Kalasteluyrityksissä henkilöstön osaaminen ja valppaus korostuvat

Organisaatioihin kohdistuvat kalasteluyritykset ovat olleet jo vuosikymmenen ajan relevantti tietoturvauhka. Viime vuosien aikana huijaus- ja kalasteluyritysten määrä on jatkuvasti lisääntynyt, mikä heijastuu myös onnistuneiden tietovuotojen määriin. Huijausten kohteita ei enää valikoida pörssilistoilta, vaan jokainen organisaatio koosta, toimialasta tai toiminnan luonteesta riippumatta on potentiaalinen kyberhyökkäyksen kohde. 

Monissa organisaatioissa kiinnitetään jo asianmukaisesti huomiota tekniseen tietoturvaan, mutta paraskaan tekninen suojaus ei kuitenkaan auta, mikäli tietoja kalastellaan suoraan henkilöstöltä. Ainoa keino suojautua ihmisiin kohdistuvia uhkia vastaan on henkilöstön tietoturvaosaamisen ja -tietoisuuden lisääminen. Tietoturvakoulutusta olisi hyvä tarjota henkilöstölle säännöllisin väliajoin – ei pelkästään perehdytyksen yhteydessä, työsuhteen alussa. Henkilöstö tulisi pitää tietoisena myös ajankohtaisista kalasteluyrityksistä ja organisaatioon erityisesti kohdistetuista huijausyrityksistä. Näin kalasteluyrityksen kohteeksi mahdollisesti joutuva työntekijä voi olla valppaana ja osata reagoida näihin yrityksiin oikein. 

Koulutusten merkitystä ja kalasteluyritysten vaikutusta voi havainnollistaa esimerkiksi tiedottamalla organisaatioon aiemmin tulleista aidoista kalasteluyrityksistä. Tämän lisäksi suosiotaan ovat kasvattaneet myös erilaiset huijaussimulaatiot, joissa organisaation henkilöstölle lähetetään turvallisen kumppanin simuloimana huijausviestejä. Näiden viestien tarkoituksena voi olla esimerkiksi ohjata vastaanottaja klikkaamaan viestissä tullutta linkkiä tai avaamaan viestin mukana tullut liitetiedosto. Viestit laaditaan näyttämään mahdollisimman aidoilta ja ne voidaan tarvittaessa personoida kunkin vastaanottajan työtehtävään liittyviksi. Näiden perusteella saadaan selkeää dataa siitä, kuinka moni viestin vastaanottaneista on klikannut linkkiä tai avannut liitetiedoston – toki myös siitä, kuinka moni on osannut toimia annettujen ohjeiden mukaisesti ja raportoida viestistä eteenpäin.

Tieto on tietoturvan keskiössä, ja kalasteluyrityksillä pyritään pääsemään käsiksi organisaation käsittelemiin tietoihin. Hyökkäysten kohteena voivat olla kaikki liiketoimintaan liittyvät tiedot, esimerkiksi asiakkaiden tai yhteistyökumppaneiden henkilötiedot, liikesalaisuudet tai taloudelliset tiedot. Tietovuodot ja niiden uhka on syytä ottaa tosissaan, sillä kalasteluyrityksillä ja muilla kyberhyökkäyksillä voidaan helposti romuttaa luottamus organisaation ja sen yhteistyökumppaneiden tai asiakkaiden välillä. Tämä taas voi pahimmillaan uhata koko liiketoiminnan jatkuvuutta. 

Parhaimmillaan hyvin järjestetty tietoturva voi toimia kasvun edellytyksenä ja avata uusia liiketoimintamahdollisuuksia. Organisaation sekä teknisen, että hallinnollisen tietoturvan todentamisella organisaatio voi vakuuttaa yhteistyökumppaninsa ja asiakkaansa siitä, että liiketoimintaan liittyviä tietoja käsitellään turvallisesti. Perusasioiden kuntoon laittamisen jälkeen on helpompi nostaa katsetta niin sanotun konepellin alta korkeammalle ja näin tietoturvakin voidaan valjastaa mahdollistamaan organisaation tavoitteiden ja strategian toteutumisen.

Me KPMG:llä tunnemme tietoturvan alati kehittyvät uhat ja tunnemme näiden taklaamiseen liittyvät haasteet. Asiantuntijamme rakentavat kullekin organisaatiolle omaa toimintaa parhaiten tukevat tietoturvaratkaisut. Tarjoamme monipuolisesti erilaisia tietoturvapalveluja esimerkiksi helppokäyttöisestä tietoturvan perusteet kattavasta verkkokoulutuksesta asiakaskohtaisiin tietoturvatietoisuuden tasoa mittaaviin harjoituksiin asti. Harjoituksina voidaan hyödyntää esimerkiksi kalasteluviestisimulaatioita, Red Teaming hyökkäyksiä tai jatkuvuuden hallinnan ja kriisienhallinnan harjoituksia. Näin voimme varmistaa kullekin asiakkaalle sopivan henkilöstön tietoturvataitojen ja -tietoisuuden kehittämisen.

Jasmiina Rousu
Tietoturvapalvelut
Puh. +358 40 662 6281
etunimi.sukunimi@kpmg.fi