Istuin junassa ja vieressäni istui tuntematon henkilö. Hän teki töitä koko matkan ajan.
En tietääkseni ollut tavannut häntä koskaan aiemmin. En ollut hänen kollegansa. En myöskään ole hakkeri, mutta tiedän työni puolesta melko paljon tietoturvasta, ja kuinka pieniä palasia yhdistelemällä oikea hakkeri voi saada yllättävänkin paljon tietoa henkilöstä, pelkästään istumalla hänen vieressään junamatkalla. Tämän tiedon avulla hakkeri voi päästä lähemmäksi päämääräänsä, eli tietomurtoa.
Mitä kaikkea sain tietää kahden tunnin junamatkalla ilman, että olisin edes halunnut:
Hänen etu- ja sukunimensä kun hän vastasi puhelimeen.
Missä yrityksessä hän työskenteli, kun hän teki töitä koneella ilman suojakalvoa.
Useamman asiakkaan nimen.
Heidän yrityksensä tuntihinnan.
Että seuraavalla viikolla oli tulossa merkittävä asiakastapaaminen.
En siksi, että olisin murtautunut mihinkään. Vaan koska hän kertoi kaiken ympärillään oleville.
Moni ajattelee tietoturvaa teknisenä ongelmana. Käytetään vahvoja salasanoja, monivaiheista tunnistautumista ja päivitetään ohjelmistot. Nämä ovat pohja tietoturvalle, mutta eivät yksin riitä. Suurin uhka tietoturvan kannalta on lähes aina kuitenkin näppäimistön ja penkin välissä oleva asia. Sinä!
Kun avaat työkoneesi junassa, vieressä istuva saattaa nähdä helposti esimerkiksi sähköpostien otsikot, Teams-keskusteluja, CRM-järjestelmän tietoja, kalenterimerkintöjä…
Usein jo yksi tahaton vilkaisu riittää, ja usein kyse ei ole edes tarkoituksellisesta urkinnasta. Näyttö voi näkyä usean penkkirivin päähän.
Sinun ei tarvitse lopettaa työntekoa liikkuessa. Muista kuitenkin miettiä näitä asioita seuraavan kerran kun teet töitä julkisessa tilassa:
käytä tietosuojakalvoa. Mikäli sinulla ei ole sitä, näytä tämä blogi esihenkilöllesi ja kysy voitko ostaa firman piikkiin muutaman kymmenen euron tietoturvavakuuden.
vältä arkaluonteisten tietojen käsittelyä avoimissa tiloissa.
sijoitu niin, ettei näyttö osoita käytävälle.
oleta, että yksi tai useampi ihminen lähistöllä kuuntelee kaikkea, mitä sanot.
Tämä on ehkä yleisin virhe.
Puhelin soi.
Keskustelu alkaa:
"Simo Pekka puhelimessa! Joo, se Virtanen Oy:n projekti...merkkasin sen Dynamicsiin"
"Kyllä, Asiakas Oy:lla on ollut ongelmia Salesforcen kanssa..."
"Tarjous on noin 200 000 euroa..."
Yhtäkkiä koko vaunu kuulee enemmän kuin olisi tarkoitus, kuten mitä järjestelmiä teidän ja asiakkaan firmat käyttävät.
Useimmat organisaatiot eivät hyväksyisi sitä, että asiakastietoja (edes nimiä) tai projektien tilanteita julkaistaisiin kaikille nähtäväksi. Silti sama tieto saatetaan kertoa ääneen täydessä junavaunussa.
Jos puhelu on pakko hoitaa:
vältä asiakkaiden nimiä.
vältä euromääriä.
vältä puhumasta järjestelmistä.
siirry mahdollisuuksien mukaan vaunujen väliseen tilaan tai hiljaisempaan paikkaan.
Oleta jälleen kerran, että yksi tai useampi ihminen lähistöllä kuuntelee kaikkea, mitä sanot!
Mitä kaikkea hakkeri tai “bad guy” tekee kaikella tällä tiedolla, jonka on kerännyt sinusta vain istumalla lähelläsi?
Jos olisin hakkeri, tietäisin tässä kohtaa vierustoverini nimen ja että hän käyttää Microsoft 365:tä, Salesforcea ja tiettyä projektinhallintajärjestelmää. Kuulin puhelusta, että asiakkaana on suuri teollisuusyritys. Näin kalenterimerkinnästä projektin nimen ja sähköpostista projektipäällikön nimen.
Vartin päästä minulla olisi jo tarpeeksi tietoa, jotta voisin lähettää erittäin uskottavan kohdennetun huijausviestin:
"Hei Matti, tarvitsisin tarjousta varten vielä lisätietoja. Täyttäisitkö vielä tämän lomakkeen"
Tai tekeytyisin jonkin järjestelmän “asiantuntijaksi” ja pyytäisin kirjautumaan uudelleen johonkin järjestelmään. Lähettäisin linkin juuri väsäämälleni sivulle (tällainen on nykypäivänä erittäin helppoa tehdä AI:lla), joka näyttää aivan aidolta, mutta oikeasti sivu kalastelisi käyttäjätunnusta ja salasanaa.
Niin kutsutuissa "toimitusjohtajahuijauksissa" hyökkääjä esiintyy usein yrityksen johdon edustajana ja esittää kiireellisiä pyyntöjä, kuten tilisiirtojen tekemistä, lomakkeen täyttämistä tai laskujen maksamista. Viestin taustaksi voidaan keksiä esimerkiksi kiireellinen yritysjärjestely tai jokin muu poikkeuksellinen tilanne.
Tällaisille viesteille tyypillistä on kiireen korostaminen sekä vaatimus siitä, että asia pidetään ehdottoman luottamuksellisena. Juuri nämä piirteet pyrkivät ohittamaan vastaanottajan harkinnan ja saamaan hänet toimimaan nopeasti.
Viestin uskottavuutta lisää se, että huijarilla voi olla käytössään yllättävän paljon oikeaa tietoa: oikea järjestelmä, oikeat nimet ja oikea asiayhteys. Toisin sanoen - tietoa, jota ei ole julkisesti saatavilla. Mitä enemmän hyökkääjä tietää etukäteen, sitä paremmat mahdollisuudet hyökkääjällä on onnistua. Kyberturvallisuuskeskuksen mukaan erityisesti kesälomakaudet ovat otollista aikaa tämänkaltaisille huijauksille.
Juuri siksi pelkkä tietoisuus ei riitä, vaan täytyy myös tunnistaa tilanteet, joissa joku yrittää hyödyntää tätä tietoa meitä vastaan. Mikäli viestissä tunnistat yhdenkin näistä piirteistä, pysähdy hetkeksi, koska kyse voi olla huijauksesta.
Viestissä korostetaan kiirettä: "tarvitaan heti" tai "toimi nyt"
Sinua pyydetään kirjautumaan, maksamaan jotain tai jakamaan tietoja
Sinua lähestytään jollain muulla kuin virallisella viestintäkanavalla, esim WhatsAppin välityksellä
Saat yrityksen vaikutusvaltaiselta henkilöltä linkin tai liitteen, jota et odottanut
Lähettäjä näyttää tutulta, mutta viestin tyyli tai asiayhteys tuntuu oudolta
Viestissä korostetaan asian pysymistä “meidän välisenä” tai “luottamuksellisena”
Mikäli tunnistat jonkin näistä piirteistä, toimi näin:
Älä avaa linkkejä suoraan viestistä
Varmista asia toisesta kanavasta
Ilmoita epäilyttävä viesti IT:lle. (Voimme Context&:llä tarvittaessa auttaa sähköpostin tietoturvan katselmoinnissa, mikäli jokin kalasteluviesti on päässyt loppukäyttäjien inboxiin)
Luota vaistoosi - jos jokin tuntuu oudolta, toista kolme ylintä kohtaa
Tällaisia hyökkäyksiä ei yleensä rakenneta teknisellä hakkeroinnilla vaan tiedustelulla. Hyökkääjä kerää tietoa LinkedInistä, yritysten verkkosivuilta, sosiaalisesta mediasta ja julkisista tiloista.
Tietoturvassa puhutaan usein siitä, että hyökkäyksen ensimmäinen vaihe ei ole murtautuminen vaan tiedonkeruu. Mitä enemmän hyökkääjä tietää sinusta ja organisaatiostasi etukäteen, sitä uskottavammiksi hän pystyy muotoilemaan viestinsä ja sitä suurempi on onnistumisen todennäköisyys. Työntekijät tarvitsevat koulutusta ja tukea omaan toimintaansa, jotta he eivät vahingossa levitä arkaluontoisia tietoja tai toimiakseen oikein hyvin laaditun kalasteluyrityksen kohdatessaan.
Turvallista kesää kaikille!