Kyberrikollisuus on kasvanut huimaa vauhtia viime aikoina ja sen torjuminen on yrityksille haastavaa.
Rikos meni verkkoon -teoksen Kati Norpan kanssa kirjoittanut Elisan aluejohtaja Juha Peltomäki kuvaa verkkorikollisuuden toimivan kuin mikä tahansa muu palvelusektori. Erilaisia tuotteita luottokorttitiedoista kyberaseiden suunnitteluun myydään melko avoimesti.
Varastetun amerikkalaisen luottokortin arvo on yksi dollari, eurooppalaisen viisi dollaria ja kaapatun Facebook-tilin saa haltuunsa satasella. Suomalaispankkeja riivanneiden palvelunestohyökkäysten arvo oli asiantuntijoiden mukaan muutamia satasia. Tuhat murrettua konetta voi ostaa 20 dollarilla.
It-palveluyhtiö CGI:n kyberturvallisuusjohtaja Jan Mickos arvioi, että verkkorikollisuuden globaali liikevaihto on nykyisin jo samaa tasoa huumekaupan kanssa, noin 400 miljardia dollaria.
Suurin osa hyökkäyksistä kohdistuu edelleen varomattomiin kuluttajiin, mutta yhä useammin hyökkäyksen kohteena ovat yritykset. Tyypillisessä tapauksessa tarkoituksena on urkkia tuotekehittelyyn tai kilpailutukseen liittyvää arvokasta tietoa vakoiluohjelmien avulla.
Vakoiluohjelma saatetaan asentaa esimerkiksi yrityksen avainhenkilön koneelle ottamalla ensin kohdehenkilöstä julkisten lähteiden kautta sen verran selvää, että pystytään rakentamaan kyseiselle henkilölle mahdollisimman houkutteleva sähköposti. Kun kohdehenkilö klikkaa linkkiä, vakoiluohjelma siirtyy koneelle.
– Tavallisen toimistotyöntekijän verkkoympäristö on vielä yleensä varsin avoin. Jos joku sitten avaa väärän linkin, ovat koko firman tiedot helposti esillä, Jan Mickos selventää.
Koska kyberuhat ovat niin uusia, turvallisuusjärjestelmiä ei ole vielä kehitetty vastaavalle tasolle. Tähän vaikuttaa myös yritysten taloudellinen tilanne, sillä turvallisuusjärjestelmien kehittäminen on hintavaa.
Kybermaailmassa hyökkääminen on halpaa, mutta puolustautuminen kallista. Varsinkin pienillä yrityksillä ongelmana on se, että niiden on näkyvyyden vuoksi pakko olla verkossa esillä, mutta varat eivät riitä kyberturvallisuuden parantamiseen.
– Hyökkäämistä voi tehdä harrastuspohjalta ilmaisilla työkaluilla ilman kiinnijäämisen riskiä. Puolustaminen on paljon kalliimpaa. Etenkin, jos sitä varten joudutaan palkkaamaan työvoimaa, kommentoi Mickos.
Hän arvelee esimerkiksi suomalaisiin verkkopankkeihin kohdistuneiden palvelunestohyökkäysten maksaneen vain muutamia satoja euroja. Pankkien lamaantuminen on hyvä esimerkki kyberteknologian edelläkävijänä pidetyn Suomen haavoittuvuudesta.
– Jos haluaa olla turvassa, pitää rakentaa riittävän hyvät suojaukset. Kun palvelunestohyökkäys on päällä, sille ei enää ole hirveästi tehtävissä, Mickos toteaa.
Usein yritykset eivät edes huomaa joutuneensa verkkohyökkäyksen kohteeksi: yhdysvaltalaisen Center for a New American Security -turvallisuuskeskuksen raportin mukaan vain kuusi prosenttia organisaatiosta pystyi tunnistamaan joutuneensa kyberhyökkäyksen kohteeksi, vaikka sellainen olisi parhaillaan käynnissä.
Jan Mickos myös huomauttaa, että sataprosenttista turvaa ei saa millään rahalla.
– Jos taas ei tee mitään, ovat vahingot todennäköisiä. Jostain siltä väliltä on löydettävä riskiarvioinnin avulla se kohta, kuinka paljon juuri tämä yritys on valmis panostamaan, hän lisää.
– Ja valitettavasti tämä on vasta alkua. Kyberrikollisuus kasvaa edelleen.
Suomessa on esimerkiksi terveydenhuollossa panostettu yksityisyydensuojaan ja lopullisten lääkintätuotteiden turvallisuus on hyvä. Jonkin verran huolissaan pitäisi suomalaisen kuluttajan silti Mickosin mielestä olla.
– Ne laitteet voidaan liittää sellaisiin toiminnanohjausjärjestelmiin, joiden suojaus ei ole samalla tasolla. Silloin voi löytyä rajapintoja hyökkäyksille, hän toteaa.
