Johtaja, tiedätkö mikä on organisaatiosi resilienssi verkkohuijauksille ja kalastelulle?

Lukuaika 3 min

Syksyn aikana on nähty kiihtyvällä tahdilla uutisointia verkkohuijauksista, kiristyshuijauksista ja käyttäjätunnuskalasteluista sekä salasanavuodoista.

Keskusrikospoliisin mukaan suomalaiset menettävät vuodessa kymmeniä miljoonia euroja erilaisiin huijauksiin ja vuonna 2022 kesäkuun alkuun mennessä rahaa oli menetetty 13,5 miljoonaa euroa. Tyypillinen huijaussumma pyörii yli 8000 eurossa.

Huijauskampanjoiden nousu näkyy myös Elisan Kyberturvakeskuksessa, missä asiantuntijamme työskentelevät päivittäin vuotaneiden käyttäjätunnus- ja salasanapoikkeamien parissa. Tämän merkitys korostuu vallitsevassa turvallisuustilanteessa, kun suojattavana on useita huoltovarmuuskriittisiä organisaatioita ja heidän käyttäjäidentiteettinsä. 

Kalasteluharjoituksen avulla ainutlaatuinen otos

Poikkeamatiketit ovat vain jäävuoren huippu, kun mietitään volyymia, jonka tekniset tietoturvakontrollit suodattavat pois käyttäjien ulottuvilta.

Lähdimme selvittämään yhdessä kumppanimme Hoxhuntin kanssa keväällä, mikä on yritysten oikea tämänhetkinen resilienssi eli kyvykkyys vastustaa kalasteluyrityksiä ja toimia poikkeamatilanteessa, kun onnistunut kalasteluyritys havaitaan.

Ryhdyimme tuumasta toimeen ja saimme koottua kertaluontoiseen kalasteluharjoitukseen 11 organisaatiota kahdeksalta toimialalta, joka tarkoitti yhteensä noin 3000 loppukäyttäjää, jotka osallistuivat harjoitukseen. Lisäksi harjoitukseen osallistui jo pitempään henkilöstöään kouluttanut Fingrid verrokkiyrityksenä. 

Kertaluontoinen kalasteluharjoitus toteutettiin kaikkiin yrityksiin samalla ajanhetkellä elokuun lopussa. Kaikkiin organisaatioihin lähetettiin tismalleen samanlainen kalasteluviesti, jossa loppukäyttäjää pyydettiin vaihtamaan vanhentunut salasana pikaisesti.

Kun kalasteluviestin vaikeustasoa verrataan Hoxhunt-koulutuspalvelun peruskoulutusviestien vaikeustasoihin, tämäntyyppinen huijausviesti on kategorisoitu vaikeusluokkaan ’keskivaikea’.

Huomionarvoista on, että rikolliset tuskin neuvottelevat huijattavien kohteiden kanssa laitetaanko kohteille tulemaan helppo, keskivaikea tai todella vaikea kalasteluviesti. Huijausviesti sisälsi kolme indikaattoria, josta jokainen käyttäjä olisi voinut tunnistaa viestin kalasteluyritykseksi.  

Kalasteluharjoitus
Lähetetty kalasteluviesti.

 

Harjoituksen avulla saimme ainutlaatuisen otoksen ja tutkimustuloksen suomalaisten yritysten kyvykkyydestä vastustaa kalasteluhuijauksia. Olimme etukäteen keskustelleet koulutuksen yleisistä tuloksista lähtötilanteesta sekä siitä, miten hyvin Suomessa yleisesti osataan toimia digitaalisissa toimintaympäristöissä verrattuna moneen muuhun maahan.

Joka kuudes lankesi huijaukseen

Kalasteluharjoituksen lopputulos vahvisti olettamamme. Kun verrokkiyritys Fingrid poistettiin tuloksista, huijaukseen harjoituksessa lankesi 490 henkilöä, joka vastasi 17,6 % kaikista harjoitukseen osallistuneista loppukäyttäjistä. Tämä siis tarkoittaa, että noin joka kuudes harjoitukseen osallistuneista lankesi kalasteluhuijaukseen.

Fingridin vertailutuloksessa heidän henkilöstöstään vain 1 % lankesi huijaukseen. Ja yleisenä huomiona, että tuloksista on havaittavissa toimialoja, joilla resilienssi kalastelulle on vahvempi ja toimialoja, joilla ei. Pahimmillaan organisaation joka neljäs käyttäjä tarttui kalasteluhuijaukseen. 

Harjoitus rajattiin tarkoituksella vain kalasteluviestiin ja kalastelun taustalla ei ollut sisäänkirjautumissivua. Joku varmasti pohtii, että kuinkahan moni ajattelee vielä toisen kerran linkin painalluksen jälkeen, keskeyttää toimintansa ja päättää olla syöttämättä käyttäjätunnustaan ja salasanaansa kalastelusivustolle. Tästä on tilastoja pidemmältä ajalta käyttäjäryhmittäin.

Erot tuloksissa ovat merkittävät harjaantuneiden ja uusien loppukäyttäjien välillä, jotka ovat jatkuvan harjoittelun piirissä.

Kun uusi käyttäjä on houkuteltu sivustolle, yli puolet heistä syöttää myös tunnuksensa kalastelusivustolle. Harjaantuneita käyttäjiä saadaan ensinnäkin huomattavasti vähemmän houkuteltua kalastelusivustolle sekä toisekseen vain joka neljännes siitä vähäisestä määräisestä syöttää tunnuksensa.

Harjoittelu siis todellakin kannattaa, koska mitä useammin huijausviestien tunnistamista harjoitellaan, sitä paremmin osataan myös toimia oikeissa tilanteissa, vaikka viestit sisältäisivät aika- tai muunlaista painetta toimia äkkiä. Vanha kultainen viisaus ”pysähdy, ajattele ja toimi vasta sitten”, on erittäin relevantti ohjenuora, kun sähköpostiin tulee hiukankin epäilyttäviä viestejä.  

Kysyn uudestaan: johtaja, tiedätkö mikä on organisaationne resilienssi verkkohuijauksille ja kalasteluviesteille? Yksikin onnistunut huijaus tai kalasteluyritys voi olla liikaa ja aiheuttaa merkittävää haittaa ja kustannuksia liiketoiminnalle.

Mikäli tästä artikkelista heräsi ajateltavaa tai kysymyksiä organisaatioiden kyberturvallisuuden kehittämiseen, ota rohkeasti yhteyttä.

Autamme organisaatioita tunnistamaan kehitettäviä kohteita yrityksen kyberturvallisuudessa, henkilöstön kouluttamisessa sekä ympärivuorokautisen kyberturvapoikkeaminen havainnointi- ja reagointikyvykkyyksien tuomisessa osaksi organisaatiotanne päivittäistä toimintaa. 

Elisan asiantuntijoiden tärkeimmät vinkit henkilöstön kouluttamiseen huijaus- ja kalasteluviestien varalle:

  • Mieti kaksi kertaa ennen kuin toimit. Jos asialla on tulipalokiire tai ehdotus tuntuu liian hyvältä ollakseen totta, useimmiten kyseessä on huijaus 
  • Varmista sähköpostin tai tekstiviestin lähettäjätiedot esimerkiksi tarkistamalla lähettäjän tiedot ja sisältääkö viesti väärinkirjoitettuja verkkotunnuksia, kirjoitusvirheitä tai muita virheellisiä tietoja
  • Jos epäilet joutuneesi huijatuksi ja tunnuksesi ovat mahdollisesti vuotaneet, ota yhteyttä pankkiin tai IT-osastoosi viipymättä, että tunnukset saadaan välittömästi suljettua ja vahingot minimoitua 

Lisäksi hyviä toimintatapoja yleisesti Internetin ja pikaviestimien käyttämiseen:

  • Käytä palveluita vain oikeista verkkosivuosoitteista. Vältä linkkien painamista suoraan, vaan kirjoita itse verkko-osoite oikein selaimeen ja tee sitä kirjanmerkki tai käytä luotettua mobiilisovellusta 
  • Lataa sovelluksia vain luotetuista lähteistä ja virallisista sovelluskaupoista 
  • Syötä tunnuksia vain sivustoille, joiden aitoudesta olet varma 
  • Voit aina varmistaa pyynnön tai liitetiedoston aitouden ottamalla yhteyttä kyseisen organisaation asiakaspalveluun 
  • Harjoittele säännöllisesti huijauksien tunnistamista 

Elisa asiantuntijoiden suosittelemat, nykyään käytännössä pakolliset, tekniset kontrollit, jotka tulisi ottaa käyttöön:

  • Ota kaikille käyttäjille (sisäiset ja ulkoiset) käyttöön monivaiheinen tunnistautuminen.  
  • Tunnista ja rajoita tarvittaessa kirjautumisia maista, joissa organisaatiosi ei normaalisti toimi.  
  • Älä käytä julkisia epäluotettavia julkisia verkkoja. Jaa verkko kännykästä tai ota käyttöön virtuaalinen erillisverkko (Virtual Private Network, VPN) ratkaisu.  
  • Pyri havaitsemaan hyökkäykset mahdollisimman varhain erilaisilla havainnointi- ja reagointiratkaisuilla, ja mieti etukäteen organisaatiosi poikkeamanhallintaprosessi.  
  • Suodata haitallista sähköpostia sähköpostiratkaisussa tai erillisellä tietoturvatuotteella. 

Elisan Kyberturvakeskus auttaa sinua turvaamaan digitaalisen liiketoimintasi havaitsemalla uhkia sekä havainnoi ja reagoi hyökkäyksiin 24/7. Tutustu!


Lue lisää

Katsaus toteutuneisiin kyberturvauhkiin ja vallalla oleviin trendeihin – onko mikään muuttunut?

Cyber Security Outlook – katsaus kyberkentän uhkiin, mahdollisuuksiin ja ilmiöihin

Varaudu kyberhyökkäykseen – kyse ei ole jos, vaan milloin

Tutustu myös

Tietoisuuden kasvattaminen ja harjoittelu ovat kalastelun torjunnan A ja O

Missä mahdollisuus, siellä rikollinen. Kyberturva alkaa loppukäyttäjistä ja päätelaitteista

 

Kirjoittanut

Teemu J. Tiainen
Business Lead, Cyber Security Services

Kirjoittaja työskentelee Elisan Yritysasiakasliiketoiminnassa Kyberturvapalveluiden Business Leadina. Teemulla on liki 20 vuoden kokemus verkkoihin, tietoturvaan sekä kyberturvaan liittyvien palveluiden tuottamisesta ja johtamisesta kattaen niin tekniset kuin hallinnolliset ulottuvuudet kotimaisessa sekä kansainvälisessä kehyksessä.