Sosiaalinen manipulointi: miksi somessa ei kannata kertoa olevansa poissa kotoa?
Sosiaalinen manipulointi: miksi somessa ei kannata kertoa olevansa poissa kotoa?
Sosiaalinen manipulointi uhkana pk-yrityksille
Sosiaalinen manipulointi, englanniksi social engineering, on yksi yleisimmistä tavoista, joilla rikolliset pyrkivät murtautumaan yritysten ja yksityishenkilöiden tietoihin. Kyse ei ole aina teknisesti edistyksellisistä hyökkäyksistä: hyvin usein rikollinen käyttää hyväkseen ihmisten luottavaisuutta ja arkista elämää. Sosiaalinen manipulointi tarkoittaa sitä, että hyökkääjä pyrkii esimerkiksi urkkimaan tietoja, huijaamaan salasanat tai saamaan pääsyn järjestelmiin käyttämällä sosiaalista vuorovaikutusta – ei hyödyntämällä teknisiä haavoittuvuuksia.
Pk-yritykset ja startupit ovat otollisia kohteita, sillä niiden tietoturvaresurssit ovat rajallisia ja prosessit voivat olla suoraviivaisia. Tämä tarkoittaa, että onnistunut harhautus voi antaa hyökkääjälle suoran väylän liiketoimintakriittisiin tietoihin. Usein hyökkäys alkaa arkisista havainnoista ja tiedonkeruusta, joita jokainen työntekijä omalla toiminnallaan mahdollisesti ruokkii – joskus tietämättään, esimerkiksi sosiaalisessa mediassa jakamalla henkilökohtaisia tietoja.
Miten somessa jaettu tieto voi altistaa yrityksen ja kodin?
Sosiaaliseen manipulointiin kuuluu usein tiedon hakeminen julkisista lähteistä. Sosiaalinen media on rikollisille valtava tietopankki. Moni haluaa jakaa arkisia asioita somessa – loman alkamisen, työmatkan tai vaikka lasten harrastukset. Kun julkaisee esimerkiksi kuvan lentokentältä tai ilmoittaa ”nyt lomalle!”, samalla antaa vinkkejä paitsi yksityiselämänsä, myös yrityksensä turvajärjestelmien kannalta. Kampanjan aikana julkaistu tieto henkilöstön poissaoloista tai etätyövaiheista voi esimerkiksi paljastaa, milloin toimisto on tyhjillään.
Kodin ja toimiston osoitteet löytyvät monesti vaivattomasti julkisista rekistereistä. Kun tähän yhdistyy vielä tieto siitä, milloin työntekijä tai yrittäjä ei ole paikalla, avautuu rikolliselle otollinen hetki hyödyntää tilannetta joko fyysiseen murtautumiseen tai esimerkiksi tietoverkkohyökkäykseen, kun valvonta on heiveröistä.
Esimerkit: mitä voi tapahtua huolimattoman some-julkaisemisen seurauksena?
Todellisen maailman esimerkit auttavat ymmärtämään riskin konkreettisuutta. Oletko koskaan nähnyt jonkun jakavan Facebookissa tai LinkedInissä, että koko tiimi on seminaarimatkalla Helsingissä? Tämä tieto on hyödyllinen paitsi potentiaalisille fyysisille murtomiehille, myös tietoturvarikollisille. Tyhjä toimisto tarkoittaa usein, että valvontaa on vähemmän – sekä fyysisesti että digitaalisesti.
Myös sähköpostihuijaukset hyödyntävät sosiaalisessa mediassa kerättyä tietoa. Rikollinen voi esimerkiksi esiintyä työntekijänä, jonka tiedetään olevan matkoilla, ja pyytää toista, yrityksessä työskentelevää henkilöä suorittamaan maksun, tilaamaan laitteita tai antamaan pääsyn järjestelmiin kiireellisenä poikkeuspääsynä. Viranomaiset ovat toistuvasti varoittaneet ns. toimitusjohtajahuijauksista, jotka monesti tehdään juuri tällaisen taustatiedon perusteella.
Viisi käytännön vinkkiä sosiaalisen manipuloinnin torjumiseen somessa
- Harkitse, mitä jaat. Ennen kuin julkaiset tietoja matkoista, tapahtumista tai poissaoloista, mieti ketä ne mahdollisesti hyödyttävät. Älä ilmoita poissaoloista reaaliaikaisesti, jos mahdollista.
- Rajoita näkyvyyttä. Hyödynnä somekanavien yksityisyysasetuksia. Julkaisut kannattaa rajata vain luotetuille.
- Sovi yrityksessä pelisäännöt. Yrityksen viestintälinjaukset pitää tehdä selväksi kaikille työntekijöille. Yksittäisen työntekijän julkaisulla voi olla laaja vaikutus.
- Seuraa yrityksestä ja henkilökunnasta julkaistua tietoa. Tarkista yrityksen ja työntekijöiden nimet hakukoneilla – näin näet, mitä tietoa on julkisesti nähtävillä.
- Kouluta henkilöstöä. Säännöllinen tietoturvakoulutus auttaa tunnistamaan sosiaalisen manipuloinnin keinoja ja havainnollistaa käytännön esimerkein riskit myös sosiaalisen median käytössä.
Miksi tietoturva on joukkuepeli – ja kuka siitä vastaa?
Tietoturva ei ole vain IT-osaston, vaan jokaisen työntekijän vastuulla. Sosiaalinen manipulointi perustuu siihen, että ihminen on useimmiten yrityksen heikoin lenkki. Hyökkääjälle uhrien suojattomuus on houkuttelevinta silloin, kun yrityksessä ei ole yhteisiä ohjeita eikä arkinen viestintä huomioi tietoturvaa.
Hyvä uutinen on, että kohtuullisilla toimenpiteillä riskiä voidaan pienentää huomattavasti. Jokainen voi edistää yrityksen kokonaisturvaa pienillä arjen valinnoilla: harkinnanvarainen somekäyttäytyminen, yhteisten linjausten noudattaminen sekä avoin keskustelukulttuuri mahdollisista uhkatilanteista rakentaa vahvaa puolustusta, jota edes taitava sosiaalinen manipuloija ei helpolla murra.
Yhteenveto ja seuraavat askeleet
Sosiaalinen manipulointi on alati kasvava uhka, joka kohdistuu yhtä lailla yrityksiin kuin yksityishenkilöihin. Pk-yrityksille riskit korostuvat resurssien ollessa rajallisia ja toimintamallien ollessa kevyitä. Some-jakaminen saattaa tuntua harmittomalta, mutta väärissä käsissä tiedonmuruset muodostavat vakavan heikkouden niin tietoverkoissa kuin yrityksen toimitiloissa.
Jos kaipaat apua yrityksesi tietoturvan kehittämisessä tai haluat järjestää koulutuksen sosiaalisen manipuloinnin uhkien torjumiseen, ota yhteyttä Käpy A.I.:hin. Autetaan yhdessä rakentamaan turvallisempaa digitaalista arkea, jossa arjen viestintä ei tarjoa valttikortteja rikollisille.
