Olisiko sinulla hetki aikaa puhua tietomurroista?

Sähköpostikalastelu – tuo tietoturvan puuduttava, mutta aina ajankohtainen virtahepo – on viimeaikoina ollut poliisin ja Kyberturvallisuuskeskuksen yhteinen huolenaihe. Etenkin Office 365 –palveluihin liittyvät ammattirikollisten toteuttamat kampanjat ovat piinanneet suomalaista yritysmaailmaa. Kalasteluun haksahtaneen työntekijän tunnuksilla on mukava temmeltää pilvipalveluissa, ja osaavat petostelijat ovat luoneet tempun ympärille kukoistavan elinkeinon. Keskusrikospoliisilla on tutkinnassa useita tapauksia, ja odotettavissa on pitkiä ja haastavia kansainvälisiä esitutkintoja. Yrityksille on koitunut huomattavia tappioita, joista osa saattaa realisoitua vasta pitkän ajan kuluttua. Emme voi nimittäin tietää, mitä kaikkea rikollisporukalla on mielessään, kun he saavat tunnukset haltuunsa.

Tyypillinen tekotapa on uudelleenohjata ja lukea sähköpostia, kunnes sopivan hetken koittaessa ujutetaan muutetuilla tilitiedoilla varustettu laskukopio maksettavaksi. Tällöin vahingot ovat lähinnä taloudellisia. Mutta on hyvä muistaa, että myös yritysvakoilu ja valtiollisten toimijoiden operaatiot alkavat usein vähäpätöisenä pidetyllä kalastelulla. Tällöin peruskäyttäjän tunnusten haltuunotto on ensimmäinen askel mahdollisesti vuosia kestävässä tietomurrossa.

Vitsailin taannoin julkishallinnon sidosryhmätapaamisessa, että perinteisesti poliisin hommaa on ollut estää ihmisiä pääsemästä pilveen. Nyt sinne haluavat kuitenkin kaikki, myös viranomaiset itse. Etenkin organisaation perustoiminnan kannalta keskeiset järjestelmät, kuten sähköposti ja yhteistyöalustat, on houkuttelevaa ulkoistaa toimijalle, joka ylläpitää ja varmistaa palvelut asiakkaan puolesta. Jo valmiiksi vähäisiä käsipareja vapautuu tähdellisempiin toimiin, kun aika ei kulu palvelimia paikkaillessa ja tikettejä tiiratessa.

Poliisin tehtävä ei ehkä ole olla mikään sormenheristäjä, joka puuttuu yritysten tai virastojen tapaan järjestää oma ”aateekoonsa”. Mutta rikostutkijalla saattaa olla näppäimistönsä takaa erilainen näkymä maailmaan, kuin yritysjohdon tai ylläpidon ikkunoista. Tutkijan maisemassa ei näy ylävitosia läpsiviä tietohallintojohtajia vaan maailmanlaajuisia rahamuuliverkostoja, länsiafrikkalaisia kyberrikollisia, israelilaisia petostehtaita, kansainvälistä rahanpesua, valtiollista yritysvakoilua ja kotimaista ”yritteliäisyyttä”. Jää organisaation vastuulle ratkaista, kuinka helppo tai houkutteleva kohde se on.

Tietomurroista on tärkeää puhua. Parhaimmillekin sattuu. Harva alalla on enää niin naiivi, että väittäisi järjestelmäänsä voittamattomaksi ja henkilökuntaansa erehtymättömäksi. Myös poliisin tehtävä on osaltaan estää tällaisia rikoksia ja viedä viestiä yrityksiin. Ehkä sormenheristys kuitenkin on paikallaan: vaikka yrityksenne ei haluaisi käyttää aikaa palveluiden ylläpitoon, kannattaa pilvipalvelua hankkiessa käyttää aikaa sen tietoturvaan. Käyttäkää monivaiheista tunnistusta. Varmistakaa, että lokia kerätään ja säilytetään. Estäkää loppukäyttäjiltä turhat toiminnot: jos sähköpostin edelleenohjaaminen on firmassa kielletty, sen pitäisi olla käyttäjälle myös teknisesti mahdotonta. Varmistukaa, että teillä on oikeudet niihin tietoihin, joita palvelusta tarvitsette. Muuten olette aseettomia selvittämään tilannetta, kun jotain tapahtuu. Tarkemmat ohjeet löytyvät Kyberturvallisuuskeskuksen ohjeesta alta.

Muistakaa, että tunnusten kalastelu tähtää aina tietomurtoon. Jos kalastelua ei pidetä ongelmana, niin tietomurron pitäisi herättää tunteita myös kulmahuoneissa. Ja vielä yksi huomio: tietomurto on rikos. Se ei ole vain poikkeama tai havainto tai tapahtuma. Se on rikollisen henkilön tai ryhmän pyrkimys hyötyä yrityksenne kustannuksella. Ja Suomessa rikokset tutkii poliisi.

Kyberturvallisuuskeskuksen ohje: Suojautuminen Microsoft Office 365 -tunnusten kalastelulta ja tietomurroilta

Sähköinen rikosilmoitus

Poliisin nettivinkki

Otso Manninen
rikosylikonstaapeli
Poliisin Kyberrikostorjuntakeskus

19

Heräsikö ajatuksia? Kommentoi: