Onko yrityksesi joutunut inhimillisen hakkeroinnin kohteeksi?

21.09.2015

EK:n asiantuntija Mika Susi selvittää artikkelissaan, mitä inhimillisellä hakkeroinnilla tarkoitetaan, mitä sillä tavoitellaan ja keneen se voi kohdistua. Paras tapa suojautumiseen on ihmispalomuuri.

Inhimillinen hakkerointi tai sosiaalinen manipulointi (social engineering) tarkoittaa henkilöön kohdistuvaa tiedonhankintaa, jossa käytetään sosiaalisen vaikuttamisen ja harhautuksen keinoja.

Kyse on yrityksen henkilökuntaan kohdistuvasta tiedustelusta, jonka avulla pyritään saamaan aikaan hyökkääjän tavoittelema tapahtuma.

Tavoitteena voi olla esimerkiksi välitön taloudellinen hyöty tai yritykselle kriittisen tiedon anastaminen. Joskus taustalla voi olla myös poliittinen motiivi.

Ihmistä on helpompi huijata

Yrityksen tietoja havittelevan hyökkääjän on usein helpompi huijata ihmistä kuin murtaa tietojärjestelmien tekniset suojaukset.

Inhimillisessä hakkeroinnissa pyritään käyttämään hyväksi kohteen luottamusta. Hyökkääjä voi ottaa yritykseen yhteyttä esimerkiksi puhelimitse, sähköpostitse, sosiaalisessa mediassa tai jopa tulla henkilökohtaisesti käymään.

Toimintamallina voi olla vaikkapa luotettavana tahona, kuten palveluntuottajana, asiakastukena tai viranomaisena esiintyminen.

Inhimillinen hakkerointi ei välttämättä ole yksittäinen tapahtuma, vaan se voi olla sarja erilaisia tiedonhankinnan ja vaikuttamisen keinoja.

Kansainvälisten tutkimusten mukaan sosiaalisen vaikuttamisen keinot ovat usein olleet osana yrityksiin kohdennettuja hyökkäyksiä.

Kannattaakin muistaa, että lähes huomaamaton sosiaalinen vaikuttaminen voi kestää pitkään luottamuksen rakentamiseksi ennen varsinaista hyökkäystä.

Inhimillistä hakkerointia ei ole aina helppo tunnistaa. Hyökkäys voi kohdistua yrityksessä lähes keneen tahansa. Olennaista on, että kohteeksi joutunut henkilö pystyy toiminnallaan mahdollistamaan hyökkääjän tavoitteleman lopputuloksen.

Kohteita voivat olla yrityksen johto avustajineen, muut avainhenkilöt tai vaikkapa yrityksen tiloissa toimiva yhteistyökumppanin palveluhenkilöstö.

Vaikuttamisen tavoitteena voi olla esimerkiksi harhauttaminen aiheettomaan maksusuoritteeseen, salasanojen kalastelu, haittaohjelman saaminen yrityksen tietoverkkoon tai yrityksen toimitiloihin tunkeutuminen.

Liikkeellä monenlaisia onkijoita

Inhimillistä hakkerointia tekevät monenlaiset toimijat. Viime aikoina huolta ovat herättäneet rikollisryhmät, jotka ovat harhauttaneet yritysten taloushallintoa väärennetyillä sähköposteilla.

Taustalla voi olla myös poliittinen motiivi tai kilpailijan toiminta. Samoin kansainväliset tiedustelupalvelut ovat perinteisesti käyttäneet sosiaalisen vaikuttamisen keinoja tiedonhankinnassaan.

Hyökkääjien kiinnostuksen kohteena voivat olla rahan lisäksi kiinnostavalla alalla toimivien yritysten tuotekehitys-, asiakas- ja hinnoittelutiedot sekä yrityksen hallussa mahdollisesti olevat viranomaisten luottamukselliset tiedot.

Tekniikka ei välttämättä auta, hanki ”ihmispalomuuri”

Asiantuntijoiden mukaan tehokkain tapa inhimilliseltä hakkeroinnilta suojautumiseen on tietoisuuden lisääminen. Yrityksen on hyvä kouluttaa henkilöstöään tunnistamaan, miten sosiaalista vaikuttamista pyritään tekemään.

Avainasemassa ovat myös yrityksen turvallisuusprosessien huolellinen suunnittelu, toteutus ja seuranta. Henkilöstöä kannattaa kannustaa raportoimaan tietoturvallisuuden mahdollisista poikkeamista.

Inhimillisessä hakkeroinnissa hyödynnetään usein avoimesti saatavilla olevaa tietoa. Siksi yrityksen ja erityisesti sen avainhenkilöstön pitäisi pohtia tarkasti, millaista tietoa he jakavat itsestään avoimiin tietoverkkoihin. Yrityksen on esimerkiksi hyvä laatia ohjeistus sosiaalisen median pelisäännöistä.

Tutkimusten mukaan tyytymättömät työntekijät ovat alttiimpia sosiaaliselle vaikuttamiselle. Työtyytyväisyydestä kannattaa siksi huolehtia – tiedostava ja motivoitunut henkilöstö edistää yrityksen turvallisuutta merkittävästi.