Tarinoita tietoturvasta, osa 1

Pietarin kalansaalis

Myyntijohtaja Jukka vastaa yrityksen myyntimateriaalien ja tarjousten laatimisesta asiakkaille. Yrityksen tietoturvaohjeistuksen mukaisesti Jukan kannettavan tietokoneen kovalevy on salattu, pääsy yrityksen sisäverkkoon on suojattu ja salasanat ovat vahvoja. Tekninen tietoturva on siis päällisin puolin kunnossa.

Jukka sai työmatkalla ollessaan sähköpostin yrityksen IT-tuelta. Siinä kerrottiin että Jukan koneelta oli havaittu virus ja pyydettiin Jukkaa menemään sivustolle, jonka kautta tuki pääsisi etäyhteydellä poistamaan viruksen. Jukka klikkasi linkkiä, syötti sivustolle käyttäjätunnuksensa ja salasanansa ja sai ilmoituksen, että asia on kunnossa.

Hetkeä aiemmin yrityksestä oli lähtenyt muutamia henkilöitä, jotka perustivat kilpailevan yrityksen. Parin kuukauden kuluttua havahduttiin siihen, että kilpailija tuntui yllättävästi löytävän ja voittavan kaikki tarjouskilpailut joihin yritys osallistui. Vaikutti siltä että kilpailija sai jostain sisäpiirin tietoa yrityksen tarjouskannasta. 

Meitä pyydettiin selvittämään mahdollista tietovuotoa. Havaitsimme, että Jukan käyttäjätunnuksella kirjaudutaan yrityksen verkkoon ulkomaisista IP-osoitteista ja että yrityksen verkkolevyltä haetaan asiakasdokumentaatiota silloinkin, kun Jukka oli meidän vieressä ihmettelemässä tilannetta. Salasanan vaihdon jälkeen ylimääräinen liikenne lakkasi.

Mitä tästä opimme?

Etätyön mahdollisuudet luovat myös uhkia, joita ei teknisesti ole mahdollista ratkaista. Yritys joutui phishingin kohteeksi. Kohdennettu tietojenkalastelu voi olla erittäin uskottavaa eikä tapahtuma välttämättä tule koskaan ilmi. Työntekijöiden kouluttaminen toimiminen oikein on kriittisessä asemassa eikä salasanoja saa missään tilanteessa paljastaa kenellekään.

Kyseisessä tapauksessa oli selvää, ketkä tietomurron tekijöitä olivat. Valitettavasti syyllisyyden todistaminen ja korvausten hakeminen olisivat olleet erittäin raskaita prosesseja, joihin tässä tapauksessa ei päätetty lähteä. Vahinkojen arvoa on vaikea mitata tarkkaan, mutta varovaisenkin arvion mukaan vuotaneiden tietojen arvo on 15'000€.

Kysymyksiä, joihin sinulla on hyvä olla vastaus:

  1. Miten työntekijäni on koulutettu tunnistamaan ja raportoimaan tietojenkalasteluyritykset?
  2. Kuinka etätyön tekeminen on teknisesti suojattu ja ovatko nämä tavat riittäviä? 
  3. Minkälainen on yrityksen tietoturvaohjeistus ja kuinka hyvin työntekijät noudattavat sitä?