Tietomurtoon

tarvitaan vain yksi viaton klikkaus
Sori, en tiennyt

Haittaohjelmat

Useimmiten haittaohjelma livahtaa yrityksen sisäverkkoon työntekijän huolimattomuuden tai tietämättömyyden seurauksena. Lopputuloksena saattaa olla asiakkaiden luottokorttitietojen vuotaminen ja valtavat tappiot. Lue jännittävä tarina yrityksestä, joka joutui tietomurron kohteeksi – sinun valintasi ratkaisevat, selviääkö se hyökkäyksestä.

Valitse tietoturvallisin vaihtoehto

Rummutat tuskastuneena auton rattia.

Aamuruuhka jumittaa pahasti ja tärkeä asiakastapaaminen odottaa. Harmittelet, ettei olisi pitänyt unohtua aamiaispöytään lukemaan kiinnostavaa juttua päivän lehdestä.

Ehdit koneelle kymmenen minuuttia ennen palaverin alkua. Kirjaudut sisään järjestelmään ja ensimmäisenä ruudulle lävähtää kehotus päivittää Flash-ohjelma. Näet myös kymmenisen uutta sähköpostia. Toisella näytöllä on selaimessa auki Facebook.

Palaveri odottaa, mutta sitä ennen...

a) vilkaiset sähköpostia
b) päivität Flashin
c) selaat hetken sosiaalista mediaa

Tietoturvallisin valinta: b)

Flashista löydetään jatkuvasti uusia kriittisiä haavoittuvuuksia. Tietomurtajat käyttävät sitä hyväkseen tietokoneiden haltuunotossa rutiininomaisesti. Juuri tämä päivitys ei ollut iso, mutta ohjelmistojen pitäminen kunnossa on aina fiksua. Siirryt päivityksen jälkeen palaveriin.

Flash on yksi haavoittuvimmista ohjelmista

Kaikilla tietokoneilla luultavasti on ohjelmia, joista löytyy haavoittuvuuksia.

Haavoittuvuudet tarkoittavat ohjelman suunnittelussa olevia virheitä, joiden avulla hyökkääjä voi saada sen tekemään jotain odottamatonta. Pahimmassa tapauksessa haavoittuvuus on sellainen, jota voi käyttää verkon yli ja joka antaa hyökkääjälle täydet ylläpitäjätason käyttöoikeudet tietokoneellesi.

Flashista on löydetty aikojen saatossa peräti 1 020 vakavaa haavoittuvuutta, mutta se ei suinkaan ole ainoa ohjelma, joka kaipaa säännöllistä päivittämistä. Tietoturva vaatii jatkuvaa valppautta.

Kokous menee hyvin ja saat hankittua yritykselle uuden asiakkuuden.

Palaverin jälkeen otat vastaan pomon kehut ja palaat tyytyväisenä työpisteelle. Hymy hyytyy, kun muistat päivälle suunnittelemasi työlistan. Ohjelmassa on raporttien viimeistelyä, kollegan sparrausta vaikeassa tehtävässä sekä muutama myyntipuhelu.

Jossain välissä suot itsellesi parin minuutin tauon ja käyt tarkistamassa lööpit iltapäivälehden sivustolta. Taas jokin kummallisen niminen haittaohjelma on murtautunut suuryritysten ja jopa sairaaloiden tietokantoihin maailmalla. Sivuutat uutisen, koska se ei koske sinua.

Työskenneltyäsi pari tuntia lounastauko lähestyy. Työkaverit kerääntyvät jo työpisteesi viereen norkoilemaan. Jos suosittuun lounaspaikkaan ei lähde ajoissa, saattaa pöytää joutua odottamaan.

Juuri, kun olet nousemassa ylös, huomaat uuden sähköpostin. It-tuki on lähettänyt viestin, joka on merkitty kiireiseksi. Mitä teet?

a) Lähdet lounaalle
b) Luet sähköpostin heti
c) Katsot sähköpostin läpi puhelimesta matkalla lounaalle

Tietoturvallisin valinta: b)

Vaikka työkaverit hoputtavatkin jo, päätät vastuullisena työntekijänä katsoa viestin heti. Se kertoo huijausten aallosta, joka kohdistuu nyt suomalaisiin yrityksiin. Sähköposti kehottaa erityiseen valppauteen tänään.

Ihminen on tietoturvan isoin aukko

Usein tietoturva käsitetään tarkoittamaan vain tietojärjestelmissä olevia virheitä, jotka eivät ole käyttäjän vastuulla vaan suurten teknologiayritysten syytä. Vaikka viat ovatkin järjestelmissä, usein tarvitaan aktiivinen toimija osallistumaan niiden leviämiseen. Todella monet vakavat tietoturvaongelmat johtuvat käyttäjän välinpitämättömyydestä.

Leppoisan lounastauon jälkeen palaat takaisin raporttien kimppuun. Ne pitää saada valmiiksi vielä tänään.

Olet juuri syventynyt numeronmurskaukseen, kun puhelin soi. Alihankkijan pomo esittelee itsensä ja kysyy, voisitko auttaa hetken sivustouudistuksen kanssa. Uudistus ei ole sinun tiimisi vastuulla, mutta soittaja kuulostaa hätääntyneeltä. Hän tarvitsee kiireellisesti juuri sinun näkemyksesi sivuston käyttökokemuksesta, ja on saanut esimieheltäsi luvan pyytää apuasi.

Onpa erikoista, toteat mielessäsi, muttet ehdi nyt miettiä asiaa sen enempää.

Saat pian samalta henkilöltä sähköpostin, joka linkkaa uuteen sivustoonne sisäverkossa. Sivu näyttää lähes samalta kuin vanhakin sivusto. Sähköpostissa kehotetaan klikkaamaan valikot läpi ja kertomaan toimiiko kaikki.

Klikkaat valikkopalkkia ja sivusto pyytää sinua päivittämään Java-ohjelman, jotta voit jatkaa. Toimit seuraavasti:

a) Päivität Javan
b) Soitat esimiehellesi ja kysyt asiasta
c) Jatkat omien töittesi parissa

Tietoturvallisin valinta: b)

Epäilys herää ja soitat esimiehellesi. Tämä ei ole kuullutkaan asiasta. Ilmeisesti kyseessä oli jonkinlainen yritys murtautua sisään yrityksen järjestelmiin hyväuskoisen työntekijän avulla. Sivusto oli kloonattu ja java-päivityksen sijasta koneelle olisi varmaankin sujahtanut haittaohjelma.

Tunnistaisitko sinä pomohuijauksen?

CEO fraud eli pomohuijaus on sosiaalisen hakkeroinnin alalaji, eli ihmisten hyväuskoisuuteen perustuva hyökkäys.

Kun tuntematon esiintyy auktoriteettina, tähän on yllättävän helppo luottaa. Pomohuijauksissa pyritään esiintymään oman firman johtajana tai välitason esimiehenä ja pyytää työntekijää tekemään jotain, mikä aiheuttaa vahinkoa yritykselle. Yleensä kyseessä on maksu huijarin tilille. Tässä tapauksessa huijari pyrki saamaan työntekijää asentamaan haittaohjelman.
FBI arvioi keväällä 2017, että pomohuijauksista on aiheutunut maailmanlaajuisesti jo 5,3 miljardin dollarin tappiot yrityksille. Pomohuijauksia tapahtuu myös Suomessa.

Realisoituivatko riskit? Lue, miten pärjäsit tietoturvauhkan kohdatessa

Valitsit tietoturvallisimman vaihtoehdon, mutta sekään ei suojellut yritystäsi täysin. Vaikka tajusitkin epäilyttävän puhelun jälkeen tarkistaa asian oman esimiehesi kanssa, joku muu meni valitettavasti lankaan.

Kollegasi käynnisti suositellun java-asennuksen ja hyökkääjä sai tämän koneen haltuun.

Ripeän toimintasi vuoksi esimiehesi otti heti yhteyttä tietoturvatiimiinne. Nämä ehtivät eristää haavoittuneet tietokoneet verkosta ennen kuin hyökkääjät pääsivät käsiksi kriittisen bisneslogiikan ja tietokannat sisältäviin palvelimiin.

Hyökkääjä ehti saada käsiinsä joitain satoja sähköposteja ja muutaman huolettomasti tallennetun luottokorttinumeron. Näistä saadaan nostettua muutama tuhat euroa ennen kuin kortit kuoletetaan.

Ei mukavaa, mutta jos hyökkääjä olisi onnistunut tavoitteissaan, olisi käynyt huomattavasti pahemmin: saaliiksi olisivat saattaneet päätyä yrityksesi kaikki keskeiset tietokannat, itse kehitetyt sovellutukset, yritysjohdon sähköpostit, hallituksen kokousten pöytäkirjat, salaiset tulevaisuudensuunnitelmat ja mikä pahinta: jokaisen asiakkaanne yksityistiedot mukaan lukien täydet nimet, sosiaaliturvatunnukset sekä luottokorttien numerot.

Asiasta olisi aiheutunut lopulta valtavia tappioita ja mainehaitan seurauksena yritys olisi kenties menettänyt valtaosan asiakkaistaan.

"Sori, en tiennyt", kollegasi pahoittelee. Onneksi sinä tiesit paremmin.

Tämä artikkeli on Ifin ja Sanoma Luovien ratkaisujen yhteistuotantoa.

Tarina on osa Ifin tietoturvaa käsittelevää artikkelisarjaa. Sen tavoitteena on nostaa esiin, että tietoturva on jokaisen asia. Olemme yhdessä vastuussa siitä, että tietomurtautuminen on tehty mahdollisimman vaikeaksi.