Tietoturvan heikoin lenkki on aina ihminen – JNT tarjoaa siksi myös koulutuksia

Sami Laihorinne

Tietoturva ei parane pelkästään ohjelmilla ja suojauskäytännöillä. ICT-alan asiantuntijayritys JNT:ssä pidetään usein jopa tärkeämpänä, että yritysten henkilökunta ei lankea huijauksiin ja osaa toimia vastuullisesti.

Tietoturvaa parantavia ohjelmistoja ja laitteita on saatavilla vaikka kuinka paljon. Niitä myy yrityksille myös JNT. IT-palveluiden tiimipäällikkö Sami Laihorinne kuitenkin näkee, että suurin uhka tietoturvalle ovat ne omat työntekijät.

– Niin se on aina ollut, että oli järjestelmät minkälaisia tahansa, niin kyllä käyttäjä saa ne solmuun.

Omat työntekijät eivät laita järjestelmiä solmuun tai aiheuta vahinkoa tahallaan. Laihorinne kertoo, että erilaiset huijarit kehittävät koko ajan parempia ja ovelampia tapoja kalastaa luottamuksellisia tietoja. Aina niihin joku lankeaa.

Siksi JNT:ssä tarjotaan yrityksille jatkuvasti enemmän koulutuksia pelkkien ohjelmistojen sijaan.

– Virustorjuntaohjelma auttaa, kun on jokin tunnettu uhka. Uuden uhan torjuminen vaatii sitä, että käyttäjät hoksaavat huijausyrityksen.

Huijausten kirjo on laajaa

Laihorinne kertoo, että huijarit pyrkivät olemaan ajankohtaisia. Laihorinne näyttää esimerkkiviestiä, jossa käyttäjää pyydettiin kirjautumaan Omakantaan koronavirusrokotteeseen liittyvässä asiassa. Linkki kuitenkin vei huijarin luomalle sivustolle.

Jo pitkään tyypillisiä huijauksia ovat olleet myös viestit, joissa pyydetään kirjautumaan verkkopankkiin tai kerrotaan paketista, joka on jäänyt jonnekin jumiin.

Yritysmaailmassa on myös tyypillistä sähköpostit, joissa väitetään jonkun kollegan jakaneen tiedoston. Tarkempi tarkastelu sähköpostin lähettäjään kuitenkin paljastaa, että viesti ei ole tullut kollegalta tai siitä palvelusta, jota yrityksessä käytetään.

Laihorinne kertoo, että usein huijarit pyrkivät rekisteröimään verkkosivustoja ja sähköpostiosoitteita, jotka ovat hyvin lähellä jotain aitoa sivustoa.

Kesällä huijausyritykset tyypillisesti lisääntyvät

Lankeaminen ei ole häpeä

JNT käy yrityskoulutuksissa läpi tapoja tunnistaa huijauksia aitojen esimerkkien avulla. Niissä käy ilmi, että huijareiden verkkosivustot näyttävät täysin identtisiltä  aitojen sivustojen kanssa. Ainoastaan osoiterivistä voi nähdä, että se ei olekaan palveluntarjoajan sivusto.

Laihorinne pyrkii myös muistuttamaan yritysten henkilökuntaa, että niihin lankeaminen ei ole mikään häpeä. Työntekijällä on voinut olla kiire ja jostain tiedostosta tai uudesta palvelusta on ollut jossain vaiheessa puhetta.

– Sataprosenttisesti huijauksia ei voida estää. Jos huomaa klikanneensa jotain epäilyttävää tai kirjautuneensa johonkin palveluun, joka näytti arveluttavalta, pitää asiasta heti kertoa yrityksessä.

– Vaikka voi tuntua siltä, että ei siinä omassa sähköpostissa ole mitään arkaluonteista, huijari voi päästä sitä kautta monenlaisiin tietoihin käsiksi.

Huijari voi esimerkiksi löytää sähköpostiketjun, jossa on keskusteltu jostain tilauksesta. Sitten huijari voi laittaa viestiketjuun viestin, joka muka tulee yrityksen joltain johtajalta ja kertoa, että asiakkaan tilinumero on vaihtunut.

Tarkempi tarkastelu paljastaa, että viesti ei ole tullut johtajalta, vaan jostain ulkopuolisesta sähköpostiosoitteesta.

Kesä lisää huijausyrityksiä

Kesällä huijausyritykset tyypillisesti lisääntyvät. Huijarit pyrkivät käyttämään hyväksi sitä, että esimerkiksi toimitusjohtaja on lomilla.

– Huijarit pyrkivät toimitusjohtajan nimissä laittamaan viestiä, että jollain maksulla on kiire. Riski on, että joku hyväksyy maksun.

Laihorinne kehottaakin, että kesällä noudatettaisiin erityisen tarkasti aiemmin sovittuja käytäntöjä.

Ohjelmistojakin tarvitaan

Vaikka henkilökunnan tietoisuus tietoturvasta on tärkeää, ei se riitä kaikkeen. Laihorinne muistuttaa, että yrityksillä on EU:n tietosuoja-asetus GDPR:n takia velvollisuuksia, joihin vastaamista tietoturvaohjelmistot helpottavat.

Tämä on erityisen tärkeää, jos yritys joutuu tieturvaloukkauksen kohteeksi. GDPR velvoittaa yhtiöitä raportoimaan asiasta 72 tunnin sisällä. Yhtiön täytyy myös raportoida, mitkä tiedot ovat vaarantuneet.

Sopivien ohjelmien avulla tietoturvaloukkaukset voidaan havaita automaattisesti ja tunnistaa ne tiedot, joihin tunkeutujat pääsivät käsiksi.

Ja jos kyseessä on jo jokin tunnettu uhka, hyvä tietoturvaohjelmisto olisi voinut tunnistaa ja estää sen jo ennen tietojen vaarantumista.

 

LUE MYÖS:

Erik Nylund: ”Viisi tapaa vahvistaa omaa kyberturvallisuutta 2021”

JNT satsar på fiber – stabila förbindelser nyckeln till ett livskraftigt Österbotten

Vastaa