Työkoneet ja -puhelimet on yleensä hyvin suojattu nettiuhilta. Parhainkaan palomuuri ei kuitenkaan poista ihmisriskiä, joka vaanii tietoturvaa. Kuka tahansa voi mennä halpaan.
Verkkohuijaus ei enää ole pelkkä tekstari, jossa pyydetään verkkopankkitunnuksia. Nykyaikainen tietojenkalastelu on hienostunutta, ja erilaisia kalasteluyrityksiä pingahtelee niin omaan kuin työpaikankin puhelimeen ja sähköpostiin.
Vaikka työkoneilla ja -puhelimissa on ohjelmistoja ja palomuureja, joiden on tarkoitus pitää pahikset ulkona, ne eivät yksinään riitä. Hoxhuntin Noora Ahmed-Moshe on työssään erikoistunut tietoturvan ihmisriskiin.
– Tietoturvahyökkäykset voidaan jakaa karkeasti kahteen osaan, teknisiin ja ihmisiin kohdistuviin. Ihmisiin kohdistuvissa hyökkäyksissä hyökkääjä hyväksikäyttää ihmisen ihmisyyttä, VP of Strategy and Operations Ahmed-Moshe kuvaa.
Lue myös: Saitko esihenkilöltäsi tällaisen viestin? Syytä soitella perään
Huijaukset julman psykologisia: "Valitettava fakta ja se, mihin pitää varautua, on, että tämä voi tapahtua kenelle tahansa"
Huijareiden tavoitteena on höynäyttää ihminen antamaan heille jotain rahanarvoista – esimerkiksi tietoja, salasanoja tai pääsy yrityksen järjestelmiin. Firmaan ei enää tarvitse fyysisesti murtautua; nykyaikainen huijari voi vaikkapa väittää olevansa IT-tuesta ja tarvitsevansa henkilön salasanaa.
Vaikka oikea IT-tuki ei koskaan kysy salasanoja, työntekijä saattaa silti mennä lankaan, koska viesti näyttää oikeanlaiselta tai soitto vaikuttaa tulevan luotettavasta lähteestä.
– Se aiheuttaa ihmisriskin tietoturvan näkökulmasta, Ahmed-Moshe kuvaa.
Hakkereiden toiminta on monisyistä ja myös julman psykologista. Siksi kuka tahansa voi mennä halpaan. Vanhat eivät ole sen isommassa riskissä haksahtaa kuin nuoretkaan.
– Hakkerit haluavat iskeä ihmisen haavoittuvuuksiin. Kohtiin, joissa hän tulee helposti höynäytetyksi. Esimerkiksi sähköpostitse tulevissa uhissa käytetään psykologisesti todella osuvaa viestiä. Vaikkapa kerrotaan, että nyt päätetään palkankorotuksista ja katso tästä, oletko kelpoinen, Ahmed-Moshe kuvaa.
Tietoturvan kannalta on olennaista, mitä tapahtuu seuraavaksi. Ymmärtääkö työntekijä huijausviestien tai kalasteluyrityksien psykologiaa, vai onko hän esimerkiksi toivonut palkankorotusta ja odottaa siksi viestiä aiheesta? Onko hän kiireinen, väsynyt, kenties altis klikkaamaan sähköpostia ajattelematta asiaa? Tuleeko huijausviesti vieläpä tutun ihmisen nimissä?
– Valitettava fakta ja se, mihin pitää varautua, on, että tämä voi tapahtua kenelle tahansa. Usein kysellään, osaavatko vanhemmat ihmiset suojautua, tai ajatellaan, että nuoremmat käyttävät enemmän nettiä ja ovat siksi valvetutuneempia. Mielestäni kaikkeen kansaan pätevät tietyt periaatteet eikä tätä siksi voi ajatella ikäkysymyksenä.
Lue myös: Varo! Elisa-huijausta liikenteessä: "Muistathan, että emme koskaan..."
"Ihmisten pitäisi ymmärtää, mikä on laitteiden turvallista käyttöä"
Tärkeintä olisi tiedostaa, millaisia nykyaikaisen verkkopetoksen riskit ovat. Työntekijöitä pitäisi kouluttaa ja tiedottaa siitä, miten hyökkäykset toimivat, miten tietoja saatetaan havitella ja toisaalta, miten tietoa turvataan.
– Korostan, että vaikka ihmisille tiedotetaan asioita, se yksin ei muuta käytöstä tai kulttuuria. Tietoturvakulttuuri tarkoittaa turvallisen käyttäytymisen ymmärtämistä, sisäistämistä, ja sen mukaan toimimista. Se ei ole koskaan valmis, Ahmed-Moshe sanoo.
– Ihmisten pitäisi ymmärtää, mikä on laitteiden turvallista käyttöä ja miksi se on tärkeää. Esimerkiksi työkoneissa saattaa olla käyttöä hankaloittavia tekijöitä, mutta pitäisi hyväksyä ja ymmärtää, miksi ne ovat tietoturvan kannalta välttämättömiä.
Toisaalta työlaitteiden käyttämisen pitäisi olla myös helppoa. Jos koneeseen ei saa jaettua nettiyhteyttä helposti puhelimesta, kahvilan julkinen wifi alkaa houkutella. Jos VPN ei aina yhdisty, sitä ei kenties viitsi edes käyttää.
Samalla systeemiin syntyy aukko, jota rikollinen voi hyväksikäyttää.
– Toinen aspekti on, että ihmisen pitäisi myös käyttäytyä saamansa tiedon mukaisesti. Esimerkiksi monissa terveysasioissa tiedämme, ettei pelkkä tieto saa aikaan oikeanlaista käytöstä. Vaikka tupakointi ei ole terveellistä, silti monet tekevät sitä, Ahmed-Moshe kuvaa.
– Pitäisi asennoitua pysymään ajan tasalla, sisäistää koko ajan uutta. Tämä ei ole asia, jossa voi tehdä koulutuksen ja sitten tietoturvakulttuuri on sisäistetty enkä enää koskaan voi mennä lankaan. Se muuttuu koko ajan, tämähän on hyökkääjien ammatti. Hekin kehittävät ammattitaitoaan koko ajan.
Lue myös: Petostorjunnan asiantuntija kertoo, mitä ihmiset eivät verkkohuijauksista ymmärrä: "Harvemmin mitään tapahtuu niin, että tililtä 'vain lähti' rahaa"
Kuka onnistuu sujautumisessa parhaiten?
Parhaiten suojautumisessa pärjäävät firmat, joissa vallitsee valppauden ja psykologisen turvallisuuden kulttuuri. Se tarkoittaa, että työntekijät paitsi tuntevat uhat ja ymmärtävät niitä, myös uskaltavat kertoa, jos sattui töppäys.
– Työssäni olen huomannut, että valppaus näiden asioiden suhteen on kulttuurinen asia. Sen ihmiset joko sisäistävät tai sitten eivät.
Lue myös: Tämä verkkohuijauksilta suojautumiseen liittyvä ohje on jo vanhentunut: "Ei enää pidä paikkaansa"
Lue myös: Petostorjunnan asiantuntija kertoo, millainen on nykypetos: "Kun olet klikannut linkkiä, saattaakin tulla puhelinsoitto..."
Katso myös: Kaksivaiheinen tunnistautuminen on helppo keino parantaa omaa tietoturvaa!
0:47