Siirry sisältöön

Terveellä epäluulolla kalasteluviestejä vastaan

Käyttäjätunnusten kalasteluun tähtäävien phishing- eli kalasteluviestien määrä ja erityisesti taso ovat kuluneen vuoden aikana nousseet. Ne ovat niin yleisiä, että mikäli kyseessä on kymmentä ihmistä suurempi organisaatio, jossa tällaista kehitystä ei ole havaittu, niin on syytä huolestua ja tarkistaa, onko tunnuksia jo kaapattu. Suuntaus nousee usein esiin myös viranomaistiedottamisessa.

Kalasteluviestit ovat erilaisia lähestymistapoja, joiden tavoitteena on kaapata käyttäjätunnus, salasana tai vaikkapa maksukorttitiedot johonkin rikolliseen käyttöön. Onnistuneessa kalastelussa ”kala” eli ihminen tulee huijatuksi ja antaa tiedot rikolliselle itse, yleensä web-sivun välityksellä. Eikä ihme, osa kalasteluviesteistä on nykyään huomattavan taitavasti tehtyjä.

Aiemmin kalasteluviestit oli helppo erottaa tavanomaisesta sähköpostivirrasta. Niissä oli kirjotusvirheitä, lähettäjänä outo osoite tai sitten viestin ulkoasu paljasti heti, ettei se ollut aito. Tänä päivänä tilanne on toinen. Nyt kalastelussa käytetään hyvää ja yhtenäistä kieltä ja viestien aiheet on hyvin sulautettu siihen, mitä ihmiset päivittäinkin tekevät. Ne voivat jopa tulla jonkun kontaktilistalla olevan henkilön kaapatusta tunnuksesta ja linkit johtavat sivuille, jotka näyttävät päällisin puolin uskottavilta. Aiheena saattaa olla hyvin aidolta vaikuttava asia, joka on poimittu esimerkiksi yrityksen omilta web-sivuilta. Myös varsinainen kalastelusivusto saattaa näyttää yrityksen omalta tai sen käyttämältä web-palvelulta.

Olemme täällä Sarastialla erityisen tarkkoja siitä, että itse toimimme tietoturvallisesti, emmekä vaaranna asiakkaidemme tietoturvaa ja -suojaa. Valitettavasti ei ole yhtä ”hopealuotia” tietoturvalliseen toimintaan eikä 100% varmuutta tietoturvasta ole kovin helppoa saavuttaa. Siksipä tarvitaan erilaisia keinoja, jotka yhdessä auttavat säilyttämään tiedot turvassa. Vähän samaan tapaan, kuin perinteisissä vakuutusyhtiöiden ohjeissa varkauksien varalle. Arvotavarat pidetään poissa näkyvistä, ovet lukitaan ja varustetaan erillisillä turvalukoilla, saranat suojataan, hankitaan murtohälytin jne. Mikään suojaus ei takaa täyttä turvaa, mutta jos suojaus on riittävän hyvä, varkaus ei osu omalle kohdalle.

Teknisin keinoin päästään tietylle tasolle, mutta mitkään lukot eivät auta, jos niitä ei käytetä. Samaa pätee tietoturvaan, palvelujen ja järjestelmien käyttäjillä on iso rooli sen toteutumisessa. Kalasteluihin sortuneiden henkilöiden syyllistäminen ei johda mihinkään, kuka tahansa voi olla seuraava uhri. Ainoa tapa voimaannuttaa käyttäjäkuntaa kalasteluita vastaan on koulutus. Koulutus siitä, miten käytetään järjestelmiä ja palveluita oikein, siitä, miten voidaan tunnistaa kalasteluyritykset ja myös koulutus siitä, miten toimitaan, jos koukun kaikesta huolimatta nielaisee. Meillä hyödynnetään verkkokoulutusalustaa perustietoturva- ja -suojakoulutuksen lisäksi erilaisiin lyhyisiin, tietoiskumaisiin täsmäkoulutuksiin, esimekiksi miten kalasteluviestin tunnistaa sekä miten toimitaan tilanteessa, jossa huomaa kaikesta huolimatta haksahtaneensa.

Tärkeintä on, että asiasta puhutaan ja ongelmiin varaudutaan etukäteen. Tämän viimeaikaiset tapahtumat toki ovat varmistaneet. Palveluiden käyttöä ei kuitenkaan ole syytä pelätä. Yhtenä keskustelun tarkoituksena on niin sanotun terveen epäluulon rakentaminen, joka saa jokaisen miettimään ennen kuin klikkaa sähköpostitse tullutta linkkiä tai kirjoittaa tunnuksensa sitä pyytävälle web-sivulle. Lempisanontaani toistaen, vainoharhaisellakin voi olla vihollisia ja omakin tunnus ja sen kautta saatavat tiedot voivat kiinnostaa rikollisia.

 

Matti Aho
teknologiajohtaja
Sarastia Oy

Ajankohtaista

Tilaa uusinta tietoa kunta-alan tapahtumista

Tilaa uutiskirje