Kyberturvallisuus on uhattuna kaikkialla, missä data liikkuu

Tietojen kalastelu, kyberturvallisuus

Vaarassa ovat raha, maine, toimintakyky ja turvallisuus. Kyberturvallisuus kuuluu kaikille, mutta ensi sijassa se on johdon agenda.

Tietoturva-asiantuntija Anu Laitila toimii Nixulla Business Managerina, vastuualueenaan turvallisuuskulttuurin kehittäminen ja kyberharjoituksien tuottaminen yrityksissä ja organisaatioissa. Hänen mukaansa kaikenlaiset verkkohuijaukset ovat viime aikoina selvästi lisääntyneet.

On kiristyshaittaohjelmia, tietojenkalastelua, toimitusjohtajahuijauksia, informaatiovaikuttamista, Facebook-kalastelua, WhatsApp-huijauksia…

”Jokaisen organisaation johdon pitäisi sitoutua kyberturvallisuuteen. Johto viime kädessä vastaa organisaation kyberturvallisuudesta tai kyberturvattomuudesta. Esimerkiksi Psykoterapiakeskus Vastaamo on surullinen esimerkki siitä, kuinka hommat hoidettiin huonosti ja firma meni konkurssiin. Pahimmillaan huonosti tekeminen voi tarkoittaa yritykselle tätä.”

Puhutaan, että ihminen on heikoin lenkki, mutta Laitila kertoo olevansa asiassa päinvastaista mieltä.

”Meillä on olemassa teknologia, ja teknologiset heikkoudet eivät ole ihmisten heikkoutta. Jokaisen organisaation pitäisi ohjeistaa työntekijöitään siitä, miten sovelluksia käytetään turvallisesti, mitä uhkia on olemassa, kuten vaikkapa tietojen kalastelu. Se on tyypillinen uhka siinä mielessä, että sitä kautta voi isompiakin asioita tapahtua.”

Sometileissä piilee suuri riski

Jokaisen organisaation tulee tunnistaa omat riskinsä. Media-alalla toimijat ovat osa jonkun yrityksen arvoketjua ja esimerkiksi mediatoimistoilla on hallussaan monen yrityksen tunnuksia. Kun yksityisten ihmisten sometileihin murtaudutaan, aika usein tilit on linkitetty myös yritystileihin. Tästä ongelmat usein alkavat.

Anu Laitila
”Somen kautta vapaa-ajan ja työajan ero hälvenee, ja markkinoinnissa vielä enemmän. Tietoturva-ammattilaisena en itse tee työkoneella mitään vapaa-ajan juttuja”, Anu Laitila mainitsee.  Kuva: © Roope Musto

Anu Laitila kertoo esimerkin brittiteineistä, jotka olivat onnistuneet saamaan sosiaalisen manipuloinnin avulla haltuunsa satakolmekymmentä korkean profiilin Twitter-tiliä. Joukkoon kuuluivat muun muassa Apple, John Biden ja Elon Musk. Tällä kertaa huijareiden tarkoitus oli kerätä rahaa, ja he onnistuivatkin saamaan 100 000 bitcoinia, kunnes jäivät lopulta kiinni. Vasta 18-vuotias päätekijä sai rikoksesta kolme vuotta vankeutta.

Mikäli sometili onnistutaan kaappaamaan, sen palauttaminen voi olla mahdottoman tuntuinen urakka. Yksityishenkilöillä viesteihin vastaa yleensä robotti, ja välttämättä asiat eivät etene lainkaan.

”Ainakin se vaatii pitkiä hermoja ja jatkuvaa raportointia. Isoilla markkinointibudjeteilla pelaavilla mediatoimistoilla voi olla hyvät henkilökohtaiset kontaktit palveluntarjoajiin ja sitä kautta paremmin apua saatavissa.”

Kyberturvallisuus on parhaimmillaan kilpailuetu.

Laitila ottaa tässä yhteydessä puheeksi tietoturvallisuutteen liittyvän ISO-standardoinnin, jonka vaatimukset on syytä ulottaa myös alihankkijoihin.

”Kyberturvallisuus on parhaimmillaan kilpailuetu. Isot kumppanit saattavat vaatia jo ISO-standardointia. Se kertoo siitä, että esimerkiksi kyberturvallisuuden johtamista, riskejä ja uhkia on ainakin jollain tasolla mietitty.”

Kyberrikollisten anatomia

”Kyberrikollisuus ei tunne rajoja, se on globaalia. Kuka tahansa ja mistä tahansa päin maailmaa voi yrittää tunkeutua tilille. Huijareita on todella haastavaa saada kiinni, kun mukana on vielä eri maiden lainsäädäntökin”, Anu Laitila toteaa ja lisää, että kansainvälinen viranomaisyhteistyö on tärkeää.

”Rikollisista pitää ymmärtää se, että osa heistä toimii hyvin ammattimaisesti. Rikollisporukoilla on omat HR:ät, palkanlaskennat, käydään palkkaneuvotteluja…”, Laitila luettelee. Covid-aikana mukaan on tullut köyhemmistä maista uusia toimijoita, joilta on rajoitustoimenpiteiden vuoksi menneet omat työt alta. Rikollisuuteen on turvauduttu siksi, että saadaan laskut maksettua.

”Voihan sellainen olla hirmu houkuttelevaa, jos joutuu olemaan tietokoneen kanssa neljän seinän sisällä. Aina ei edes ymmärretä, mikä kaikki on rikollista toimintaa. Rikos voi tapahtua yhdellä klikkauksella verkossa. Tämän takia nuorille järjestetään mahdollisuuksia hakkeroida lain antamissa rajoissa esimerkiksi Gen Z -hakkerointitapahtumassa”

Kyberrikollisuuden vaikutuksista puhuttaessa pelissä ei ole pelkästään raha, vaan myös maineasiat. Tästä syystä yritykset eivät aina ilmoita kohtaamistaan rikoksista poliisille. Tietoturva-asiantuntija kehottaa poliisin lisäksi vinkkaamaan kyberrikollisuudesta myös kansalliselle kyberturvakeskukselle, joka ylläpitää tilannekuvaa siitä mitä maailmalla ja meillä tapahtuu.

”Se auttaa tilanteiden selvittelyssä ja resurssien lisäämisessä. Kyberturvallisuuskeskus myös laatii tiedotteita kyberrikollisuudesta, jolloin ihmisiä osataan varoittaa medioissa.”

Brändit ja logot huijausviestien sisällöissä

Rikolliset hyödyntävät verkkohuijauksissaan myös tunnettuja brändejä sekä näiden logoja. Rikolliset osaavat tehdä hakukoneoptimointia ja ostavat mainontaa, kuten mikä tahansa mainostava brändi.

Tällaisia esimerkkejä nähdään Suomessa jatkuvasti. Esimerkiksi Aktia Pankin nimissä on levitetty bitcoin-huijausta Facebookissa, Postin nimissä on tehty tekstiviestihuijauksia ja OP:n nimissä on luotu väärä verkkosivusto.

Kuluttajan on vaikea ymmärtää, ettei brändi voi välttämättä vaikuttaa huijaukseen

Osa huijauksista on toteutettu niin taitavasti, että niitä on vaikea tunnistaa. Yksi verkkohuijauksiin sortunut on ratsastusvalmentaja Suski Fagerström, joka kirjautui viime vuonna Google-haun kautta Osuuspankin verkkopankkiin hoitamaan yrityksensä asioita – tai niin hän ainakin kuvitteli. Tämän seurauksena huijarit veivät samassa pankissa olevilta Fagerströmin yksityistileiltä 22 000 euroa.

Esimerkiksi Aktia Pankin nimissä on levitetty bitcoin-huijausta Facebookissa, Postin nimissä on tehty tekstiviestihuijauksia ja OP:n nimissä on luotu väärä verkkosivusto.

”Virkailija sanoi, että olin tehnyt virheen, kun olin mennyt hakukoneen kautta asioimaan, eikä pankki tällaisissa tapauksissa korvaa mitään. Asialle ei mahda mitään. Minua puhuteltiin sinänsä ystävällisesti, mutta syyteltiin ja kohoteltiin olkapäitä”, Fagerström muistelee tapauksen hoitoa.

Verkkopankkia hyvin aidosti imitoiva sivusto oli onnistuttu nostamaan Googlen hakutuloksissa ensimmäiseksi, todennäköisesti maksettua mainontaa käyttämällä.

”Minua henkilökohtaisesti ottaa päähän, että syytetään Googlea käyttävää viatonta ihmistä, kun tosiasiassa palveluiden pitäisi olla luotettavia. On järkyttävää ja olen todella pahoillani, että tällaista tapahtuu”, tietoturva-asiantuntija Anu Laitila kommentoi.

Fagerström valitti tapahtuneesta Osuuspankin korkeimmalle johdolle sekä päätyi käsittelemään asiaa myös julkisuudessa. Hän koki, että pankkiasioinnin kyberturvallisuudessa olisi paljon parannettavaa.

Periksi antamattomuus johti siihen, että pankki päätyi korvaamaan Fagerströmille menetetyt rahat, vaikkei huijanneita tahoja onnistuttu[MA5]  saamaan vastuuseen.

Yritysten pitää olla hereillä ja seurata oman brändinsä käyttöä

Marketing Finlandin tietoon on viimeisen parin vuoden aikana tullut useita tapauksia, joissa brändien nimeä ja logoa on käytetty vilpillisiin tarkoituksiin.

– Brändien pitää olla jatkuvasti hereillä ja reagoida välittömästi, jos huijauksia ilmenee, sanoo Marketing Finlandin toimitusjohtaja Riikka-Maria Lemminki.

Digisisältöjen seurantaan löytyy useita työkaluja. Jo maksuttomalla Google Alerts -työkalulla saa sähköpostiin ilmoituksen, kun omaan brändiin liittyvää sisältöä julkaistaan. Markkinoilta löytyy myös useita maksullisia digisisältöjen seurantaan tarkoitettuja työkaluja, joita tarjoavat mm. Liana Technologies, Meltwater ja Cision.

Hankalimpia tunnistaa ovat Lemmingin mukaan olleet huijausmainokset, jotka eivät välttämättä joudu brändiseurannassa haaviin. Esimerkiksi Aktian brändiä käytettiin hyväksi Facebook-mainoksessa, joka houkutteli ihmisiä sijoittamaan bitcoin-valuuttaan. Samassa huijauksessa hyödynnettiin myös kotimaisten tunnettujen henkilöiden, kuten Perttu Pölösen henkilöbrändiä.

Mainonnan avulla nostettuihin huijaussisältöihin päästään paremmin puuttumaan vuoden 2023 alusta, kun voimaan astuva digitaalisiin sisältöihin keskittyvä DSA-direktiivi astuu voimaan. Se pakottaa digitaaliset alustat paljastamaan viimeisen vuoden ajalta yritykset, joiden mainoksia alustalla on näytetty sekä varmistamaan mainostavien yritysten olemassaolon.

Miten toimia, jos omaa brändiä käytetään vilpillisesti?

Tiedon saatuaan yrityksen kannattaa raportoida vilpillisestä brändin käytöstä välittömästi alustalle.

– Mitä nopeammin vilpilliseen toimintaan reagoidaan, sitä vähemmän ihmisiä altistuu huijaukselle, muistuttaa Lemminki.

Isoimmilla mainostajilla on omat yhteyshenkilöt, joiden kautta vilpillisestä brändin käytöstä kannattaa kertoa, kun taas pienemmillä mainostajilla raportointi tapahtuu alustan kautta.

Vaikka poliisi onkin usein voimaton verkkohuijausten edessä, silti niistä kannattaa raportoida myös poliisille.

– On tärkeää, että poliisilla on tieto ongelman laajuudesta, sanoo Lemminki.

Myös Marketing Finlandille kannattaa huijauksista raportoida info@marketingfinland.fi osoitteeseen tai chatin kautta. Marketing Finland raportoi kaikista huijaustapauksista alustoille sekä nostaa näitä esiin, kun keskustellaan alustojen turvallisuudesta ja reagointinopeudesta.

Vaikka poliisi onkin usein voimaton verkkohuijausten edessä, silti niistä kannattaa raportoida myös poliisille.

– Myös meille on tärkeää ymmärtää ongelman laajuus, ja saamme viestimme perille nopeasti – alustojen johtoon saakka tarvittaessa, kertoo Lemminki.

Marketing Finland nostaa huijauksia esiin kahdenkeskisissä keskusteluissa alustojen kanssa sekä erilaisilla foorumeilla, joissa keskustellaan digitaalisten alustojen turvallisuudesta. Tällainen keskustelufoorumi on GARM Nordic, jonka tavoitteena on parantaa alustojen turvallisuutta käyttäjille sekä mainostajille. Mukana GARM -hankkeessa ovat alustoista TikTok, Facebook sekä Google. Mukana ovat myös Pohjoismaiden suurimmat brändit. Suomesta edustettuna ovat mm. Saarioinen, SOK, Coca-Cola Finland, DNA ja Berner.

Lue myös: Brändiväärennökset tietojen urkinnassa: LinkedIn nousi eniten jäljitellyksi

Mikä on kyberturvallisuuden nykytila, Mikko Soikkeli?

Ministeriöt ja eri viranomaiset ovat sotaan liittyvien lieveilmiöiden myötä tiivistäneet yhteistyötään, mutta mitä kentällä on oikein tapahtunut ja mitä meidän kaikkien pitäisi siitä ymmärtää.

Ukrainan sodan myötä keskustelu informaatiovaikuttamisesta on kiihtynyt ja ihmiset ovat huolissaan. Mitä nyt on meneillään?

”Sotaan liittyvä vaikuttaminen on lisääntynyt puolin ja toisin. Kyberturvallisuusympäristössä on nähtävissä erilaista aktiviteettia, josta yhtenä esimerkkinä on palvelunestohyökkäykset”, vastaa puolustusministeriön tietohallintojohtaja Mikko Soikkeli kysymykseeni.

Mikko Soikkeli
Mikko Soikkelin tehtäviin kuuluu mm. Puolustusvoimia koskevan tietohallintoon liittyvän ohjauksen valmistelu sekä alaan liittyvä muu ministeriölle kuuluva valmistelu, ministeriön oman ja varsin pienen tietohallinnon johtaminen sekä monipuolinen yhteistyö muiden ministeriöiden ja viranomaisten kanssa tietohallinnossa ja kyberturvallisuudessa. Kuva: Puolustusministeriö.

Ukrainan presidentti Volodymyr Zelenskyin puhuessa huhtikuun alussa Suomen eduskunnalle, valtion verkkosivuihin kohdistui häirintää ja monet niistä olivat alhaalla. Miten tätä voisi tulkita?

”Ehkä sillä on haluttu antaa jonkinlainen signaali aktiivisuudesta tai ilmaista mielensä pahoittamista. Ajankohta on ilmeinen, mutta on täysin spekulatiivista miettiä, mitä sillä on haluttu ilmaista.”

Soikkeli toteaa, että päivittäisen viestinnän tasolla tarkasteltuna on nähtävissä, että kumpikin sodan osapuolista uutisoi asioita omasta näkökulmastaan.

”Varmasti molemmilla on pyrkimys perustella oman toiminnan hyväksyttävyys, mutta ei se välttämättä ole täysin objektiivista kummallakaan. Osa kerrotusta saattaa tuntua suomalaisen silmin vaikealta tai vähemmän uskottavalta näkemykseltä. Tämä on yksi osa informaatiovaikuttamista.”

Ihmiset valitsevat puolensa sen seurauksena, mikä koetaan oikeutetuksi ja mikä ei. Näytän twiittiketjua, jossa haktivistit kertovat tunkeutumisesta venäläisten organisaatioiden tietoverkkoihin ja anastaneensa sieltä dataa. Soikkeli ei anna toiminnalle varauksetonta tukea.

”Tämä koetaan oikeutetuksi, mutta tekijät voivat syyllistyä lainvastaiseen toimintaan ja hyökkäyksen kohteeksi joutunut voi hakea syyllistä vastuuseen teostaan.”

Varaudu ja varmista mahdollisuus toimia silloin, kun jotain tapahtuu

Millä tavalla organisaatioiden ja yksittäisten ihmisten tulisi huolehtia kyberturvallisuudesta nykytilanteessa?

”Peruslähtökohta pitäisi olla, että organisaatiot ymmärtävät ilmiön ja siihen liittyvät tekijät. Hyökkäykset pitäisi pystyä torjumaan mahdollisimman hyvin. Ammattimainen organisaatio hoitaa tietoturvallisuutta ja kyberturvallisuuteen liittyviä asioita, esimerkiksi arvioimalla ennalta riskejä.”

Laitteet tulee päivittää säännöllisesti ja sovellukset pitää ajan tasalla, olkoon kyseessä matkapuhelin, tabletti, tietokone tai kotona vaikkapa reititin.

”Keskeistä on varautua ennalta erilaisiin häiriöihin, jotta organisaatio pystyy toteuttamaan omaa tehtäväänsä, vaikka kaikki palvelut eivät toimisikaan.”

Yksittäisen ihmisen kohdalla lähtökohta on, että jokainen huolehtii itse omista tietoteknisistä ratkaisuistansa lähtien siitä, että salasanat eivät ole liian helppoja eikä samoja salasanoja ole käytetty eri paikoissa. Laitteet tulee päivittää säännöllisesti ja sovellukset pitää ajan tasalla, olkoon kyseessä matkapuhelin, tabletti, tietokone tai kotona vaikkapa reititin. Myös henkilötietojen suojaamisesta on syytä huolehtia. Tietosuojavaltuutetun sivuilla on hyvät ohjeet sen osalta.

”Näillä pienillä asioilla jokainen voi itse varautua.”

Entä jos vahinko tapahtuu?

”Tietomurron kohteeksi joutuminen on rikos ja näissä asioissa voi aina kääntyä poliisin puoleen. Kyberturvallisuuskeskus ottaa mielellään vastaan tietoa tapahtumista ja tukee organisaatioita toiminnan palauttamisessa.”


Kenelle raportoida yrityksenä?

1.     Jos epäilet rikosta, tee rikosilmoitus. Poliisille voi laittaa myös anonyymin nettivinkin: asiointi.poliisi.fi
2.     Vinkkaa asiasta myös Kyberturvallisuuskeskukselle
3.     Ilmoita tietosuojaloukkauksesta Tietosuojavaltuutetun toimistolle. Yrityksen tulee ilmoittaa 72 tunnin kuluessa loukkauksen varmistumisesta.

Lisätietoa myös mm. näistä lähteistä:

Teksti: Paula Harmaala

Artikkeli on julkaistu MRKTNG 2-2022 -lehdessä (19.5.2022)

Uutiskirjeen tilaajana saat markkinoinnin ja viestinnän uutiset sekä uusimman MRKTNG-lehden ensimmäisten joukossa. Saat myös viikottain koulutuksistamme kerättyjä vinkkejä käyttöösi sekä tietoa järjestämistämme koulutuksista.

Kommentoi

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

nineteen − 16 =