Yrityskulttuuri apuna IT-hyökkäysten torjunnassa

Digitalisointi lisää riskejä mutta antaa samalla uusia teknisiä mahdollisuuksia hyökkäyksiltä puolustautumiseen. Nordealla IT-turvallisuutta pyritään lisäämään yrityskulttuuria muuttamalla.

IT_Stralfors_875x580.jpg

Digitalisointi oli koko Euroopan rahoitusalan suurin kustannuserä vuonna 2016, kertoo Nordean IT-turvallisuuspäällikkö Jacqueline Johnson. Digitalisoinnin tarkoituksena on lisätä tehokkuutta ja vähentää kustannuksia. On kuitenkin tärkeää miettiä, miten tämä vaikuttaa turvallisuuteen.

– Digitalisointiprosessia kiirehditään usein sen vuoksi, että yritysjohto haluaa hyötyä uudistuksesta. Mutta jos digitaaliratkaisut ohjelmoidaan liian hätäisesti, turvallisuustestit saattavat jäädä tekemättä, varsinkin rahoitus-alalla. Nopea digitalisointitahti on sen vuoksi suuri ongelma, Jacqueline Johnson toteaa.

Kulttuurin kehittäminen parantaa turvallisuutta

Torjuakseen kiireellä toteutettuja, turvallisuudeltaan puutteellisia ratkaisuja Nordean IT-osasto panostaa yrityskulttuurin ja työntekijöiden arvojen kehittämiseen.

– Mitä tapahtuu, jos johtaja haluaa saavuttaa tärkeän tavoitteen kahdessa viikossa, vaikkei se turvallisuusosaston mielestä ole mahdollista? Johtaja pyrkii tietenkin kiertämään kaikki esteet. Turvallisuuden merkitystä on sen vuoksi korostettava aina eikä sitä saa koskaan unohtaa, Jacqueline Johnson sanoo.

Pelkkä sääntöjen selittäminen ei kuitenkaan riitä vaikuttamaan yrityskulttuuriin, hän painottaa. Nordea käynnistää projektinsa sen vuoksi usein tuomalla esille pari erilaista tapaustutkimusta, joissa kollegat saavat kertoa toisilleen, mitä he ovat yksityishenkilöinä kokeneet.

– Se luo tunneperäistä sitoutumista ja helpottaa sääntöjen omaksumista, Jacqueline Johnson toteaa.

Myös yhteistyö muiden automatisoitua viestintää käyttävien pankkien kanssa on tärkeä osa turvallisuustyötä ja auttaa torjumaan hyökkäyksiä, joiden kohteeksi pankit voivat joutua.

– Jos joku esimerkiksi käynnistää tietojenkalastelukampanjan yhdeltä iltapäivällä, se saavuttaa huippunsa parissa tunnissa ja hiipuu sen jälkeen nopeasti. Mahdollisia huijausyrityksiä on pystyttävä torjumaan nopeasti, koska seuraavana päivänä se on liian myöhäistä. Tämä edellyttää automaattista turvallisuusjärjestelmää, joka reagoi epäilyttäviin tapahtumiin välittömästi. Olemme panostaneet vahvasti uhkia torjuviin prosesseihin.

Sisäiset uhkat tavallisimpia

Rahoitusala on alttiina monille ulkoisille uhkille, kuormitushyökkäyksistä tietomurtoihin. Vielä suurempi uhka tulee kuitenkin yrityksen sisältä – inhimillisten virheiden, järjestelmävikojen ja sisäpiiririkosten muodossa.

– Tilastollisesti yli neljännes pankkeihin kohdistuvista rikoksista on oman henkilökunnan tekemiä, joten emme voi keskittyä vain ulkoisten uhkien torjumiseen. Pyrimme esimerkiksi suojautumaan tietovuodoilta, joita voi aiheutua vaikkapa silloin, kun joku tallentaa tietoja Dropboxiin.

Rahassa mitattuna rahoitus-alan suurimpia uhkia ovat petokset – usein on kyse jopa kymmenistä miljoonista eu-
roista. Petokset eivät kuitenkaan yleensä ole teknisesti kovinkaan monimutkaisia. Esimerkiksi toimitusjohtajapetos voidaan toteuttaa käyttämällä sähköpostiosoitetta, joka näyttää kuuluvan toimitusjohtajalle tai talouspäällikölle. Muuten on kyse perinteisestä tietojen kalastelusta, jota teknikon voi olla vaikea havaita.

– Huijarit lähettävät viestin suuresta maksusta, joka on tehtävä välittömästi yrityksen varsinaisen toimitusjohtajan tai talouspäällikön ollessa matkoilla ja tavoittamattomissa. Huijarit tietävät, milloin henkilöt ovat matkoilla, koska yrityksen työntekijät vastaavat ystävällisesti soittajien kysymyksiin.

Petoksien torjumiseen tarvitaan kuitenkin sitäkin teknisempiä ratkaisuja. Nor-dealla esimerkiksi laskut ja tilisiirrot vaativat monivaiheisen hyväksynnän, ja lisäksi Nordea tarkastaa kaikki toimittajansa. Pankki pyrkii suojautumaan petoksilta myös varoittamalla ulkoisista IP-osoitteista tulevista sähköpostiviesteistä. Järjestelmä havaitsee, jos viesti ei tule kollegalta, vaikka siltä näyttäisikin.