Tietojenkalastelu on merkittävä uhka kaikille organisaatioille – miten olette varautuneet tietojenkalasteluhyökkäyksiin?

Sanontamme mukaan on olemassa kahdenlaisia organisaatioita: Niitä, jotka tietävät olevansa tietojenkalastelun kohteena, ja niitä, jotka eivät sitä vielä tiedä. Tässä blogissa kuvaamme syitä, miksi asiakkaamme ovat tilanneet meiltä tietojenkalasteluharjoituksia, joissa mallinnamme tapoja, joita tietoja ulkopuolelta urkkiva taho voisi käyttää. Käytämme tässä esimerkissä urkintakanavana erityisesti sähköpostia, mutta samoja periaatteita voi käyttää myös esimerkiksi sosiaalisen median tai chat-kanavien kautta tehtävissä hyökkäysharjoituksissa.

Tyypillisesti asiakkaillamme on neljänlaisia tavoitteita tietojenkalasteluharjoituksille. He haluavat tietää, mistä kohtaa heidän organisaatioissaan tietoa voisi vuotaa. Heille on tärkeää ymmärtää, pääsisikö hyökkääjä mahdollisesti etenemään sähköpostin vallattuaan järjestelmäkentässä pitemmälle. He pyrkivät arvioimaan organisaationsa herkkyyden tunnistaa hyökkäykset ja eskaloida tieto siitä sovitulla tavalla. He saattavat myös toivoa nostavansa näin organisaationsa tietoturvan ymmärryksen tasoa.

 

Tietovuodot - mistä kohtaa organisaatiota tietoa vuotaa?

Kun lähdemme tekemään tietojenkalasteluharjoitusta, asiakasorganisaatiossamme siitä tietää yleensä vain muutama henkilö. Näiden henkilöiden kanssa sovimme valitut kanavat (esimerkiksi sähköposti), mille ryhmille kohdistamme viestin ja millainen viesti on tehokkain. Esimerkiksi asiakkaamme saattaisi arvioida, että heillä on organisaatiossaan avuliaita ihmisiä erityisesti asiakaspalvelussa, jolloin voisimme kohdistaa heille viestin, joka muistuttaa heidän normaalia työtehtäväänsä ja erityisellä tavalla motivoi heitä toimimaan.

Kun käynnistämme hyökkäyksen, analysoimme saaduista vastauksista esimerkiksi sähköpostien ja siinä olevien linkkien aukaisun, tunnusten syöttämisen tai syöttämättä jättämisen ja muun vastaavan käyttäytymisen, mistä organisaation osasta ja millä prosentilla saimme haltuumme sähköpostin käyttäjätunnukset ja salasanat, ja korreloiko tämä esimerkiksi lähetetyn viestin sisällön tai ajankohdan kanssa. Raportoimme asiakkaamme haluamalla tarkkuudella kohderyhmän käyttäytymisestä ja esimerkiksi salasanojen vahvuudesta. Lopputuloksena on ymmärrys siitä, mikä organisaation osa on erityisen altis tietojenkalastelulle, ja asiakkaamme voi halutessaan kohdistaa esimerkiksi koulutusta tai teknisen tietoturvan toimenpiteitä tällä käyttäjäryhmälle.

 

Pääseekö kaapatuilla käyttäjätunnuksilla etenemään organisaation järjestelmäkentässä?

Sähköposti on usein järjestelmien käyttäjätunnusten ja salasanojen hallinnan väline. On siis mahdollista, että sähköpostin kaappaava taho voi päästä pidemmälle organisaation järjestelmäkentässä käyttäjätunnusten ja salasanojen resetoinnin kautta. Joskus asiakkaamme haluavatkin lisätä tavoitteeksi sähköpostin haltuunoton jälkeen salasanojen vaihtamisen esimerkiksi pilvipalvelussa tai muussa julkisessa internetissä olevassa järjestelmässä, ja tähän järjestelmään tunkeutumisen. On myös mahdollista yhdistää tähän IT-infrastruktuuriin ja verkkoihin tunkeutumisen menetelmiä ja hyökkäysskenaarioita.

 

Tunnistaako organisaatio olevansa hyökkäyksen kohteena, ja osaako se kertoa siitä?

Osaava tietojenkalastelija lähettää viestinsä vain sille kohdeyleisölle, josta se toivoo saavansa toivotun lopputuloksen. Tästä syystä IT-osasto tai tietoturvasta vastaavat henkilöt eivät välttämättä saa tietoa tietojenkalasteluhyökkäyksestä, elleivät tietojenkalastelun kohteena olevat tunnista hyökkäystä ja kerro siitä. Näin ei myöskään voida käynnistää vastatoimia ajoissa. Erityisen tärkeää tämä on silloin, jos käyttäjä tunnistaa tulleensa huijatuksi. Silloin hänen tulisi tietää kuinka toimia, ja organisaation luoda ilmapiiri, jossa kannustetaan välitöntä asian eteenpäin viemistä, vaikka tunnustaminen olisikin ilmoittajalle noloa ja arkaluontoinen asia.

Usein tekemissämme harjoituksissa tieto siitä pidetään hyvin pienessä piirissä, eikä harjoituksesta kerrota etukäteen esimerkiksi verkon liikennettä monitoroiville tiimeille. Samalla pidetään kirjaa siitä, kuinka moni käyttäjä kertoi olevansa kalastelun kohteena esimerkiksi tietoturvavastaavalle tai sovittuun sähköpostiin. Tämä kertoo organisaation herkkyydestä tunnistaa, eskaloida ja loppujen lopuksi reagoida hyökkäyksiin, kuinka hyvin sovittuja prosesseja noudatetaan sekä tunnistivatko tekniset valvontakyvykkyydet hyökkäyksen.

 

Ottaako organisaatio tietojenkalastelun riskin vakavasti?

Moni asiakkaamme on saattanut ohjeistaa henkilöstöään tietojenkalastelun varalta, sekä luoda prosesseja ja vastatoimia hyökkäystilanteita varten. Kuitenkin tietoturvasta vastaavilla, IT-johdolla tai liiketoimintavastaavilla voi olla epävarma olo siitä, ottaako heidän organisaationsa vakavasti tietojen vuodon uhan. Siksi jotkut asiakkaistamme ovat käyttäneet tietojenkalastelun harjoitusta esimerkkinä omalle organisaatiolleen siitä, kuinka merkittävästä asiasta on kyse, ja ovat saattaneet harjoituksen loputtua kommunikoida konkreettisesti harjoituksen kulun sekä tulokset herättääkseen organisaatiotaan. Ohjeistamme aina asiakkaitamme miettimään tarkkaan, kuinka käyttää tätä organisaation herättämiseen. On harvoin tarkoituksenmukaista häpäistä tai syyllistää ihmisiä, ja siksi herättelyn tulisi tähdätä ennen kaikkea käyttäytymisen muutokseen ja tietoisuuden lisäämiseen – enemmän porkkanaa kuin keppiä.

Jos haluat tietää enemmän tavastamme tehdä tietojenkalastelun harjoituksia, tai kuinka hakkeritestauksella mallinnamme vihamielistä toimintaa ja poikkeusoloja järjestelmiin ja IT-ympäristöihin, ota rohkeasti yhteyttä!

Share This Story, Choose Your Platform!

About the Author: Antti Matikainen

Antti Matikainen

Antti innostuu asiakkaittensa liiketoiminnan ymmärtämisestä ja arvon luomisesta niiden ainutlaatuisissa ympäristöissä. Antilla on laaja kokemus korkean teknologian tuotteitten ja palveluiden myynnistä ja konsultoinnista, sekä hänellä on näkemystä siitä, miten digitalisaatio muuttaa liiketoimintojen logiikkaa.