Osataanko teillä torpata tietoturvauhkia? Kyberharjoittelusta hyötyvät kaikki

Tietoturva Nyt!

Nyt tehdään mielikuvitusreissu tavalliseen toimistotyöpäivään Kyberilän vesihuollossa, jossa sähköpostejaan läpikäyvä Pirjo saa varsin houkuttelevan tarjouksen. Hän on yksi tuhansista ammattilaisista, joiden työpanos on olennainen, kun varmistamme yhteiskuntamme sujuvaa toimintaa muun muassa tietoturvallisilla työtavoilla. Tilanteita ja toimintatapoja kannattaa jokaisen harjoitella etukäteen. Me voimme auttaa.

"ihmisiä toimistossa -kuvituskuva"

Kyberilän vesihuollossa Pirjon ja hänen kollegoidensa yhteisenä vastuuna on pitää huolta myös työpaikkansa tietoturvasta. Uhkaavien tilanteiden kyberharjoittelu on yksi halvimmista ja helpoimmista tavoista ylläpitää turvallisuutta. Kyberturvallisuuskeskuksen harjoitustoiminta voi auttaa organisaatiosi harjoittelun alkuun ja tukee myös kokeneempia kyberharjoittelijoita.

Onneksi olkoon palkankorotuksesta Pirjo!

"Mikä ihme…?" Pirjon näytölle avautuu sähköposti mojovasta palkankorotuksesta. Palkanlaskennassa ei ole mainittu mitään tällaisesta. Yhteistä henkilöstö- ja talousosastoa ei Kyberilan vesihuollossa edes ole! Sähköposti lähtee roskapostikoriin ja Pirjo taukohuoneeseen.

"esimerkkikuva korona-aiheisesta palkanmaksuhuijauksesta"
Koronavirus on valjastettu osaksi huijareiden ja rikollisten työkalupakkia. Tässä esimerkki palkanmaksuhuijauksesta.

Suodatinkahvit kaadettuaan ärtynyt Pirjo kertoo päivän lehteä selailevalle Matille, kuinka nettihuijarit nyt vedättävät palkansaajia koronan varjolla. Matti puuskahtaa, kuinka hänen entisellä työpaikallaan yritettiin varastaa rahaa firman asiakkailta Office 365 -sähköpostihuijauksella, kun hyökkääjä pääsi väärentämään yrityksen laskuja. Kollega Ennin äiti oli saanut valetekstiviestin, jossa pyydettiin maksamaan ylimääräinen tullimaksu hänen tilaamastaan paketista. Viestissä vedottiin koronatilanteeseen ja kerrottiin, että ilman maksua pakettia ei voitaisi hänelle toimittaa. Seppo muistutti vuodentakaisesta tapauksesta Norjassa, jossa kiristyshaittaohjelma oli lamauttanut alumiiniyrityksen toiminnan ja korjaustoimet olivat maksaneet yli 70 miljoonaa euroa.

Pirjo miettii, mitä olisi voinut sattua, jos hän olisi rahanhimoissaan lähettänyt tietoja huijareille. Voisikohan tällaisten tilanteiden varalta harjoitella?

Kyllä voi! Tilanteita kannattaa harjoitella nimenomaan etukäteen, koska jokainen meistä on mahdollinen verkkorikollisen uhri. 

Miten päästä harjoittelun makuun työpaikalla? 

Organisaatioissa toiminnan jatkuvuudenhallintaa ja varautumista voi harjoitella useilla eri tavoilla. Tässä lyhyt muistilista, jolla myös Pirjo & kumppanit pääsevät alkuun: 

  • Paras aika aloittaa on nyt, koska vähäinenkin harjoittelu valmistaa enemmän kuin harjoittelematta jättäminen.
  • Kyberharjoitustyyppejä saa ja pitää muokata omaan organisaatioon sopivaksi, sillä sama malli ei sovi kaikille.
  • Harjoituksen tavoite kannattaa määritellä selkeästi heti alussa, koska konkreettinen tavoite, esimerkiksi huijausten tunnistaminen, helpottaa suunnittelutyötä.
  • Harjoittelun tarkoituksena on ennen kaikkea parantaa yhteistä varautumista, ei esimerkiksi etsiä vääriä ratkaisuja.

Ensimmäiseksi harjoitukseksi riittää vaikkapa erilaisten uhkaavien tietoturvahäiriöiden tunnistaminen, kun mietitään, millaisia tieturvahäiriöitä työpaikalla voisi sattua. Lisäksi voidaan pohtia, millaisissa tilanteissa esimerkiksi asiakkaiden tietoja voisi vuotaa julkisuuteen.

Tapausten ideointi ja alustavien toimintamallien suunnittelu onnistuvat hyvin myös etäkokouksessa.

Autamme organisaatioita ja yksityishenkilöitä tietoturvaan liittyvissä kysymyksissä. Lisäksi tuemme organisaatioiden kyberharjoittelua. Olemme julkaisseet oppaan kyberharjoitusten järjestäjille ja julkaisseet nipun skenaarioita erilaisista kyberturvallisuuspoikkeamista. Skenaariot ovat ideoituja kyberuhkatilanteita, joita organisaatiot voivat hyödyntää omissa harjoituksissaan.