Hyökkäystestauksilla on merkittävä rooli yrityksiä ja koko yhteiskuntaa vaanivien kyberuhkien tunnistamisessa. Elisan Riku Juurikko tietää, miten hyökkäyksiä tehdään paitsi verkossa myös fyysisesti.
Sinäkin olet varmaan joskus saanut sähköpostiisi viestin, jossa sinun kerrotaan voittaneen uusimman älylaitteen ihan ilmaiseksi, vaikka et olisi tietääksesi edes osallistunut mihinkään arvontaan. Kuulostaa liian hyvältä ollakseen totta, kuten käytännössä aina onkin.
Yllä mainitussa esimerkissä todennäköistä on, että "palkinnon lunastaminen" vaatii jonkin huijauslinkin painamista tai omien tietojen antamista.
Yrityksien työntekijöille lähetettyjen kalasteluviestien takana todennäköisesti on kyberhuijari, mutta on myös mahdollista, että sinua testataan. Esimerkiksi Elisa lähettää työntekijöilleen vuosittain yli 200 000 simuloitua kalasteluviestiä, jotka auttavat henkilöstöä tunnistamaan huijauksia.
Lisäksi hyökkäystestauksia tehdään yrityksissä muun muassa kyberturvakonsulttien avulla.
– Pitää olla kyky reagoida siihen, jos joku haksahtaa kalasteluviestiin organisaatiossa, sanoo Elisan kybervarautumispäällikkö Riku Juurikko.
Juurikko puhuu kerroksellisesta suojauksesta. Jos kokonaisen yrityksen tietoturva kärsii yhden huijausviestin vuoksi, syyllinen ei ole yksittäinen työntekijä, vaan vika on prosesseissa.
Työpaikoilla kybertorjuntaa vaikeuttaa se, että puolustajan pitää onnistua aina – hyökkääjälle riittää yksi onnistuminen.
– Ennen pitkää hyökkääjä onnistuu, hän toteaa.
Hyökkäystestaukset
Juurikko työskenteli aiemmin kyberturvakonsulttina. Hänen työnkuvaansa kuului esimerkiksi yrityksien järjestelmiin murtautuminen tai tietojen kalastelu, millä etsittiin järjestelmien heikkoja kohtia.
Joissakin tapauksissa asiakasyritys halusi, että testi tehdään fyysisesti yrityksien tiloissa. Näillä kokeilla pyrittiin selvittämään, millä keinoilla ja kuinka helposti mahdolliset urkkijat pääsevät yrityksien yksityisiin tiloihin.
– Joskus asiakas saattaa kysyä, että pystyttekö varastamaan työasemia. Tämä on harvinaisempaa, mutta sellaisiakin toimeksiantoja on joskus tullut.
Toisinaan riittää, että pääsee livahtamaan tiettyihin tiloihin, joihin ei saisi missään nimessä päästää ulkopuolisia.
– Se puhuttelee aika paljon, jos käy toimitusjohtajan tiloissa ja ottaa kuvan työpöydästä.
Usein keikkoihin liittyy esimerkiksi verkkolaitteen kytkeminen yrityksen verkkoon.
Ennen "hyökkäystä" on pitänyt tehdä perusteellinen tiedustelu: Selvitetään sisäänkäynnit, kulunvalvontapisteet, vartiointi, kamerat, työntekijöiden pukeutuminen ja käytös… On tärkeää, ettei toiminta herätä huomiota.
Toisaalta huomio ei ole haitaksi, jos taustatarina on uskottava.
– Huomioliivillä ja tikkailla pääsee jo pitkälle, Juurikko toteaa Viiden jälkeen -lähetyksessä.
Onnistumisprosentti 100
Toimitiloihin tunkeutuessa hyökkääjä tarvitsee myös erityistä ihmispsykologian tuntemista, jos mielii onnistua.
Juurikon mukaan ihmisten kohteliaisuus mahdollistaa paljon. Samalla tietyt kikat ovat ratkaisevassa roolissa. Yksi niistä on aiheuttaa ihmiselle kiireen tuntua.
– Pienet täkyt ohittavat ihmisten arviointimekanismeja, kuten ”tämä pitäisi saada tehtyä tänään”.
Esimerkiksi siivoustarkastajana esiintyessä vaarana on ollut se, että joku haluaa tarkistaa, pitääkö tarina paikkaansa. Näin ei ole kuitenkaan koskaan käynyt.
– Jos näitä olisi kysytty yrityksestä, josta olen esiintynyt tulevani, olisin jäänyt siinä kohtaa kiinni.
Hän kuvailee tunkeutumistilanteita todella jännittäviksi.
– Se tuntuu ihan hirveältä.
– Vertaan sitä aina näyttelijän työhön. Vaikka toimeksianto olisi mikä tahansa, siinä on sellaisessa roolissa. Kun se on ohi, tulee valtava adrenaliinipurkaus.
Juurikko kävi kyberturvakonsulttina työskennellessään tekemässä hyökkäystestauksia noin kymmenen yrityksen toimitiloissa. Hänen kokemuksiensa mukaan Suomessa osataan suojautua kohtuullisen hyvin ulkopuolisilta tunkeutujilta.
– Todella monessa yrityksessä on hyvin kuluvalvottuja ovia ja turvavyöhykkeitä.
Luulisi siis, että epäonnistumisiakin on tullut?
– En ole epäonnistunut.
"Jatkuvaa kilpajuoksua"
Nykyisessä työssään Elisan kybervarautumispäällikkönä Juurikko näkee kyberuhat eturintamasta koko yhteiskunnan laajuudelta.
Yhteistyössä viranomaisten kanssa Elisa on estämässä kyberrikollisten uusimpia väyliä.
Juurikko mainitsee esimerkin parin vuoden takaa.
– Estimme ulkomailta soittamisen suomalaisilla numeroilla. Tämä näkyi suoraan poliisien tilastoissa, että rikollisien saama hyöty tippui miljoonista tuhansiin euroihin.
Hän kuvailee työtään jatkuvaksi kilpajuoksuksi.
– Rikolliset keksivät aina uusia keinoja, ja me puolustuspäässä olemme aina askeleen perässä.
Tätä asetelmaa on mahdotonta muuttaa, mutta jälkeen ei saa jäädä. Tärkeintä on, että Suomi olisi yhteiskunnallisesti vähemmän haluttu kohde kuin muut.
Nykyisin merkittävä osa infrastruktuurista toimii digitaalisesti.
– Jos verkkoyhteydet menevät, niin häiriötilanteita rupeaa tulemaan nopeasti ihan kaikessa. Siinä vaarantuu ihmishenkiäkin nopeasti.