Tänään alkaa hyväntekeväisyysjärjestöjen petostietoisuusviikko, jonka tarkoituksena on antaa hyväntekeväisyysjärjestöille arvokkaita neuvoja siitä, miten ne voivat suojautua petosten ja tietoverkkorikollisuuden uhalta.
Hyväntekeväisyysjärjestöt, joiden vuotuiset kokonaistulot ovat yli 69 miljardia euroa, ovat erittäin alttiita hyökkäyksille, ja ne ovat osoittautuneet kannattavaksi kohteeksi tietoverkkorikollisille. Niillä on pääsy arkaluonteisiin tietoihin, ne saavat valtavia summia lahjoituksia ja niiden tietoturvataso on yleensä heikompi kuin suurilla organisaatioilla.
Jos hakkerit pääsevät käsiksi näihin arkaluonteisiin tietoihin, seuraukset voivat olla tuhoisia. Jo yksi tietomurto voi vahingoittaa hyväntekeväisyysjärjestön mainetta ja lannistaa ihmisiä lahjoittamasta rahaa. Jos luottamuksellisia potilastietoja vuotaa, sillä voi olla myös vakavampia seurauksia.
Verkkorikolliset eivät välitä hyväntekeväisyysjärjestöjen tukemista hyvistä tarkoituksista, vaan pitävät niitä yksinkertaisesti pehmeinä kohteina, joissa on paljon houkuttelevia heikkoja kohtia hyödynnettäväksi.
Cyber Security Breaches Survey 2020 -tutkimuksen mukaan yli neljännes hyväntekeväisyysjärjestöistä (26 %) on kokenut verkkohyökkäyksen viimeisten 12 kuukauden aikana. Yleisin hyökkäysmenetelmä oli tietojenkalasteluhyökkäys (85 %), seuraavaksi yleisin hyökkäysmenetelmä oli henkilöityminen (39 %) ja kolmanneksi yleisin hyökkäysmenetelmä virukset tai muut haittaohjelmat (22 %).
Ransomware oli vastuussa vain 10 prosentista näistä tietomurroista, mutta se osoittautuu edelleen menestyksekkääksi hyökkäysvektoriksi, kuten hiljattain tapahtunut hyökkäys pilvipalveluyritys Blackbaudia vastaan osoittaa.
Blackbaud on yksi suurimmista varainhankinta-, taloushallinto- ja tukijahallintaohjelmistojen toimittajista Yhdistyneen kuningaskunnan hyväntekeväisyysalalla. Toukokuussa 2020 yritykseen kohdistui kehittynyt lunnasohjelmahyökkäys, joka vaikutti yli 30 brittiläiseen hyväntekeväisyysjärjestöön.
Yrityksen mukaan hyökkäyksessä ei vaarannettu luottokortti- tai maksutietoja, mutta he päättivät maksaa lunnaat varmistaakseen, että tietoja ei julkisteta tai jaeta muualla.
Koska hyväntekeväisyysjärjestöjen hallussa on valtava määrä henkilökohtaisia ja taloudellisia tietoja, niiden on etsittävä keinoja vahvistaa järjestelmiään estääkseen opportunistisia rikollisia tekemästä hyökkäyksiä.
Miten hyväntekeväisyysjärjestöt voivat suojautua?
Suojellakseen tietojaan, omaisuuttaan ja mainettaan hyväntekeväisyysjärjestöjen on tunnistettava keskeiset alueet, joita tietoverkkorikolliset voivat hyödyntää, ja otettava käyttöön monitasoinen lähestymistapa organisaationsa puolustamiseksi hyökkäyksiltä.
Ennaltaehkäiseviä toimenpiteitä ovat:
- Henkilöstön tietoisuus ja koulutus
On helppo olettaa, että suurin osa kaikista verkkohyökkäyksistä on seurausta siitä, että hakkerit murtautuvat turvajärjestelmiin, mutta useimmiten ne johtuvat suoraan siitä, että työntekijä klikkaa haitallista linkkiä. Henkilöstön kouluttaminen kehittyvistä kyberuhkista on yksi tärkeimmistä ennaltaehkäisevistä toimenpiteistä, joita hyväntekeväisyysjärjestö voi toteuttaa.
- Tietojen säännöllinen varmuuskopiointi
Hyväntekeväisyysjärjestöillä on pääsy arvokkaisiin tietoihin, joten on elintärkeää, että ne tekevät säännöllisesti varmuuskopioita tärkeistä tiedostoista ulkoisella kiintolevyllä tai verkkotallennuspalvelun tarjoajalla. Näin varmistetaan, että hyväntekeväisyysjärjestöt voivat säilyttää kriittiset tietonsa verkkohyökkäyksen sattuessa.
- Rajoita pääsyä arkaluonteisiin tietoihin
Kriittisten tietojen suojaamiseksi hyväntekeväisyysjärjestöillä olisi oltava käytössä porrastettu rakenne, jossa erotetaan toisistaan arkaluonteiset ja ei-arkaluonteiset tiedot. Näin voidaan rajoittaa pääsyä arkaluonteisiin tietoihin ja varmistaa, että vain korkeimman selvitystason työntekijät pääsevät käsiksi näihin arvokkaisiin tietoihin.
- Virustorjuntaohjelmisto
Hyväntekeväisyysjärjestöjen budjetti on tiukka, mutta on tärkeää, että ne investoivat uusimpaan virustorjuntaohjelmistoon, jotta ne voivat havaita mahdolliset uhat ja estää luvattomien käyttäjien pääsyn järjestelmään. Ohjelmistot olisi päivitettävä säännöllisesti, jotta hakkerit eivät pääse järjestelmiin vanhojen ja vanhentuneiden ohjelmien haavoittuvuuksien kautta.
- Vahvat salasanat
Yksilöllisen salasanan luominen on yksi helpoimmista tavoista välttää hakkerointi. Vahvan salasanan tulisi olla 8-15 merkkiä pitkä, sisältää isoja ja pieniä kirjaimia sekä numeroita tai symboleja. Lisäsuojaksi käyttäjät voivat luoda salasanan. Kunkin sanan ensimmäinen kirjain muodostaa salasanan perustan, ja kirjaimet voidaan korvata numeroilla. Salasana on yleensä pidempi kuin salasana ja paljon vaikeampi murtaa.
- Kannettavien medioiden käytön hallinta
Kannettavien medialaitteiden käytön lisääntyessä myös niihin liittyvät turvallisuusriskit ovat lisääntyneet. Näennäisesti harmittomalta vaikuttava kannettava medialaite voi käynnistää massiivisen verkkohyökkäyksen, vaikka kohteena oleva tietokonejärjestelmä olisi eristetty ja suojattu ulkopuolelta. Inhimillinen erehdys on edelleen kaikkien verkkohyökkäysten tärkein syy, joten henkilöstön olisi varmistettava, että he noudattavat oikeita menettelytapoja käsitellessään siirrettäviä medialaitteita toimiston ulkopuolella.
Aiheeseen liittyvät artikkelit
Miten suojella yritystäsi tietomurron kauhulta?
Viisi tapaa suojata tietojasi etätyöskentelyn yhteydessä