Loma on kyberrikollisten kulta-aikaa – tämä kaikkien yritysten pitäisi tehdä
Kyberrikolliset hyödyntävät loma-aikojen alimiehitystä ja kesätyöntekijöiden kokemattomuutta muun muassa tietojenkalastelulla. Yritysten on tärkeä ottaa tämä huomioon muun muassa kesätyöntekijöiden perehdytyksessä. Poimi asiantuntijoidemme viisi vinkkiä ennen lomakauden alkua!
Kaksi kolmesta suomalaisesta on huolissaan nettihuijauksista, kuten tietomurroista ja identiteettivarkauksista, selviää tuoreesta LähiTapiolan Arjen katsaus -kyselystä*. Lisäksi lähes puolet suomalaisista ei koe olevansa tai ei osaa sanoa onko riittävästi varautunut digitaalisia uhkia vastaan.
– Luvut ovat huolestuttavia. Kuvastaako sama myös suomalaisten organisaatioidemme varautumisen tilaa? Viimeaikaiset uutisoinnit tietomurroista kielivät siitä, että organisaatioillakin on parantamisen varaa varautumisen tasossa, toteaa LähiTapiolan kybervakuutusten kehityspäällikkö Eero Järvenpää.
Kyberhyökkäykset, ja erityisesti sähköpostihuijaukset, ovat uhka kaikenkokoisille organisaatioille ympäri vuoden. Lomakausien, kuten kesälomien ja joulun aikaan, tämä uhka korostuu kuitenkin monista syistä.
– Lomakaudella liiketoiminta hiljenee, ja juuri tätä kyberrikolliset käyttävät hyväkseen. Rauhallisempi tahti, määrällisesti vähemmän kokeneita silmäpareja havaitsemassa poikkeamia – kaikki nämä voivat auttaa hyökkääjää saamaan hiukan lisäaikaa ja tekemään hiukan enemmän vahinkoa, kertoo Truesecin** asiantuntija Joni Lehtiniemi.
Uskottavan näköisiä viestejä, arkaluonteisten tietojen urkintaa
Organisaatiot ovat usein alimiehitettyjä lomien aikana. Tämä voi johtaa tilanteeseen, jossa normaalit tietoturvakäytännöt eivät ole yhtä tiukasti valvottuja.
– Lomittajat, kesätyöläiset ja muut väliaikaiset työntekijät eivät ole yhtä tietoisia yrityksen toimintatavoista, eivätkä myöskään yhtä kokeneita tunnistamaan tavallisuudesta poikkeavia tapahtumia. Näistä syistä onkin ensiarvoisen tärkeää kouluttaa, perehdyttää ja käydä toimintatavat läpi ehkä jopa perusteellisemmin kuin vakituisten työntekijöiden kanssa. Moni onnistunut kyberhyökkäys on hyödyntänyt nimenomaan lomakautta, Järvenpää kertoo.
Sijaiset saattavat olla alttiimpia lankeamaan muun muassa tietojenkalasteluille. Huijarit lähettävät tekstiviestitse tai sähköpostitse uskottavan näköisiä viestejä, jotka pyrkivät houkuttelemaan vastaanottajan paljastamaan salasanoja, vuotamaan arkaluonteisia tietoja tai muuttamaan asiakkaan tilinumeroita huijareiden tilinumeroihin. Toimitusjohtajahuijauksessa huijari ottaa yhteyttä usein sähköpostitse toimitusjohtajan nimissä ja kehottaa tekemään rahasiirron nopealla aikataululla. Myös erilaiset laskuväärennökset ovat arkipäivää monessa taloushallinnossa.
Lomakauden aikana työn luonne poikkeaa usein normaalista. Tämä voi johtaa yllättäviin tilanteisiin, ja yhtäkkiä tuleekin epähuomiossa avattua haitallinen liitetiedosto tai epäilyttävä linkki, jonka olisi tavallisesti kyllä huomannut.
Kiireessä myös huolimattomuusvirheiden todennäköisyys kasvaa, mistä voi seurata asiakkaan tietojen lähettäminen väärälle asiakkaalle tai väliaikainen huoltotunnus voi jäädä käyttöön verkkopalveluun.
– Ihmisten tekemät virheet ovat edelleen yksi merkittävimmistä tietoturvariskien aiheuttajista, Joni Lehtiniemi sanoo.
Tehokas tapa turvata liiketoimintaa myös lomakaudella on auttaa lomittajia olemaan varuillaan ja valmistautuneita – ja varmistaa, että heillä on riittävät resurssit tehdä työnsä huolellisesti, jatkaa Järvenpää.
Pelkkä sääntöjen osaaminen ei riitä – tarvitaan avointa ja välittävää kyberturvallisuuskulttuuria
Kyberhyökkäysten seuraukset voivat olla tuhoisia organisaatioille. Taloudellisten tappioiden lisäksi tiedossa voi olla mainehaittaa ja enenevissä määrin myös juridisia seuraamuksia. Syksyllä astuu voimaan NIS2-tietoturvalainsäädäntö, joka tulee vaikuttamaan monen suomalaisen organisaation toimintaan ja velvoitteisiin.
– On kriittisen tärkeää, että organisaatiot tekevät ennakoivia toimenpiteitä tietoturvan parantamiseksi ja varmistavat, että kaikki työntekijät, mukaan lukien harjoittelijat ja sijaiset, ovat tietoisia kyberuhista ja osaavat toimia niitä kohdatessaan, sanoo Lehtiniemi.
Kybervalmiutta voidaan kasvattaa teknisillä ja kulttuurillisilla keinoilla. Teknisillä keinoilla pyritään rajoittamaan kyberhyökkäyksen syntymistä sekä seurauksia ympäristössä. Tässä voi turvautua alan ammattilaisten neuvoihin ja palveluihin.
– Pitkän tähtäimen kestävä kyberpuolustus rakentuu avoimen ja välittävän kyberturvallisuuskulttuurin varaan. Siinä tekijät ymmärtävät läpi organisaation, miksi heidän päivittäinen tekemisensä ja toimintansa poikkeavissa tilanteissa on ensiarvoisen tärkeää. Tätä ei rakenneta päivässä, vaan se rakentuu luottamukselle ja sen tulisi olla oleellinen osa nykyaikaisen yrityksen muuta toimintakulttuuria, Järvenpää sanoo.
Esihenkilöt ja perehdyttäjät ovat ensiarvoisen tärkeässä roolissa kyberturvakulttuurin rakentamisessa.
– Tarvitaan avointa suhtautumista, motivaatiota ja yhteistyötä. Kaikilla tulee olla mahdollisuus tietää, mitä ja miksi tarvitsee suojata, sekä saada käytännön työkaluja ja neuvoja mahdollisten hyökkäysyritysten tunnistamiseen ja niistä raportoimiseen.
Viisi vinkkiä työpaikoille lomakauden kynnyksellä:
Ole erityisen tarkkaavainen ennen lomakautta ja juuri sen alettua. Hyökkääjät voivat murtautua ympäristöön hyvissä ajoin, mutta aloittaa varsinaisen hyökkäyksensä vasta juuri viikonloppua tai lomaa vasten.
Opasta ja tiedota tärkeistä ja ajankohtaisista tietoturva-asioista. Kerro, miksi juuri nämä toimintatavat ovat tärkeitä. Auta ihmisiä ymmärtämään ja välittämään. Tietoturvakäytännöt ja muu ohjeistus tulee käydä läpi perehdytyksessä ja olla helposti kaikkien saatavilla.
Käy ajoissa läpi ja perehdytä, mikä on normaalia ja odotettua, ja auta tunnistamaan tästä poikkeavat tapahtumat. Lomittajille tulee olla selvää, millä ehdoilla asiakkaaksi tai kumppaniksi esittäytyvä voi muuttaa esimerkiksi yhteys- tai maksutietojaan.
Ohjeet näkyville. Huolehdi, että työn kannalta oleelliset ohjeet on aidosti näkyvillä ja löydettävissä siellä, missä työnteko tapahtuu. Nopealla toiminnalla voidaan parhaassa tapauksessa estää ja yleensä ainakin rajoittaa vahinkoja.
Olemme kaikki tässä suossa yhdessä. Rikollisen kohteeksi voi joutua kuka vaan eikä sitä tarvitse hävetä. Älä jätä kesätyöntekijää yksin asian kanssa. Tue, opasta ja auta koko organisaatiota oppimaan.
Tutustu myös finanssialan kampanjaan
*LähiTapiolan Arjen katsaus -kyselyyn vastasi 1 053 henkilöä 26.4.–2.5.2024 välisenä aikana. Kyselyyn vastanneet edustavat Suomen 18 vuotta täyttänyttä väestöä (pl. Ahvenanmaan maakunnassa asuvat). Haastattelut kerättiin Kantar Forumissa ja tulosten tilastollinen virhemarginaali on noin + 3,1 prosenttiyksikköä.
**Truesec on LähiTapiolan kybervakuuttamisen yhteistyökumppani.