"Sori, en tiennyt" – yrityksen koko liiketoiminta voi tuhoutua tietomurron seurauksena

MAINOS Yksi viaton klikkaus voi koitua pienen tai suuremmankin yrityksen kohtaloksi. Useimmiten haittaohjelma livahtaa yrityksen sisäverkkoon työntekijän huolimattomuuden tai tietämättömyyden seurauksena. Lopputuloksena saattaa olla asiakkaiden luottokorttitietojen vuotaminen ja valtavat tappiot. Lue jännittävä tarina yrityksestä, joka joutui tietomurron kohteeksi – sinun valintasi ratkaisevat, selviääkö se hyökkäyksestä.
Jaa artikkeli:

Rummutat tuskastuneena auton rattia.

Aamuruuhka jumittaa pahasti ja tärkeä asiakastapaaminen odottaa.

Harmittelet, ettei olisi pitänyt unohtua aamiaispöytään lukemaan kiinnostavaa juttua päivän lehdestä.

Ehdit työkoneelle kymmenen minuuttia ennen palaverin alkua. Kirjaudut sisään järjestelmään ja ensimmäisenä ruudulle lävähtää kehotus päivittää Flash-ohjelma. Näet myös kymmenisen uutta sähköpostia. Toisella näytöllä on selaimessa auki Facebook.

Palaveri odottaa, mutta sitä ennen:

Vilkaiset sähköpostia
Päivität Flashin
Selaat hetken sosiaalista mediaa
Eilisen tapaamisen muistion lisäksi ei muita tärkeitä viestejä. Työkaveri on palannut lomilta ja kertoo kahvihuoneessa olevan tarjolla suklaata. Flashin päivityksen ehtii tehdä myöhemminkin. Käyt nappaamassa pari palasta tuliaissuklaata matkalla palaveriin.
Hyvä valinta! Flashista löydetään jatkuvasti uusia kriittisiä haavoittuvuuksia. Tietomurtajat käyttävät sitä hyväkseen tietokoneiden haltuunotossa rutiininomaisesti. Juuri tämä päivitys ei ollut iso, mutta ohjelmistojen pitäminen kunnossa on aina fiksua. Siirryt päivityksen jälkeen palaveriin.
Flashin ehtii päivittää myöhemminkin, joten päätät vilkaista Facebookia. Noteeraat someraivon syttyneen, kun joku on jakanut erääseen ryhmään sääntöjen vastaista sisältöä. Keskityt hetken pikkumaiseen nahisteluun ja poistut sitten ryhmästä kokonaan. Elämä on liian lyhyt nettitappeluille. Siirryt kohti palaveria. Flashin päivitys unohtuu.
Flash on yksi haavoittuvimmista ohjelmista

Kaikilla tietokoneilla luultavasti on ohjelmia, joista löytyy haavoittuvuuksia.

Haavoittuvuudet tarkoittavat ohjelman suunnittelussa olevia virheitä, joiden avulla hyökkääjä voi saada sen tekemään jotain odottamatonta. Pahimmassa tapauksessa haavoittuvuus on sellainen, jota voi käyttää verkon yli ja joka antaa hyökkääjälle täydet ylläpitäjätason käyttöoikeudet tietokoneellesi.

Flashista on löydetty aikojen saatossa peräti 1035 haavoittuvuutta, mutta se ei suinkaan ole ainoa ohjelma, joka kaipaa säännöllistä päivittämistä. Tietoturva vaatii jatkuvaa valppautta.

Kokous menee hyvin ja saat hankittua yritykselle uuden asiakkuuden.

Palaverin jälkeen otat vastaan pomon kehut ja palaat tyytyväisenä työpisteelle.

Hymy hyytyy, kun muistat päivälle suunnittelemasi työlistan. Ohjelmassa on raporttien viimeistelyä, kollegan sparrausta vaikeassa tehtävässä sekä muutama myyntipuhelu.

Jossain välissä suot itsellesi parin minuutin tauon ja käyt tarkistamassa lööpit iltapäivälehden sivustolta.

Taas jokin kummallisen niminen haittaohjelma on murtautunut suuryritysten ja jopa sairaaloiden tietokantoihin maailmalla. Sivuutat uutisen, koska se ei koske sinua.

Työskenneltyäsi pari tuntia lounastauko lähestyy.

Työkaverit kerääntyvät jo työpisteesi viereen norkoilemaan. Jos suosittuun lounaspaikkaan ei lähde ajoissa, saattaa pöytää joutua odottamaan.

Juuri, kun olet nousemassa ylös, huomaat uuden sähköpostin.

It-tuki on lähettänyt viestin, joka on merkitty kiireiseksi. Mitä teet?

Lähdet lounaalle miettimättä asiaa
Luet sähköpostin heti
Katsot sähköpostin läpi puhelimesta matkalla lounaalle
Elämä on liian lyhyt jokaiseen it-tuen lähettämään mailiin. Ehdit aivan hyvin katsoa sen läpi myöhemmin. Nouset ylös ja lähdet lounaalle nälkäisen joukon kanssa.
Vaikka työkaverit hoputtavatkin jo, päätät vastuullisena työntekijänä katsoa viestin heti. Se kertoo huijausten aallosta, joka kohdistuu nyt suomalaisiin yrityksiin. Sähköposti kehottaa erityiseen valppauteen tänään.
Ajattelet katsoa sähköpostin läpi puhelimesta, mutta työkaverien kiinnostava keskustelu saa sinut selaamaan viestin läpi vain pinnallisesti. Varmaan se sama virus, jonka luit jylläävän maailmalla. Pitäisikö tästä huolestua? Äh – siirrät viestin roskakoriin ja unohdat sen.
Ihminen on usein tietoturvan isoin aukko

Usein tietoturva käsitetään tarkoittamaan vain tietojärjestelmissä olevia virheitä, jotka eivät ole käyttäjän vastuulla vaan suurten teknologiayritysten syytä. Vaikka viat ovatkin järjestelmissä, usein tarvitaan aktiivinen toimija osallistumaan niiden hyväksikäyttöön. Todella monet vakavat tietoturvaongelmat johtuvat käyttäjän välinpitämättömyydestä tai tietämättömyydestä.

Omaa ymmärrystä tietoturvauhkista voi parantaa lukemalla asiantuntijoiden blogeja ja esimerkiksi Viestintäviraston Kyberturvallisuuskeskuksen tiedotteita ja varoituksia. Tieto auttaa tekemään vaikeissa tilanteissa parempia päätöksiä.

Leppoisan lounastauon jälkeen palaat takaisin raporttien kimppuun.

Ne pitää saada valmiiksi vielä tänään.

Ennen urakan aloitusta käväiset vielä kahviautomaatilla. Olet vahvasti sitä mieltä, ettei tämänikäinen voi pysyä pirteänä ilman pientä kofeiiniannosta

Poimit mukaasi myös hieman työkaverin tuliaissuklaata. Olisit kyllä itsekin loman tarpeessa, tekisi hyvää unohtaa arkinen aherrus viikoksi tai pariksi.

Olet juuri syventynyt numeronmurskaukseen, kun puhelin soi. Alihankkijan pomo esittelee itsensä ja kysyy, voisitko auttaa hetken sivustouudistuksen kanssa.

Uudistus ei ole sinun tiimisi vastuulla, mutta soittaja kuulostaa hätääntyneeltä. Hän tarvitsee kiireellisesti juuri sinun näkemyksesi sivuston käyttökokemuksesta, ja on saanut esimieheltäsi luvan pyytää apuasi.

Onpa erikoista, toteat mielessäsi, muttet ehdi nyt miettiä asiaa sen enempää.

Saat pian samalta henkilöltä sähköpostin, jossa on linkki uuteen sivustoonne sisäverkossa.

Sivu näyttää lähes samalta kuin vanhakin sivusto. Sähköpostissa kehotetaan klikkaamaan valikot läpi ja kertomaan, toimiiko kaikki.

Klikkaat valikkopalkkia ja sivusto varoittaa, että koneellasi oleva Java-ohjelmiston versio on vakava tietoturvariski ja pitää päivittää ennen jatkamista. Joko taas yksi ohjelmisto, joka pitäisi päivittää? Toimit seuraavasti:

Päivität Javan ja tutkit nopeasti uuden sivuston läpi
Vaivaat esimiestäsi asiasta kesken tämän palaverin
Jatkat omien töittesi parissa
Klikkaat tämänkin päivityksen asentumaan ja lähdet hakemaan päivän kolmannen kupin kahvia. Tulet takaisin, klikkailet valikot läpi, ja lähetät sähköpostissa vastauksen, jossa kerrot kaiken toimivan hyvin ja näyttävän kivalta. Taas ihan turha juttu. Palaat raporttiesi ääreen.
Epäilys herää ja soitat esimiehellesi. Hän ei ole kuullutkaan asiasta. Ilmeisesti kyseessä oli jonkinlainen yritys murtautua sisään yrityksen järjestelmiin hyväuskoisen työntekijän avulla. Sivusto oli kloonattu ja java-päivityksen sijasta koneelle olisi varmaankin sujahtanut haittaohjelma. Näissä päivityksissä pitää näköjään olla tarkkana, pohdit mielessäsi. Et olisi arvannut, että esimerkiksi Flashin ja Javan kohdalla piti toimia eri tavalla.
Tuohdut häiriöstä ja jatkat raporttiesi parissa. Näillä on deadline parin tunnin päästä. Voit sitten juuri ennen töistä lähtöä klikkailla läpi heidän valikkonsa. Miksi niitä sivustoja edes pitää uusia vähän väliä?
Tunnistaisitko sinä pomohuijauksen?

CEO fraud eli pomohuijaus on sosiaalisen hakkeroinnin alalaji, eli ihmisten hyväuskoisuuteen perustuva hyökkäys.

Kun tuntematon esiintyy auktoriteettina, tähän on yllättävän helppo luottaa. Pomohuijauksissa pyritään esiintymään oman firman johtajana tai välitason esimiehenä ja pyytää työntekijää tekemään jotain, mikä aiheuttaa vahinkoa yritykselle. Yleensä kyseessä on maksu huijarin tilille. Tässä tapauksessa huijari pyrki saamaan työntekijää asentamaan haittaohjelman.

FBI arvioi keväällä 2017, että pomohuijauksista on aiheutunut maailmanlaajuisesti jo 5,3 miljardin dollarin tappiot yrityksille. Pomohuijauksia tapahtuu myös Suomessa.

Realisoituivatko riskit? Lue, miten pärjäsit tietoturvauhkan kohdatessa

Menit lankaan.

Tietämättäsi asensit työkoneellesi ohjelman, joka päästi ulkopuolisen hyökkääjän käsiksi siihen.

Et huomaa asiaa muusta kuin siitä, että ohjelmien avaaminen kestää hieman pidempään ja kone tökkii normaalia enemmän loppupäivän ajan. Sillä aikaa hyökkääjä käyttää tietokonettasi levittämään haittaohjelmaa verkossa ja ottamaan muitakin koneita haltuun.

Koska et ilmoittanut pomollesi epäilystä, hyökkääjä ehtii rellestää verkossa useita kymmeniä minuutteja ennen kuin tietoturvatiimi saa uhan kuriin.

Sillä välin hyökkääjä on ehtinyt saamaan saaliikseen yrityksesi kaikki keskeiset tietokannat, itse kehitetyt sovellutukset, yritysjohdon sähköpostit, hallituksen kokousten pöytäkirjat, salaiset tulevaisuudensuunnitelmat ja mikä pahinta: jokaisen asiakkaanne yksityistiedot mukaan lukien täydet nimet, sosiaaliturvatunnukset sekä luottokorttien numerot. Osa tiedoista on salattuja, mutta se ei lohduta asiakaskuntaanne.

Asiasta aiheutuu lopulta valtavia tappioita ja mainehaitan seurauksena yrityksenne menettää valtaosan asiakkaistaan.

Et voi todeta kuin "Sori, en tiennyt." Miten olisit voinut arvata, että esimerkiksi Flash-päivityksen ja Java-päivitykseksi naamioidun haitakkeen kanssa piti toimia eri tavalla? Tästä lähtien olet todella tarkkana verkossa, mutta työnantajasi kokeman haitan osalta se on myöhäistä.

Hoidit tilanteen mallikelpoisesti.

Pomosi varoittaa heti koko tiimiä huijauksesta ja ottaa yhteyttä tietoturvatiimiinne, joka jakaa ohjeistusta lopuille työntekijöille.

Varoituksen tullessa toimiston uusi assistentti oli enää yhden klikkauksen päässä haittaohjelman asennuksesta, josta olisi aiheutunut huikeat taloudelliset vahingot yrityksellenne.

Haittaohjelman kautta rikollinen olisi saanut pääsyn yrityksen sisäverkkoon ja ennen pitkää käsiinsä tärkeät tietokannat ja muun kriittisen bisneslogiikan. Pidemmän päälle tämä olisi voinut jopa kaataa koko yrityksen – asiakkaiden yksityistietojen leviämisestä seuraava mainehaitta olisi vähintäänkin ollut valtava.

Ripeän toimintasi vuoksi hyökkääjät eivät kuitenkaan päässeet yrityksen verkkoon lainkaan, vaan jäävät nuolemaan näppejään. Huokaisette yhdessä pomon kanssa helpotuksesta.

"Sori, en tiennyt", assistentti pahoittelee järkyttyneenä lähes tekemästään mokasta. Onneksi sinä tiesit paremmin.

Jätit asian odottamaan, mutta jokin viestissä alkaa häiritä.

Viesti pyörii mielessä ja vaikuttaa yhä epäilyttävämmältä. Päätät kysyä esimieheltä, mistä on kysymys.

Hän ei ole kuullutkaan viestistä ja sanoo, ettei yrityksen verkkosivua edes olla uusimassa lähiaikoina. Otatte yhteyttä tietoturvatiimiinne ja ilmoitatte epäilyttävästä yrityksestä.

Valitettavasti huijari oli jo ehtinyt ottaa yhteyttä myös kollegaasi, joka asensi huijaussivuston ehdottaman päivityksen enempiä miettimättä. Sen myötä hänen tietokoneelleen asentui haittaohjelma, joka antaa rikolliselle pääsyn yrityksenne sisäverkkoon.

Hyökkääjä ehti saamaan saaliikseen sähköpostia, pöytäkirjoja, sekä pienen määrän luottokorttitietoja. Kuoletatte kortit heti, mutta niiltä ehdittiin siihen mennessä nostaa muutaman tuhannen euron edestä rahaa.

Vaikka tietoturvatiiminne sai eristettyä uhan verkosta ilmoituksesi takia kohtuullisen nopeasti, tapauksesta aiheutuu tuhansien eurojen välittömät tappiot ja paljon ylityötä it-puolella. Osa asiakkaistanne vaihtaa palveluntarjoajaa, koska ei enää pidä teitä luotettavana. Katastrofilta vältyttiin, mutta tapaus vaikuttaa negatiivisesti välitilinpäätösten lukemiin vielä pitkän aikaa.

Kollegasi toteaa hiki ohimolla "Sori, en tiennyt." Vaikka et suoraan ollut syyllinen tapahtuneeseen, olisit nopeammalla reagoinnilla voinut estää tapahtuneen vahingon. Jatkossa olet todella tarkkana verkossa, mutta työntantajasi kokeman haitan osalta se on myöhäistä.