Klikkasiko organisaation jäsen vahingossa kaverilta tullutta linkkiä tai vastasiko hän tutun profiilin toimintapyyntöön, jonka sai somekanavassaan? Voi olla, että häntä on yritetty manipuloida käyttäytymään itselleen tai organisaatiolle haitallisella tavalla. Näin toimii social engineering – Lue vinkit, miten suojautua huijauksia vastaan.
Social engineering tarkoittaa käyttäjän manipulointia sosiaalisin keinoin tavoitteena vaikuttaa uhriin ja saada hänet tekemään itselleen haitallisia asioita. Huijari pyrkii saamaan käsityksen uhrinsa käyttäytymistavoista ja psykologiasta. Siksi huijauksen välineet ovat uhrille tuttuja yhteydenpitokanavia. Huijarit käyttävät hyväkseen ihmisten hyväntahtoisuutta sekä inhimillisiä erehdyksiä saadakseen uhrin rahat, arvokkaan tiedon, käyttäjätunnuksia tai muuta arvokasta tai hyödyllistä omaisuutta. Uhriksi kelpaa niin yksityishenkilö kuin organisaatiokin. Yhden henkilön kautta huijari voi päästä käsiksi yrityksen tietoihin ja vaarantaa koko liiketoiminnan.
Huijarit ovat taitavia, joten suojautuminen ja uhkien torjuminen tulee ottaa tosissaan. ”Social engineering eli käyttäjän manipulointi, on yritysten suurimpia turvallisuusuhkia. Käyttäjätunnus ja salasana saattavat päätyä rikollisten käsiin uhrin tajuamatta, missä vaiheessa niin kävi. Syyttelyn sijaan yrityksissä pitäisi luoda selkeät prosessit, mitä näissä tilanteissa tehdään. Aina asiaa ei osata korjata sujuvasti”, Loihteen tietoturva-asiantuntija Aino Kivilahti kertoo.
Traficomin alainen Kyberturvallisuuskeskus varoitti tammikuussa Facebookin Messengerissä tapahtuvasta huijausmuodosta, jossa huijausviesti on naamioitu tulevaksi kaverilta. Viestissä lukee ”Osallistuin kilpailuun. Lähetän tekstiviestin.” Samaan aikaan saapuva tekstiviesti sisältää varmistuskoodin, jota huijari käyttää Facebook-salasanan tai puhelinnumeron vaihtamiseen.
Huijaustapoja on monia, ja huijarit keksivät niitä koko ajan lisää.
Turvassa töissä ja vapaa-ajalla
Ihmisen tietoturva on kokonaisuus. Siksi yritysten tulisi kiinnittää nykyistä paremmin huomiota siihen, miten ihmistä voidaan suojella työpaikalla ja sen ulkopuolella. Ihminen ja turvallisuus eivät lakkaa olemasta, kun työntekijä lähtee toimiston ovista ulos.
”Se ei tarkoita, että aletaan kontrolloida ja vakoilla vapaa-aikaa, vaan mahdollistetaan esimerkiksi salasanamanagerin ja muiden työkalujen käyttö lisenssejä tarjoamalla sekä opastetaan työntekijä uusien työkalujen käyttöön. Työntekijä voi tällöin tehdä työnsä parhaalla mahdollisella tavalla sekä toimia vapaa-ajallaan turvallisesti”, Kivilahti sanoo.
Turvallisuuden kehittämisen tulisi aina olla käyttäjälähtöistä, koska koko tietoturvan ajatus lähtee siitä, että sillä suojataan ihmistä.
”Haluaisin lisätä sellaista ajattelua, että ihmisillä on tärkeää ja arvokasta annettavaa sekä näkemystä, miten asiat kannattaisi tehdä. Ei ehkä teknisellä tasolla, mutta siinä, mikä arjessa ei toimi ja harmittaa. Koko tietoturvaa ei olisi ilman ihmisiä. Ihmisillä on kysymyksiä ja vastauksia. Ihmiset ovat niitä, jotka klikkailevat linkkejä. Ihmiset ovat niitä, jota suojataan”, Kivilahti muistuttaa.
Johtoryhmä ei näe kaikkea
Turvallisuus tulisi ottaa yrityksissä käsittelyyn toisin kuin on ehkä totuttu – ruohonjuuresta lähtien. Siiloissa kehitetty turvatoimi ei yleensä ole optimaalisin. Turvallisuusratkaisuja ei pidä kehittää vain johtoryhmän näkökulmasta.
”Totuus on, että emme voi eriyttää turvatoimia johtoryhmän käsiteltäviksi, jos emme ymmärrä, miten työntekijän turvakontrollit toimivat. Esimerkiksi ylläpitäjän näkökulmasta ne voivat toimia hyvin, mutta niihin voi jäädä suuriakin sokeita pisteitä”, Kivilahti sanoo. Ulkopuoliset, ammattimaiset silmät voivat huomata turva-aukkoja ja samalla säästää myös rahaa.
”Usein hyvin toimiva ja helppokäyttöinen kontrolli on parempi kuin järeät kerrostumat satunnaisia turvatoimia”, Kivilahti toteaa.
Paras turvallisuustuote on sellainen, joka ei haittaa arkea, eikä sen olemassaoloa juuri edes huomaa. Turvallisuus on ollut mukana jo tuotteen suunnitteluvaiheessa, secure by design.
”Tuotantoprosessissa annetaan suunnittelijoille aikaa, kerrotaan selkeästi kehitystiimille, mitä ohjelmiston pitää tehdä ja miten. Kun kysytään oikeita kysymyksiä oikealla hetkellä, jälkikäteen korjattavaa on vähemmän”, Kivilahti kertoo.
Yrityksissä saatetaan ajatella, että turvallisuus on liiketoimintaa haittaava asia, kuluerä. Kivilahti näkee asian kuitenkin niin, että se voi olla monissa tapauksissa myös kilpailuvaltti ja osa tuotteen houkuttelevuutta.
Miten suojautua huijauksilta:
- Suhtaudu linkkeihin ja ladattaviin tiedostoihin ja muihin toimintapyyntöihin varauksella. Jos et ole varma turvallisuudesta, älä toimi!
- Ota kaksivaiheinen tunnistautuminen käyttöön.
- Pidä kirjautumistiedot, vahvistuskoodit ja salasanat omana tietonasi. Älä luovuta myöskään henkilökohtaisia tietojasi ennen kuin olet varmistanut vastaanottajan henkilöllisyyden.
- Muistitikut ja ulkoiset kovalevyt voivat sisältää haittaohjelmia, joten jos et ole varma niiden alkuperästä, älä yhdistä niitä laitteisiisi.
- Huijarit hyödyntävät sosiaalisen median profiileja manipulointiin. Ole tarkkana, mitä tietoa jaat itsestäsi ja läheisistäsi. Opeta myös suvun vanhemmille ja lapsille turvallista internetin käyttöä.
- Suosi VPN-ohjelmaa, jos käytät julkista wi-fi-yhteyttä.
- Estä käyttäjiä asentamasta haittaohjelmia rajoittamalla laitteiden käyttöoikeuksia sekä kotona että työpaikalla.
Tutustu Loihteen kyberturvan palveluihin täällä!
Blogin on kirjoittanut Loihteella työskennellyt tietoturva-asiantuntija Aino Kivilahti.