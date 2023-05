Tietoturva-ammattilainen Sami Laihon kokemus on muistutus siitä, että aivan kuka tahansa voi joutua verkkohuijarin uhriksi.

Ylimielisyys voi käydä todella kalliiksi verkossa. Huijarin uhreiksi eivät päädy vain ikääntyneet, kielitaidottomat tai tyhmät, kuten kansan keskuudessa usein ajatellaan. Tästä todistaa tietoturva-asiantuntija Sami Laihon läheltä piti -kokemus.

Vuonna 2018 hänen isänsä kuoltua yllättäen, Laiho oli hoitamassa kuolinpesää, jonka asiat ulottuivat useampaan valtioon ja olivat työläitä selvitettäviä. Silloin sähköpostiin tuli viesti aiheella ”Your fathers estate in our country” eli ”isäsi omaisuus maassamme". Lähettäjänä näyttäytyi ”Banco de Madrid” tai jotain vastaavaa.

– Minulta kesti todellakin pitkän hetken, kunnes laskeskelin päässäni, että tuonkin viestin voi lähettää massana kaikille suomalaisille ja heistäkin noin 30 000 olisi vuodessa sellaisia, joita oman isän kuolema voisi koskea, tietoturvayhtiö Adminizen tutkimusjohtajana työskentelevä Laiho myöntää.

– Kun otanta on suuri, potentiaalisia uhreja on tuossakin todella paljon. Tämä pohdinta ehti onneksi loppuun ennen kuin klikkasin linkkiä. Tunne oli todella outo ja sai minut miettimään asiaa vielä pitkään – miten lähellä se olikaan.

Toisessa tapauksessa Laiho oli yrityksen sähköpostilistalla toimeksiantonsa ajan ja sai viestin ”INTERNAL EMPLOYEES ONLY: Info on the future merger and possibility to buy shares”. Viesti siis oli merkitty vain työntekijöille ja lupasi tietoa yrityskaupasta ja osakkeiden ostomahdollisuudesta. Kyseessä oli firman oma testi, johon Laiho lankesi.

– Klikkasin ja sain vastaukseksi: ”Tämä oli onneksi vain simuloitu kalasteluviesti – ensi kerralla varovaisuutta”. Tietoturvaporukassa kun tätä kerroin, sain helpotuksekseni useamman ”minäkin olen klikannut moista” vastauksen.

Sami Laiho on maailmaa kiertänyt arvostettu tietoturvatutkija. Hän on ollut huolissaan myös muun muassa 3g-verkkojen sulkemisesta.

Huijaukset jatkuvat vuodesta toiseen. Pelkästään viime vuonna niistä kirjattiin 32,4 miljoonan euron vahingot todellisen luvun ollessa vielä suurempi.

– Teknisenä ratkaisuna vahva tunnistautuminen tappaa 99 prosenttia kalasteluista, joten varoittelun sijaan sanoisin, että lisää pitää panostaa sen käyttöönoton pakottamiseen, Laiho esittää.

Tuntemattomien verkkolinkkien klikkailua tulee toki välttää, mutta Laihon mukaan päivittämättömät laitteet ovat itse asiassa olleet isompi ongelma vuosina 2021 ja 2022. Ikäryhmistä parhaassa asemassa ovat nuoret, joille teknologia on ollut tuttua alusta alkaen ja vanhat, jotka vierastavat teknologiaa. Laihon äiti esimerkiksi ei klikkaa mitään, koska ei ymmärrä tietokoneiden päälle.

– Suurin haaste itselle on lopulta oma sukupolveni, 43-vuotias Laiho sanoo.

Verkkorikollisen uhriksi voi joutua myös tekemättä yhtään mitään. Laiho on yksi Psykoterapiakeskus Vastaamon tietomurron uhreista.

– Suomessa luotetaan viranomaisen kaltaisiin tahoihin todella paljon. Kierrän maailmaa paljon, ja moni ei ikinä laittaisi tietojaan yhtä sokeasti eri järjestelmiin kuin me. Tietoisuus tietoturvaloukkauksista on varmasti lisääntynyt, mutta mitä enemmän nämä tulevat tietoon, sitä enemmän ihmiset asiasta oppivat, Laiho uskoo.

Asiantuntija toivoo murretuilta organisaatioilta lisää läpinäkyvyyttä. Hän tutustui viime vuonna 180 tietoturvaloukkaukseen, mutta vain 3 organisaatiota kertoi tilanteestaan julkisesti. Yritysten pitäisi myös uskaltaa rikkoa systeemeitään tietoturvan nimissä.

–Yritän tuoda päättäjille tätä ”paikkaa enemmän, testaa vähemmän” -ajatusta. Moni johtaja ei edelleenkään ymmärrä sitä, että pitäisi mieluummin ottaa vastaan mahdollinen kontrolloitu tunnin käyttökatko, joka johtuu huonosta paikasta, kuin kuukauden täysin kontrolloimaton käyttökatko, jos yrityksen järjestelmät murretaan.

Laiho kokee myös erittäin tärkeäksi sen, että tietoturvasta 75 prosenttia on psykologiaa ja 25 prosenttia tekniikkaa. Käyttäjien kouluttamiseen panostaminen on tärkein tietoturvatoimi.

– Mikään järjestelmä ei auta, jos käyttäjä laittaa salasanansa väärään paikkaan.