Kyberturvallisuus taloushallinnon näkökulmasta

Antti Nuopponen

Antti Nuopponen

Head of Cyber Defense

Kesäkuu 14, 2018 at 14:42

Cybercrime

Kyberturvallisuudesta puhuttaessa tulee yleensä ensimmäiseksi mieleen hakkerit ja uutiset tietomurroista. Kyberturvallisuus mielletään usein asiaksi, jonka IT-osasto hoitaa palomuurien ja virustorjunnan avulla. Tämä ajatusmalli on itse asiassa yksi suurimmista syistä siihen, että organisaatiot epäonnistuvat kyberturvallisuuden hoitamisessa.

Avain toimivaan kyberturvallisuuteen on sen viemisessä osaksi organisaation jokapäiväistä toimintaa. Miten tämä toteutetaan käytännössä? Palataan siihen kohta, mutta käydään ensin läpi, miten kyberrikolliset toimivat tänä päivänä. Kun asiaa tarkastellaan kyberrikollisten näkökulmasta, on paljon helpompi ymmärtää miten heiltä voi suojautua.

Kyberrikollisuuden taustalta löytyy yleensä hyvin tuttu motiivi – raha

Kyberrikollisuudessa on käytännössä kyse rikollisuuden digitalisoitumisesta ja siitä, että rikolliset etsivät jatkuvasti uusia mahdollisuuksia tehdä rahaa. Ja mahdollisuuksiahan nykyinen tietoverkkoihin pohjautuva yhteiskunta tarjoaa yllin kyllin. Kyberrikollisten toiminta on nykypäivänä hyvin organisoitunutta – voidaan puhua rikollisten ekosysteemistä, joka koostuu tuottajista, palveluntarjoajista, varsinaisista hyökkääjistä ja asiakkaista.

Tuottajat ovat henkilöitä tai ryhmiä, jotka tekevät muun muassa haittaohjelmia tai niiden komponentteja ja myyvät niitä eteenpäin. Palveluntarjoajat taas myyvät rikollisille palveluitaan, kuten esimerkiksi kapasiteettia palvelunestohyökkäyksiä varten. Kaupankäynti kyberrikollisten kesken tapahtuu pimeän verkon kauppapaikoilla ja valuuttana toimii bitcoin.

Tämä rikollisten ekosysteemi tarjoaa nykypäivänä kenelle tahansa rikollisille poluille haluavalle helpon tavan päästä alkuun. Toisin kuin 10 vuotta sitten, nykyään kyberrikollisten ei tarvitse itse tehdä kaikkea, sillä hyökkäyksiin tarvittavat komponentit voi helposti ostaa. Tämä rikollisuuden digitalisaatio näkyy myös kyberrikosten taloudellisissa vaikutuksissa. FBI:n arvion mukaan sekä kiristyshaittaohjelmien että toimitusjohtajahuijausten rikoshaitta on jo yli miljardi dollaria vuodessa.

Miten tämä kaikki liittyy taloushallintoon?

Taloushallinnon näkökulmasta juuri toimitusjohtajahuijaukset ja erilaiset talouteen liittyvät huijaukset ovat suurin uhka. Käytännössä näissä huijauksissa rikollisten tavoitteena on saada uhriksi valikoitu organisaatio maksamaan rahaa heille. Yksinkertaisimmillaan huijaus tehdään lähettämällä väärennetty sähköposti toimitusjohtajan nimissä taloushallintoon, esimerkiksi talousjohtajalle. Viestissä vedotaan usein arkaluonteiseen tilanteeseen ja kiireeseen, kuten esimerkiksi käynnissä olevaan yritysjärjestelyyn, josta ei voi kertoa yksityiskohtia.

Hienostuneemmissa huijauksissa on usein mukana myös tietomurto, jonka avulla rikolliset pääsevät käsiksi uhrin sähköpostiin. Huijauksen kohteeksi valikoituu tyypillisesti organisaatio, jolla on käytössään sähköposti, johon pääsee kirjautumaan suoraan internetistä pelkästään käyttäjätunnuksella ja salasanalla. Organisaation sisällä uhriksi valikoituu tyypillisesti myynnissä tai taloushallinnossa toimiva henkilö, jonka työhön liittyy tavalla tai toisella laskujen käsittely.

Käytännössä huijaus toimii niin, että ensimmäiseksi rikolliset lähettävät uhrille sähköpostitse tietojenkalasteluviestin. Tämä viesti voi näyttää tulevan uhrin kollegalta tai vaikkapa konferenssijärjestäjältä. Viestissä on yleensä jonkinlainen taustatarina, jonka verukkeella käyttäjä pyritään ohjaamaan rikollisten verkkosivuille ja syöttämään sinne sähköpostin käyttäjätunnus ja salasana. Yksi varsin yleinen keino, jota rikolliset käyttävät, on ilmoitus turvapostilla saapuneesta dokumentista. Kun dokumentin latauslinkkiä klikkaa, aukeaa nettisivu, joka kysyy käyttäjältä käyttäjätunnusta ja salasanaa identiteetin varmistamiseksi. Kun käyttäjä syöttää tunnuksensa ja salasanansa sivustolle, saa rikolliset kaapattua ne.

Yleensä huijaus paljastuu vasta siinä vaiheessa, kun organisaatio saa karhukirjeen puuttuneesta maksusuorituksesta.

Tämän jälkeen hyökkäys etenee niin, että rikolliset kirjautuvat uhrin sähköpostiin ja etsivät sieltä viestejä, jotka liittyvät tavalla tai toisella laskuihin. Jos uhri on esimerkiksi parhaillaan neuvottelemassa ostoon liittyviä ehtoja kolmannen osapuolen kanssa, voivat rikolliset ohjata tältä taholta tulevat sähköpostit piiloon. Rikolliset lukevat viestit ensin ja siirtävät ne vasta sen jälkeen uhrin näkyviin. Kun neuvottelu etenee siihen pisteeseen, että kolmannelta osapuolelta tulee lasku, muuttavat rikolliset laskusta tilitiedot. Tämä johtaa tilanteeseen, jossa uhrin näkökulmasta kaikki on normaalisti ja hän siirtää laskun eteenpäin maksuprosessissa.

Miten taloushallinnossa voidaan suojautua kyberrikollisuudelta?

Koska monet taloushallintoon kohdistuvat kyberrikokset perustuvat huijaamiseen, on niiden torjuminen puhtaasti teknisin keinoin haastavaa. Toki päätelaitteiden, kuten tietokoneiden ja puhelinten, suojaus pitää olla kunnossa ja sähköpostiin kirjautuminen kannattaa suojata vahvalla tunnistuksella, mutta tämä ei yksistään riitä. Tehokkaan suojan rakentaminen lähtee erityisesti taloushallinnon prosesseista ja siitä, että ulkopuolinen huijari ei pelkästään sähköpostia hyödyntämällä voi harhauttaa organisaatiota suorittamaan maksuja huijarin tilille.

Miten tämä sitten käytännössä tapahtuu?

Kyse on pitkälti taloushallinnon prosesseista ja kurista noudattaa niitä. Maksuprosessit tulisi rakentaa noudattaen neljän silmän periaatetta, eli niin, että kukaan yksittäinen henkilö ei yksin normaalitilanteessa suorita koko maksuketjua, vaan maksujen tiedot tarkistetaan eri henkilön kuin maksun varsinaisen suorittajan toimesta. Lisäksi prosesseissa tulisi ottaa huomioon maksutietojen oikeellisuuden tarkistus. Pelkästään sähköpostilla toimitettuja maksutietojen muutoksia ei tulisi hyväksyä, vaan ne on aina syytä varmistaa esimerkiksi soittamalla puhelinvaihteen kautta tiedot toimittaneelle taholle. Ylipäätään on tärkeää miettiä prosessit niin, että pelkästään taloushallinnon työntekijän sähköpostiin pääsy ei mahdollista rikolliselle maksujen väärentämistä.

Toinen aivan yhtä tärkeä asia on kuri laadittujen prosessien noudattamisessa. Oli tilanne miten kiireellinen tai arkaluontoinen tahansa, ei maksuja tulisi suorittaa pelkän toimitusjohtajalta tulleen sähköpostin perusteella. Jos tilanne oikeasti vaatii kiireellistä maksun suorittamista, tulee maksukäskyn oikeellisuus varmistaa suoraan käskyn antaneelta henkilöltä joko kasvotusten tai puhelimitse. Sähköpostiin ei tässäkään tilanteessa kannata pelkästään luottaa.

Henkilöstön koulutukseen ja tietoisuuden nostamiseen kannattaa panostaa

Tarkoitus ei ole pelotella henkilöstöä kyberuhilla, vaan lisätä tietoisuutta siitä, miten rikolliset toimivat ja miten erilaisia huijausyrityksiä voidaan havaita ja estää. Kun organisaatio tunnustaa, että kuka tahansa voi joutua kyberrikoksen kohteeksi ja ottaa kyberturvallisuuden osaksi jokapäiväistä toimintaansa, ovat avaimet onnistumiseen olemassa. Kyse on kuitenkin loppujen lopuksi kriittisten liiketoimintaprosessien suojaamisesta, eikä pelkästään tekniikasta.