Näin toimii kyberhyökkäys – ”Ihminen on heikoin lenkki”

Aalto-yliopiston kauppakorkeakoulun tekemän suuryritystutkimuksen mukaan jopa 93 prosenttia suuryritysten päättäjistä on sitä mieltä, että tietoturvaan ja kyberturvallisuuteen liittyvät riskit vaativat yhtiöiltä varautumista lähitulevaisuudessa. Mitä yritykset oikein pelkäävät – tai mitä pitäisi pelätä?

Juttu julkaistu alunperin taloudessa.fi-palvelussa 18.2.2016.

OPn kyberturvallisuuden asiantuntija, kehityspäällikkö Niklas Nykter, mistä yritysten kasvanut tietoisuus kyberturvallisuudesta johtuu?

– Yksi selittävä tekijä on, että kyberuhka on niin paljon esillä nykyään. Erityisesti Yhdysvalloissa on tullut ilmi kyberhyökkäyksiä, joissa yritysten menetykset ovat olleet satoja miljoonia dollareita. Kyllä se varmasti on asia, mikä saa yritysjohtajat huolestumaan myös Suomessa, Nykter pohtii.

Riskit ovat myös aidosti kasvaneet viime vuosina digitalisaation ja globalisaation myötä. Digitalisaatio on vienyt sekä työt että asiakkaille tarjottavat palvelut verkkoon, mikä kasvattaa niin kutsuttua hyökkäyspinta-alaa. Toisaalta globalisaation myötä asiakasrajapinta laajenee. Jopa kymmenet tai sadat miljoonat ihmiset ympäri maailman voivat olla asiakkaita tai potentiaalisia asiakkaita, joilla on pääsy yrityksen palveluihin.

Suuryritysten johtajien pelot ovat siinä mielessä perusteltuja, että suuret yritykset ovat usein suuremmassa vaarassa joutua kyberrikollisuuden kohteeksi. Mitä suurempi yritys on, sitä enemmän sieltä löytyy heikkoja lenkkejä niin henkilöstöstä, prosesseista kuin kolmansista osapuolistakin.

– Toisaalta pienikin start-up, josta on kohistu paljon, voi joutua kohteeksi. Firman koolla tai toimialalla ei välttämättä ole suurta merkitystä, sillä suurin osa rikollisista etsii vain kohteita, joilta on helppo huijata rahaa. Esimerkiksi pankit itsessään eivät yleensä ole houkutteleva kohde, koska niiden järjestelmät ovat niin hyvin suojatut. Sen sijaan pankkien asiakkaat ovat valitettavan helppo kohde, Nykter sanoo.

Rikolliset hyödyntävät ihmisen hyväntahtoisuutta

Tutkimuksesta saatujen tulosten mukaan suuryritykset kokevat konkreettisiksi riskeiksi erityisesti yrityksiin suoraan kohdistuvat uhat kuten tietomurrot ja palvelunestohyökkäykset.

Nykterin mukaan teknologian kehittyminen ei kuitenkaan ole välttämättä merkittävin syy kyberhyökkäysten lisääntymiseen. Toisaalta on havaittu, että viimeisen viiden vuoden aikana kyberrikollisuus on ollut aiempaa järjestäytyneempää ja rikollisilla enemmän rahaa ja osaamista käytettävissä. Toisaalta hyökkäyksiä tehdään yhä samoin kuin 20 vuotta sitten: käyttäen hyväksi ihmisen hyväuskoisuutta.

– Toimivimmat keinot ovat hirvittävän yksinkertaisia eikä niissä usein käytetä mitään älykästä tekniikkaa. Edelleen tehokkaimpia keinoja on lähettää sähköpostin kautta haittaohjelmalinkki. Hyvin usein käytetään hyväksi ihmisten hyväntahoisuutta ja pyydetään apua, Nykter kertoo.

Esimerkiksi viime aikoina esillä olleet CEO-huijaukset perustuvat siihen, että verkosta saa helposti kerättyä tietoa yrityksestä ja sen työntekijöistä. LinkedInistä löytyy yrityksen talousjohtaja ja hänen sijaisensa ja talousjohtajan lomaillessa huijari lähestyy sijaista kiireellisellä laskulla.

Tiedustelutoiminta saattaa olla hyvin järjestelmällistä: kohteesta etsitään julkiset tiedot Facebookista ja hänen Twitter-tiliään seurataan, jolloin viestissä pystytään viittaamaan asiaan, jota lähettäjä ja kohde ovat mahdollisesti yhdessä hoitaneet. Sähköpostiosoitteen voi väärentää niin, että viesti näyttää tulevan organisaation sisältä tai asiakkaalta, eikä vastaanottaja osaa epäillä mitään.

– Tunkeutujat ovat yhä taitavampia ja ovelampia. Tällainen toiminta on pelottavan tehokasta ja sen avulla saadaan hyvin helposti paljon rahaa. Näissä on nähty miljoonatappiota myös suomalaisyrityksissä, Nykter huokaisee.

Myös oma työntekijä voi olla uhka

Huijaamisen lisäksi puhutaan opportunistisesta toiminnasta, jossa joku yrityksen sisältä tai ulkopuolelta havaitsee mahdollisuuden tai virheen prosessissa ja käyttää sitä hyväksi.

– Aika paljon on tiedossa tapauksia, joissa yrityksen oma työntekijä on huomannut, että tässä ei nyt kontrollit pelaa ja hyödyntänyt tilaisuuden. Taustalla voi olla peliongelma tai muu henkilökohtaisen elämän ongelma, joka johtaa siihen, että työntekijä ajautuu käyttämään prosessin porsaanreikää hyväksi.

Nykterin mukaan porsaanreikiä syntyy, kun liiketoimintaa siirretään verkkoon eikä uutta prosessia käydä huolella läpi. Usein kyse ei ole teknisistä aukoista vaan vaikka siitä, että työntekijä pääsee itse tarkastamaan omat laskunsa. Tietoturvallisuus pitää integroida alusta asti osaksi liiketoiminnan digitaalista kehittämistä.

– Siinä on juuri ideana käydä prosessi kohta kohdalta läpi tietoturva-aukkojen varalta, jonka jälkeen voidaan rakentaa tekniset suojaukset. Ja jos kyseessä on asiakasrajapintaan tuleva palvelu niin vielä täytyy miettiä miten asiakkaat saadaan huolehtimaan tietoturvallisuudesta omalta osaltaan, Nykter lisää.

Kolmannet osapuolet varmistettava

Oman henkilöstön lisäksi myös kolmannet osapuolet on varmistettava. Esimerkiksi Yhdysvalloissa kyberrikoksia on tehty kiinteistönhoitoyhtiöiden kautta. Kolmannen osapuolen valvominen on hyvin vaikeaa siinä vaiheessa, kun pääsy yrityksen järjestelmiin on olemassa.

– Yritys itse on aina lopullisesti vastuussa asiakastiedoistaan, hankinnoistaan ja ulkoistamistaan palveluista. Hyvä esimerkki on pilvipalvelut. Jos palveluntarjoaja on iso kansainvälinen toimija, se ei välttämättä välitä kansallisesta tai eurooppalaisesta regulaatiosta mitään. Yrityksen pitää silloin itse hyvin tarkkaan miettiä, millaista tietoa pilvipalveluihin voi siirtää.

Kyberuhka on uusi normaali

Nikas Nykterin mukaan kyberhyökkäysten todennäköisyys kasvaa, kun koko maailmasta tulee pikku hiljaa yhtä liiketoiminta-aluetta.

– Digitaalisessa ja globaalissa maailmassa monimutkaisuus lisääntyy ja yritystoimintaan syntyy yhä enemmän riskikohtia. Yritysten pitää vain hyväksyä tällainen uusi normaali, jossa kyberhyökkäykset ovat arkipäivää ja varautua niihin turvaamalla oma toiminta niin hyvin ja monipuolisesti kuin mahdollista. Hyökkäys voi sattua myös omalle kohdalle, Niklas Nykter muistuttaa.

Suuryritystutkimus on OP Ryhmän yhdessä Aalto-yliopiston professoreiden perustaman NIBS-ajatushautomon kanssa toteuttama tutkimus, joka on ainutlaatuinen katsaus Suomen suurimpien yritysten ylimmän johdon näkemyksiin. Syksyllä 2015 kyselyyn vastasi ennätykselliset 155 avainjohtajaa 109 suuryrityksestä.

Perehdy OPn kyberoppaaseen ja turvaa yritystoimintasi jatkuvuus myös kyberuhkien aikakaudella.

OP sosiaalisessa mediassa