25 elo Henkilökunnan tietoturvatietoisuus ja oikeanlainen toiminta ovat tärkeitä keinoja haittaohjelmia ja tietojenkalastelua vastaan
Henkilökunnan tietoturvatietoisuudella ja päivittäisellä toiminnalla on suuri merkitys haittaohjelmia ja tietojenkalastelua vastaan. Ne ovat myös edullisin ja tehokkain estämiskeino teknisten tietoturvatoimien lisäksi.
Tällä hetkellä on liikkeellä paljon erilaisia tietojenkalasteluyrityksiä niin sähköpostiviestien kuin puhelimeen tulevien viestien ja puheluiden välityksellä. Lisäksi liikkeellä on sähköpostiviestien liitteinä leviäviä haittaohjelmia. Viimeisimpänä Kyberturvallisuuskeskus on varoittanut Emotet -haittaohjelman leviämisestä Suomessa.
Yrityksissä ja organisaatioissa tulee huolehtia jatkuvasta henkilökunnan tiedottamisesta ja koulutuksesta tietoturvatietoisuuden lisäämiseksi, koska haittaohjelmat ja tietojenkalastelu eivät tule vähentymään vaan ovat tulleet ns. jäädäkseen. Rikollisten huijauskeinot myös lisääntyvät, monipuolistuvat ja kehittyvät jatkuvasti, joten tarvitaan käyttäjien tietoturvatietoisuutta ja oikeanlaista toimintaa teknisten tietoturvatoimien lisäksi.
Henkilökunnan kannalta tärkeimmät keinot ja huomiot tietojenkalastelua ja haittaohjelmia vastaan:
- Käyttäjien tulee olla tietoisia erilaisista tietojenkalastelu- ja huijausyritystavoista, jotta he osaavat olla varuillaan ja epäillä viestien ja puheluiden sisältöjen luotettavuutta ja aitoutta.
- Käyttäjien tulee olla varmoja lähettäjien, soittajien ja sisältöjen luotettavuudesta. Epäilyksiä tulee herätä etenkin, jos sisältöihin liittyy toimintapyyntöjä tai -yrityksiä (esimerkiksi “avaa linkki”, “lataa tiedosto, “kirjaudu tästä”, “kirjoita salasana”, tms.). Käyttäjien ei tule koskaan tehdä mitään toimia, ellei ole täysin varma yhteydenottajasta ja tiedon luotettavuudesta.
- Käyttäjien tulee epäselvissä tai epävarmoissa tilanteissa varmistaa kysymällä eri kanavia pitkin, onko yhteydenottaja oikeasti lähettänyt viestin tai soittanut, jotta he voivat varmistua yhteydenottajan ja sisällön luotettavuudesta.
- Käyttäjien tulee ottaa yhteyttä, mahdollisimman matalalla kynnyksellä, oman yrityksen tai organisaation IT-toiminnoista vastaavaan tahoon ja varmistaa heidän avullansa viestien ja puheluiden aitous ja luotettavuus.
- Käyttäjien ei tule koskaan kysyttäessä kertoa tai kirjoittaa omia käyttäjätunnuksia ja salasanoja mihinkään, ellei ole täysin varma siitä, mitä on tekemässä. Esimerkiksi kirjautuminen pilvipalveluihin (Microsoft Office 365 ja Google G Suite) tapahtuu aina virallisilta ja tutuilta kirjautumissivuilta. Näihin palveluihin ei tule koskaan kirjautua sähköpostissa tai tekstiviestissä lähetetyn linkin tai puhelimessa kerrotun nettiosoitteen kautta.