Kyberturvallisuuskonsultti Oona Matinpalo kertoo, miten voi välttyä kyberhyökkäykseltä.
Olen aloittanut uudessa työpaikassa ja on aika päivittää LinkedIn-profiilini uusien työtehtävien osalta. Olen oppinut käyttämään erinomaisesti työnantajani CRM-järjestelmää ja ylpeänä lisään tiedon profiiliini. Huolellisen luonteeni takia tarkistan vielä muutaman kollegani profiilin varmistuakseni, että tiedon voi mainita vapaasti sosiaalisessa mediassa. Kyllä, tieto löytyy muidenkin tiimiläisteni profiileista. Lisään työnkuvaukseeni järjestelmän nimeltä ja lisään perään maininnan “erinomaiset tiedot”. Päätän päivittää samalla yhteystietoni, jotta asiakkaani tietävät mistä minut tavoittaa.
Muutaman päivän päästä työsähköpostini vilkkuu: CRM-järjestelmässä ongelma -otsikko herättää huoleni ja avaan viestin. Lukiessani viestiä selviää, että järjestelmäntoimittaja on havainnut ongelman, jonka ratkaisemiseksi he pyytävät minua täyttämään ja lähettämään heille liitteenä olevan PDF-lomakkeen. Yritän avata liitteen, mutta PDF-lukuohjelma kaatuu välittömästi error-viestin saattelemana. Vastaan viestiin ja kerron, että jostain syystä heidän lähettämänsä lomake ei toimi ja kysyn, voisivatkohan he lähettää sen uudestaan? Saan pian uuden viestin, jossa pahoitellaan toimimatonta lomaketta ja pyydetään sen sijaan täyttämään sähköinen lomake. Klikkaan viestissä ollutta linkkiä, ja verkkoselaimeeni aukeaa CRM-järjestelmäntoimittajan logolla varustettu sivusto useiden täytettävien kenttien kera. Suurin osa kentistä on merkitty pakollisiksi. Täytän pyydetyt tiedot: nimeni, yhteystietoni ja henkilötunnukseni ja lopuksi painan lähetä-nappia. Ongelma ratkaistu ja taputan itseäni olkapäälle tyytyväisenä.
Hävettävän hyvä huijaus
Hymyni hyytyy muutaman tunnin kuluttua, kun yritykseni ICT-tuesta saapuu kiireellinen varoitusviesti, jossa viitataan aiemman kaltaiseen viestiin ja muistutetaan, ettei epäilyttävien sähköpostiviestien liitteitä saa koskaan avata. Vieressäni istuva kollega huikkaa nauraen saaneensa vastaavaan viestin, mutta jättänyt sen avaamatta, koska se oli hänen mielestään niin selvä huijausyritys. Hävettää. Rauhoittelen kuitenkin itseäni, sillä kukaan muu ei tiedä minun avanneen liitetiedostoa. Varmasti työasemani virusskanneri olisi hälyttänyt, jos liitetiedostossa olisi ollut jotain epäilyttävää. Minun on parempi pysyä hiljaa, sillä näkyvää vahinkoa ei ole tapahtunut eikä organisaatiollani ole tällaisiin tilanteisiin toimintamalleja. Parin viikon päästä työnantajani on uutisotsikoissa: Hakkeri on päässyt laajamittaisesti käsiksi satojen kuluttajien tietoihin.
Tietämättäni, tuon sähköpostiviestin liitetiedostossa ollut haittaohjelma avasi hakkerille väylän organisaation verkkoon ja sitä kautta siihen kytkettyihin laitteisiin ja järjestelmiin. Tietoturvallisuus petti, monien ihmisien tietosuojaa loukattiin, ja samalla asetin organisaation maineen vaaraan.
Miten olisin voinut estää tai pysäyttää kyberhyökkäyksen?
1. Pysähdy hetkeksi ja mieti mistä on kyse. Kysy, jos olet epävarma. Näin toimimalla voit välttää suuren osan kyberturvallisuuteen liittyvistä ongelmista.
2. Ole terveen epäluuloinen liitteitä ja linkkejä sisältäviä sähköpostiviestejä kohtaan – ovatko ne jollain tavoin epäilyttäviä? Liitetiedostoissa saattaa piillä haittaohjelma.
3. Tarkista linkkien ja lähettäjien aitous.
4. Ilmoita epäilyttävistä tapahtumista ja tilanteista välittömästi ICT-tukeen tai tietoturvallisuudesta vastaaville tahoille.
Tietoihimme halutaan päästä käsiksi hinnalla millä hyvänsä – pysy digiturvassa
Tosielämässä en avannut liitetiedostoa enkä olisi klikannut viestissä olleita linkkejä tai täyttänyt pyydettyjä tietoja. Tosin maailman digitalisoituessa entisestään kiihtyvää vauhtia tulemme kohtaamaan uhkia, joiden olemassaoloa emme osaa vielä tänään edes kuvitella, ja rikolliset yrittävät jatkossakin päästä tietoihimme käsiksi eri keinoin. Voimme yksin ja yhdessä varautua ja ennaltaehkäistä uhkien konkretisoitumista – yhteistyöllä.
Digitaalisen toimintaympäristömme ja sen turvallisuuden varmistamisen kompleksisuutta kuvaa hyvin termi digiturva. Termi sitoo yhteen tietojen turvaamisen, riskienhallinnan, toiminnan jatkuvuuden ja varautumisen, kyber- ja tietoturvan sekä tietosuojan. Tosiasiassa ei ole tietosuojaa ilman tietoturvaa, eikä tietoturvaa ilman kyberturvaa. Ehkä tämä uusi, ihmisläheisempi termi sopii paremmin myös vähemmän teknisen ekonomin suuhun. Mielestäni digiturvallisuus on – tai sen pitäisi olla – kansalaistaito samalla tavoin kuin liikenneturvallisuuden. Osaatko sinä pysyä turvassa digitaalisessa maailmassa?
Teksti: Oona Matinpalo, kyberturvallisuuskonsultti ja Helsingin Ekonomien hallituksen jäsen
Kirjoitus pohjautuu Nuorten Ekonomien ja Deloitten yhteistyössä järjestämään Kyberturvallisuus ja hyökkäys hakkerin silmin -tapahtumaan.