näin ollen se viaton puhelintiedustelu vaikkapa yrityksen henkilöstömäärästä tai yhteystiedoista voikin olla lähtölaukaus rikolliseen toimintaan, kun talousasioista vastaava saa myöhemmin puhelun ”sinulta”, jossa ”sinä” kehoitat siirtämään tietyn summan yhtiön varoja tilille X. 

Yllämainitut esimerkit kuuluvat niin sanottuihin Social Engineering-hyökkäyksiin, joissa hyödynnetään tietoturvan heikointa lenkkiä – sinua ja minua. Yhteistä näille hyökkäyksille on, että ne on kohdennettu juuri tiettyyn yritykseen ja rikoksen suunnitteluun on tehty taustakartoitusta sekä käytetty aikaa. LinkedInistä selviää helposti, keitä yrityksen johdossa istuu tai kuka vastaa vaikkapa talousasioista. Yksityinenkin puhelinnumero on nykyään erittäin helppo ja nopea selvittää. Mahdollisuudet erilaisille hyökkäyksille ovat rajattomat - vain rikollisten mielikuvitus ja teknologia ovat rajana.

 

Kuulostaako utopistiselle?

 

Edellä kuvatut eivät vielä ole ehkä niitä kaikkein suosituimpia hyökkäystapoja tällä hetkellä, mutta käytössä ne jo ovat. Erilaisia Social Engineering-hyökkäyksiä on toteutettu onnistuneesti jo 90-luvulta lähtien. Niin sanotut toimitusjohtajahuijaukset eli BEC-hyökkäykset (Business Email Compromise) yleistyivät huimasti viime vuonna yhdessä Ransomware-kiristyshyökkäysten kanssa. BEC-hyökkäysten ansiosta rikollisten taskuun päätyi jo vuonna 2016 yli 3 miljardin edestä dollareita ja hyökkäyksiä kohdistui 92 maahan eli mistään Yhdysvaltojen ongelmasta ei ole kyse (TOP10:stä löytyy esim. Norja).

 

Mikä avuksi?

 

 

Aluksi kannattaa ottaa käyttöön viimeisimmän teknologian mukaiset monikerroksiset suojausratkaisut, joissa eri tuotteet ”keskustelevat” keskenään ja analysoivat jatkuvasti mahdollisia muutoksia. Epäilyttävät tiedostot on mahdollista eristää omaan ”hiekkalaatikkoon” tutkittavaksi, ennen kuin ne ehtivät tehdä tuhojaan. Käyttäjien koulutus kannattaa ja yrityksillä tulisi olla tietoturvaohjeistus, joka jokaisen henkilökunnan jäsenen on hyvä sisäistää. Maalaisjärjellä pääsee jo melko pitkälle.

Usein verkkorikolliset iskevät ulkomailta ja tämän vuoksi monet epäilyttävät viestit onkin kohtuullisen helppo havaita Google Translatorin avulla toteutetun kömpelön suomennoksen perusteella. Kansainväliset yritykset, joissa työkielenä on englanti, ovatkin helpoimmin ”höynäytettävissä”. Parhaimmillaan viestit on tehty niin hyvin, että alan asiantuntijakin menisi lankaan. Tämän vuoksi esimerkiksi yllättävät rahansiirtopyynnöt tai tunnuksien kyselyt on hyvä varmistaa aina henkilökohtaisesti. Se toimitusjohtajan puhelimesta tai sähköpostista tullut viesti kun ei välttämättä olekaan oikeasti häneltä.

Kuten yhdysvaltalainen tietoturva-asiantuntija Bruce Schneier on todennut: ”Amatöörit hakkeroivat järjestelmiä, ammattilaiset ihmisiä.” Niin klisheistä kuin se onkin; yrityksen tietoturvapuolustus on juuri niin vahva, kuin sen heikoin lenkki on. Huolehdithan, että yrityksesi puolustus pysyy vahvana.

 

---------

Inhimillisten virheiden minimointi on tärkeää myös henkilötietojen käsittelyssä. Tulevassa webinaarissamme esittelemme mm. DLP (Data Loss Prevention) sekä SIEM-ratkaisut, joilla minimoit inhimillisen virheen mahdollisuuden sekä tiedät tarkalleen mitä tietojärjestelmissäsi tapahtuu. Katso tarkempi agenda alla olevasta linkistä ja ilmoittaudu mukaan.

    ILMOITTAUDU    

 

 

Picture of Heini Immonen

Kirjoittaja Heini Immonen

Kirjoittaja on muutaman vuoden IT-alalla toiminut myyntitiimiläinen, jonka tietoturvakoira Rico pitää tunkeilijat ja kilpakosijat loitolla.