Sosiaalinen manipulointi on edelleen kyberrikollisten keinovalikoiman kärjessä – Miten siltä voi puolustautua?

Tietoturvateknologiat, kuten palomuurit ja virustorjunta, antavat hyvän perustan organisaatioiden tietoturvalle. Todellisuudessa ihmisten asenne, tietoisuus ja toiminta sekä organisaation kokonaisvaltainen kyberturvakulttuuri ovat kuitenkin ratkaisevassa asemassa, kun organisaation kybersietoisuus joutuu koetukselle. Kun ihmiset tuntevat kyberrikollisten keinot, he paljon todennäköisemmin osaavat noudattaa yleistä varovaisuutta ja vahvistaa siten sekä omaa että organisaationsa tietoturvaa.

Lokakuussa vietetään Euroopan kyberturvallisuuskuukauden 10-vuotisjuhlavuotta, jonka aikana yhteiskunnassa kampanjoidaan aktiivisesti sen eteen, että niin yritykset kuin yksityishenkilöt tiedostaisivat paremmin kyberuhat ja pyrkisivät muuttamaan toimintaansa turvallisempaan suuntaan. Kyberturvakuukauden aikana on siksi erittäin ajankohtaista muistuttaa tietomurtoihin usein johtavasta sosiaalisen manipuloinnin ilmiöstä.

Rikolliset hyödyntävät inhimillisiä heikkouksiamme

Vain muutamia viikkoja sitten, syyskuun lopulla, uutisoitiin mediassa, kuinka IT-tukihenkilöä esittänyt teini onnistui murtautumaan Uberin järjestelmiin varastettuaan ensin työntekijän salasanan ja kaksivaiheisen tunnistautumisen koodin. Seuraavaksi tekijä julkaisi tiedon tietomurrosta yrityksen sisäisessä keskustelukanavassa ja laittoi intranetiin aikuisviihdettä esittävän kuvan.

Miten kyseinen tekijä teossaan onnistui? Sosiaalisen manipuloinnin keinoin.

Me ihmiset olemme luontaisesti alttiita imartelulle, halukkaita auttamaan ja hätäisiä päätöksen teossa, kun meitä hoputetaan – ja siksi rikolliset käyttävät hyväkseen juuri näitä taipumuksiamme.

Huijauksissa käytetään lukuisia keinoja, kuten sähköpostia, tekstiviestejä ja puhelinsoittoja, mutta lisäksi manipulointia tapahtuu myös fyysisen maailman kohtaamisissa. Joku voi esimerkiksi yrittää hiippailla perässäsi sisään yritykseen päästäkseen samalla ovenavauksella luvatta haluamiinsa tiloihin. Huijari voi myös esittää vaikkapa viranomaista eli yrittää käyttää auktoriteettiasemaa hyväkseen.

Manipuloinnin keinoihin lukeutuvat näiden pehmeämpien keinojen lisäksi myös uhkailu ja kiristys. Yritysmaailmassa riski voi liittyä tärkeiden tietojen tai varallisuuden menettämiseen. Tekijä voi myös uhata arkaluontoisen materiaalin levittämisellä, jolloin on tärkeää muistaa, että usein kiristäjällä ei kuitenkaan ole tällaista aineistoa hallussaan.

Sosiaalinen manipulointi tarjoaa rikollisille oikotien organisaation järjestelmiin

Maailman parhaimmatkaan tietoturvateknologiat eivät yksin riitä suojaamaan organisaatioita kyberrikollisilta, sillä rikolliset ovat oppineet iskemään ihmiseen, jonka toimintaan on huomattavasti helpompaa vaikuttaa. Ilmiö tunnetaan käyttäjien sosiaalisena manipulointina (engl. social engineering), jonka tavoitteena on vaikuttaa uhriin ja saada hänet tekemään asioita, jotka eivät ole hänen etunsa mukaisia.

Arvioiden mukaan peräti 70–90 prosenttia tietomurroista sisältää sosiaalista manipulointia, jonka voidaankin todeta olevan yrityksille perinteisiä haittaohjelmia suurempi tietoturvauhka. Huijauksen seurauksena työntekijä voi epähuomiossa luovuttaa rikollisille käyttäjätunnuksensa ja salasanansa. Näiden avulla rikolliset pääsevät luvatta yrityksen järjestelmiin, joista he voivat varastaa arvokkaita yrityssalaisuuksia tai muita tietoja, joiden avulla yritystä voidaan kiristää tai tietoja myydä eteenpäin muille rikollisille. Yritykselle tällaisesta voi olla vakavia seurauksia, kuten merkittäviä taloudellisia tappioita, asiakkaiden tai jopa maineen ja uskottavuuden menetys.

Tietoturvakoulutukset osaksi organisaatioiden jatkuvaa tekemistä

Yritysten tietoturva on sitä vahvemmalla pohjalla, mitä valveutuneempia niiden työntekijät ovat. Miten tietoturvaa edistävät käytännöt saadaan siis iskostettua jokaisen selkärankaan?

Paras tapa päästä tähän pisteeseen on lisätä tietoturvatietoisuutta koko organisaation laajuisesti tavoitteellisen tietoturvatietoisuuden ohjelman avulla. Se vaatii yrityksen johdolta tahtoa ja sitoutumista tietoturvakulttuurin jatkuvaan kehittämiseen.

Pelillistämisellä hauskuutta oppimiseen

Koska kyberrikollisten keinopaletti kehittyy kaiken aikaa, tarvitaan koulutusta ja viestintää useammin kuin kerran vuodessa. Parasta on laatia ohjelma, joka auttaa jokaista pohtimaan omaa käyttäytymistään ja kehittämään turvallisia toimintatapoja itsensä ja organisaationsa suojaamiseksi.

Entä mikä on se paras keino oppia? Vaikka asia on vakava, saa oppiminen olla hauskaa.

Opittavat sisällöt toimivat samaistuttavina tarinoina ja videoina sekä pelillistettyinä versioina, joista hyviä esimerkkejä ovat tietojenkalastelusimulaatio ja erilaiset harjoitukset ja työpajat.

Kyberturvatietoisuus on tärkeä teema ympäri vuoden, sillä ihmisten toiminnalla ja asenteilla on merkittävä vaikutus tietoturvan tasoon. Me Nixulla kerromme mielellämme lisää siitä, millainen ohjelma voisi sopia yrityksesi tarpeisiin.

Euroopan kyberturvakuukauden kunniaksi löydät Nixun verkkosivuilta laajan valikoiman kyberturvavinkkejä ja -sisältöjä, joita organisaatiot ja yksityishenkilöt voivat hyödyntää ilmaiseksi.

Hanna Raitanen työskentelee Nixulla tietoturvatietoisuuden ohjelmien parissa.