Tietojenkalastelulta suojautuminen pienyrityksessä

Lasku näyttää tutulta, lähettäjän nimi muistuttaa tavarantoimittajaa ja viestissä pyydetään avaamaan liite ennen päivän loppua. Yksi kiireessä tehty klikkaus voi riittää siihen, että rikollinen saa haltuunsa sähköpostitilin, maksutietoja tai pääsyn yrityksen pilvipalveluihin. Tietojenkalastelulta suojautuminen pienessä yrityksessä ei siksi ole pelkkä tekninen asetus, vaan selkeä toimintatapa koko henkilöstölle.

Pienessä yrityksessä jokainen käyttäjä on usein monessa roolissa: yrittäjä hyväksyy laskuja, työntekijä vastaa asiakasviesteihin ja toimiston vastuuhenkilö hallinnoi käyttöoikeuksia. Juuri siksi tietojenkalastelun torjunta kannattaa tehdä mahdollisimman helpoksi. Tavoite ei ole tehdä työnteosta hankalaa, vaan varmistaa, että epäilyttävä viesti pysäytetään ennen kuin siitä syntyy laskua, käyttökatkoa tai mainehaittaa.

Miksi pienyritys joutuu tietojenkalastelun kohteeksi?

Tietojenkalastelija ei yleensä valitse kohdetta yrityksen koon perusteella. Pieni yritys voi olla kiinnostava, koska sillä on laskutettavia asiakkaita, toimittajasuhteita, maksuliikennettä ja arvokkaita yhteystietoja. Lisäksi tietoturvan hallintaan ei välttämättä ole omaa IT-tiimiä, joka ehtii seurata poikkeamia päivän aikana.

Yleisin hyökkäys on sähköposti, jossa pyydetään kirjautumaan Microsoft 365- tai muuhun pilvipalveluun. Viesti voi näyttää tulevan toimitusjohtajalta, asiakkaalta, kuljetusyhtiöltä tai ohjelmistotoimittajalta. Toinen tavallinen tapa on laskuhuijaus: rikollinen esiintyy toimittajana ja ilmoittaa muuttuneesta tilinumerosta. Viime vuosina yleistyneet myös puhelut ja tekstiviestit, joissa pyydetään kertomaan kertakäyttöinen tunnus tai asentamaan etähallintasovellus.

Hyökkäys voi olla huolellisesti kohdennettu tai massapostitus. Molemmissa tapauksissa vahinko syntyy usein samalla tavalla: käyttäjä luottaa kiireessä viestiin, kirjautuu väärennetylle sivulle ja antaa tunnuksensa hyökkääjälle.

Tietojenkalastelulta suojautuminen pienyrityksessä alkaa arjen rutiineista

Paras suoja ei ole yksittäinen ohjelma. Se on yhdistelmä toimivia asetuksia, selkeitä käytäntöjä ja henkilöstön varmuutta toimia oikein. Kun perusasiat ovat kunnossa, yksittäinenkin epäilyttävä viesti on helpompi tunnistaa ja käsitellä.

Tarkista pyyntö, älä vain lähettäjän nimeä

Lähettäjän näyttönimi ei kerro vielä mitään viestin aitoudesta. Esimerkiksi tuttu yritysnimi voidaan kirjoittaa viestiin vapaasti, vaikka todellinen lähetysosoite olisi täysin vieras. Käyttäjän kannattaa tarkistaa koko sähköpostiosoite, erityisesti silloin kun viestissä pyydetään kirjautumaan, maksamaan, avaamaan liite tai muuttamaan tilitietoja.

Myös viestin sävy kertoo paljon. Epätavallinen kiire, salassapitopyyntö, kirjoitusvirheet tai poikkeava maksutapa ovat syitä pysähtyä. Huijausviestit ovat aiempaa sujuvampia, joten virheellinen kieli ei ole enää luotettava tunnusmerkki. Ratkaisevampaa on se, poikkeaako pyyntö normaalista toimintatavasta.

Jos asiakas tai toimittaja ilmoittaa uudesta pankkitilistä, muutos kannattaa varmistaa aina erillisellä tavalla. Soitto jo ennestään käytössä olevaan numeroon on turvallisempi kuin vastaaminen epäilyttävään sähköpostiin. Sama käytäntö toimii toimitusjohtajan nimissä tuleviin maksupyyntöihin: poikkeava pyyntö varmistetaan toisella kanavalla ennen maksua.

Monivaiheinen tunnistautuminen katkaisee monta hyökkäystä

Varastettu salasana ei saa yksin riittää kirjautumiseen. Monivaiheinen tunnistautuminen lisää kirjautumiseen toisen varmistuksen, kuten sovelluksesta hyväksyttävän pyynnön tai kertakoodin. Se on yksi tehokkaimmista tavoista estää sähköpostitilin haltuunotto.

Asetus pitää kuitenkin tehdä harkiten. Tekstiviestivarmistus on parempi kuin pelkkä salasana, mutta tunnistautumissovellus tai tietoturva-avain tarjoaa yleensä paremman suojan. Henkilöstölle on myös kerrottava, ettei tuntematonta hyväksyntäpyyntöä koskaan kuitata vain siksi, että ilmoitukset loppuisivat.

Erityisen tärkeää monivaiheinen tunnistautuminen on sähköpostissa, pilvipalveluissa, taloushallinnossa, etäyhteyksissä ja järjestelmissä, joissa hallitaan asiakas- tai henkilötietoja. Samalla kannattaa tarkistaa, kenellä on järjestelmänvalvojan oikeuksia. Laajat oikeudet kuuluvat vain niille, jotka tarvitsevat niitä työssään.

Sähköpostin suojaus tarvitsee ylläpitoa

Roskapostisuodatus, haitallisten liitteiden torjunta ja väärennettyjen lähettäjien tunnistaminen ovat välttämättömiä, mutta ne eivät tunnista kaikkea. Hyökkääjät hyödyntävät aitoja, kaapattuja sähköpostitilejä ja muokkaavat viestejä nopeasti. Siksi sähköpostin suojausasetuksia pitää myös seurata ja päivittää, ei vain ottaa käyttöön kerran.

Yrityksen kannattaa määrittää, miten epäilyttävistä viesteistä ilmoitetaan. Riittää, että toimintamalli on yksinkertainen: viestiä ei välitetä kollegoille, linkkiä ei avata ja havainto ilmoitetaan nimetylle vastuuhenkilölle tai IT-kumppanille. Nopea ilmoitus voi estää saman viestin avaamisen usealta käyttäjältä.

Lisäksi kannattaa ottaa käyttöön lähettäjän verkkotunnuksen suojausasetukset. Ne vähentävät riskiä, että yrityksen omaa nimeä käytetään huijausviesteissä asiakkaiden tai yhteistyökumppaneiden suuntaan. Tämä on käytännönläheinen tapa suojata myös yrityksen mainetta.

Koulutus toimii, kun se liittyy oikeisiin tilanteisiin

Tietoturvaohje, joka luetaan kerran perehdytyksen yhteydessä, unohtuu nopeasti. Parempi tapa on käydä asia läpi lyhyesti ja säännöllisesti. Yksi ajankohtainen esimerkki henkilöstöpalaverissa opettaa usein enemmän kuin pitkä ohjekansio.

Harjoittelussa kannattaa käyttää yrityksen todellista arkea: laskuja, tarjouspyyntöjä, rekrytointiviestejä, toimitusilmoituksia ja pilvipalvelujen kirjautumisia. Henkilöstön ei tarvitse osata teknisiä termejä. Olennaista on, että jokainen tietää, milloin pitää pysähtyä ja keneltä kysyä apua.

Hyvä kulttuuri ei syyllistä virheestä ilmoittavaa käyttäjää. Jos työntekijä kertoo epäilyttävästä klikkauksesta heti, vahinkoa voidaan usein rajata. Jos ilmoittamista pelätään, ongelma ehtii kasvaa. Yrityksen johdon kannattaa sanoa tämä ääneen: epäilyksestä ilmoittaminen on oikein, vaikka viesti myöhemmin osoittautuisi aidoksi.

Jos linkki tuli avattua, toimi heti

Tietojenkalastelutilanteessa nopeus ratkaisee. Jos käyttäjä syötti tunnuksensa epäilyttävälle sivulle, salasana vaihdetaan välittömästi turvalliselta laitteelta ja aktiiviset kirjautumiset katkaistaan. Samalla tarkistetaan, onko sähköpostiin lisätty edelleenlähetyssääntöjä, uusia palautusosoitteita tai muita muutoksia, joilla hyökkääjä voi säilyttää pääsynsä.

Tilanteesta ilmoitetaan IT-vastuuhenkilölle tai palvelukumppanille heti. Tarvittaessa tarkistetaan myös, onko samalla salasanalla käytetty muita palveluja, onko tililtä lähetetty huijausviestejä ja ovatko maksutiedot tai asiakastiedot vaarantuneet. Jos rahaa on siirretty väärälle tilille, pankkiin pitää olla yhteydessä viipymättä.

Älä jää selvittämään asiaa yksin. Tietoturvapoikkeaman käsittelyssä on hyötyä siitä, että yksi taho ottaa kokonaisvastuun: varmistaa tilit, tarkistaa laitteet, dokumentoi tapahtumat ja neuvoo jatkotoimet.

Vastuut ja laitteet kannattaa pitää järjestyksessä

Tietojenkalastelun vaikutukset jäävät pienemmiksi, kun yrityksen laitteet, käyttäjät ja ohjelmistot ovat hallinnassa. Käytöstä poistuneet työntekijätilit suljetaan, päivitykset asennetaan ajallaan ja työasemat suojataan keskitetysti. Myös varmuuskopioita tarvitaan, sillä sähköpostitilin kaappaus voi olla osa laajempaa kiristyshaittaohjelmahyökkäystä.

Kaikkia ratkaisuja ei tarvitse rakentaa itse. Pienessä yrityksessä järkevin malli riippuu henkilöstön määrästä, käytössä olevista pilvipalveluista, käsiteltävistä tiedoista ja siitä, kuinka paljon omaa aikaa voidaan käyttää ylläpitoon. Karjalan Datahuolto auttaa Joensuun ja Pohjois-Karjalan yrityksiä hallitsemaan laitteita, käyttöoikeuksia, Microsoft- ja Azure-ympäristöjä sekä tietoturvan jatkuvaa ylläpitoa yhden yhteyshenkilön kautta.

Tietojenkalastelulta ei voi luvata sataprosenttista vapautta, koska huijaukset muuttuvat jatkuvasti. Yritys voi silti tehdä jokaisesta hyökkäyksestä vaikeamman ja jokaisesta epäilystä helpomman käsitellä. Kun työntekijä tietää, että pysähtyminen on sallittua ja apu on yhden puhelun päässä, kiireinenkin työpäivä pysyy paremmin omissa käsissä.