Kuvittele itsesi tähän:
On perjantai-iltapäivä ja olet menossa illalla ystäviesi kanssa teatteriin ja tämän jälkeen syömään. Olette sopineet näkevänne ennen teatteria läheisessä baarissa. Kaikki saapuvat paikalle, tilaatte Aperol spritzit ja istutte pöytään. Muutaman lisädrinkin jälkeen lähdette kohti teatteria. Tunnelma on hyvä.
Käyt vielä ennen teatterisaliin menoa vessassa ja näet seinällä QR-koodillisen flaierin, jossa kerrotaan kulttuuriväen Sakset seis -kampanjasta. Olet itsekin ollut hieman harmissasi hallituksen kulttuuriin kohdistamista säästöistä ja päätät antaa äänesi kampanjalle. Kohdistat kännykän kameran QR-koodiin, tunnistaudut sivulla pankkitunnuksillasi ja saat kuittauksen, että äänesi on annettu.
Olet tyytyväinen itseesi teostasi, katsot peiliin ja toteat hyvä minä. Menet saliin. Näytös on loistava. Isla Mustanoja loisti poliisi Aglana. Siirrytte teatterin jälkeen kadun toiselle puolelle illalliselle. Ruokailun jälkeen vinkkaat tarjoilijan ja kaikkien yllätykseksi haluat maksaa koko laskun. Tarjoilija tuo maksupäätteen ja muutaman epäonnistuneen maksuyrityksen jälkeen joudut luovuttamaan, tilillä ei ole kuulemma katetta.
Lähdet käymään automaatilla ja saat huomata, että tililläsi ei ole penniäkään rahaa. Jalkojasi alkaa heikottaa ja otat seinästä tukea. Toivottavasti et ole koskaan tässä tilanteessa.
”Tietoturva ei kosketa minua”
Aikaisemmin tosi useasti, nykyään jo harvemmin ja tulevaisuudessa toivottavasti ei enää ollenkaan lausetta ”Tietoturva ei kosketa minua, kun minulla ei ole mitään salattavaa.” Kyseinen lause on ollut minulla yhtenä johtoajatuksena, kun olen rakentanut tietoturvakoulutusta loppukäyttäjille.
Kyse ei ole ainoastaan sinusta vaan koko työpaikasta sekä sinun läheisistäsi ja tutuistasi. Perheenjäsenistä, asiakkaista, yhteistyökumppaneista sekä lasten kavereiden vanhemmista. Paljon tietoturvan joessa on vuosikymmenessä vettä virrannut. Kuin huomaamatta elämäämme on tullut digitaaliset palvelut ja niihin identiteetit.
Jos katsot puhelintasi ja mietit hetken mitä tapahtuisi, jos joku estäisi pääsyn appeihin, ymmärrät paremmin, miksi juuri sinä olet verkkorikollisen näkökulmasta houkutteleva kohde. Kaukana ovat ajat, kun tietoturva tarkoitti teinien keppostelua vanhempiensa autotallista.
Kaikki alkaa tosiasioiden tunnustamisella. Maailma on muuttunut dramaattisesti. Digitalisaatio ja Internet ovat tuoneet kaikki ihmiset tietoturvan alttarille. Emme itse ole valinneet tätä kulkua, mutta meidän täytyy silti elää siinä. Epäreilua, ehkä. Voimmeko tehdä jotain, varmasti.
Tietojenkalastelu on yksi käytetyimmistä verkkorikollisten työkaluista
Tiesitkö, että: verkkorikollisuuden takia menetämme valtavasti aikaa ja rahaa; kokonaiskustannukset ovat luokaltaan vuosittain 10 biljoonan dollaria.
Ajattele hetki: jos maailman kyberrikollisuudesta syntyvä 10 biljoonaa dollaria jaettaisiin siten, että jokaiselle suomalaiselle annettaisiin Tesla Model 3 Rear-Wheel Drive (RWD) – hinta noin 51 990 €, 100 000 € mökki järven rannalta, ja
maksettaisiin valtionvelka pois, rahaa jäisi silti niin paljon, että Suomea voisi pyörittää nykyisellä menotasolla noin 86 vuotta – ja jokaiselle suomalaiselle jäisi vielä yli miljoona euroa pahan päivän varalle. Tämän päälle verkkorikollisuuden kasvuprosentit ovat aivan omassa luokassaan.
Valtavat rahamäärät tuovat jos jonkinlaista seurakuntaa osingoille. Tietojenkalastelu (Phishing) on yksi käytetyimmistä verkkorikollisten työkaluista, kun puhutaan sinusta ja minusta eli luonnollisista ihmisistä. Kalastelun muodot muuttuvat koko ajan entistä vaikeammaksi hahmottaa.
Miksi? Pöydän toisella puolella on ryhmä ihmisiä; maailman parhaita psykologeja, motivaatiotutkijoita, aivotutkijoita, käyttäytymistutkijoita, psykiatreja, terapeutteja eli laaja kirjo ihmismielen asiantuntijoita. Ja pöydän toisella puolella olet sinä; yksin, stressaantunut, kiireessä elävä, auktoriteetteja uskova, vähän uteliaisuuteen taipuva. Mikä voisikaan mennä pieleen?
Verkkorikollisuus on jollekin ammatti
Verkkorikollisuus on jollekin ammatti, siinä missä minulle kouluttaminen. Ehkä aamuisin joku tiimi lähtee kokeilemaan eri huijaustapoja, ja iltapäivällä valitaan, mikä on toiminut parhaiten, ja luukutetaan sitä. Tätä ammattia harjoitetaan myös valtiojohtoisesti.
Verkkorikollisuutta on vaikeaa torjua sen luonteen vuoksi. Vaikka unohdettaisiin täysin tekniset asiat, globaalius ja lainsäädännön puutteet, ongelmaa, jota ei vielä ole tai sitä ei tunnisteta, on mahdotonta korjata tai suojautua. Eli logiikka menee niin, että rikolliset löytävät uudet keinot hyötyä ja vasta sen jälkeen voimme suojautua niiltä.
Verkkorikollisuus on valitettavasti iso ongelma, meille kaikille. Tietoturvasta on tulossa kovaa vauhtia kansalaistaito. Meille tulee ensiarvoisen tärkeäksi, että tunnistamme vaaran paikkoja, osaamme lukea tilanteita ja pystymme toimimaan turvallisesti digitaalisissa ympäristöissä. Ehkä yleisohjeena voisi nostaa terveen epäilyn. Internetissä kuka tahansa voi olla kuka tahansa. Kun kohtaat poikkeavia tilanteita, mieti kuka on aloitteentekijä. Lähtikö tilanne käyntiin sinun toimestasi vai jonkun toisen toimesta.
Tietojenkalastelussa pyritään tietoisesti saamaan sinut epäedulliseen asemaan, koska silloin teet itsesi kannalta huonoja päätöksiä. Jos tilanteessa käytetään vaikuttavana tekijänä kiirettä tai auktoriteettia, hälytyskellojesi pitäisi soida. Viranomaiset viestivät koko ajan kiihtyvällä tahdilla, että pankkitunnuksia tai muita tunnistautumistapoja ei koskaan kysytä spontaanisti. Suojele pankkitunnuksiasi, äläkä koskaan käytä niitä muuhun kuin omaan pankkiisi kirjautuessa. Ja pyri verkkopankkikirjautumisetkin hoitamaan oman kännykän mobiiliappilla.
Jaa, se alun ajattelun tilanne: Virhe tai harha-askel tuli siinä kohtaa, kun kännykän kamera kohdistettiin QR-koodiin. Joku oli käynyt vaihtamassa alkuperäisen kampanjamainoksen omalla QR-koodillisella versiolla.
Kännykän selain ei mennyt kansalaisaloitteen sivulle vaan huijarin tekemälle täysin samanlaiselle sivulle. Tunnistautuessasi pankkitunnuksilla hyökkääjä pääsi tiliin käsiksi ja tyhjensi sen.
Työpaikoilla ja kaveriporukoissa, puhukaa tietoturvasta ja parhaista käytännöistä. Tietomurrot aiheuttavat voimakasta häpeää. Jos minun tuntemat kovan luokan tietoturva- asiantuntijat pelkäävät sitä, että jonain kauniina päivänä heidän tilinsä korkataan, tulisi meidän kaikkien ottaa asia vakavasti.
Teemu Ahlström
Senior Consultant, Security & Modern Work
