Microsoft 365 -ympäristö on oletuksena melko avoin. Käyttäjät voivat jakaa tiedostoja ulkopuolisille, ottaa käyttöön omia laitteitaan ja asennella sovelluksia ilman että siitä jää kummempia jälkiä. Microsoftin näkökulmasta tämä on ymmärrettävää — palvelu halutaan saada toimimaan mahdollisimman monessa ympäristössä ilman käyttöönoton esteitä. Yrityksen kannalta oletusasetukset eivät kuitenkaan ole turvalliset.
Miksi tämä ylipäätään kiinnostaa ketään?
Tyypillinen vastaus on: “Ei meidän tietomme ketään kiinnosta”. Itse tiedon osalta se saattaa usein pitää paikkansa. Mutta hyökkääjää ei yleensä kiinnostakaan tieto sinänsä — hyökkääjää kiinnostavat rahat, ja pääsy yrityksen sähköposteihin ja järjestelmiin on tavallisesti tämän ensimmäinen askel. Kaikki yritykset ovat kohteina, tunnuksiin kohdistetaan automatisoituja massahyökkäyksiä ja tätä kautta tilaisuuksia luodaan.
Pienikin yritys on reitti isompaan kohteeseen
Murrettu yritys ei välttämättä ole hyökkääjän lopullinen kohde, vaan ovi isompaan. Alihankkijalla on valmis luottamussuhde isoon asiakkaaseensa. On yhteistä laskutusta, sopimuksia, aitoja sähköpostiketjuja, joskus jopa suoria järjestelmäpääsyjä. Kun huijausviesti saapuu tutulta kumppanilta aidosta osoitteesta ja aidossa keskustelussa, sitä ei kovin helpolla epäillä.
Juuri siihen hyökkääjä luottaa. Tätä kutsutaan toimitusketjuhyökkäykseksi (supply chain attack), ja se on yksi tehokkaimmista tavoista päästä sisään yritykseen, jonka omat suojaukset ovat kunnossa: ei murreta etuovea, vaan kävellään sisään kumppanin mukana.
Siksi oman ympäristön suojaaminen ei ole vain oma asia — se on myös lupaus asiakkaille ja kumppaneille siitä, ettei sinun kauttasi päästä heihin käsiksi.
Kuka vain voi joutua kiristyksen kohteeksi
Jos hyökkääjä saa toimia rauhassa, toiminta voi jatkua pitkään huomaamatta. Tuona aikana hän kerää tietoa, suunnittelee seuraavia askeleitaan ja voi varastaa yrityksen tietoja kiristykseen käytettäväksi. Etenkin ulkomaankauppaa harjoittavien yritysten sähköpostipohjainen laskuliikenne on tyypillinen kohde. Jos muuta käyttöä ei löydy, murretulta tunnukselta aletaan lähettää huijausviestejä yhteystiedoille — ja etsitään näin tietä seuraavaan kohteeseen.
Toimenpidelista
- Edellytä, että palveluihin kirjaudutaan yrityksen hallinnoimilta laitteilta.
Pelkästään tällä toimenpiteellä saadaan estettyä valtaosa hyökkäyksistä. Phishing-kestävä tunnistautuminen on erinomainen lisä ja torjuu tehokkaasti kalasteluyrityksiä, mutta sen tarjoama suoja on laitekontrollia kapeampi — ja sitä mukaa kun menetelmä yleistyy hyökkäysten fokus siirtyy muualle. Muitakin pieniä teknisiä määrityksiä on hyvä tehdä, mutta niiden vaikutus tavallisen käyttäjän arkeen on vähäisempi.
Helppoa.
Tekniikka ei yksin riitä
No, ei aina.
Teknisten suojausten rinnalle tarvitaan selkeitä prosesseja, ohjeita ja opetusta. Esimerkiksi: miten uudet laitteet tuodaan ympäristöön sisään kun ympäristöön pääseminen edellyttää yrityksen hallinnoimaa laitetta? Miten poistuvan työntekijän oikeudet ja laitteet käsitellään? Miten poikkeustapauksia seurataan, ja kuka saa hallintaoikeuksia?
Nämä kysymykset ovat tekniikan rinnalla yhtä tärkeitä, eivätkä ratkea pelkästään ostamalla oikea lisenssi.
Käytännön toteutuksessa yksityiskohdat ratkaisevat. Yksi väärin asetettu ehdollisen pääsyn sääntö riittää sulkemaan koko organisaation ulos omasta ympäristöstään, toinen taas avaa oven hyökkäyksille.
Jos aihe on yrityksellenne ajankohtainen, ota yhteyttä — autamme mielellämme.
