Automatisoidun hyökkäyksen uhriksi kelpaavat kaiken kokoiset yritykset
“Minun yritykseni on niin pieni, ettei sen kimppuun halua kukaan kyberrikollinen hyökätä” ei ole ajatus, johon kannattaa tuudittautua. Helposti voisi ajatella, että suuremmat yritykset olisivat houkuttelevampia kohteita näkyvyytensä ja rikolliselle koituvan suuremman hyödyn takia.
Kyber- ja tietoturvallisuuteen pitää kuitenkin kiinnittää huomiota kaiken kokoisissa yrityksissä. Sen lisäksi että lait ja säädökset tuovat mukanaan velvollisuuksia, voi näiden asioiden laiminlyöminen johtaa myös esimerkiksi mainehaittoihin, taloudellisiin tappioihin tai jopa yritystoiminnan lakkaamiseen.
Artikkelin tavoitteena ei ole pelotella lukijaa, vaan herätellä ajatusta kyber- ja tietoturvallisuuden tärkeydestä kaiken kokoisissa yrityksissä. Oli kyseessä sitten suuri yritys, jolla on enemmän asiakkaita ja työntekijöitä ja paremmat resurssit keskittyä näihin asioihin, tai pieni yritys, joka koostuu mahdollisesti vain yhdestä työntekijästä ja rajallisista resursseista.
Automatisoidut hyökkäykset mahdollistavat suuren määrän kohteita
Aina hyökkäystä ei toteuta ihminen, vaan suurimman työn voi tehdä myös botti. Bottien avulla hyökkääjä automatisoi asioita niin, ettei niiden toteuttaminen vaadi tekijältä itseltä juurikaan toimia. Automatisoitu hyökkäys mahdollistaa suuret määrät kohteita pienessä ajassa.
Bottien avulla voidaan esimerkiksi kerätä verkosta valtavia määriä sähköpostiosoitteita, joita hyökkääjä voi hyödyntää vaikkapa kalastelusähköpostien lähettämiseen, haittaohjelmien levittämiseen, tai kirjautumistietojen murtamisyrityksiin.
Näissä tapauksissa hyökkäysten kohteet voivat olla hyvinkin satunnaisia. Rikollinen ei välttämättä valitse yritystäsi uhriksi esimerkiksi sen takia, että hän kantaa yritystä kohtaan jonkinlaista kaunaa. Hyökkääjä ei todennäköisesti ole edes kuullut yrityksestäsi. Esimerkiksi edellä mainitun kaltaisen botin tapauksessa riittää, että yrityksen sähköpostiosoitteet löytyvät verkosta ja botti saa kerättyä ne omaan tietokantaansa.
Se, että yritys on pieni eikä suuren yleisön tietoisuudessa saattaa suojata yritystä kohdennetulta hyökkäykseltä. Se ei kuitenkaan suojaa yritystä hyökkäyksiltä, joita toteutetaan niin, että kokeillaan moneen suuntaan ja katsotaan mikä kala nappaa.
Tällaisia hyökkäyksiä voivat olla erilaiset huijaussähköpostit, joita lähetetään valtavia määriä siinä toivossa, että edes joku klikkaa sähköpostista löytyvää linkkiä ja luovuttaa hyökkääjälle esimerkiksi kirjautumistietoja. Myös haittaohjelmia voidaan levittää tällaisten sähköpostien avulla.
Moni onkin varmasti törmännyt erilaisiin huijausviesteihin, joissa vastaanottajalle kerrotaan valheellisesti, että hänelle on saapunut lähetys. Myös pankkien nimissä yritetään säännöllisesti lähettää huijausviestejä. Nämä ovat monille tuttuja esimerkkejä viesteistä, joita ei lähetetä tarkkaan valituille kohteille, vaan mahdollisimman monille.
Kun hyökkäyksiä toteutetaan automatisoidusti tai muuten satunnaisesti, ei sillä ole väliä minkä kokoinen yritys on kyseessä. Ainut asia millä on rikolliselle väliä, on se, kuka huijaukseen menee tai kenen suojauksista pääsee läpi.
Uhkakenttä on monipuolinen
Siinä missä yrityskentästä löytyy monen kokoista toimijaa, samoin on myös pahantahtoisten tekijöiden laita. Jos hyökkääjä esimerkiksi toimii yksin eikä omaa erityisen kehittyneitä taitoja, ei hän todennäköisesti myöskään pyri hyökkäämään suuren yrityksen järjestelmiin. Hän valitsee kohteen, joka on hänelle sopivampi. Pienemmät yritykset voivat myös siksi olla houkuttelevampia kohteita, koska niillä ei useinkaan ole samanlaisia resursseja suojautua.
Resurssit näkyvät monissa eri asioissa. Suuremmalla yrityksellä voi olla paremmat taloudelliset edellytykset panostaa kyber- ja tietoturvaan ja yrityksessä saattaa esimerkiksi olla palkattuna asioihin perehtynyt henkilö, jonka työnkuvaan turvallisuuden varmistaminen kuuluu.
Kaikki hakkerit eivät ole televisiosta tuttuja taitureita, jotka käyttävät monipuolisia kykyjään ja saavat taitavasti haluamansa tiedon esille. Hakkerointiin löytyy myös monia valmiita työkaluja, joiden käyttäminen ei välttämättä vaadi sen suurempaa taitoa. Kaikilla ei ole tavoitteena tarkkaan suunniteltu ja kohdennettu hyökkäys. Jotkut voivat vain mielenkiinnosta kokeilla, pääsisivätkö he jonnekin murtautumaan ja saisiko siitä jotain hyötyä.
Selviäisikö sinun yrityksesi?
Uhkakuvia on monia ja niiden seuraukset ovat niin ikään monipuolisia. Hyökkäyksen seurauksena yritys voi esimerkiksi menettää pääsyn joidenkin sen tietojen pariin. Rikollinen voi yrittää kiristää rahaa tietojen vapautusta vastaan, tai tiedot voivat tuhoutua kokonaan. Löytyykö yritykseltäsi varmuuskopiot tärkeistä tiedoista, jos näin käy?
Joskus hyökkäyksen seurauksena yrittäjä voi menettää esimerkiksi sosiaalisen median tilin hallinnan. Tilin takaisin saaminen ei aina ole helppoa tai nopeaa, ja joillekin yrityksille sillä voi olla suuria vaikutuksia. Puhumattakaan siitä, jos samaisella tilillä on tehty myös mainontaa sosiaalisessa mediassa ja tililtä löytyy pankkikortin tiedot. Kannattaa olla tarkkana sen suhteen, kenelle tunnuksia jakaa ja millaisille sivustoille kirjautumistietoja syöttää. Onhan yrityksesi sometileillä monivaiheinen tunnistautuminen otettuna käyttöön?
Hyökkäys voi myös johtaa mainehaittaan, etenkin jos esimerkiksi asiakkaiden tietoja on varastettu. Tärkeintä on noudattaa henkilötietojen käsittelyyn liittyviä vaatimuksia ja varmistaa tietojen turvallinen käsittely, säilytys ja hävittäminen.
Kuten jo mainittiin, uhkakuvia on monia. Kannattaa miettiä ne oman yrityksen kannalta todennäköisimmät uhkakuvat ja tehdä suunnitelmat niiden varalta.
Mitä muita keinoja suojautumiseen löytyy?
Verrattain pienillä asioilla voi tehdä paljon pitääkseen yrityksen tärkeät tiedot ja laitteet paremmassa turvassa. Virustorjuntaohjelmat, ajantasaiset päivitykset, vahvat salasanat ja monivaiheinen tunnistautuminen ovat esimerkkejä pienistä asioista, jotka parantavat turvallisuutta huomattavasti.
Tärkeitä ovat myös päivittäiset teot, kuten turvalliset työskentelytavat ja ymmärrys riskeistä.
Turvallisuutta ei voi täysin ulkoistaa. Vaikka esimerkiksi yrityksessä käytettävä ohjelmisto olisikin tarkkaan kehitetty ja testattu ja kaikin puolin turvallisen oloinen, on ohjelmiston käyttäjien pidettävä myös huoli esimerkiksi siitä, että heidän kirjautumistietonsa ovat tarpeeksi turvalliset ja ettei esimerkiksi salasanoja kirjoiteta ylös muiden näkyville.
Riskejä punnitessa asiaa tulee tarkastella myös asiakkaan näkökulmasta
Voi tuntua kohtuuttomalta, että pienellä yrityksellä on samanlaiset vaatimukset kuin suurilla yrityksillä, joilla on resursseja allokoida tehtävään työntekijä tai jopa työntekijöitä.
Kuitenkin esimerkiksi tietosuoja-asetuksessa painotetaan nimenomaan riskiperusteista lähestymistapaa. Tämä tarkoittaa käytännössä sitä, että henkilötietojen käsittelyyn liittyvät riskit pitää arvioida ja suojatoimet pitää suunnitella niiden perusteella. Riskin suuruus arvioidaan sen perusteella, kuinka suuri riski käsittelystä syntyy rekisteröidyn oikeuksille ja vapauksille.
Ei ole asiakkaan näkökulmasta juurikaan väliä, vuotaako henkilötunnus jonkin suuren yrityksen tiedoista vai pienen – vaikutus on molemmissa tilanteissa asiakkaalle suuri.
Kyber- ja tietoturvasta huolehtiminen on tärkeää ihan kaiken kokoisissa yrityksissä. Yritys ei ole turvassa hyökkäyksiltä, vaikka se olisikin pienempi ja päältäpäin vaikuttaisi huomaamattomammalta.
Blogin kirjoittaja, Jenna Ruuska, on kyberturvallisuuden asiantuntija ja viimeisen vuoden kyberturvallisuuden opiskelija. Hän työskentelee tällä hetkellä CyberCare Kymi -hankkeessa.
Rahoittajat
Kyberturvan ABC yrittäjille -hanketta rahoitti Hämeen ELY-keskus Euroopan sosiaalirahastosta (ESR).