Monessa yrityksessä keskitytään joulun ja loppiaisen välillä lähinnä lomanviettoon. Kyberrikollisille se tarkoittaa sesonkiaikaa, jolloin serverit suoltavat yritysten sähköposteihin ja puhelimiin muun muassa huijausviestejä, perättömiä laskuja ja haittaohjelmalinkkejä. Loma-aikana huijaukset menevät myös helpommin läpi.
Tuttu juttu monessa yrityksessä joulun ja kesälomien aikaan: oma ja myös yrityksen yleinen sähköposti tulvii viestejä.
Viestien joukossa voi olla tilausvahvistuksia, maksumuistutuksia, houkuttavia tarjouksia, lisätietopyyntöjä tai infoviestejä esimerkiksi pankilta tai verottajalta. Vastaavia nettilinkin sisältäviä tekstiviestejä tai joulutervehdyksiä on saattanut lomapäivinä kilahdella myös omaan matkapuhelimeen.
Vaikka osa viesteistä voi olla täysin vaarattomia, kannattaa jokaiseen suhtautua kriittisesti, sanoo Helsingin seudun kauppakamarin kyberturva-asiantuntija Panu Vesterinen.
”Vähänkään epäilyttävältä tuntuva ja nopeaa käsittelyä vaativa viesti on viisaampaa siirtää suoraan roskakoriin.”
”Jos kyseessä on aiheellinen lasku, siitä tulee kyllä uusi muistutus. Viivästyskorko on pikkujuttu verrattuna sähköpostin kautta leviävään haittaohjelmaan tai huijauslaskun vuoksi menetettyihin euroihin”, Vesterinen opastaa.
Loma-aikana lipsahdus on lähempänä
Mikä sitten saa verkko- ja kybervarkaat liikkeelle juuri loma-aikana?
Kokeneen tietoturva-ammattilaisen mukaan motiivina on normaaliarkea selvästi parempi onnistumisprosentti – käytännössä helppo raha ja pieni kiinnijäämisriski.
Loma-ajan lähestyessä yrityksissä lähetetään usein normaalia enemmän laskuja, surffaillaan matkatoimistojen ja lentoyhtiöiden verkkosivuilla sekä tehdään omia ostoja.
Loppuvuoteen keskitetään usein myös erilaisia investointeja ja hankintoja, mikä sekin lisää lasku- ja maksuliikennettä.
Nämä kaikki ovat hedelmällistä maaperää kyberrikollisille.
”Kun ollaan vapaalla, vastaanottajien tarkkaavaisuus herpaantuu eikä viestejä välttämättä lueta yhtä huolellisesti. Usein niitä myös selaillaan kännykällä tai mobiililaitteilla, mikä sekin lisää huijausviestien läpimenoriskiä”, Panu Vesterinen toteaa.
Tekoäly palvelee myös rötöstelijää
Myös itse huijaukset ovat alati ovelampia ja vaikeammin havaittavia. Lisäksi rikollisten apuna on tekoäly, joka tuo aivan uutta tehoa tuotekehitykseen ja tuotantoprosesseihin.
”Taitavasti luotua huijauslaskua tai väärennettyä verkkosivustoa on päivä päivältä vaikeampaa erottaa aidosta. Takavuosina niissä kompastuttiin usein heikkoon kieliasuun, nyt ei edes suomen kieli tuo enää turvaa. Niinpä viisaskin menee entistä helpommin verkkovarkaan vipuun”, Vesterinen varoittaa.
Yrityksen avuksi yhteisesti sovitut käytännöt
Miten tavallinen pk-yritys voisi suojautua tietoturva- ja kyberriskeiltä, kun apuna ei välttämättä ole omaa tai edes ostopalveluna hankittavaa asiantuntemusta?
Panu Vesterisen mukaan varsin pitkälle päästään jo sillä, että tietoturvaan luodaan yrityksessä yhteiset käytännöt ja vastuut, joita käydään yhdessä läpi esimerkiksi kuukauden välein.
Samalla on hyvä kartoittaa yleinen tilanne esimerkiksi kyberturvakeskuksen sivujen tiedotteiden ja median uutisointien pohjalta.
”Itse asiassa pienessä organisaatiossa tämä onnistuu usein isoja helpommin, sillä tieto tavoittaa nopeasti jokaisen työntekijän. Myös oma vastuu ja laiminlyönneistä aiheutuvat riskit koko yrityksen toiminnalle konkretisoituvat paremmin. Useimmilla on kuitenkin jo henkilökohtaista kokemusta tietokone- ja kännykkäviruksista”, Vesterinen huomauttaa.
Mikä on alan ammattilaisen neuvo loman aikana kertynyttä viestitulvaa purkavalle työntekijälle, kun tämä istahtaa koneen ääreen?
”Hävitä kaikki vähänkään epäilyttävät viestit ja suhtaudu erityisen tarkasti niihin, joissa kysytään yksityiskohtaisia tietoja ilman tunnistautumista. Laskuista kannattaa tarkistaa, että kyseisiä tuotteita on oikeasti tilattu ja tilinumero täsmää aiempien kanssa”, Vesterinen toteaa.
On myös hyvä muistaa, että rahalaitokset ja viranomaiset eivät koskaan pyydä tilitietoja, tunnuksia tai muita salassa pidettäviä tietoja sähköpostitse tai puhelimessa.
”Tällaisia tietoja käsiinsä saava rikollinen voi hakea yrityksen tai työntekijän nimissä esimerkiksi luottokorttia, päästä yrityksen tietojärjestelmiin, tyhjentää tilit tai tehdä osamaksusopimuksia”, Vesterinen varoittaa.
Pk-yrittäjän lääkkeet kyberuhkia vastaan:
- Ole valppaana, seuraa yleistä uutisointia ja tarkista yleistilanne säännöllisesti kyberturvakeskuksen verkkosivuilta. Tietoa ja ohjeita löytyy myös Suomi.fi-sivustolta.
- Käytä järjestelmissä, palveluissa ja sosiaalisessa mediassa monivaiheista tunnistautumista sekä vahvoja salasanoja. Ole tarkkana ja varovainen etenkin some-kanavissa.
- Pidä virustorjuntaohjelmistot ja palomuurit ajan tasalla.
- Käytä vain luotettuja wi-fi-verkkoja tai älylaitteesi verkkoyhteyttä.
- Kartoita yrityksen toiminnalle kriittiset tiedot, ota varmuuskopiot ja testaa niiden toimivuus.
- Selvitä, kuinka yritys voi toimia ilman tietolaitteita ja verkkoyhteyksiä.
- Kouluta henkilökuntaa. Suunnittele, varaudu ja harjoittele pahimman varalle.
- Ota tarvittaessa yhteyttä alan ammattilaisiin.
Timo Sormunen