Yritysten tietoturva vuotaa kuin seula: Kaikki testaajat pääsivät tiloihin, jopa toimitusjohtajan huoneeseen

Suomalaisten yritysten vakoilulta suojautuminen on kaukana aukottomasta, ilmenee tietoturvayhtiön testeistä.

yritysvakoilu
Silverskinin toimitusjohtajan Marko Savolainen.
Kyberturvallisuuteen erikoistuneen Silverskin-yrityksen toimitusjohtaja Marko Savolainen oli Ylen aamu-tv:n vieraana kertomassa suomalaisten yritysten tietoturvan tasosta.

Ylen aamu-tv:ssä vierailleen Silverskinin toimitusjohtajan Marko Savolaisen mukaan suomalaisyritysten välillä on häiritsevän paljon eroja suojautumisessa.

Silverskin toteutti vuoden aikana asiakkaidensa toimeksiannosta joukon yritysvakoilusimulaatioita. Kohteina oli pörssiyhtiöitä, pk-yrityksiä ja julkishallintoa. Silverskin käytti testauksessa samoja keinoja kuin rikollisetkin.

Yhtiön analyysin mukaan kolmannes yrityksistä on suojautunut vakoilulta hyvin. Erityisen hyvin suoriutuivat voimakkaasti säännellyt alat, kuten finanssisektori ja terveydenhuolto. Kolmasosan tietoturva on keskitasoa ja lopuilla yrityksistä oli vielä paljon petrattavaa.

– Kaikkien toimialojen tietoturvasta löytyi kohtia, jotka eivät olleet huipputasolla. Useimpia yrityksiä yhdisti se, ettei heidän tietoturvaansa ole koskaan testattu. Eroja oli myös henkilöstön kyvykkyydessä havaita erilaisia hyökkäyksiä, Savolainen kertoo.

Kaikki testaajat pääsivät tiloihin, jopa tärkeimpiin paikkoihin

Yritysten tietoturvaa testattiin useilla keinoilla, joista hämmästyttävän menetyksellinen oli fyysinen tunkeutuminen työpaikalle. Onnistumisprosentti oli huikeat 100. Testaajat kävivät kääntymässä jopa toimitusjohtajan huoneessa.

– Kaikissa testatuissa tapauksissa päästiin sisälle. Joissakin jopa laboratorio-, tuotekehitys-, tai johdon tiloihin, Savolainen kertoo.

– Tulokset tulivat yhtiöille monesti suurena yllätyksenä, koska näitä ei ollut aiemmin testattu, hän jatkaa.

Useimmissa tapauksissa mentiin sisään tekeytymällä esimerkiksi työvaatteilla yrityksen yhteistyökumppanin edustajaksi. Myös isojen ryhmien vanavedessä tekaistulla henkilökortilla varustettuna pääsi turvajärjestelyiden ohi helposti.

Tietoja yhdistelemällä valitaan kohde

Marko Savolainen luetteli lukuisia keinoja, joilla yrityksestä voidaan kerätä rikoksen teossa hyödyllistä tietoa. Netissä olevia julkisia tietoja yhdistelemällä voi päästä jo pitkälle.

– Mitä tietoa henkilöstöstä löytyy organisaatiokaaviosta tai mitä jälkiä löytyy yrityksen käyttämistä järjestelmistä ja teknisistä ratkaisuista. Näistä tehdään suuri kartta tai palapeli, jonka pohjalta mietitään kohteet, hän kuvailee.

Nykyään myös sosiaalinen media on varsin käyttökelpoinen väline yritysvakoilussa. Facebookissa työpaikalta julkaistusta kuvasta voi saada selville tietoja yrityksessä käytössä olevista järjestelmistä. Hyökkääjä voi hyödyntää sovelluksiin liittyviä haavoittuvuuksia.

– Näitä kaikkia tietoja pystyy käyttämään hyväkseen esimerkiksi salaisten tietojen kalastelussa. Soitetaan tai laitetaan sähköpostia avainhenkilölle, jonka kautta yritetään päästä yhtiön järjestelmään, Savolainen kertoo.

Hänen mukaansa ihmiset ovat jo sen verran valveutuneita, etteivät anna salasanojaan puhelimessa. Heidät voidaan sen sijaan ohjata klikkamaan valesivustolle, jossa pyydetään järjestelmän salasanoja.

Silverskinin testissä kalastelusähköposteista avattiin lähes 60 prosenttia, ja viidesosa viestin avanneista vielä klikkasi tietomurron mahdollistavaa linkkiä.