Taloushallinnon tietoturvassa ja maksatuskäytännöissä kehitettävää
Syksyn aikana on tullut tietoon tapauksia, joissa rikollinen on saanut haltuunsa yrityksen tai tilitoimiston käyttäjän salasanan ja päässyt kirjautumaan taloushallintojärjestelmään. Eräissä tapauk-
sissa rikollinen on ehtinyt tehdä taloushallintojärjestelmästä maksuja yrityksen tai tilitoimiston asiakkaiden tileiltä. Tällaisissa tilanteissa riskinä on myös yritysten työntekijöiden henkilötietojen ja yritysten liikesalaisuuksien päätyminen rikollisen käsiin.
Rikollinen voi saada haltuunsa taloushallinto-ohjelmiston käyttäjän käyttäjätunnuksen esimerkiksi seuraavilla tavoilla:
- Käyttäjällä on ollut sama käyttäjätunnus ja salasana toiselle verkkosivustolle, ja rikolliset ovat saaneet haltuunsa nämä toisen tietomurron yhteydessä.
- Rikollinen on harhauttanut käyttäjän taloushallinto-ohjelmiston kirjautumista jäljittelevälle verkkosivulle ja käyttäjä on ”kirjautuessaan” huijaussivustolle antanut käyttäjätunnuksen ja salasanan.
Tämän tyyppinen tietomurto on mahdollinen kaikissa ohjelmistoissa, joissa käytössä ei ole monivaiheista tunnistautumista. Vastaavaa rikoksen tekotapaa on sovellettu myös Microsoft-tilien kaappaamisessa esimerkiksi ”haluan jakaa asiakirjan kanssasi” viestien avulla.
Monivaiheinen tunnistautuminen tekee tietomurrosta rikolliselle huomattavasti vaikeamman, koska pelkkä käyttäjätunnus ja salasana eivät riitä. Lisäksi tarvitaan käyttäjän esimerkiksi matkapuhelimellaan antama ylimääräinen varmistus. Monivaiheinen tunnistus estää tai vähintään hidastaa ja hankaloittaa rikollisten maksutapahtumien toteuttamista myös niissä tilanteissa, joissa rikollinen on jo saanut käyttäjätunnuksen ja salasanan hallintaansa.
Valitettavasti rikoksia on tehty myös esimerkiksi kaappaamalla käyttäjän pankkitunnus tai mobiilivarmenne. Rikollisten pääsyä ohjelmistoihin ei siis voida sataprosenttisella varmuudella estää. Tämän vuoksi myös taloushallinto-ohjelmistojen käyttöoikeuksien määrittämiseen ja rajaamiseen on syytä paneutua huolella. Tämä tarkoittaa luonnollisesti myös palkkaohjelmistoja ja muitakin ohjelmistoja, joissa on maksatustoiminto.
Käyttäjien käyttöoikeudet tulee rajata asianmukaisesti. Pääkäyttäjätunnuksia ei tule myöntää kaikille käyttäjille. Käyttäjien pääsy tulee myös rajata vain niihin asiakasyrityksiin, joita käyttäjät tosiasiallisesti hoitavat. On myös syytä vakavasti pohtia, onko hyväksyttävää, että sama käyttäjä voi luoda tai muuttaa toimittajan tilinnumeron ja suorittaa tililtä maksuja esteettä ja rajoituksetta. Rajoituksettomat maksatusoikeudet ovat iso riski myös taloushallinnon ammattilaisten suorittamien kavallusten näkökulmasta. Yritysten talousosastojen ja tilitoimistojen vastuuhenkilöiden on syytä perehtyä omien ohjelmistojensa tarjoamiin mahdollisuuksiin rajata käyttöoikeuksia ja valvoa maksuliikennettä.
Teknisten hallintatoimien ohella jokaisen käyttäjän kannattaa olla valppaana epäilyttävien tai arveluttavien tapahtumien osalta. Parhaatkaan tietoturvan hallintatoimet eivät voi ehkäistä kaikkia uhkia, joten ihmisen rooli lenkkinä tietoturvan ketjussa on tärkeä. Käyttäjien on syytä matalalla kynnyksellä varmistaa kirjautumispyyntöjen aiheellisuus, linkkien todenperäisyys tai maksutapahtumien aitous. Jos jokin tilanteessa epäilyttää, aina kannattaa soittaa tai kysyä pyynnön lähettäjältä asiasta.
