Viimeaikaisissa raporteissa on todettu, että tietojenkalasteluhyökkäykset ovat yksi kyberturvallisuuden pysyvimmistä ja yleisimmistä ongelmista, joten on tärkeää paitsi ymmärtää organisaatiosi riskitaso myös se, miten tätä riskiä voidaan parhaiten vähentää.
Phishing-huijauksia on ollut jo jonkin aikaa, mutta ne eivät näytä hidastuvan lähiaikoina. Päinvastoin, ne kehittyvät jatkuvasti. Vuoden 2016 neljännellä neljänneksellä BEC-hyökkäykset (Business Email Compromise) lisääntyivät 45 prosenttia vuoden 2015 neljänteen neljännekseen verrattuna. Tämä tarkoittaa, että verkkorikolliset panostavat enemmän organisaation inhimillisen tekijän hyödyntämiseen kuin troijalaisten ja automatisoitujen verkkohyökkäysten käyttöön.
Miten voit suojata yrityksesi phishing-hyökkäyksiltä?
1. Phishing-tietoisuuskoulutus työntekijöille
Se voi olla klisee, mutta se on totta: työntekijäsi ovat paras puolustuksesi, kun on kyse yleisestä kyberturvallisuudesta ja organisaatiosi suojaamisesta phishing-hyökkäyksiltä. Näimme hiljattain valtavan WannaCry-lunnasohjelmahyökkäyksen. Hyökkäys osoitti, miten pelkkä phishing-sähköposti, jota pahaa-aavistamaton työntekijä klikkaa, voi riittää käynnistämään suuren verkkohyökkäyksen, joka voi nopeasti tartuttaa koko verkon. Hyökkäys osoitti, kuinka tärkeä osa laajempaa turvajärjestelmääsi on ihmisten palomuuri. Siksi on erittäin tärkeää investoida laadukkaaseen verkkoturvallisuuden verkko-opetukseen siitä, miten tunnistaa epäilyttävät sähköpostiviestit ja mitä toimia kannattaa toteuttaa, kun olet joutunut phishing-huijauksen uhriksi. Samoin voit investoida organisaatiosi simuloituihin phishing-harjoituksiin käyttämällä kehittynyttä MetaPhish-tuotettamme.
2. Varmista, että käytössäsi on hyvä roskapostisuojaus ja Unified Threat Management (UTM) -laite.
On sanomattakin selvää, että jotta organisaatio olisi mahdollisimman hyvin suojattu phishing-huijaukselta, on tarpeen käyttää erilaisia tietoturvatoimia. Se voi tuntua nyt kalliilta investoinnilta, mutta jos kaksinkertaistat tai kolminkertaistat tietoverkkosuojausmenetelmäsi, voit säästää paljon aikaa ja rahaa pitkällä aikavälillä! Laadukkaat roskapostisuojat ja UTM:t, jotka on hankittu tunnetuilta markkinoilta, ovat välttämättömiä kaikille organisaatioille, jotka haluavat torjua phishing-hyökkäyksiä, sillä suurin osa näistä huijaussähköposteista jää kiinni verkkoihin. Koska jotkin näistä sähköposteista ovat kuitenkin erittäin kehittyneitä, on tärkeää tiedostaa, että roskapostisuojat eivät yksinään ole lopullinen ratkaisu, ja myös työntekijöiden tietoisuuskoulutus on ratkaisevan tärkeää.
3. Työntekijöitä koskevien ohjeiden täytäntöönpano
Sinulla pitäisi olla selkeä ja turvallinen rekisteri siitä, mitkä tiedot ovat arkaluonteisia ja mitä niistä ei saa luovuttaa. Sinun tulisi myös rajoittaa niiden työntekijöiden määrää, joilla on pääsy näihin tietoihin, jotta minimoitaisiin riski, että tiedot vuotavat tai luovutetaan verkkorikollisille phishing-sähköpostin välityksellä. Työntekijöille olisi laadittava selkeät ohjeet siitä, miten heidän olisi käsiteltävä tärkeitä yritystietoja. On myös hyvä idea ottaa käyttöön näihin ohjeisiin perustuvia käytäntöjä, jotka luovat tietoisuutta koko yrityksessä ja osoittavat, että työntekijät ovat perillä asioista.
4. Turvallisia henkilötietoja koskevan politiikan käyttöönotto
Riskien minimoimiseksi kannattaa harkita sellaisen politiikan käyttöönottoa, jossa todetaan, että kaikki arkaluonteiset tiedot, esimerkiksi yrityksen pankkitiedot, voidaan välittää turvallisesti vain puhelimitse tai https-sivuilla, joilla on turvalliset maksutoiminnot, ei koskaan sähköpostitse. Riskin pienentämisessä on keskeistä, että työntekijät ovat tietoisia siitä, että sähköposti on riskialtis väline, jonka kautta voidaan antaa pääsy arkaluonteisiin yritystietoihin, sillä ei voi olla varma siitä, kuka sähköpostin toisessa päässä on. Kun pankkisiirtoja pyydetään sähköpostitse (mikä on yleistä kehittyneissä spear phishing -hyökkäyksissä), on parasta soittaa aina suoraan asianomaiselle henkilölle ja tarkistaa, että pyyntö on peräisin häneltä. Jos otat tämän käyttöön yleisenä käytäntönä, vähennät riskiäsi merkittävästi.
5. Vaihda tilien kirjautumistietojasi säännöllisesti ja käytä eri kirjautumistietoja jokaisella tilillä.
MetaCompliancella sanotaan, että "salasanat ovat kuin housut", ja se on totta.
Vaihda salasanasi ja kirjautumistietosi säännöllisesti äläkä jätä niitä lojumaan! Mitä useammin vaihdat yritystilien kirjautumistietojasi, sitä vähemmän hakkerit (jotka ovat ehkä päässeet tilillesi aiemmin) voivat palata kerta toisensa jälkeen hakemaan lisää tietoja. Vastaavasti on huono ajatus käyttää vain yhtä kirjautumistietoa kaikille yritystileille! Ajattele, olisiko sinulla vain yksi yleisavain, jolla pääsee mihin tahansa huoneeseen organisaatiossasi? Jos hakkerin onneton tilanne on se, että hän pääsee tilille käyttäen phishing-sähköpostin tietoja, voit olla varma, että hän käyttää samoja tietoja yrittäessään murtautua muille tileillesi. Älä tee sitä yhtään helpommaksi heille!
Onko sinulla muita menetelmiä, joilla voit suojata yrityksesi phishing-hyökkäyksiltä? Vai onko yrityksillä muita lähestymistapoja tämäntyyppisiin verkkohyökkäyksiin, joita voisitte nähdä otettavan käyttöön tulevaisuudessa.