Tietojen kalastelu eli phishing on laaja taloudellinen ja yhteiskunnallinen ongelma, joka aiheutti pelkästään yrityksille vuosina 2016–2019 yli 26 miljardin euron menetykset.
Kyberrikollisten kalasteluyrityksiltä ei ole kuitenkaan turvassa kukaan, ja taloudellisten vahinkojen lisäksi ne uhkaavat yksilöiden yksityisyyttä. Siksi jokaisen on opittava olemaan valveutunut ja tunnistamaan vahingolliset kalasteluyritykset.
Kasvattamalla omaa osaamista, tietoisuutta ja kykyä tunnistaa kalasteluviestejä, kasvatetaan digitaalista turvallisuutta koko yhteiskunnan tasolla.
Toiminnan on tultava selkäytimestä
Elisa aloitti systemaattisen kalastelun torjunnan vuonna 2017 tekemällä henkilöstölleen simulaatiokoulutuksia. Toimintaa on kehitetty, ja tänä päivänä elisalaisia koulutetaan tunnistamaan kalasteluviestejä jatkuvan simulaatioharjoittelun avulla, jolla pyritään kehittämään myös ihmisten käyttäytymistä eikä pelkästään tietoisuutta.
Jokainen elisalainen saa säännöllisesti sähköpostiinsa simuloituja kalasteluviestejä, jotka tulee tunnistaa ja raportoida. Jokainen tietää, ettei punaisia päin saa kävellä, mutta monet silti kävelevät. Jotta tietojen kalastelua pystytään tehokkaasti torjumaan, on jokaisen osattava kalasteluyrityksen tunnistamisen lisäksi myös toimia oikein opitulla tavalla.
”Tavoitteenamme on saada toiminta kalasteluyrityksissä ikään kuin lihasmuistiin samalla tavalla kuin polkupyörällä tai autolla ajamisessa. Ei kukaan autokoulun käytyään ja pari vuotta ajeltuaan tuolla liikenteessä mieti, mitä risteykseen tullessa pitää tehdä vaan se tulee selkäytimestä”, valottaa Elisan tietoturvajohtaja Teemu Mäkelä.
”Lihasmuistissa täytyy olla koko ajan terve epäilys sähköposteja kohtaan – testeissä kun huomataan vain mikä ei toimi, mutta jatkuvalla harjoittelulla kehitytään koko ajan.”
Jatkuva harjoittelu takaa jatkuvan valppauden
Jokaisella elisalaisella on tietojen kalastelun torjunnan ohjelmassa oma henkilökohtainen kehittymispolkunsa, ja he saavat noin 50 personoitua huijausviestiä satunnaisesti vuoden aikana. Jos viestin saaja haksahtaa klikkaamaan huijausviestiä, hän saa välittömästi mikrokoulutuksen, joka kertoo mitä olisi pitänyt tehdä toisin ja mitä ovat huijareiden eri keinot.
Ohjelmassa kerätään myös tähtiä, joita saa sen perusteella, kuinka nopeasti ja kuinka moneen petolliseen viestiin reagoi oikein. Pistetaulu näyttää, miten kukin pärjää verrattuna kollegoihin ja parhaiten oikeista uhkista raportoineet palkitaan. Ohjelmassa ovat mukana kaikki, joilla on aktiivinen Elisa-sähköpostilaatikko, mukaan lukien kumppanit ja kansainväliset liiketoiminnot.
”Parasta tässä onkin, että kyseessä on kyberteko, joka koskettaa kaikkia elisalaisia. Kun kaikki elisalaiset kehittyvät kalastelun torjunnassa, siitä hyötyy tietenkin Elisa ja Elisan asiakkaat mutta samalla tietoisuus kasvaa myös elisalaisten perheiden ja ystävien keskuudessa”, iloitsee Mäkelä.
Kyberrikolliset tietävät, millä ihmisen saa koukkuun
Tietojen kalastelu jatkaa suosiotaan kyberrikollisten keskuudessa eivätkä mitkään merkit osoita, että kalasteluyritykset olisivat yleisesti ainakaan vähenemässä. Tietoja kalastellaan, koska kalastelu toimii, se on helppo toteuttaa ja kiinnijäämisriski on pieni.
Lisäksi ihmisen luontainen käyttäytyminen tarjoaa loputtomat mahdollisuudet psykologiaa vähänkään tunteville rikollisille. Vetoaminen perustunteisiin, kuten onnellisuuteen, pelkoon tai kateuteen eri variaatioineen mahdollistaa pienellä mielikuvituksella houkuttelevien koukkujen luomisen.
Vireyden ja mielentilan hyödyntämiseen taas liittyy se, että tilastojen mukaan suurin osa epäonnistumisista tapahtuu aikaisin aamulla tai myöhään illalla, työmatkalla ja maanantai-aamuisin tai perjantai-iltaisin.
”Suomessa toimii perinteisesti erityisen hyvin se, että luvataan jotain ilmaiseksi, maailmalla tehokkain tapa on taas vedota auktoriteettiin. Mutta kalasteluyrityksissä voidaan käyttää mitä hyvänsä koukkuja maan ja taivaan väliltä ilmaisista ämpäreistä rakkauden löytymiseen tai pomon kiireelliseen pyyntöön, ja se niistä tekeekin pirullisia”, Mäkelä summaa.
Phishing eli kalastelu on mukana suurimmassa osassa tietomurroista
Tutkimusten mukaan jopa 95 % kaikista verkkohyökkäyksistä ja tietomurroista käynnistyy kalastelusta tai sitä ainakin käytetään niissä jossain vaiheessa. Kalasteluyritysten torjuminen on siksikin ensiarvoisen tärkeää koko kyberturvallisuuden kannalta.
Piiloon jäänyt onnistunut tietojen kalastelu saattaa aiheuttaa vahinkoa vasta kuukausia tai vuosia myöhemmin. Tietojen alkuperäinen kalastelija ei välttämättä itse käytä tietoa hyväksi muuten kuin myymällä sen eteenpäin varsinaiselle hyödyntäjälle.
”Toisin kuin ehkä yleisesti luullaan, petollisen linkin klikkaaminen ei yleensä aiheuta vilkkuvaa ruutua tekstillä ’YOU’RE HACKED!’ vaan siitä saattaa alkaa pitkä, hiljainen prosessi, jonka vahingolliset seuraukset näkyvät huomattavasti myöhemmin ilman että viestin vastaanottaja tai hänen työnantajansa ovat siitä aiemmin mitenkään tietoisia”, Mäkelä painottaa.
Kuten kyberturvallisuudessa yleensäkin, myös kalasteluyrityksissä ihmisen toiminta on isoin riski. Elisalla kuitenkin päätettiin jo vuosia sitten, että ihminen voi olla myös se tietoturvan vahvin lenkki. Tulokset puhuvat puolestaan: jatkuva, systemaattinen harjoittelu on vahvistanut koko organisaation kykyä tunnistaa ja torjua kalasteluyritykset. Elisalla tunnistetaan kalasteluyritykset keskimäärin 40 % paremmin kuin verrokkiorganisaatioissa ja tunnistamisprosentti on kasvanut kolmessa vuodessa 85:stä 99:ään.
Elisa on käyttänyt kalastelun tunnistamisen kehittämiseen täysin automatisoitua ja simuloitua Hoxhunt-palvelua vuodesta 2018 vuodesta alkaen, jonka kautta Elisa pystyy myös seuraamaan reaaliaikaisesti omaa suoriutumisensa lisäksi suoriutumistaan suhteessa verrokkiryhmiin.
Kalastelun torjunta on koko yhteiskunnan asia
Elisan kokemusten mukaan yritysten kannattaisi täydentää vuosittaisia verkkokursseja tai muuta pistemäistä tekemisestä jatkuvalla simulaatiokouluttamisella.
Lisäksi työpaikalla opitut tiedot siirtyvät myös vapaa-ajalle. Tietojen kalastelu kun ei aiheuta vahinkoa pelkästään yrityksille vaan kaikille organisaatioille ja tietenkin myös yksityisille ihmisille.
Elisa haluaa isona operaattorina myös esimerkillään tukea kyberturvallisuuden kehittämistä Suomessa ja pitää asiaa esillä. Tässä mielessä myös medialla on tärkeä rooli esimerkiksi huijausten uutisoinnissa.
”Haluamme herätellä kaikkia toimijoita ymmärtämään tietojen kalastelun yleisyyden ja riskit. Tähän tarvitaan koko yhteiskunnan mukaantuloa, ja kalastelun tunnistamista tulisi opettaa ihan kaikille lapsista senioreihin ja työpaikoista kouluihin. Ylivoimaisesti suurimmalla osalla ihmisistä on käytössään laitteet ja rikollisia kiinnostavaa tietoa, joihin kalastelua voi kohdentaa ‒ ja niitä koukkuja kyllä valitettavasti riittää”, Mäkelä toteaa.
Lue myös
Elisan tarjoamat kyberturvapalvelut
Henkilöstön kouluttaminen on yksi tehokkaimmista keinoista taistella kyberuhkia vastaan
Kyberturvallisuus vaatii jatkuvaa parantamista
Kuinka varautua poikkeamiin kyberturvallisuudessa? Näin varmistat toimintakyvyn harjoittelemalla