Huijarit horjuttavat taloushallinnon kyberturvaa
Kyberturvallisuus mielletään usein asiaksi, jonka IT-osasto hoitaa palomuurien ja virustorjunnan avulla. Tämä ajatusmalli on itse asiassa yksi suurimmista syistä siihen miksi organisaatiot epäonnistuvat kyberturvallisuuden hoitamisessa. Avain toimivaan kyberturvallisuuteen on sen viemisessä osaksi organisaation jokapäiväistä toimintaa. Miten tämä toteutetaan käytännössä?
Palataan siihen kohta, mutta käydään ensin läpi, miten kyberrikolliset toimivat tänä päivänä. Kun ymmärtää asian kyberrikollisten näkökulmasta, on helpompi ymmärtää miten heiltä voi suojautua.
Kyberrikollisuuden taustalta löytyy yleensä hyvin tuttu motiivi – raha. Kyberrikollisten toiminta on nykypäivänä hyvin organisoitunutta – voidaan puhua rikollisten ekosysteemistä, joka koostuu tuottajista, palveluntarjoajista ja asiakkaista. Kaupankäynti kyberrikollisten kesken tapahtuu pimeän verkon kauppapaikoilla ja valuuttana toimii bitcoin. Tämä rikollisten ekosysteemi tarjoaa nykypäivänä kenelle tahansa rikollisille poluille haluavalle helpon tavan päästä alkuun. Nykyään kyberrikollisten ei tarvitse itse tehdä kaikkea, sillä hyökkäyksiin tarvittavat komponentit voi helposti ostaa.
Taloushallinnon näkökulmasta suurin uhka on erilaiset huijaukset, joissa rikolliset pyrkivät saamaan uhriksi valikoidun organisaation maksamaan rahaa heille. Yksinkertaisimmillaan huijaus tehdään lähettämällä väärennetty sähköposti toimitusjohtajan nimissä taloushallintoon. Viestissä vedotaan usein arkaluonteiseen tilanteeseen ja kiireeseen. Hienostuneemmissa huijauksissa on usein mukana myös tietomurto, jonka avulla rikolliset pääsevät käsiksi uhrin sähköpostiin.
Käytännössä huijaus toimii niin, että ensimmäiseksi rikolliset lähettävät uhrille sähköpostitse tietojenkalasteluviestin. Viestissä on yleensä jonkinlainen taustatarina, jolla käyttäjä ohjataan rikollisten verkkosivuille jotka kysyvät sähköpostin käyttäjätunnusta ja salasanaa. Tästä hyökkäys etenee niin, että rikolliset kirjautuvat uhrin sähköpostiin ja etsivät sieltä viestejä, jotka sisältävät laskutustietoja. Rikolliset muuttavat näitä tietoja ennen kuin varsinainen vastaanottaja on niitä lukenut ja saavat näin ohjattua maksut omille tileilleen. Uhrin näkökulmasta kaikki näyttää normaalilta ja yleensä huijaus paljastuukin vasta siinä vaiheessa, kun organisaatio saa karhukirjeen puuttuneesta maksusuorituksesta.
Koska monet taloushallintoon kohdistuvat kyberrikokset perustuvat huijaamiseen, on niiden torjuminen puhtaasti teknisin keinoin haastavaa. Toki päätelaitteiden, kuten tietokoneiden ja puhelinten, suojaus pitää olla kunnossa ja sähköpostiin kirjautuminen kannattaa suojata vahvalla tunnistuksella, mutta tämä ei yksistään riitä.
Oli tilanne miten kiireellinen tai arkaluontoinen tahansa, maksuja ei tulisi suorittaa pelkän sähköpostin perusteella.
Tehokkaan suojan rakentaminen lähtee erityisesti taloushallinnon prosesseista. Maksuprosessit tulisi rakentaa noudattaen neljän silmän periaatetta, eli niin, että kukaan yksittäinen henkilö ei yksin normaalitilanteessa suorita koko maksuketjua laskun tarkistuksesta maksatukseen. Lisäksi prosesseissa tulisi ottaa huomioon maksutietojen oikeellisuuden tarkistus. Pelkästään sähköpostilla toimitettuja maksutietojen muutoksia ei tulisi hyväksyä, vaan ne on aina syytä varmistaa esimerkiksi soittamalla puhelinvaihteen kautta tiedot toimittaneelle taholle. Ylipäätään on tärkeää miettiä prosessit niin, että pelkästään taloushallinnon työntekijän sähköpostiin pääsy ei mahdollista rikolliselle maksujen väärentämistä. Toinen aivan yhtä tärkeä asia on kuri laadittujen prosessien noudattamisessa. Oli tilanne miten kiireellinen tai arkaluontoinen tahansa, maksuja ei tulisi suorittaa pelkän sähköpostin perusteella.
Myös henkilöstön koulutukseen ja tietoisuuden nostamiseen kannattaa panostaa. Kun organisaatio tunnustaa, että kuka tahansa voi joutua kyberrikoksen kohteeksi ja ottaa kyberturvallisuuden osaksi jokapäiväistä toimintaansa, ovat avaimet onnistumiseen olemassa.
