Frendy Oy tarjosi alkuvuonna PK-yrityksille mahdollisuuden laittaa henkilökunnan tietoturvaosaaminen testiin. Tarttuuko fisu koukkuun -nimisessä kilpailussa työntekijöiden tunnuksia pyrittiin kalastelemaan simuloidun tietoturvahyökkäyksen avulla.

Tietojenkalastelu eli phishing on yleinen tietoturvarikollisuuden muoto, jolla voidaan saada aikaan pahojakin liiketaloudellisia ja maineellisia vahinkoja. Tietoja kalastellaan muun muassa sähköpostin ja pikaviestimien avulla. Rikolliset voivat saamillaan tunnuksilla esimerkiksi huijata rahaa tai vuotaa yrityksen arkaluonteista tietoa julkisuuteen.

– Me valjastimme phishingin hyvään käyttöön luomalla tekaistuja tietojenkalasteluviestejä, jotka lähetettiin osallistuvien yritysten työntekijöiden sähköposteihin ennalta ilmoittamatta. Jos vastaanottaja ei ollut riittävän tietoturvavalveutunut, klikkasi hän viestin sisältämää linkkiä ja päätyi syöttämään tunnuksensa luomallemme huijaussivustolle, kertoo kalastelukilpailun teknisestä puolesta vastannut tietoturva-asiantuntija Mikko Seppälä.

– Klikattujen linkkien ja luovutettujen tunnusten määrä antoi meille ja osallistujayrityksille tärkeää infoa henkilöstön tietoturvataidoista, Seppälä jatkaa.

Kilpailu käytiin kahdessa sarjassa: Syvänmeren Troolaus -sarjassa hyökkäykset räätälöitiin kohdennetusti osallistuvalle yritykselle, ja ne oli rikollisten tapaan tehty hyvinkin aidon näköisiksi. Onkiretki-sarjan viestit olivat sisällöltään geneerisiä ja räätälöityjä helpommin havaittavia.

Tulokset herättävä huolta

Nyt kilpailun tulokset on analysoitu, ja ne herättävä huolta Frendyn tietoturva-asiantuntijoissa. Yhteensä 72 %:ssa yrityksistä itsensä kalastelusivustolle klikanneista luovuttivat tunnuksensa testirikollisen käsiin. Molemmissa sarjoissa heikoimmin menestyivät yli 50 hengen yritykset, joista yhteensä 95 %:ssa yksi tai useampi käyttäjä vuoti tunnuksensa. Selkeästi paremmin sarjoissa menestyivät pienet alle 50 työntekijän yritykset, joissa tunnuksia luovutettiin yhteensä 25 %:ssa. Lisäksi huomattiin räätälöityjen viestien toimivan selvästi geneerisiä massaviestejä paremmin.

– Kyllä tuollaiset luvut laittavat miettimään, vaikka eivät puskista tulleetkaan. Kilpailusta saatiin hyvä otanta koko Suomen PK-yritysten tietoturvaosaamisen tilasta, ja näyttää siltä, että aivan liian monen yrityksen tietoturvataidoissa on rikollisen mentäviä aukkoja, kommentoi Frendyllä tietoturvasta vastaava liiketoimintapäällikkö Tuomas Karhula.

– Kun jo yksikin luovutettu tunnus tai salasana voi saada aikaan mittavia ongelmia, niin jokainen voi miettiä, kuinka suureksi kasvaa riski yrityksen kahdenkymmenen työntekijän tehdessä saman virheen.

– Pienten yritysten kohdalla alhainen prosentti saattaa selittyä sillä, että niissä on yleensä matalampi kynnys viestiä epäilyttävästä toiminnasta, ja viesti kulkee organisaation sisällä nopeasti. Alle 50 hengen yritykset myös osallistuvat tämän tyyppisiin testauksiin isompia herkemmin. Suuremmissa yrityksissä yksittäisen henkilön lankeemuksen todennäköisyys nousee luonnollisesti henkilömäärän mukaan.

– On kuitenkin tärkeä huomioida, että yrityksen koko ei tuo turvaa; hyökkäyksiä kohdistuu samalla mitalla niin isoihin kuin pieniin organisaatioihin, ja jo yksikin vuodettu tunnus voi olla liikaa, Karhula muistuttaa. – Yleisin hyökkäyskanava yrityksiä vastaan on sähköposti, ja sen kautta on helppo lähestyä joka kokoluokan organisaatioita.

Tutustu tarkempiin tuloksiin täältä.

Suojautumisen tärkeyteen tulisi havahtua

– Nyt viimeistään olisi nykypäivän levottomassa tietoturvamaailmassa seilaavien yritysten aika kääntää katseensa tietoturvaan ja sen tilaan. Vaikka yritystä kohtaa tänä päivänä todennäköisemmin tietomurto kuin tulipalo, niin edelleen suuressa osassa PK-yrityksiä nukutaan autuaasti ruususen unta tuudittautuen harhakuvitelmaan siitä, että oma yritys on turvassa hyökkäyksiltä, herättelee Karhula ja jatkaa:

– Tietojenkalastelulta suojautumiseen löytyy keinoja, ja paras tulos saavutetaan henkilökunnan säännöllisen tietoturvakoulutuksen ja teknisten ratkaisujen yhdistelmällä.

– Tietoturvaa tulisi ajatella jatkuvasti kehittyvänä kerroksellisena kokonaisuutena. Jos yksi kerros läpäistään, ei päästä kuitenkaan heti ytimeen, Frendyn oma tietoturvalähettiläs summaa.

Työntekijöiden tietoturvaosaamisen lisäämiseksi löytyy Frendyltä asiakkaan tarpeen mukaiseksi muokattava tietoturvakoulutuspalvelu. Tietoturva-asiantuntijat puolestaan auttavat vahvalla asiantuntemuksella teknisten ratkaisujen toteutuksessa.

Lisätietoa antaa: Tuomas Karhula, liiketoimintapäällikkö, Frendy Oy
tuomas.karhula@frendy.fi, puh. 044 5021 214

---

Heräsikö huoli yrityksen tietoturvasta?

Ota yhteyttä Frendyn asiantuntijoihin, ja tilkitään yhdessä kaikki rikollisen mentävät aukot!

---

Phishing-kilpailu tulee taas!

Kutsumme suomalaiset PK-yritykset osallistumaan Phishing–kilpailuun, jonka tuloksena selviää yrityksenne IT-käyttäjien tietoturvatuntemuksen taso. ​Kampanjassa kohdennamme yritykseenne teille räätälöidyn tietojenkalastelusimulaation, jolla yritetään saada käyttäjät klikkaamaan linkkiä, eli tarttumaan syöttiin. Kilpailu käydään kahdessa sarjassa ja molempien sarjojen voittajat palkitaan lahjakortein. ​

Katso hinnat ja ilmoittautumisohjeet » Kalastelukilpailu tulee taas