Yrityksen riskitilanne on hyvä ottaa haltuun, sillä moniin uhkiin voi myös varautua. Riskienhallinnan ratkaisuihin erikoistunut Granite tietää miten. Haastattelimme Graniten Teppo Kattilakoskea ja Olli Pirttilää ja pyysimme heitä listaamaan 3 merkittävintä riskialuetta yritysten toimintaympäristössä vuonna 2016.  

 

1. Kohdistetut hyökkäykset ja sosiaalinen hakkerointi

Kohdistetuilla hyökkäyksillä ja sosiaalisella hakkeroinnilla tarkoitetaan tiettyyn yritykseen ja usein sen sisällä yksittäisiin henkilöihin suunnattua toimintaa, jolla pyritään pääsemään käsiksi hyökkäyksen kohteelle kriittisiin tietoihin. Kun harhautus tapahtuu sosiaalisen vaikuttamisen keinoin, puhutaan sosiaalisesta hakkeroinnista.

Hyökkäys tapahtuu esimerkiksi ujuttamalla haittaohjelma kohteena olevan tietojärjestelmiin sähköpostin liitteessä tai houkuttelemalla kohde vierailemaan saastuneella verkkosivulla. Tiedot pyritään keräämään huomaamattomasti ja jälkiä jättämättä, jolloin hyökkäyksen alkuperää on vaikea selvittää.

‒ Tyypillinen esimerkki tällaisesta hyökkäyksestä on maksuhuijaus. Siinä pyrkimyksenä on saada rahaa siirtymään tekaistujen laskujen muodossa. Maksuhuijausta voidaan pitää ns. helppona huijauksen muotona. Se ei vaadi koodaustyötä eikä korkeaa teknistä osaamista, Kattilakoski ja Pirttilä avaavat.

 

Mitkä tekijät sitten altistavat hyökkäyksille?

‒ Onnistunut hyökkäys vaatii toteuttajaltaan laajaa taustaselvitystä kohteesta sekä kohteelle räätälöityä viestintää. Jos mietitään maksuasioita, on työntekijöiden omalla toiminnalla suuri merkitys. Yrityksissä on väkisinkin lomia ja sijaisuuksia, jolloin samat henkilöt eivät aina voi olla asioiden päällä. Kun työntekijöiden määrä on riittävä, osaamista on vaikea hallita. Esimerkiksi jos sähköposti näyttää tulleen toimitusjohtajalta ja ohjeistaa toimimaan, on tärkeää, että henkilöstö on varautunut tilanteeseen ja osaa tunnistaa mahdollisen riskin.

Sosiaalisessa hakkeroinnissa hyökkääjä usein esiintyy kohteelleen luotettavana tahona, kuten yrityksen johtohenkilönä,  viranomaisena tai yhteistyökumppanina.

‒ Koska tekaistu sopimus tai maksukehotus voi tulla filttereistä läpi, nousee henkilöstön valppaus arvoon arvaamattomaan, Kattilakoski kertoo.

Haittaohjelmalla voidaan tähdätä myös urkintaan, jolloin tietoa kerätään pidemmältä ajalta. Tavoitteena on saada tietoa yrityssalaisuuksista tai salata yritykseltä laajat tietomassat ja vaatia lunnaita salauksen purkamisesta.

‒ Pitkälle vietynä haittaohjelma on räätälöity tiettyyn tarkoitukseen ja kohteeseen, jolloin esimerkiksi virustorjunta ei tunnista haittaohjelmaa. Räätälöinti puolestaan vaatii resursseja. Urkintatapauksia on nähty ja uutisoitu valtiollisella tasolla, esimerkiksi ulkoministeriöstä onnistuttiin urkkimaan tietoa monta vuotta ennen kuin hyökkäys havaittiin, Olli Pirttilä pohtii.

Urkinnassa on siis usein todella tarkkaan mietitty, miten “temppu” saadaan tehtyä jälkiä jättämättä.

 

Kivet

 

2. Tietosuoja

EU:n tietosuojalainsäädäntö käsittelee henkilötietoja, asiakasrekistereitä, työntekijärekistereitä, ts. niitä tietoja, joita verkkopalveluiden käyttäjistä tallennetaan. Jokainen yritys käsittelee kasvavasti henkilötietoja ja näin yritykset tulevat EU:n tietosuojakäytännön piiriin.

‒ Punttien pitäisi tutista toimitusjohtaja- ja hallitustasolla, sillä tietosuojarikkeistä aiheutuvat sanktiot ovat jopa 4% yrityksen globaalista liikevaihdosta puhumattakaan yrityksen brändiin kohdistuvasta haitasta ja asiakkaiden menetyksistä, Graniten Teppo Kattilakoski herättelee päättäjiä.

‒ Hyvin pitkälti tietosuojassa on kyse siitä, että henkilöllä on oikeus tietää ja vaikuttaa, mihin hänen tietojaan käytetään. Jos meillä on esimerkiksi asiakasrekisteri, emme voi käyttää sitä mihin tahansa. Ihminen omistaa omat tietonsa, hän jatkaa.

Olli Pirttilä avaa tietosuojan huomioimisen tärkeyttä aikana, jona lähes kaikki yritykset pyrkivät digitalisoimaan liiketoimintaansa verkkopalveluiden ja mobiilisovellusten avulla.

‒ Esimerkiksi kun kehitetään verkkopalvelua, pitää jo suunnitteluvaiheessa miettiä, mitä henkilötietoja kerätään ja mihin niitä käytetään. Tätä kautta tietosuoja vaikuttaa erilaisiin työtehtäviin, kuten ohjelmistokehitykseen ja liiketoiminnan suunnitteluun.

 

3. Digitalisaation mahdollisuuksien hyödyntämättä jättäminen

Kolmas Graniten listaama uhka on tämä: Ei tartuta mahdollisuuksiin, joita digitalisaatio tarjoaa. Riskienhallinnassa on kyse myös riskien ottamisesta ja siitä, hyödynnämmekö meille avautuvat mahdollisuudet, Teppo Kattilakoski muistuttaa.

Riskinä on, että suuri määrä potentiaalisia asiakkaita ja rahaa jää saamatta, koska liiketoimintaa ei ole muotoiltu helposti käyttöönotettavaksi palveluksi. Jos aiemmin keskityttiin tekemään asioita tehokkaammin kuin ennen, nyt pitäisi rohkeammin edetä liiketoimintamallien uudistamiseen. Tehdään palveluiden käytöstä helppoa, hyödynnetään analytiikkaa ja sitoutetaan käyttäjät.

‒ Kaiken keskellä on asiakas ja hänen oikeutensa. Asiakkaalla on valta käyttämistään palveluista. Jos menetät otteesi, joku muu tulee ja kehittää toimivan digitaalisen palvelun markkinaan. Tämä voi olla suurin riski usealle yritykselle lähivuosina Teppo Kattilakoski lopettaa.

 

Graniten toimitusjohtaja Teppo Kattilakoski ja markkinointi- & asiakkuuspäällikkö Olli Pirttilä.

 

Tutustu EU:n tietosuoja-asetukseen ja kuinka valmistautua tietosuoja-asetuksen voimaantuloon

Katso video kyberrikosten nykytrendeistä:
Timo Piiroinen (KRP): Kyberrikollisuus, tietoisuus ja koulutus

Lue Viestintäviraston Tietoturva nyt! kohdistetuista hyökkäyksistä

 

Katso myös Granite ite wikissä

Graniten kotisivut

 

Löydät ite wikistä toteuttajat, konsultit, ohjelmistot ja laitetarjoajat liiketoiminnan kehittämiseksi ja digitalisoimiseksi.