-osioon:
Maineenhallinta ja tietoturva, Opsec Oy

Tietojenkalastelu lisää työkuormaa ja mainehaittoja

Ongelmaa ei ole, jos siitä vaietaan?

Olemme kirjoittaneet blogiin monta tietojenkalasteluun liittyvää tekstiä. Tässä tekstissä keskitymme siihen, miksi räjähdysmäisesti lisääntyneet sähköposteihin kohdistuneet tietojenkalastelut ovat uhka yrityksen maineelle.

Rikolliset hyödyntävät käyttäjien sähköposteja tietojenkalasteluviestien levittämiseen ja viestit leviävät nopeasti. Yhden käyttäjän varastetuilla tunnuksilla saatetaan lähettää tuhansia uusia tietojenkalasteluviestejä. Mitä sitten tapahtuu, kun yrityksen työntekijän nimissä lähtee tietojenkalasteluun liittyvää sisältöä kaikille hänen yhteystiedoistaan löytyville henkilöille? Minimissään yrityksen käyttäjän nimissä lähetetty viesti lisää työkuormitusta ja jättää jäljen yrityksen maineeseen. Maksimissaan tällainen viesti voi aiheuttaa tietomurtoja useissa yrityksissä.

Työkuormitus ja mainehaitat

Käyttäjän sähköpostista lähtevien kalasteluviestien vastaanottajina ovat lähes aina yrityksen muut työntekijät, asiakkaat ja yhteistyökumppanit, joten jokaisen yrityksen tulisi miettiä, miten tähän asiaan varaudutaan. Ensimmäinen asia on tietysti suojata käyttäjätilit ja -tunnukset, niin etteivät rikolliset pääse niitä hyödyntämään. Sillä laiminlyömällä tämän tietoturvaan liittyvän asian yritys altistaa oman toimintansa lisäksi omat sidosryhmänsä tietojenkalastelulle ja tietomurtotapauksille. Voidaan siis puhua isoistakin mainehaitoista, vaikka oma yritys selviäisi tietojenkalastelusta ja tietomurrosta pienin ruhjein.

Tietojenkalasteluviestien lähteminen käyttäjän sähköpostista paljastuu usein siinä kohtaa, kun käyttäjän työpiste alkaa täyttymään viestejä saaneiden henkilöiden kysymyksistä. Viestin vastaanottajat yksinkertaisesti tukkivat käyttäjän sähköpostin, puhelimen ja työpisteen, koska he haluavat selvittää lähetetyn viestin tarkoituksen.

Vastaanottajat toimivat eri tavoin saadessaan kalasteluviestin:

  • Vastaanottaja avaa viestin ja toimii viestin ohjeiden mukaan. Tunnukset joutuvat rikollisten käsiin ja vastaanottajan työnantajasta tulee tietomurron uhri.
  • Vastaanottaja avaa viestin ja toimii viestin ohjeiden mukaan. Tunnukset joutuvat rikollisten käsiin, mutta tilanteesta selvitään säikähdyksellä, koska vastaanottajan työnantaja on suojannut käyttäjätilit huolellisesti.
  • Vastaanottaja avaa viestin ja ottaa yhteyttä viestin lähettäjään. Vastaanottaja haluaa varmistaa, mitä lähettäjä on viestillä tarkoittanut tai onko viesti aito.
  • Vastaanottaja avaa viestin ja huomaa sen olevan tietojenkalasteluviesti. Vastaanottaja haluaa kertoa siitä viestin lähettäjälle.
  • Vastaanottaja avaa viestin ja huomaa sen olevan tietojenkalasteluviesti. Hän poistaa viestin, eikä ryhdy muihin toimenpiteisiin.

Viimeistä kohtaa lukuun ottamatta käyttäjä, jonka nimissä viestit ovat lähteneet, saa yhteydenoton vastaanottajalta. Myös yrityksen tietoturvasta vastaava alkaa saamaan asiasta pian yhteydenottoja. Ja, kun kalasteluviestien vastaanottajia on tuhansia, niin yhteydenottojakin voi tulla kymmeniä tai jopa satoja.

Saadessaan kalasteluviestin vastaanottajat reagoivat myös tunnetasolla eri tavoin. Vastaanottajat saattavat hämmentyä, suuttua, säikähtää tai jopa kokea pelkoa saadessaan kalasteluviestin. Toiset taas suhtautuvat asiaan välinpitämättömästi tai nauravat asialle. Joka tapauksessa vastaanottajien tunneskaala on laaja ja harva tunnereaktio puhuu sen yrityksen puolesta, jonka nimissä kalasteluviesti on saapunut.

Vastaanottajien reagointiin liittyy myös epäilykset vastaanottajan päässä olevaa yritystä kohtaan, koska pahimmillaan yritys vaarantaa oman yrityksensä ohella monia muita yrityksiä. Yritys voi näin menettää henkilökunnan, asiakkaiden ja yhteistyökumppaneiden luottamuksen. Kukaan ei halua olla tekemisissä yrityksen kanssa, joka suhtautuu välinpitämättömästi tietoturvallisuuteen ja altistaa myös sidosryhmien tiedot vaaraan.

Jos yrityksessä ei olla valmistauduttu tietojenkalastelusta johtuviin ongelmiin, pahimmassa tapauksessa myös käyttäjä, jonka sähköpostiin on murtauduttu, jää yksin tietojenkalasteluviestien ja kaikkien siitä johtuvien yhteydenottojen kanssa. Toisinaan käyttäjää myös syyllistetään tapahtuneesta. Yrityksissä ei siis riitä, että tietoturvasta vastaava henkilö ottaa tietojenkalastelun ja tietomurron selvittämisen hoitaakseen. Tilanteessa tarvitaan myös käyttäjälle tukea ja suunnitelmallista viestintää. Tämänkaltaisissa tilanteissa tulee siis suojata yrityksen tietoja, mutta ehdottomasti myös yrityksen työntekijöitä ja mainetta.  

Tietoturva on tärkeä osa yrityksen maineenhallintaa

Yrityksen hyvä tietoturva tarkoittaa hyvää maineenhallintaa. Yrityksen tulisi myös varautua tietoturvapoikkeamiin ja huomioida siinä yhteydessä monia maineeseen liittyviä seikkoja. Poikkeamiin varautumisessa ja niiden selvityksessä tarvitaan paitsi yrityksen tietoturvasta vastaavan henkilön osaamista niin myös yrityksen johdon ja viestinnän työpanosta.

Kun tietojenkalastelun seurauksena yrityksen sähköpostista lähtee tuhansia epäilyttäviä viestejä tärkeille sidosryhmille, niin ei kannata ajatella, että “ongelmaa ei ole, jos siitä vaietaan”. Olemalla hiljaa ja toivomalla parasta on vaarallinen tapa toimia, koska silloin yritys yhdistetään helposti mm. kalasteluviestien levittämiseen, tietomurtojen lisäämiseen, yrityksen tietojen vaarantamiseen, henkilötietojen vuotamiseen, tietoturvan laiminlyömiseen, osaamattomuuteen, vanhanaikaisiin toimintatapoihin, huonoon viestintään, jne.

Maineen kannalta on tärkeä reagoida tietojenkalasteluun nopeasti. Käyttäjän nimissä lähtevien viestien vastaanottajille on välittömästi saatava viestiä siitä, mihin toimenpiteisiin vastaanottajan tulee ryhtyä tai olla ryhtymättä, jotta kalasteluyritykset ja mahdolliset tietomurtotapaukset voidaan estää. Nopealla reagoinnilla voidaan myös vähentää yhteydenottoja ja kertoa esimerkiksi toimenpiteistä tilanteen haltuunottamiseksi. Tilanteessa tarvitaan siis kriisiviestintää, yhteistyötä ja valmiiksi suunniteltuja prosesseja.  

Käyttäjän sähköposti voi esimerkiksi mennä toimintakyvyttömäksi palveluntuottajan toimesta, koska tili “jäädytetään” automaattisesti tuhansien yhtäaikaisten viestien vuoksi. On siis oltava suunnitelma siitä, miten viestien saajat tavoitetaan, koska käyttäjän sähköpostia ei voida tilanteessa käyttää. Etukäteen on myös suunniteltava, kuka ja ketkä vastaavat viestinnästä, minkälaisia ohjeita viestien vastaanottajille lähetetään ja mitä muuta asiasta tiedotetaan. Tämänkaltaiset tilanteet kannattaa kirjata yrityksen kriisiviestintäohjeisiin, jotta vahingon sattuessa voidaan viestintä aloittaa välittömästi.

Jos yrityksessä ei olla varauduttu tietomurtoihin, on vaikea reagoida riittävän nopeasti mihinkään. Kannattaa myös muistaa, että työntekijöiden, asiakkaiden ja yhteistyökumppaneiden menetettyä luottamusta on erittäin vaikea palauttaa.

Annukka Talvitie
markkinointi ja viestintä
IT-joukkueen pelaaja #10


Lue myös Tietojenkalastelu -blogisarjan aikaisemmat artikkelit: