Mikä on toimitusjohtajahuijaus?

Toimitusjohtajahuijauksessa – tai pomohuijauksessa – rikollinen esiintyy yrityksessä johtavassa asemassa olevana henkilönä ja pyytää työntekijää tekemään jonkin toimenpiteen hänen puolestaan. Pyyntö voi liittyä esimerkiksi laskun maksamiseen tai tilisiirron tekemiseen.

Rikollisen tarkoituksena on saada rahaa liikkeelle. Verkkorikollinen luottaa siihen, että alainen tottelee pomon pyyntöjä, etenkin jos pyyntö tulee toimitusjohtajalta, talousjohtajalta tms. korkeassa asemassa olevalta henkilöltä.

Toimitusjohtajahuijauksiin liittyy usein seuraavia asioita:

  • Pomo edellyttää sinulta nopeaa rahansiirtoa tai laskun maksua.
  • Pyyntö saapuu sähköpostilla, pomon nimissä.
  • Pomo vaatii, että asiaa käsitellään luottamuksellisena.
  • Pomo ei voi antaa lisätietoja, hän vetoaa omaan kiireeseen.

Tiedän tapauksen, jossa yksi firman ”talousjohtaja” pyysi yhtäkkiä työntekijää tekemään 73000e ulkomaan tilisiirron. Saman firman ”toimitusjohtajalle” olisi onneksi riittänyt ihan vain 50e lahjakortti Steam-pelipalveluun. Kohtuus kaikessa! 😉

Esimerkki toimitusjohtajahuijauksesta

Ohessa on todelliseen tapaukseen perustuva esimerkki toimitusjohtajahuijauksesta.

esimerkki toimitusjohtajahuijauksesta

Kuvan huijauksessa rikollinen yrittää olla tuttavallinen ja herättää luottamusta. Lähettäjän nimi vaikuttaa tutulta ja viestissä puhutellaan juuri sinua. Rikollinen aloittaa viestinnän helpolla kysymyksellä ja yrittää näin muodostaa keskusteluyhteyttä kanssasi. Jos vastaat tähän jotain, niin todennäköisesti seuraavissa viesteissä rikollinen kertoo, paljonko euroja tarvitaan.

Sähköpostiosoitetta ei ole väärennetty, se paljastaa huijarin. Viestissä oleva linkki saattaa myös viedä haitalliselle sivustolle.

Näin suojaudut toimitusjohtajahuijauksilta

Huomioi alla olevat asiat, etenkin loma-aikoina:

  • Suhtaudu tilisiirtoihin ja laskuihin liittyviin pyyntöihin erityisellä huolellisuudella.
  • Odotatko laskua? Kerro tämä etukäteen varahenkilöllesi.
  • Unohda kiire, vaikka laskun väitetään olevan myöhässä.
  • Keskustele tiimin kesken, mitä asioita toimitusjohtaja tai muu esihenkilö ei pyydä sähköpostilla.
  • Muista arjen tietoturva: ole tarkkana liitteiden ja linkkien kanssa.
  • Soita työkaverille varmistuspuhelu, jos jokin hänen pyyntönsä epäilyttää.
  • Noudata organisaatiossa sovittua tapaa laskujen vastaanottamisesta ja maksamisesta.
  • Ota yhteyttä organisaatiosi IT-asiantuntijaan, jos saat epäilyttäviä viestejä.

Muista: Kiireeseen vetoaminen ja yksittäisen henkilön painostus ovat merkittäviä tekijöitä toimitusjohtajahuijausten onnistumisessa!

Kyberharjoittelu – kokemuksia ja vinkkejä

On olemassa kaksi tapaa, jolla voit valmistautua toimimaan erilaisissa tietoturvapoikkeamissa tai kyberkriiseissä – käytännön kokemus ja harjoittelu.

Vaikka kannatankin käytännön kokemusta, niin tässä asiassa olen pelkän kyberharjoittelun puolella 😉

Kyberharjoituksen voi järjestää monella eri tavalla. Olen itse päässyt osallistumaan kyberharjoitukseen niin harjoittelijan, järjestäjän kuin tarkkailijankin roolissa. Näissä tilaisuuksissa oppii ihan valtavasti.

Ohessa kokemuksia ja vinkkejä.

Kyberharjoitukseen valmistautuminen on tärkeää.

Ja valmisteltavaa riittää, pienissäkin harjoituksissa. Määrittele, mitä haluat harjoitella. Mitä harjoituksella tavoitellaan? Tee konkreettinen suunnitelma harjoituksen etenemisestä. Valmistele harjoittelijoille lähetettäviä syötteitä, kuten esim. rikollisten yhteydenottoja, kuvakaappauksia, somepoimintoja, verkkouutisia, puheluita jne. Jos harjoitukseen osallistuu useampi työntekijä, niin varaa harjoittelijoille tilat, laitteet. Ja miksei eväätkin!

Kyberharjoituksen käsikirjoittajalla on kuitenkin suuri vastuu – yhteen harjoitukseen ei pidä ahnehtia mukaan kaikkea mahdollista.

Viestinnän merkitys on (harjoittelussakin) valtava.

Kybertilanteen hallinta vaatii paljon viestintää. Kyberharjoitus on hyvä paikka harjoitella tätä.

Viesti organisaation johdolle, miksi harjoittelemme ja miksi on tärkeää, että kaikki osallistuvat. Hyvällä ennakkoviestinnällä saadaan harjoittelijat valmistautumaan harjoitukseen ja virittäytymään päivän tunnelmaan.

Harjoittelijoiden on viestittävä jatkuvasti keskenään. Mitä on tapahtunut, mikä on tilannekuva ja mitä tehdään seuraavaksi? Mitä viestitään asiakkaille, työntekijöille, alihankkijoille ja viranomaisille? Mitä aiheesta viestitään harjoituksen jälkeen osallistujille ja muille työntekijöille? Kerro mitä on opittu!

Vinkkinä voin todeta, että viesti myös niille työntekijöille, jotka eivät osallistu harjoitukseen. Voi nimittäin olla jälkikäteen hieman selittelemistä, miksi iso kasa asiantuntijoita ja organisaation johtoa kohkaa valtavasta kyberhyökkäyksestä!

Tee harjoiteltavat asiat oikeasti

Kyberharjoituksessa voi tulla eteen tilanne, jossa työntekijöille tai asiakkaille pitää kirjoittaa tiedote tapahtuneesta, esim. kyberhyökkäyksestä. Eläydy tilanteeseen todenmukaisesti – kirjoita tiedote oikeasti. Älä tyydy toteamaan, että julkaisemme nyt leikisti asiakastiedotteen.

Kirjoittamalla asiakastiedotteen harjoituksen aikana huomaat, että ei se teksti muodostukaan ihan tuosta vain. Kirjoittaminen vie aikaa. Harjoitustilanne itsessään voi myös hermostuttaa, joka ei varmastikaan auta tekstin tuottamista. Tiedotteen pitäisi olla tarpeeksi informatiivinen, mutta samalla pitäisi olla tarkkana sanavalintojen kanssa. Huomaat pian, että materiaalit kannattaisi olla etukäteen tehtynä.

Kyberharjoittelu syö resursseja oikein kunnolla!

Harjoittelu vie aikaa ja energiaa. Valmistelu, harjoittelu, jälkipuinti. Tekemistä riittää, aikaa kuluu ja harjoittelu siirtää muita töitä. Valitettavasti täysin totta. Siksi onkin niin helppoa todeta, että emme käytä resursseja harjoitteluun. Tai että ”minulla on muuta tekemistä”.

Harjoittelussa on kuitenkin se etu, että ajan voi käyttää nyt rauhassa toimien. Tositilanteessa tekosyitä ei sallita. Ja kiire on ihan eri luokkaa. Stressitasoista puhumattakaan.

Tarkkailija on tärkeämpi kuin tietoturvapäällikkö

Kyberharjoituksessa tarkkailijalla on tärkeä tehtävä. Hänen tulee kirjata talteen havaintoja tapahtumista. Kuka teki ja mitä? Mitä päätöksiä tehtiin? Minne oltiin yhteydessä? Toimiko viestintä? Entä työkalut? Noudatettiinko suunnitelmaa? Saatiinko tilannekuvaa muodostettua riittävästi?

Tarkkailijana on mahdollista katsoa organisaation toimintaa eri näkökulmasta. Voit unohtaa hetkeksi oman tehtäväsi ja seurata muiden toimintaa. Tietoturvapäällikkönä voin auttaa organisaatiota harjoituksessa oman roolini kautta, mutta tarkkailijana sekä minä että organisaatio opimme enemmän!

Harjoittelu nostaa onnistumisen todennäköisyyttä – kyberturvallisuudessakin!

Lisätietoja esim:

Muutto on mahdollisuus – sössiä tietoturva

Paikallisella firmalla on muutto kesken – ollut jo muutaman kuukauden. Ohessa havaintoja (case 1). Perässä myös pari muuta tapausta tosielämästä.

Case 1: Muutto kesken

Osa asiakastiedoista säilytetään perinteisesti mapeissa ja mapit on nimetty asiakkaittain. Mapit on sijoitettu siististi muuttolaatikoihin. Laatikko on sen verran lähellä ikkunaa, että asiakkaat on helposti tunnistettavissa.

Työpöytä on myös ikkunapaikalla, tottakai. Siinä on (helposti varastettava) läppäri ja työstettävät paperit siistissä järjestyksessä. Näyttöä voi katsella kadulta.

Vaikka papereista ja asiakastiedoista ei mitään luottamuksellista löytyisikään, niin ei tämä toimintamalli ainakaan luotettavuutta lisää. Entäs varmuuskopiot, jos paperit ja läppäri lähtee? Laittaisi nyt vaikka jonkun näkösuojan papereiden ja laatikon päälle. Ja läppärin piiloon.

Muista puhtaan pöydän periaate.

Case 2: Paperiton toimisto

Muutto on hyvä mahdollisuus digitalisoida toimintaa. Kaikki turhat paperit kiertoon. Itsekin olen pari kertaa istunut silppurin vieressä ja pohtinut, mahtuisiko vielä viideskin paperi samalla kerralla silppuriin.

Aina paperishow ei mene yhtä putkeen. Joskus papereita saa jahdata pihalla tuulessa ja sateessa. Tietoturvaa edistävää taukoliikuntaa!

Case 3: Tarkista mihin muutat

Kerran erään yrityksen IT-asiantuntija pohti, missä mahtaa olla toimistotilan datakaappi. Se, mihin perinteiset nettijohdot kytketään. Ilmeni, että kaappi oli toimistotilan ulkopuolella olevalla käytävällä. Samassa kaapissa oli myös toisen toimiston verkkopistokkeet. Käytännössä kuka tahansa rakennuksessa vieraileva henkilö olisi voinut kytkeä itsensä näiden toimistojen tietoverkkoon.

Toimitilojen tietoturvaohjeesta (VAHTI 2/2013) saa hyviä vinkkejä toimiston fyysiseen tietoturvallisuuteen

Muutto on erikoistilanne, joka mittaa yrityksen tietoturvakulttuuria.

Tietoturvavakuutus ja kybervakuutus – mitä nämä ovat?

Tietoturvavakuutus tai kyberturvavakuutus auttaa yritystä tilanteessa, jossa yritys kohtaa äkillisen tietoturvaongelman, tietoturvapoikkeaman, tietoturvaloukkauksen…

Digitalisoitunut liiketoimintaympäristö aiheuttaa yritykselle erilaisia riskejä. Kybervakuutus on yksi keino hallita näitä riskejä. Vakuutuksen avulla yritys voi siirtää osan riskeihin liittyvistä kustannuksista vakuutusyhtiölle.

Millaisia asioita tietoturvavakuutus korvaa?

Tietoturvavakuutuksista mahdollisesti korvattavia kuluja muodostuu erilaisista asioista. Korvauskäytännöt vaihtelevat vakuutusyhtiöittäin. Kannattaa miettiä oman yrityksen tarpeita ja valita vakuutukset sen perusteella.

Erilaisten tietoturvaongelmien selvittäminen ja ongelmista palautuminen vaatii aikaa ja tekijöitä. Usein kyseessä on erityisosaamista vaativa asiantuntijatyö, joka tietysti maksaa enemmän, kuin normaali IT-ylläpitotyö.

Korvattavia kuluja voi syntyä esimerkiksi tietoturvapoikkeaman selvittämisestä, haittaohjelman poistamisesta ja tietojen palauttamisesta varmuuskopioista.

Palvelunestohyökkäys, tietomurto tai haittaohjelma voi johtaa koko liiketoiminnan keskeyttämiseen, ja tästä aiheutuu taloudellista haittaa.

Henkilötietoihin kohdistunut tietoturvaloukkaus voi edellyttää GDPR:n mukaista ilmoitusvelvollisuutta rekisteröidyille, ja tästä saattaa aiheutua kustannuksia. Lopputuloksen voi olla myös korvausvastuu rekisteröidyille.

Poikkeamaan liittyvä negatiivinen julkisuus saattaa aiheuttaa yritykselle merkittävää mainehaittaa. Vakuutuksista voi saada korvauksia erillisen viestintätoimiston käyttöön, jotta tilanteesta pystytään viestimään mahdollisimman hyvin ja ammattimaisesti.

Korvataanko lunnaat?

Yleisohje on se, että kiristykseen liittyviä lunnaita ei tule maksaa, koska tämä ruokkii rikollisuutta. Lisäksi ei ole takeita, että rikollinen pitää lupauksensa, kun hän on saanut rahat.

Vakuutus saattaa kuitenkin korvata myös kiristyksestä tai haittaohjelmista aiheutuvat lunnasvaatimukset. Tarkista tämä vakuutusyhtiöltä.

Mitä tietoturvavakuutus edellyttää yritykseltä?

Kybervakuutusten saaminen edellyttää vakuutusyhtiön suojeluohjeiden noudattamista – ja nämä ohjeet kannattaa lukea tarkkaan! Ohjeiden noudattamatta jättäminen saattaa johtaa korvauksenhakutilanteessa korvauksen alenemiseen tai korvaus voidaan jättää jopa kokonaan maksamatta.

Tyypillisesti suojeluohjeissa organisaatiolta vaaditaan vähintään hyviä käyttäjätunnus- ja salasanakäytäntöjä, asianmukaisesti ylläpidettyjä tietoturvaohjelmistoja ja säännöllisiä varmuuskopioita.

Suojeluohjeissa voidaan edellyttää myös muita asioita, kuten esimerkiksi tietynsisältöistä tietoturvapolitiikkaa. Lisäksi vakuutusyhtiö tarkastaa yrityksen tietoturvakäytännöt ennen vakuutuksen myöntämistä. Tämä edellyttää rehellisiä vastauksia tietoturvan tilasta.

Itse asiassa kokonaisuus voi tuntua jopa hieman koomiselta – tietoturva pitää olla kunnossa, jotta saat tietoturvavakuutukset.
Näiden ei kuitenkaan pitäisi olla ongelma – huolehdithan tietoturvasta muutenkin! 😉

Psst! Entäs ne GDPR-sakot, korvataanko ne?

Hallinnollisia sakkoja ja muita seuraamusmaksuja, kuten ”GDPR-sakkoja” vakuutuksista ei korvata – tämän kieltää Finanssivalvonta. Perustelut ovat itsestäänselvät:

”Finanssivalvonta ei katso hyvän vakuutustavan mukaiseksi vakuuttaa sellaista riskiä, jonka vakuuttaminen saattaisi edistää toimijoiden piittaamattomuutta sääntelyn noudattamista kohtaan ja jonka riskin vakuuttamisella kyseenalaistetaan toimijoiden velvollisuus noudattaa sitä koskevaa sääntelyä. Tällaisen riskin vakuuttaminen on ristiriidassa yhteiskunnassa yleisesti hyväksyttyjen arvojen kanssa.” (Lähde: FIVA 3/01.02/2018)

Lähteitä ja lisätietoja:

Mitkä ovat ehdottomat minimivaatimukset turvalliselle ICT-hankinnalle?

Oletko hankkimassa IT-palveluita ja pohdit niiden tietoturvavaatimuksia? Tai tarjoatko IT-palveluita muille? Euroopan unionin kyberturvallisuusvirasto ENISA:n nettisivuilla on vapaasti saatavilla ohje (01/2017), jossa kerrotaan turvallisen ICT-hankinnan ehdottomat minimivaatimukset.

Vaatimukset on kirjattu sen verran yleisesti, että ne sopivat niin palveluiden, järjestelmien kuin laitteidenkin hankintaan. Palveluntarjoajat saavat ohjeesta puolestaan tietoa, miten kokonaisuudet kannattaisi rakentaa.

Ohjeella ja siinä olevilla vaatimuksilla tavoitellaan sitä, että EU:n sisämarkkinoille tuotettaisiin turvallisia ICT-tuotteita, -järjestelmiä ja -palveluita.

Ohessa on ENISA:n kymmenen vaatimusta vapaasti suomennettuna ja tiivistettynä:

Suunniteltu turvalliseksi: Tuote tai palvelu on suunniteltu ja konfiguroitu niin, että se ei sisällä turhia tai piilotettuja toiminnallisuuksia, eikä turvattomia teknologioita.

Turvallisuuslähtöistä suunnittelua voi verrata tietosuojalainsäädännöstä tuttuun sisäänrakennettuun ja oletusarvoiseen tietosuojaan (GDPR, 25 artikla).

Noudattaa vähimpien oikeuksien periaatetta: Käyttäjätunnuksiin kytketään oletuksena vain ne käyttöoikeudet, jotka on tarpeen. Ei siis käytetä turhaan esim. pääkäyttäjätunnuksia päivittäisessä toiminnassa. Tunnukset ja salasanat on ostajan hallittavissa.

Tukee vahvaa tunnistautumista: Palvelu tai järjestelmä tukee vahvaa tunnistautumista ja varmistaa, kuka henkilö tai mikä laite on kirjautumassa. Tähän liittyy esim. kaksivaiheinen tunnistautuminen.

Kriittisen tiedon suojaus on kokonaisvaltaista: tietoa, järjestelmiä ja laitteita suojataan kunnolla, erityisesti kriittisen tiedon tallennuksen ja siirron yhteydessä.

Toimitusketjun turvallisuus on huomioitu: tuotteet, järjestelmät, laitteet jne. on alkuperäisiä eli kukaan ei ole päässyt muuttamaan niitä toimituksen aikana.

Dokumentaatio on läpinäkyvää: kokonaisuudesta on olemassa kattava ja ymmärrettävä dokumentaatio, jossa kerrotaan palvelun/järjestelmän/tuotteen toimintaperiaatteista, toiminnallisuuksista, protokollista, turvallisuudesta jne.

Turvallisuus on todennettavissa: toimittaja pystyy todentamaan sen, että tietoturvallisuus ja vaatimuslistassa olevat asiat on huomioitu elinkaaren eri vaiheissa.

Jatkuvuus on taattu: toimittaja tukee palvelun jatkuvuutta ja varmistaa, että järjestelmä pysyy turvallisena koko sen elinkaaren ajan.

Kokonaisuus on EU:n lainsäädännön alainen: toimittaja ja alihankkijat toimivat EU:n lainsäädännön alaisina. Jos heitä sitoo EU:n ulkopuolinen lainsäädäntö, tästä on kerrottava etukäteen.

Tietojen keruu on rajattua ja perusteltua: toimittaja kuvaa, mitä tietoja kerätään ja miksi.

Minimivaatimukset on järkeviä ja itsestäänselviä asioita.