Kyberrikollisille jokainen yritys on potentiaalinen saalis

Kukaan meistä ei ole rikollisilta täysin turvassa, mutta yrityksissä riskit ovat vielä keskimääräistä suuremmat. Rikollisuuteen ja rikoksen torjuntaan voi silti varautua jo etukäteen.

Ei niin pientä yritystä, ettei se olisi houkutteleva kohde rikollisella. Rikoskonstaapeli Otso Manninen avasi LVI-päivillä tämän päivän rikollisuutta, kun perinteisten murtojen ja varkauksien oheen on saatu digirikollisuus, eli netissä ja netin yli tapahtuvat rikokset ja petosyritykset.

Manninen on vuonna 2015 Keskusrikospoliisin yhteyteen perustetun kyberrikostorjuntakeskuksen taktinen tutkija. Lähes kirjaimellisesti kädet savessa duunia paiskovalle tutkijalle on kehittynyt hyvä näkemys kyberrikollisuuteen. Hän muistuttaa, että jopa yhden hengen yritys voi olla houkutteleva kohde.

Mutta miten varautua riskeihin, ja mitä rikollinen haluaa? Mannisen mukaan rikollinen tavoittelee edelleen perinteistä omaisuutta, kuten rahaa, työkaluja, tuotteita ja autoja. ”Tyypillistä on, että ostetaan tuotteita, joita ei ole tarkoituskaan maksaa.”

Nykyajan rikollinen tavoittelee kuitenkin yhtä lailla tietoa ja osaamista, eli tietokin on varjeltavaa omaisuutta. Tekeillä olevat yrityskaupat, asiakasrekisterit ja henkilöstön tiedot ovat kaikki käypää omaisuutta. Yrityksen kilpailija voi yrittää tavoitella näitä tietoja haltuunsa.

”Lisäksi osaaminen, muun muassa tuotekehitys on kiinnostavaa. Ei yritysvakoilu ole kuollut, sillä rintamalla on nähtävissä jopa valtioiden tukemaa toimintaa. Kiinalaiset hakkerit seuraavat jopa vuosia yritystä ja tieto hyödynnetään myöhemmin emämaassa”, Manninen toteaa.

Kyberrikollisuuden ilmentymiä

”Joskus rikollisen tavoitteena saattaa olla vahingoittaa yritystä tavalla, josta sen kilpailija hyötyy. Perusteena vahingonteolle voivat olla myös ideologiset syyt”, Manninen kertoo.

Joskus kyberrikollisuudessa on taustalla halu tai tarve lamaannuttaa yhteiskunnalle kriittisiä toimintoja. Manninen korostaa, että yritys saattaa tarjota tällaiseen tahattomasti väylän, jos se on huolimaton oman asiakkaansa – vaikka ydinvoimalan tai sairaalan – tietoturvan tai muiden käytäntöjen kanssa.

Rikollisuuden taustalla saattaa olla jopa vieraan vallan halu lamaannuttaa yhteiskunnalle kriittisiä toimintoja, kuten esimerkiksi Ukrainan sähköverkot. Myös Yhdysvalloissa on havaittu vastaavanlaista toimintaa. Eli jokaisen yrityksen asiakas saattaa olla rikollisen lopullinen kohde.

”Rikollisella saattaa olla vain halu aiheuttaa yritykselle vahinkoa ilman selvää motiivia. Tällaisia ovat esimerkiksi palvelunestohyökkäykset.”

”Palvelunestohyökkäys eli ”dossaus” on osin torjuttavissa. Pitäkää huolta niin ohjelmistojen kuin laitteidenkin päivityksistä. Myös koodit ja salasanat eritoten IoT-aikakaudella kannattaa vaihtaa tehdasasetusteen 0000-koodeista joksikin muuksi heti käyttöönoton jälkeen.”

Älä maksa kiristäjälle

Arkisempaa digirikollisuutta ovat kiristyshaittaohjelmat. Näistäkin on jo tuhansia variaatioita.

”Motiivina näiden käyttöön ovat taloudelliset syyt, puhdas kiusanteko tai sitten kyseessä saattaa olla toisen valtion taholta suorittama hyökkäys”, Manninen kertoo.

Jos uskoo joutuneensa kyberrikoksen uhriksi, kannattaa tehdä rikosilmoitus. Asiasta on hyvä tehdä ilmoitus myös Kyberturvallisuuskeskukselle (cert@ficora.fi).

”Jos epäilet yrityksen joutuneen uhriksi, tee rikosilmoitus ja jäädytä tilisiirrot. Äläkä unohda perinteistäkään rikollisuutta ja tilaturvallisuutta. Kyberturvallisuuskeskuksesta saa apua kyberrikollisuuteen.”

Mannisella on myös toinen selkeä ohje kiristyshaittaohjelmien uhriksi joutumisen varalle: ”Älkää maksako. Jos maksatte, saatte muka avaimen tiedostoihin. Todellisuudessa edes rikollinen itse ei pysty enää avaamaan tiedostoja.”

Manninen muistuttaakin varmuuskopioiden tärkeydestä. Pienen yrityksen toiminta voi halvaantua täysin, mikäli esimerkiksi asiakasrekisterit jäävät pimentoon.

”Tehkää varmuuskopioita säännöllisesti. Ja harjoitelkaa myös tiedostojen palauttamista, että se onnistuu, jos tarve vaatii.”

Tarvittaessa apua kiristys- ja haittaohjelmien kanssa, voi aiheesta kääntyä Europolin puoleen. Sen ylläpitämällä nomoreransom.org -sivustolta löytyy työkaluja tutuimpien haittaohjelmien varalle.

”Estääksenne tietomurrot ja kiristyshaittaohjelmat, pitäkää IT- ja verkkoratkaisut kunnossa ja ajan tasalla. Tärkeimmät toiminnot olisi mielellään oltava erillisessä verkossa, ei julkisessa netissä”, Manninen neuvoo.

Temput ja niihin varautuminen

Päivittäin törmätään erilaisiin kalasteluviesteihin. Milloin kyseessä on lottovoitto, euron hintainen iPhone tai muuta vastaavaa.

”Viestit ovat nykyisin huolella laadittuja ja ne saattavat jopa näyttää tulevan kollegaltasi. Aina petosyritys ei ole ilmiselvää”, Manninen huomauttaa. ”Osa näistäkin on torjuttavissa sähköpostiasetuksilla.”

Toimitusjohtajapetos on pysyvä ilmiö, eli se on tullut jäädäkseen, koska sen panos-tuotos-suhde on niin hyvä ja kiinnijäämisriski pieni. ”Tarina alkaa tyypillisesti jotenkin näin: Juuri sinun apuasi tarvitaan luottamukselliseen varainsiirtoon.”

Manninen kertoo, että niin sanotun toimitusjohtajapuhelun keksinyt ranskalainen rikollinen teki ensimmäiset miljoonansa puhelimitse 2000-luvun alussa. Petoksessa saattaa olla mukana useita toimijoita, ja usein kyseessä on salassa pidettävä kauppa ja asia on hoidettava kiireellisesti.

Tavanomaisessa kuviossa esimerkiksi lakimies se ja se soittaa, ja kertoo toimitusjohtajan ottavan pian yhteyttä. Turvallisuuden takaamiseksi kerrotaan, että hänellä täytyy olla tietty koodi tai salasana. Sitten toinen henkilö soittaa, ja vahvistaa tilisiirron olevan turvallinen, koska hänellähän on oikea koodi!

”Suomessa onneksi yrityskulttuuri on rento, eli otamme helposti yhteyttä esimiehiimme ja varmistamme asian. Jopa pieni yritys saattaa kuitenkin joutua pankki-jymäytyksen uhriksi.”

”Mandate fraud”, eli välimieshyökkäys on isku yrityksen laskutusliikenteeseen. Hakkeroimalla tai muilla keinoin haetaan sähköpostista tiedot kaupoista ja saatavista. Sitten laitetaan oikea lasku liikkeelle, mutta matkan varrelle tilinumero onkin vaihdettu.

”Tältäkin voi suojautua laskutuskäytännöillä. Varmistukset pitää olla kunnossa ja kannattaa aina kun siltä tuntuu soittaa oikeille ihmisille. Älä soita viestin tarjoamaan numeroon, sillä sekin saattaa olla vaihdettu”, Manninen muistuttaa.

Sellaistakin tapahtuu, että kaupparekisteriin vaihdetaan vastuuhenkilöt ja sitten otetaan lainaa yrityksen nimissä. Yrityksen toimitusjohtaja vaihdetaan, eikä kukaan tiedä asiasta. Tätä voi pyrkiä estämään muun muassa poikkeamailmoituksilla.

”Erilaiset petokset ja sosiaalinen manipulaatio muuttavat muotoaan ja koko ajan tulee uusia. Eli seuratkaa uutisia.”

”Viime aikoina esimerkiksi valepoliisit ovat yleistyneet. Jos poliisi soittaa teille, kysykää kuka hän on ja mistä laitokselta, ja soittakaa sinne takaisin.”

Hauska esimerkki siitä, kuinka ei pidä toimia on henkilöstä, joka toimi lähes oikein. Ainoa virhe oli, että hän soitti takaisin samaan numeroon, mistä – tässä tapauksessa onneksi aito – poliisi oli soittanut hänelle.

Uhkantorjunnan pääkohtia

Miten erilaisiin uhkiin voi varautua? Mannisen mukaan ensin on laitettava perustietoturva ja verkkoratkaisut kuntoon.

”Kaikista ei tule tietoturva-asiantuntijoita, mutta kaikkien pitää kantaa siitä vastuu. Ja laittakaa laskutuskäytännöt kuntoon.”

Tärkeää on myös varautuminen erilaisiin uhkiin, harjoittelu eri tilanteiden varalta sekä henkilöstön koulutus.

”Vaikka tietoturva ja petokset eivät ole ydinbisnestä, sitäkin alaa pitää seurata. Pitäkää huolta, että henkilöstöllä on matala kynnys puuttua ja ryhtyä toimiin, jos jokin asia alkaa vaikuttaa oudolta”, Manninen painottaa.

Asettakaa vahvat salasanat, joka järjestelmälle omansa. Jopa lappu koneen kyljessä on tuvallisempi vaihtoehto kuin että kaikissa laitteissa ja järjestelmissä olisi sama salasana. Myös hyvä ja rento ilmapiiri edesauttaa yritysturvallisuutta, tämä on tyypillisesti suomalaisten vahvuus.

Teksti Heikki Heikkonen, Kuva: Shutterstock