Hyppää pääsisältöön
TuoreimmatLiigaSääRikosPolitiikkaAsian ytimessä.doc
Uutiset
KotimaaUlkomaatRikosPolitiikkaTalousMielipiteetSää
Urheilu
LiigaMM-ralliJääkiekon MM-kisatJääkiekkoF1JalkapalloYleisurheilu
Viihde
SeurapiiritTV-ohjelmatElokuvatKuninkaallisetMusiikkiSalatut elämät
Lifestyle
RuokaTerveys ja hyvinvointiSeksi ja parisuhdeAutotHoroskooppi
Makuja
ReseptitRuokauutiset
Videot
MTV Uutiset LiveUusimmat
Tv-opas
Muistilista
  • MTV UutisetKonepajankuja 7
    00510 Helsinki
  • Uutistoimituksen päivystys010 300 5400
  • Uutisvinkkiuutiset@mtv.fi
  • WhatsApp040 578 5504
Sisällöt
  • Tomi Einonen
    Vastaava päätoimittaja
  • Ilkka Ahtiainen
    Uutispäätoimittaja
  • Mona Haapsaari
    Toimituspäällikkö
  • Teemu Niikko
    Toimituspäällikkö, urheilu
Liiketoiminta
  • Iina Eloranta
    VP, Channels and Digital Consumption
SuomiAreena
  • Jeremias Kontio
    Vastaava tuottaja
Muut palvelut
  • MTV Katsomo
  • SuomiAreena
Asiakaspalvelu
  • MTV Uutiset -palaute
  • MTV Katsomon asiakaspalvelu
  • Tietoa yhtiöstä
  • Avoimet työpaikat
  • Mainosta MTV:ssä
  • Tietosuojalauseke
  • Käyttöehdot
EtusivuVideotTuoreimmatLuetuimmatOdota

Tunkeutumistestejä tehnyt Riku kertoo naurettavan helpoista kikoistaan: "Huomioliivillä ja tikkailla pääsee jo pitkälle"

9:35Kuinka pahasti suomalaisyritykset kompuroivat tietoturvan kanssa?Katso Juurikon haastattelu Viiden jälkeen -ohjelmassa: Tällaista on kyberturvakonsultin työ!
Julkaistu 05.05.2024 18:45
Toimittajan kuva
Anton Aaltio

anton.aaltio@mtv.fi

Hyökkäystestauksilla on merkittävä rooli yrityksiä ja koko yhteiskuntaa vaanivien kyberuhkien tunnistamisessa. Elisan Riku Juurikko tietää, miten hyökkäyksiä tehdään paitsi verkossa myös fyysisesti.

Sinäkin olet varmaan joskus saanut sähköpostiisi viestin, jossa sinun kerrotaan voittaneen uusimman älylaitteen ihan ilmaiseksi, vaikka et olisi tietääksesi edes osallistunut mihinkään arvontaan. Kuulostaa liian hyvältä ollakseen totta, kuten käytännössä aina onkin. 

Yllä mainitussa esimerkissä todennäköistä on, että "palkinnon lunastaminen" vaatii jonkin huijauslinkin painamista tai omien tietojen antamista. 

Yrityksien työntekijöille lähetettyjen kalasteluviestien takana todennäköisesti on kyberhuijari, mutta on myös mahdollista, että sinua testataan. Esimerkiksi Elisa lähettää työntekijöilleen vuosittain yli 200 000 simuloitua kalasteluviestiä, jotka auttavat henkilöstöä tunnistamaan huijauksia.

Lisäksi hyökkäystestauksia tehdään yrityksissä muun muassa kyberturvakonsulttien avulla. 

– Pitää olla kyky reagoida siihen, jos joku haksahtaa kalasteluviestiin organisaatiossa, sanoo Elisan kybervarautumispäällikkö Riku Juurikko. 

Juurikko puhuu kerroksellisesta suojauksesta. Jos kokonaisen yrityksen tietoturva kärsii yhden huijausviestin vuoksi, syyllinen ei ole yksittäinen työntekijä, vaan vika on prosesseissa. 

Työpaikoilla kybertorjuntaa vaikeuttaa se, että puolustajan pitää onnistua aina – hyökkääjälle riittää yksi onnistuminen. 

– Ennen pitkää hyökkääjä onnistuu, hän toteaa.

Hyökkäystestaukset 

Juurikko työskenteli aiemmin kyberturvakonsulttina. Hänen työnkuvaansa kuului esimerkiksi yrityksien järjestelmiin murtautuminen tai tietojen kalastelu, millä etsittiin järjestelmien heikkoja kohtia. 

Joissakin tapauksissa asiakasyritys halusi, että testi tehdään fyysisesti yrityksien tiloissa. Näillä kokeilla pyrittiin selvittämään, millä keinoilla ja kuinka helposti mahdolliset urkkijat pääsevät yrityksien yksityisiin tiloihin. 

– Joskus asiakas saattaa kysyä, että pystyttekö varastamaan työasemia. Tämä on harvinaisempaa, mutta sellaisiakin toimeksiantoja on joskus tullut. 

Toisinaan riittää, että pääsee livahtamaan tiettyihin tiloihin, joihin ei saisi missään nimessä päästää ulkopuolisia. 

– Se puhuttelee aika paljon, jos käy toimitusjohtajan tiloissa ja ottaa kuvan työpöydästä. 

Usein keikkoihin liittyy esimerkiksi verkkolaitteen kytkeminen yrityksen verkkoon. 

Ennen "hyökkäystä" on pitänyt tehdä perusteellinen tiedustelu: Selvitetään sisäänkäynnit, kulunvalvontapisteet, vartiointi, kamerat, työntekijöiden pukeutuminen ja käytös… On tärkeää, ettei toiminta herätä huomiota. 

Toisaalta huomio ei ole haitaksi, jos taustatarina on uskottava. 

– Huomioliivillä ja tikkailla pääsee jo pitkälle, Juurikko toteaa Viiden jälkeen -lähetyksessä. 

Onnistumisprosentti 100

Toimitiloihin tunkeutuessa hyökkääjä tarvitsee myös erityistä ihmispsykologian tuntemista, jos mielii onnistua. 

Juurikon mukaan ihmisten kohteliaisuus mahdollistaa paljon. Samalla tietyt kikat ovat ratkaisevassa roolissa. Yksi niistä on aiheuttaa ihmiselle kiireen tuntua. 

– Pienet täkyt ohittavat ihmisten arviointimekanismeja, kuten ”tämä pitäisi saada tehtyä tänään”. 

Esimerkiksi siivoustarkastajana esiintyessä vaarana on ollut se, että joku haluaa tarkistaa, pitääkö tarina paikkaansa. Näin ei ole kuitenkaan koskaan käynyt. 

– Jos näitä olisi kysytty yrityksestä, josta olen esiintynyt tulevani, olisin jäänyt siinä kohtaa kiinni. 

Hän kuvailee tunkeutumistilanteita todella jännittäviksi.

– Se tuntuu ihan hirveältä. 

– Vertaan sitä aina näyttelijän työhön. Vaikka toimeksianto olisi mikä tahansa, siinä on sellaisessa roolissa. Kun se on ohi, tulee valtava adrenaliinipurkaus. 

Juurikko kävi kyberturvakonsulttina työskennellessään tekemässä hyökkäystestauksia noin kymmenen yrityksen toimitiloissa. Hänen kokemuksiensa mukaan Suomessa osataan suojautua kohtuullisen hyvin ulkopuolisilta tunkeutujilta.

– Todella monessa yrityksessä on hyvin kuluvalvottuja ovia ja turvavyöhykkeitä. 

Luulisi siis, että epäonnistumisiakin on tullut?

– En ole epäonnistunut. 

"Jatkuvaa kilpajuoksua"

Nykyisessä työssään Elisan kybervarautumispäällikkönä Juurikko näkee kyberuhat eturintamasta koko yhteiskunnan laajuudelta.

Yhteistyössä viranomaisten kanssa Elisa on estämässä kyberrikollisten uusimpia väyliä. 

Juurikko mainitsee esimerkin parin vuoden takaa. 

– Estimme ulkomailta soittamisen suomalaisilla numeroilla. Tämä näkyi suoraan poliisien tilastoissa, että rikollisien saama hyöty tippui miljoonista tuhansiin euroihin.

Hän kuvailee työtään jatkuvaksi kilpajuoksuksi.

– Rikolliset keksivät aina uusia keinoja, ja me puolustuspäässä olemme aina askeleen perässä. 

Tätä asetelmaa on mahdotonta muuttaa, mutta jälkeen ei saa jäädä. Tärkeintä on, että Suomi olisi yhteiskunnallisesti vähemmän haluttu kohde kuin muut. 

Nykyisin merkittävä osa infrastruktuurista toimii digitaalisesti. 

– Jos verkkoyhteydet menevät, niin häiriötilanteita rupeaa tulemaan nopeasti ihan kaikessa. Siinä vaarantuu ihmishenkiäkin nopeasti. 

Lue myös: Venäläismielinen hakkeriryhmä iskenyt suomalaiskohteisiin

Tämä kaikki on syytä tietää TikTokista: "Suosittelen vahvasti luopumaan"

Helsingin kaupunki tietomurron kohteena – ulkomainen hakkeri kaapannut käyttäjätunnuksia

Lisää aiheesta:

Jos lankeat huijausviestiin työpaikallasi, toimi välittömästi näin: "Kaikkein keskeisin asia firman tietoturvan tasossa"Oletko työpaikkasi ihmisriski? Julmaan hakkeriansaan voi langeta kuka tahansa: "Valitettava fakta"Sosiaalisen median tietomurroista ilmoitetaan kyberturvallisuuskeskukselle päivittäin – "Väsyneenä on hyvä kohde huijaukselle"Voisiko kyberhyökkäys estää tv-lähetyksiä Suomessa? Asiantuntija Benjamin Särkkä vastaa ja kertoo, millaisia yrityksiä kalastella tietoa Suomeen kohdistuu nytAsiantuntija pelkää stressaavan etätyön johtavan uusiin tietovuotoihin: "Saatetaan lähettää henkilötietoja laajalla jakelulla"Tietoturvaguru Benjamin Särkkä hakkeroi ensimmäisen tietokoneen jo 8-vuotiaana – muistuttaa yksinkertaisesta virheestä: "Pystyisin kaivamaan jopa käyttäjätunnuksia ja salasanoja"
KyberturvallisuusViiden jälkeenYhteiskuntaTietoturvaKotimaa

Tuoreimmat aiheesta

Kyberturvallisuus
  • 15.10.13:10
    Rikosepäilyt

    Poliisi varoittaa uudenlaisesta huijauksesta – pankin turvahenkilönä esiintynyt vei naiselta 24 000 euroa

  • 12.10.17:03
    S-pankki

    S-Pankin verkkosivuilla häiriöitä, syynä palvelunestohyökkäys

  • 7.10.10:56
    Rikos

    Näin rikolliset kaappaavat nyt puhelinliittymiä

  • 25.9.13:03
    Digi

    Yle: Venäläismielinen hakkeriryhmä myönsi kyberhyökkäyksen Suomeen

  • 24.9.14:26
    Verkkorikollisuus

    Britannian poliisi pidätti miehen epäiltynä lentoliikenteeseen kohdistetusta kyberiskusta