March 22, 2017 |

F-Secure: Luottamus teknologiaan luo yrityksissä väärää turvallisuudentunnetta – yli puolet työntekijöistä klikkasi huijausviestin linkkiä

Yritykset altistuvat tietojen kalastelulle ja muille ihmisten huijaamiseen perustuville hyökkäyksille, jos ne luottavat liikaa suojausteknologiaan. F-Securen Red Team -hyökkääjät lähettivät selvitystyössään huijausviestin organisaatioon ja 52 prosenttia työntekijöistä klikkasi sähköpostissa ollutta linkkiä.   Hyökkääjät iskevät johdonmukaisesti yrityksiin, joissa teknologian antamaan suojaan luotetaan liikaa. Näin varoittaa F-Securen Red Team, joka on joukko eettisiin tietoturvahyökkäyksiin erikoistuneita asiantuntijoita, joiden […]

Yritykset altistuvat tietojen kalastelulle ja muille ihmisten huijaamiseen perustuville hyökkäyksille, jos ne luottavat liikaa suojausteknologiaan. F-Securen Red Team -hyökkääjät lähettivät selvitystyössään huijausviestin organisaatioon ja 52 prosenttia työntekijöistä klikkasi sähköpostissa ollutta linkkiä.

 

Hyökkääjät iskevät johdonmukaisesti yrityksiin, joissa teknologian antamaan suojaan luotetaan liikaa. Näin varoittaa F-Securen Red Team, joka on joukko eettisiin tietoturvahyökkäyksiin erikoistuneita asiantuntijoita, joiden tehtävänä on selvittää organisaation tietoturvan vahvuudet ja heikkoudet.

 

“Inhimillisiä ongelmia ei voi ratkaista vain teknologialla. Näin väittävät tahot tarjoavat taikakaluja”, sanoo Tom Van de Wiele, tietoturva-asiantuntija F-Securelta. ”Hyökkääjät, erityisesti rikolliset, huijaavat ihmisiä hyvin sulavasti ohittaakseen heidän puolustuksensa. Jos organisaatio kertoo työntekijöilleen teknisen suojauksen olevan huippuluokkaa, luo tämä valheellista turvallisuudentunnetta ja ihanteellisen tilanteen hyökkääjille.”

 

Tietojenkalastelua

 

Tietojenkalastelu on Van de Wielen mukaan hyvä esimerkki liiallisesta luottamuksesta teknologiaan. Konsulttiyhtiö PwC:n Global State of Information Security Survey 2017 -tutkimuksen* mukaan tietojenkalastelu oli keskeisin finanssialan organisaatioihin kohdistettu hyökkäystapa vuonna 2016. Kun tietojenkalastelun tarjonta palveluna internetin dark net -alueella kasvaa**, kasvaa jatkossa myös hyökkäysten määrä.

 

“On yllättävää, mitä kaikkea ihmiset klikkaavat työskennellessään. He eivät ole tyhmiä, mutta eivät vain odota joutuvansa huijatuksi”, Van de Wiele sanoo.

 

F-Securen tekemissä hyökkäystestauksissa huijausyritykset ovat onnistuneet hyvin. Tuoreessa tapauksessa F-Securen Red Team -asiantuntijat lähettivät asiakasorganisaatioon LinkedIn-palvelusta lähetetyltä viestiltä näyttävän sähköpostin selvittääkseen, klikkaavatko työntekijät viestin linkkejä pyytämättä. 52 prosenttia työntekijöistä klikkasi viestin linkkiä. Toisessa kokeessa F-Securen tiimi lähetti sähköpostin, jossa pyysi työntekijöitä kirjautumaan työtunnuksillaan huijausportaaliin. Viestin vastaanottajista 26 prosenttia klikkasi linkkiä päästäkseen portaaliin ja 13 prosenttia syötti portaaliin työtunnuksensa.

 

Mikään ei ole turvassa

 

Red Teaming -hyökkäyksissä Van de Wiele ja hänen kollegansa suorittavat laajoja kokeita selvittääkseen, mitä asiakasyritykset tekevät oikein tai väärin tietoturvan kannalta. Nämä kokeet haastavat yrityksiä tunnistamaan, eristämään ja vastaamaan simuloituihin kyberhyökkäyksiin, joissa yritetään varastaa taloustietoa, aineetonta omaisuutta tai saamaan osia yhtiön it-infrastruktuurista hyökkääjien hallintaan.

 

Van de Wielen mukaan yritykset usein yllättyvät kokeiden tuloksista, kun niiden avulla on osoitettu,  kuinka haavoittuvia yritykset ovat.

 

“Yritysten oma näkemys heikkouksistaan on harvoin sama kuin ulkopuolisten hyökkääjien näkemä, todellinen haavoittuvuuden taso. Testauksessa pureudutaan kaikkeen mahdolliseen hyökkäyspintaan, ei vain digitaaliseen, vaan myös fyysiseen tilaan, mihin tahansa yrityksen brändin piirissä.”

 

“Usein yritykset yllättyvät, kun pääsemme palvelimelle, joka ei ole yhteydessä verkkoon. Useat tietoturvajohtajat eivät ole valmistautuneita tilanteeseen, jossa hyökkääjä on päässyt yrityksen toimitiloihin. Tämä on kuitenkin yllättävän helppoa, tarvitset vain turvaliivin ja fyysisen työmääräyksen. Turvaliivi on parempi kuin Harry Potterin näkymättömyysviitta. Liivi päällä voit mennä minne tahansa eikä kukaan kysy mitään.”

 

Red Teaming –hyökkäystestauksella organisaatiot voivat:

 

  • Varmistaa turvakäytäntöjen toimivan tarkoitetulla tavalla
  • Mitata kyberturvallisuusinvestointiensa kannattavuutta
  • Saada katsauksen keskeisen aineettoman omaisuuden suojaamiseen
  • Selvittää, täytyykö turvallisuusprosesseja päivittää tai tarvitseeko järjestää tietoturvakoulutusta
  • Parantaa keskeisten osastojen tietoturvatietoisuutta
  • Varmistaa, että tietoturvan valvonta toimii suunnitellusti
  • Testata kykyään rajoittaa niihin kohdistuvia hyökkäyksiä

 

 

*Lähde: http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey/financial-services-industry.html

**Lähde: http://www.theregister.co.uk/2016/12/07/phishing_as_a_service/

 

 

Lisätietoa:

F-Secure Red Teaming Tests

Video: Let us in. Keep them out.

 

 

F-Secure lyhyesti
F-Secure on johtava kyberturvallisuusyhtiö, joka on kolmen vuosikymmenen ajan edistänyt kyberturvallisuuden innovaatioita. F-Securella on ensiluokkainen kokemus päätelaitteiden suojaamisesta sekä hyökkäysten tunnistamisesta ja niihin vastaamisesta. F-Secure suojaa ratkaisuillaan yrityksiä ja kuluttajia niin kehittyneiltä kyberhyökkäyksiltä ja tietomurroilta kuin laajalle levinneiltä kiristysohjelmien tartunnoilta. F-Securen turvallisuusasiantuntijat ovat osallistuneet useampaan eurooppalaiseen kyberrikoksen tutkintaan kuin yhdenkään muun markkinoilla toimivan yrityksen. F-Securen tuotteita myyvät maailmanlaajuisesti yli 200 operaattoria ja tuhannet jälleenmyyjät.

 

Vuonna 1988 perustettu F-Secure on listattu NASDAQ OMX Helsinki Ltd:ssä.

 

f-secure.com | twitter.com/fsecure | facebook.com/f-secure

 

Mediayhteydenotot:
Petra Ranta
PR Manager, Nordics
+358 40 648 4675
petra.ranta@f-secure.com

 

 

Social Media
Lehdistöarkistot
Valitse vuosi

Uusimmat lehdistötiedotteet

September 11, 2019

Herrasmieshakkerit on Suomen kyberturvallisin äänijulkaisu – ensimmäinen jakso nyt kuunneltavissa!

Suomen tietoturvakentän wiralliset wanhukset Mikko Hyppönen ja Tomi Tuominen julkaisevat tänä syksynä yhteisen äänijulkaisun nimeltä Herrasmieshakkerit. Herrasmieshakkerit istuvat kerran kuussa takkatulen ääreen ja johdattavat kuulijat verkon alamaailmaan tarkastelemaan sitä, mitä tietoturvakentällä tapahtuu, ja miltä tämä Suomen näkökulmasta näyttää. Jaksojen aihealueet käsittelevät tietoturvaan, tietoturvakulttuuriin sekä vääjäämättömään kybertuhoon liittyviä asioita ja ilmiöitä. Jokaiseen jaksoon kutsutaan suomalaisia tietoturva-alan […]

September 8, 2019

F-Secure Countercept on solminut miljoonaluokan sopimuksen Yhdysvalloissa

Helsinki – 9. syyskuuta 2019: Palkittu F-Secure Countercept on solminut yli miljoonan dollarin vuosisopimuksen yhdysvaltalaisen yrityksen kanssa. Sopimus vahvistaa F-Secure Conterceptin asemaa maailman luokan ratkaisuna, johon yritykset luottavat varautuessaan yhä haastavampiin tietoturvauhkiin. —  Yritykset alkavat ymmärtää, etteivät ne kykene suojautumaan kaikilta hyökkäyksiltä, mutta voivat itse proaktiivisesti kartoittaa tietoturvauhkia ennalta, eristää niitä ja päästä niistä eroon […]

August 29, 2019

F-Securen uusi kumppaniohjelma tarjoaa kokonaisvaltaista tukea B2B-jälleenmyyjille

Johtava tietoturvayhtiö F-Secure uudistaa kumppaniohjelmansa. Uudella ohjelmalla pyritään entistä vahvemmin tukemaan yrityksen kumppaneita menestymään kokonaisvaltaisesti tietoturvatoimittajana. Helsinki – 29. elokuuta 2019: Maailmanlaajuinen kumppaniohjelma (The Global Partner Program) yhdistää F-Securen ja IT-toimittajat eri puolilla maailmaa. Ohjelman avulla yhteistyöstä tulee helppoa ja kannattavaa F-Securen B2B-jälleenmyyjille. F-Securen kyberturvallisuusasiantuntijat tarjovat kattavaa teknistä- ja myynninedistämiskoulutusta kumppanien henkilöstölle. Lisäksi jälleenmyyjät voivat […]

August 19, 2019

F-Securen työkalu auttaa selvittämään, mitä tietoja olet luovuttanut teknologiajäteille

Helsinki – 19. elokuuta 2019: F-Secure on julkaissut ilmaisen Data Discovery Portal -työkalun, jonka avulla internetkäyttäjät voivat tarkastaa, mitä tietoja he ovat antaneet suosituille nettipalveluiden tarjoajille. Data Discovery Portal -työkalu kerää yhteen Googlen, Applen, Facebookin, Amazon Alexan, Twitterin ja Snapchatin käyttäjätietojen tallennussivut, joita tavallisen kuluttajan voi olla hankala löytää palveluiden monimutkaisista sivurakenteista. Internetkäyttäjien tietojen kerääminen […]

%d bloggers like this: