26.8.2005
Tietoturvallisuuden uutisoinnissa korostuu nykyisin yritysten ulkopuolisten vaarojen, kuten virusten, hakkeroinnin ja palvelunestohyökkäysten aiheuttama uhka yritystoiminnalle.
Myös yrityksen työntekijöiden oma toiminta voi aiheuttaa merkittävää vaaraa tietoturvallisuudelle. Tämän riskin merkitystä ei aina ymmärretä tai siitä ei piitata, koska mitään ei ole ennenkään tapahtunut. Tosiasia kuitenkin on, että kiristyneen kilpailun, erilaisten ääriryhmien toiminnan, taloudellisten ongelmien, aggressiivisen uutisoinnin ja yhä verkostoituneemman yhteiskunnan vuoksi myös yritysten omien työntekijöiden toiminta voi aiheuttaa yritykselle merkittävän tietoturvariskin.
Henkilötunnukset käypää valuuttaa rikollisissa piireissä
”On selviä viitteitä siitä, että yrityksistä yritetään saada yhä enemmän luottamuksellista aineistoa suoraan yritysten henkilökunnalta kysymällä. Tällaista aineistoa ovat esimerkiksi henkilötiedot, liikesalaisuudet ja pankkien maksuliikenteen tunnukset. Nämä tiedot ovat käypää valuuttaa rikollisilla markkinoilla,” kertoo Juha Salpakari Tapiolan riskienhallintapalveluista.
”Yrityksessä pitää selvästi kertoa, miten ja mistä asioista ulkopuolisten kysyjien kanssa voi keskustella tai mitä riskejä sisältyy esimerkiksi viattomilta vaikuttaviin sähköposteihin. Muuten voi luottamuksellista tietoa päätyä myös rikollisiin tarkoituksiin,” Salpakari jatkaa.
Pahimmillaan se voi aiheuttaa paitsi välittömiä taloudellisia menetyksiä, myös välillisiä tappioita esimerkiksi asiakkaiden menettäessä luottamuksensa yritykseen ja lopettaessa yhteistyön sen kanssa.
Salasana suklaapatukasta
Maailman ehkä tunnetuin tietomurtautuja Kevin Mitnick tuli kuuluisaksi siitä, että hän ei käyttänyt tietojärjestelmiin murtautuessaan pitkälle kehittyneitä murtautumisjärjestelmiä. Sen sijaan Mitnick luotti ihmisten auttamishaluun, auktoriteettien pelkoon ja tietämättömyyteen. Mitnick saattoi esiintyä puhelimessa uutena työntekijänä, atk-tuen järjestelmäasiantuntijana tai lomalla olevan johtajan sihteerinä. Tässä roolissa hän tiedusteli työntekijältä käyttäjätunnuksia ja salasanoja, joita myöhemmin käytti järjestelmiin tunkeutuessaan.
Tämä niin sanottu sosiaalinen hakkerointi on valitettavan voimissaan tänäkin päivänä. Lontoossa vuonna 2004 tehdyn Infosecurity Europen katututkimuksen mukaan 33 % vastaajista kertoi työpaikkansa tietokoneen salasanan kysyttäessä. 71 % olisi kertonut sen suklaapatukkaa vastaan [Lähde: Tietoviikko 22.4.2004].
Tietojen luovutuksen pelisäännöt selviksi
Henkilöstön kanssa on syytä käydä säännöllisesti läpi yrityksen tietojen käytön ja luovutuksen pelisääntöjä. Pelisäännöt voidaan kiteyttää viiteen kysymykseen:
- Mitä tietoja saan luovuttaa eteenpäin?
- Miten varmistaudun kysyjän oikeudesta tietoihin?
- Miten säilytän haltuuni uskottuja tietoja?
- Miten tuhoan tiedot turvallisesti?
- Miten menettelen epäilyttävissä tilanteissa?
Yritysjohdon vastuulla on määritellä ne toimintaperiaatteet ja –ohjeet, joita noudattamalla työntekijät voivat työskennellä turvallisesti. Vastuu annettujen turvallisuusohjeiden noudattamisesta on jokaisella yrityksessä työskentelevällä.
Turvallisuuteen kannattaa panostaa – enemmän kuin suklaapatukan hinnan verran!
Lisätiedot:
Juha Salpakari
Riskipäällikkö, Vahinko-Tapiola
(09) 4532887