Kyberhyökkäykset

Muutama vuosi sitten suuressa otsikoinnissa valtamediassa oli skandaali siitä, miten suuren ja maailmanlaajuisen deitti palvelun joka ikisen jäsenen sähköpostit vuosivat hakkeriryhmälle. Palvelussa oli satoja tuhansia jäseniä. Hakkerien ryhmä ilmoitti julkaisevansa joka ikisen noista sähköposteista ja palvelun käyttäjien nimistä julkiseksi, mutta antoivat jokaiselle jäsenelle mahdollisuuden siirtää pienen summan rahaa palkkiona siitä, että ryhmä ei julkaise kyseisen henkilön tietoja. Panikoivat ihmiset siirsivät nimellisen summan rahaa hakkereille, jotta omat tiedot eivät levity julkiseksi. Varatut ihmiset varsinkin pelkäsivät, että omat vaimot ja miehet saisivat selville, että he ovat kyseiseen palveluun liittyneet. Voi uskoa, että ryhmä keräsi tästä aivan huikean summan rahaa irti. Hakkerien ryhmä toteutti uhkauksensa ja julkaisivatkin pitkiä listoja nimistä ja sähköposteista, joita valtamedia häikäilemättä käytti hyväkseen ja levitti eteenpäin. Tässä hyvä esimerkki kyberhyökkäyksestä.

Mikä on Kyberhyökkäys?

Kyberhyökkäys on toimi, joka kohdistuu tietoturvaan ja tietoturvan aukkoihin internetissä. Kyberuhka on esimerkiksi iso ihka yritykselle, sillä Yhdysvalloissa on tullut jo ilmi kyberhyökkäyksiä, joilla yrityksiltä on anastettu satoja miljoonia dollareita. Suomessa tämä on myös herättänyt keskusteluja Suomalaisten yritysten päättäjissä. Riskit ovat kasvaneet suuresti globalisaation ja digitaalisuuden myötä ja kasvattaneet myös kyberhyökkäyksien osalta markkinat hakkereille. Suurin osa rikollisista hyökkää isompaan yritykseen, sillä tietoturva aukkoja löytyy usein niistä eniten mutta toisaalta pienikin yritys voi olla kohteena sillä hakkerit etsivät usein helpointa tietä huijata rahaa. Pankit itsessään eivät kovin usein ole mielikohteena, sillä heidän järjestelmänsä ovat hyvin suojatut ja vaikea kohteena. Yleisesti hyökkäykset kohdistetaan yrityksen heikoimpaan lenkkiin, joka ei suinkaan ole tietoturva. Vaan ihminen. Yksi polku, mitä kautta kyseisiä hyökkäyksiä on tehty on sellainen, että esimerkiksi LinkedInista löydetään talousjohtajan loma-tuuraajan yhteystiedot ja häntä lähestytään kiireellisellä laskulla. Sähköpostia ja linkkiä tai liitettä klikkaamalla saadaan haittaohjelma loma-tuuraajan koneelle ja tätä kautta urkittua tietoja. Tässä ei siis ole kyse mistään teknologiasta vaan hyvin yksinkertaisesta tavasta huijata ihmistä.  Miljoonatappioita tämänkaltaisella verkkohuijaamisella on jo nähty Suomalaisissakin yrityksissä ja lisää on tulossa. Keinot ovat kutakuinkin kuitenkin viekkaita ja pitkän tähtäimen toimia, joissa jo mahdollista kohdetta on alettu seuraamaan kuukausia ennen kuin toimet huijaukselle ovat alkaneet. Sähköposteja voidaan muokkailla niin, että ne näyttävät kuin tulevan yrityksen sisältä ja huijauksen kohteella ei ole mitään epäilyksiä.

Startup Stock Photo

Heikointa on kolmansien osapuolten yhteistyö

Useimmiten isot hyökkäykset ovat kolmannen osapuolen taholta lähteneitä, sillä jos yrityksen oma kyberturvallisuus ja ohjeistus on kunnossa, on helpointa hyökätä tahoon, joka on yhteyksissä yritykseen. Kolmannen osapuolen esimerkiksi alihankinta yrityksen tietoturva voi olla aivan eri tasolla kuin itse hyökkäyksen kohteena olevan yrityksen. Yritys on toki aina itse vastuussa asiakastiedoistaan sekä ulkoistuspalveluistaan, joten sen tulisi pyrkiä myös olemaan vastuuntuntoinen kolmannen osapuolen toimista silloin kun ne koskevat muun muassa tietoturvaa yrityksen asioissa. Uhkana on muun muassa pilvipalvelut, sillä loppupeleissä pilvipalvelun tarjoaja ei ole vastuussa mitä yritys palveluun laittaa vaan yritys itse. Valtaosa tietomurroista kun tuleekin vastaan siitä, että on tehty joku inhimillinen virhe, joita sattuu pettymyksen, kiireen ja stressin sekä paineen alla olevalle työntekijälle. Kiire on yksi isoimmista tietoturvariskeistä, sillä stressaantunut kiireinen ihminen ei osaa ajatella kyberhyökkäyksen vaaraa juuri silla hetkellä kun ahdistava aikataulupaineisiin perustuva sähköposti pomolta lävähtää kiireellisiin viesteihin vaikka olisi kuinka koulutettu asiaan. Tästä syystä vain kouluttaminen, tiedottaminen ja yrityksen kaikkien henkilöjen sekä myös kolmannen osapuolen huomioiminen kyberturvallisuuden säännöissä täytyy ottaa huomioon. Tietoturvavinkkien ja ohjeiden lukeminen on yksi informaation lähde.

Comments are closed.