Vaikka kyberrikollisuus on voimakkaasti kasvava ilmiö, ainakin toistaiseksi rahoitusala Suomessa ja Pohjoismaissa on onnistunut torjumaan todella merkittävät hyökkäykset. Rikolliset kehittävät kuitenkin koko ajan uusia toimintatapoja, joiden torjuminen vaatii yhä enemmän voimavaroja. Usein heikoin lenkki on edelleen ihminen itse.
Verkkorikollisuus ja kyberiskut yritysten ja viranomaisten tietoverkkoja vastaan ovat voimakkaassa kasvussa.
Kyberhyökkäyksiä seuraavan Techjury-verkkosivuston mukaan kyberhyökkäyksistä aiheutuvien kustannusten arvioidaan kohoavan globaalisti tänä vuonna jo noin viiteen biljoonaan eli viiteen tuhanteen miljardiin euroon. Luku on kaksinkertaistunut vuodesta 2015.
Maaliskuussa 2021 päivitettyjen tilastojen mukaan kaksi kolmannesta maailman yrityksistä kertoo joutuneensa kyberhyökkäyksen kohteeksi. Kaikkiaan hyökkäyksiä tapahtuu ympäri maailman noin 210 000 viikossa.
Verkkoturvallisuusasiantuntijoiden mukaan viime vuoden maaliskuun alusta lokakuun loppuun verkkohyökkäykset pankkeja vastaan kasvoivat lähes 250 prosenttia. Lisäksi erilaisten tietojenkalasteluyritysten määrä kasvoi kuusinkertaiseksi aikaisempaan verrattuna.
Etlan joulukuussa 2020 julkaiseman muistion mukaan tietomurtojen määrä Suomessa on kaksinkertaistunut parissa vuodessa. Tarkkaa numerotietoa kyberuhkien taloudellisista vaikutuksista yksin Suomen osalta ei kuitenkaan ole. Varsinkin mikroyrityksistä ja verkkorikollisuuden vaikutuksista niihin tiedetään hyvin vähän.
Vaikka Suomessa yritysten kyberturvallisuus on hoidettu eurooppalaista keskitasoa paremmin, varsinkin tietovuodot ovat kasvava ongelma.
Hyökkäykset pankkien tietojärjestelmiin yleisiä
Vaikka finanssiala on yksi maailman parhaiten verkkohyökkäyksiltä suojautunut toimiala, yritykset murtautua pankkien järjestelmiin ovat arkipäivää. Ja vaikka vain pieni murto-osa verkkorikollisista onnistuu, panokset ovat niin suuret, että yrittäjiä riittää.
Yksi rikostyyppi on varastaa yrityksiltä niiden asiakkaiden luottokorttitietoja ja joko hyödyntää niitä suoraan tai myydä niitä eteenpäin. Esimerkiksi tammikuussa 2021 hakkerit onnistuivat varastamaan 10 000 meksikolaisen American Express -luottokortin käyttäjän luottokorttitiedot.
Tämä oli kuitenkin näpertelyä siihen verrattuna, että vuonna 2013 hakkerit onnistuivat saamaan käsiinsä yli 38 miljoonan Adoben asiakkaan tilitiedot. Vuodon paljastaneen verkkojournalistin Brian Krebsin mukaan murtautujat onnistuivat samalla imuroimaan myös kolmen miljoonan Adoben asiakkaan luottokorttitiedot.
Vuoden 2014 tunnetuin hakkerointitapaus oli eBayn 145 miljoonan käyttäjän tietojen vuotaminen hakkereille. Hakkereilla oli vapaa pääsy yhtiön tietokantoihin 229 päivän ajan ennen kuin vuoto havaittiin. Onni onnettomuudessa oli kuitenkin se, että käyttäjien luottokorttitiedot oli säilötty eri järjestelmään, eivätkä hakkerit päässeet niihin käsiksi.
Vuonna 2017 hakkerien kohteeksi päätyi puolestaan amerikkalainen luottotietoyhtiö Equifax, jonka tietojärjestelmästä vuosi hakkereille yhteensä noin 148 miljoonan amerikkalaisen henkilötunnukset, osoitteet ja luottokelpoisuustiedot. Lisäksi hakkerit saivat käsiinsä 209 000 Equifaxin asiakkaan luottokorttitiedot.
Varastettuja luottokorttitietoja myydään internetin pimeillä sivustoilla kuin huumeita: tarjolla on niin yksittäisten korttien tietoja kuin tuhansien korttien tietoja tukkupaketteina.
Luottokorttitietojen varastaminen ja myyminen on vain yksi kortteihin liittyvä rikollisuuden muoto. Kysymys on kasvualasta. Maailmanlaajuisesti luottokorttirikollisuudella hankitun rikoshyödyn arvo kasvoi vuosien 2011 ja 2020 välillä yli kolminkertaiseksi 8,2 miljardista eurosta 27,4 miljardiin euroon.
Suomen rahoitussektori hyvin varautunut kyberuhkiin
Suomessa pankkien kyberuhkiin varautuminen perustuu pitkälti vuonna 2018 voimaan tulleeseen Euroopan unionin tietosuoja-asetukseen GDPR:ään ja sen soveltamiseen. Suomen rahoitusala oli kuitenkin jo ennen GDPR:ää edelläkävijä verkkoturvallisuudessa, ja muualla Euroopassa Suomen ja muiden Pohjoismaiden antamaa esimerkkiä seurattiin tarkasti.
Suomen rahoitusektori päihitti muut alat Huoltovarmuuskeskuksen viime vuonna julkaisemassa selvityksessä, jossa vertailtiin kyberturvallisuudesta huolehtimista. Suomalaisten pankkien mukaan ala on niin tiiviisti integroitunut eurooppalaiseen ja globaaliin markkinaan, että varautuminen erilaisiin hybridiuhkiin on tehtävä vähintään Euroopan laajuisesti yhdessä.
Suomen asemaa edelläkävijänä selittää aikanaan Nokian ympärille rakentuneen, maailmanmitassa merkittävän teknologiaklusterin syntyminen ja sen jäljiltä periytyvän osaamisen siirtyminen muun muassa nykyisiin tietoturvayhtiöihin. Nimenomaan Suomessa kehitetyn langattoman suojausteknologian ansiosta suomalaispankit olivat myös ensimmäisenä maailmassa tuomassa arkipäivän älypuhelinkäyttöön kehittyneitä pankkisovelluksia.
Suomessa ei kuitenkaan pitäisi tuudittautua siihen, että tilanne säilyy ennallaan ikuisesti. Etlan mukaan Suomi panostaa digitaitojen kehittämiseen jopa eniten koko Euroopassa, mutta alan kasvua rajoittaa nykyään akuutti kyberturvan osaamisvaje. Jopa 60 prosenttia kotimaisista kyberturva-alan yrityksistä kokee pulaa alan huippuosaajista.
Vaikka verkkorikollisuuden torjunnan keinot kehittyvät koko ajan ja muun muassa tietotekniikan käyttäjien kaksivaiheisesta tunnistautumisesta on tullut arkipäivää muuallakin kuin pankkisovelluksissa, kyberrikollisuuden kasvu ei suinkaan ole taittumassa – päinvastoin.
Yksi selitys on se, että digitaalisuus on levinnyt yhä useammalle osa-alueelle elämässä ja siksi verkko tarjoaa rikollisille koko ajan suuremmat saalistusmaat. Markkinat siis kasvavat. Toinen selitys on se, että edelleenkään kaikki ihmiset eivät ota tietoturvaan ja kyberuhkiin liittyviä riskejä tosissaan.
Heikoin lenkki on ihminen itse
Vaikka erityisesti isoissa yrityksissä ymmärretään tietojen suojauksen tärkeys ja ajantasaisista turvallisuusprotokollista pidetään tiukasti kiinni, heikoin lenkki on usein sama kuin muuallakin elämässä: ihmiset itse.
Ilman aukotonta valvontaa työntekijät käyttävät samoja, liian helppoja salasanoja kaikissa sovelluksissaan ja lataavat tietokoneisiinsa ja kännyköihinsä luvatta ohjelmia, jotka muodostavat merkittävän turvallisuusriskin.
Yleensä tietomurrot ovat mahdollisia siksi, että yritysten tietosuojaa ei ole päivitetty tai yritysten oma henkilöstö rikkoo verkkoturvallisuuden suojelemiseksi annettuja sääntöjä. On turha kuvitella, että kehittyneetkään viruksentorjuntaohjelmat ja palomuurit suojaavat tietokoneita tunkeutujilta, jos ne eivät ole ajan tasalla.
Hakkerit ja tietoturva-ammattilaiset elävät jatkuvassa kilpailutilanteessa, jossa rikolliset onnistuvat ennemmin tai myöhemmin murtamaan lähes jokaisen uuden suojausmenetelmän. Siksi niitä on päivitettävä koko ajan.
Verkkoturvallisuuskysymyksiin keskittyneen Security Boulevard -uutissivuston mukaan tietoturvayritykset ovatkin ryhtyneet hyödyntämään yhä enemmän tekoälyä uusien suojausmenetelmien suunnittelussa. Tämä kuulostaa hyvältä, mutta on käytännössä vain vastaus siihen, että myös verkkorikolliset ovat oppineet käyttämään tekoälyä.
Kilpailu siis jatkuu, mutta sen vauhti kovenee.
Vanhukset pankkihuijarien mielikohderyhmä
Varsinaisen kyberrikollisuuden sivussa oman näkyvän rikollisuuden lajinsa muodostavat yksittäisiin kansalaisiin kohdistuvat tietosuojarikokset, joiden yleinen kaava on huijata ihmisiä, milloin milläkin verukkeella, antamaan rikollisille omat pankkitunnuksensa. Tällaista verkkourkintaa kutsutaan usein phishingiksi, tietojenkalasteluksi.
Näissäkin rikoksissa vain mielikuvitus asettaa rajat sille, mitä kaikkea yritetään. Sopivia uhreja – usein vanhuksia – lähestytään niin sähköposteilla, puhelimella kuin menemällä henkilökohtaisesti heitä tapaamaan. Välillä rikolliset ovat esiintyneet poliiseina, sosiaalityöntekijöinä tai viimeisen vuoden aikana myös esimerkiksi korotatestaajina.
Yhteistä tietojenkalastelulle on se, että tavoite on aina saada haltuun uhrien maksukortti ja sen tunnusluku. Tilien tyhjentäminen tapahtuu käytännössä heti.
Aikaisemmin varsinkin Keski-Euroopassa ehti yleistyä rikollisuus, jossa asiakkaat huijattiin sähköpostilinkkien avulla oman pankin verkkosivulta näyttävälle sivustolle, johon asiakkaat yrittivät kirjautua sisään samaan tapaan kuin normaaliinkin verkkopankkiin. Näpytellessään tunnistustietonsa he tulivatkin sitten antaneeksi ne rikollisille.
Tämä huijaustapa on kuitenkin tullut vaikeammaksi sitä mukaa, kun pankit ovat siirtyneet käyttämään Pohjoismaisen mallin mukaisia kaksivaiheisia tunnistusjärjestelmiä, jotka edellyttävät erillisten tunnuslukulaitteiden tai -sovellusten käyttöä kirjautumisvaiheessa.
Kirjoittaja: Mika Horelli, MustRead
Kirjoitus on alun perin julkaistu MustReadin sivuilla 7.5.2021. Sisällön mahdollistaa Finanssiala ry. Lahjoittaja ei ole vaikuttanut sisältöön eikä MustReadin journalistiseen prosessiin.
Janoatko lisää?
Aiheeseen liittyviä uutisia ja kolumneja
MustRead: Epävarmuudet varjostavat rahoitusalaa ensi vuonna, mutta tällä kertaa pankit ovat aiempaa valmiimpia rytinään
Euroopan yritykset kohtuuhintaisen asumisen edistämiseksi paljastavat, että markkinoita vastaan on vaikea taistella – helpoin ratkaisu on valita asuinpaikkansa oikein
MustRead: Poikkeuksellista mikromanagerointia ja ”ristikuulusteluja” – suurten eurooppalaispankkien kritiikki EKP:ta kohtaan kovenee
Kun poliitikot viis veisaavat asiantuntijoiden varoituksista, kansalaiset joutuvat maksamaan kalliin hinnan