Sisäänpääsyä kalastelemassa

Sisäänpääsyä kalastelemassa

Suojaudumme uhkilta mitä moninaisimmin keinoin, mutta käytämmekö rajalliset resurssimme ja budjettieuromme oikeisiin asioihin? Usein tietomurrot saavat alkunsa käyttäjien huijauksista, kuten tietojen kalastelusta. 

Digitaalinen viestintä hallitsee elämäämme. Saamme jokainen lähes lukemattoman määrän erilaisia viestejä päivittäin erilaisiin laitteisiin, joista osa liittyy töihimme, osa on henkilökohtaisia, osa on tärkeitä ja osa täyttä puppua. Viestinnässä on vaaranpaikkoja; erilaisten kyberhyökkäysten uhka on suurempi kuin koskaan aiemmin.  

Tutkimusten mukaan suurin osa tietomurroista jopa yli 80 % saa alkunsa erilaisista käyttäjien huijauksista. Puhutaan sosiaalisesta manipuloinnista (social engineering) ja tietojen kalastelusta (phishing).  

Yritysmaailmassa olemme tottuneet suojaamaan verkkomme mitä erilaisimmilla tietoturvatyökaluilla. Auttavatko ne, kun uhka kohdistetaan suoraan käyttäjiin eikä perinteisesti hyvinkin kovennettuihin järjestelmiin?

Mitä on sosiaalinen manipulointi? 

Social engineering on yleistermi tavoille manipuloida ihmisiä ja hyödyntää ihmisten käyttäytymisen haavoittuvuutta antamaan luvaton pääsy luottamuksellisiin tietoihin, järjestelmiin tai fyysisiin tiloihin. Uskomme hyvään ja se tekee meidät alttiiksi huijauksille. 

Historia on täynnä erilaisia rikollisia huijauksia. Tänä päivänä ne ovat yhä enemmän digitaalisia ja niille on keksitty vetäviä nimiä kuten;  

  • Pretekstaus, jossa luodaan keinotekoinen tilanne, jolla manipuloidaan henkilöitä paljastamaan arkaluonteisia tietoja. Esimerkiksi tekeytyminen IT-asiantuntijaksi, joka auttaa ongelman ratkaisussa.  
  • Phishing, jossa harhaanjohtavien sähköpostien tai tekstiviestien avulla pyritään saamaan vastaanottajat paljastamaan henkilökohtaisia tietoja tai suorittamaan toimia, jotka hyödyttävät huijaria.  
  • Tailgating, fyysisen maailman tietoturvauhka, jossa seuraamalla henkilöitä pyritään pääsemään suojatuille alueille hyödyntäen edellä kulkijan kohteliaisuutta tai huolimattomuutta.  

Huijaamista yhtä kaikki. Edellä kuvatuista kohtaamme yritysmaailmassa paljon kalastelua ja erityisesti sähköpostilla kalastelemista.

Sähköposti on yleisin tietojen kalastelun väline 

Sähköpostikalastelussa huijarit lähettävät sähköposteja, jotka muistuttavat oikeita lähteitä (esim. pankkeja tai palveluita) ja pyytävät vastaanottajia napsauttamaan linkkejä tai antamaan henkilökohtaisia tietoja, kuten kirjautumistietoja. 

Kalastelu voi olla hyvin kohdistettua, jolloin viestejä muokataan tiettyjen yksilöiden tai organisaatioiden mukaan. Tämä tekee niistä erityisen vakuuttavia ja vaikeampia havaita.

Miten laskea riskitasoa erityisesti kalasteluun liittyen? 

Tarjolla on mielestäni pari hyvää työkalua, jotka yllättävää kyllä ovat kokemukseni mukaan myös varsin edullisia verrattuna moneen muuhun tietoturvariskien hallintakeinoon.

1. Perehdytä käyttäjiä 

Käyttäjien yleinen tietoturvatietoisuus on tärkeä puolustuslinja, koska huijaustavat toistuvat usein varsin samankaltaisina.  

Perehdytä työntekijöitäsi tunnistamaan kalastelu ja muut huijaustaktiikat. Kannusta ilmoittamaan epäilystä ja varmista, että kaikki pyynnöt arkaluonteisista tiedoista tarkistetaan.  

Luo selkeät ilmoituskanavat epäillyille kalasteluyrityksille organisaatiossasi. Nopea ilmoittaminen voi auttaa tunnistamaan ja torjumaan uhkat nopeasti.  

Perehdytysmateriaalien ylläpitäminen itse, samoin kuin koulutusten jatkuva järjestäminen, voi kuitenkin käydä työlääksi. Avuksi kannattaa ottaa kumppani ja koulutusjärjestelmä, mikä tarjoaa työkalut ja materiaalit osaamistason mittaamiseen ja koulutusten järjestämiseen. 

Tutustu tietoturvakoulutuksiin

2. Käytä monivaiheista todentamista (MFA) 

Ota MFA käyttöön aina kun se on mahdollista. Kytke mahdollisimman suuri joukko sovelluksia MFA:han ja rakenna tarvittaessa MFA:n tarjoava kuori vanhoille järjestelmillesi.  

MFA-asioihin löytyy mittava joukko erilaisia ratkaisuja. Ota vaikka meidät avuksi arvioimaan, mikä tukee parhaiten sinun liiketoimintaasi. 

Lue digitaalinen identiteetti ja pääsynhallinta

3. Suojaa sähköpostisi 

Budjetoi muutama ylimääräinen euro suojataksesi organisaatiosi sähköpostipalvelut. Tämä on erityisen tärkeää, kun suojataan maailman suurinta sähköpostipalvelua M365:tä. Viritä M365 suojaukset kuntoon, mutta älä jätä asiaa siihen.  

Suojaa sähköpostisi tämän lisäksi vielä erityisellä sähköpostien suojausratkaisulla. Myös tällaisten suojauskeinojen käyttöönotosta ja ylläpidosta meillä on paljon kokemusta. 

Katso Torju sähköpostin tietoturvauhat -webinaari

Lue lisää sähköpostin suojauksesta

Ihmiset ovat tehokkain puolustus kalastelua vastaan 

Huijaukset jatkavat kehittymistään, muuttuen entistä monimutkaisemmiksi ja vaikeammin havaittaviksi. Tehokkain puolustus kyberuhkia vastaan on informoitu ja varovainen käyttäjä.  

Kouluttamalla tiimiäsi, käyttämällä vahvaa tunnistamista ja erityisesti suojaamalla sähköpostisi, voit merkittävästi vähentää liiketoimintaasi kohdistuvia tietoturvariskejä. Kysy meiltä lisää näistä keinoista. 

Petri Heinonen

Pete on yli 25 vuotta kestäneellä IT-urallaan toiminut monissa eri rooleissa tietoliikenne- ja tietoturvatoimittajilla; myyjästä konsultiin, asiantuntijasta johtoryhmän jäseneen. Kokemusta on kertynyt paljon niin hallinnollisesta kuin teknisestä tietoturvasta. Tällä hetkellä Pete toimii Secure Cloudilla tietoturvaneuvonantajana ja asiakasyhteyshenkilönä.