Jopa 52 % suomalaisista yrityksistä ei tällä hetkellä tee turvallisuusarviointia yrityksen identiteettivarkausriskeistä. Luku on hälyttävä, sillä identiteettirikokset lisääntyvät räjähdysmäisesti ja niitä kohdennetaan yhä useammin yrityksiin. Tämä selviää turva- ja vakuutuspalveluyritys mySafety Oy:n teettämästä tuoreesta yritysten identiteettivarkaustutkimuksesta. Tutkimus tehtiin nyt ensimmäistä kertaa myös Suomessa.
Kantar Sifon huhtikuussa 2019 toteuttamaan yritysten identiteettivarkauksia koskevaan kyselytutkimukseen vastasi Suomessa kaikkiaan 503 yritystä. Kyselyssä tutkittiin, kuinka yleistä yrityksiin kohdistuva identiteettivarkausrikollisuus Suomessa on, millaisia keinoja rikoksen toteuttamisessa on käytetty ja kuinka niihin on reagoitu. Lisäksi selvitettiin, mitä seuraamuksia tapahtuneella rikoksella on ollut ja minkälaiset valmiudet yrityksillä on suojautua pahimmillaan yritystoiminnan kokonaan lamauttavalta identiteettivarkaudelta.
Tutkimustulosten mukaan identiteettivarkaus kohdataan yhä useammassa yrityksessä. Kyselyyn vastanneista yrityksistä jopa 14 % on konkreettisesti joutunut identiteettivarkauden uhriksi. Pelkästään viime vuoden aikana rikoksen on kokenut jopa 9 % yrityksistä. Tämän lisäksi 22 % vastaajista kertoi, että heidän yritykseensä oli kohdennettu identiteettivarkausteko, mutta rikos oli jäänyt yritykseksi.
Tutkimustuloksista voidaan siis päätellä, että yritysten identiteettivarkaudet ovat jatkuvasti kasvava ongelma ja liiketoimintariski, joka on otettava vakavasti. Rikollisuuden laji on tullut jäädäkseen ja 35 % yrityksistä uskoo identiteettivarkausrikosten jatkuvasti lisääntyvän tulevaisuudessa. Tietoisuus identiteettivarkauksista onneksi kasvaa, mutta toimenpiteisiin niiden estämiseksi ryhdytään tällä hetkellä yrityksissä viiveellä, tai ei ollenkaan. Vain 10 % vastanneista yrityksistä oli suojannut toimintaansa jonkinlaisella identiteettivakuutuksella. Suuressa osassa yrityksistä ei edes tiedetä, että identiteettiä voidaan suojata vakuutuksella.
Rikolliset iskevät tietojärjestelmien lisäksi myös niiden käyttäjiin
Tietoturva-asiat ovat jo osa jokapäiväistä yritystoimintaa kaupankäynnin ja yhteydenpidon siirtyessä yhä enemmän digitaalisiin kanaviin. Monella yrityksellä (42 %) tietoturva-asiat näyttäisivät tutkimustulosten perusteella olevan kunnossa. Silti vahvimmatkaan virustorjunnat, hyvin sisäistetyt GDPR-säännökset ja työasemien käyttäjien pakotetut kausittaiset salasanan vaihdot eivät riitä. Yrityksissä kaivataan ehdottomasti nopeampaa reagointia uhkaan ja liiketoimintariskin kartoitusta myös identiteettivarkauksien osalta. Sisäisen tiedotuksen nopeampaa jakelua sekä työntekijöiden kouluttamista identiteettivarkausyritysten havaitsemiseen ja valveutuneeseen seurantaan täytyisi korostaa jo perehdytysvaiheesta alkaen.
Kansainvälisesti toimivat identiteettirikolliset ovat taitavia manipuloijia. Identiteettivaras iskee lähes aina inhimillisen erehdyksen mahdollistamalle harmaalle alueelle – ihmiseen, hänen epävarmuuteensa ja velvollisuudentunteeseensa. Usein työntekijöillä on korjattavaa myös välinpitämättömässä asenteessa ja toiminnassa esimerkiksi yritysjärjestelmien ja sosiaalisen median salasanojen käsittelyssä. Salasanojen pakollisen vaihtamisen sijaan tietoturvaohjeeseen tulisikin määrittää, että eri järjestelmiä ja sähköposteja ei koskaan käytetä samalla salasanalla ja otetaan käyttöön kaksivaiheinen tunnistus, mikäli se on järjestelmällisesti mahdollista.
Työkoneen käyttö vapaa-ajalla muissa kuin työtehtävissä on hyvin yleistä. Monesti erillistä omaa tietokonetta ei nykyisin enää ole, vaan työläppäri seuraa mukana myös kotiin ja toimii siellä pahimmillaan koko perheen nettisurffailuvälineenä. Jopa seitsemän kymmenestä kyselyyn vastanneesta käytti työkonettaan netin selailuun vapaa-ajalla. Yksi viidestä oli klikannut outoja ja tuntemattomia linkkejä. Käyttäjätunnusten tai luottokorttitietojen lähettelyyn sähköpostilla oli syyllistynyt myös yllättävän moni.
Hakkerointiosaaminen auttaa, mutta sitäkään ei välttämättä tarvita
Kyselytuloksista käy ilmi, että identiteettivarkauksista tai niiden yrityksistä jopa 30 % tapahtuu niin, että rikollinen esiintyy yrityksen päättäjänä ja pyytää maksamaan jonkun pikaisen tekaistun maksusuorituksen. Tunnollinen työntekijä ei välttämättä erota pyyntöä oikeasta.
Identiteettivaras pyrkii usein saamaan haltuunsa yrityksen työntekijän sosiaalisen median tunnukset ja ryhtyy sitten testaamaan, onko hänellä samat tunnukset ja salasanat käytössä yrityksen tietojärjestelmissä tai sähköpostissa. Kun sähköpostiin on saatu pääsy, ryhtyy rikollinen kyselemään arkaluonteista yritystietoa tai rahansiirtoa kollegan identiteetillä. Silloin huijaus on lähes mahdotonta tunnistaa. Yrityksen nimissä tehtäville petoksille on rajana vain rikollisen kekseliäisyys ja oveluus, jos hän saa hallintaansa yrityksessä työskentelevän henkilön identiteetin. Yleensä tietomurrosta seuraa pitkä, jopa vuosienkin kierre, joka havaitaan vasta silloin, kun vahinkoa on jo aiheutettu.
Joskus taas tietomurtoakaan ei tarvita. Rikollinen voi varastaa identiteetin niinkin helposti, että hän kävelee sisään myymälään, esittäytyy yrityksen työntekijänä ja ostaa yrityksen laskuun tuotteita, jotka päätyvät rikollisen hallintaan tai myydään nopeasti eteenpäin ja hyödytään niiden rahallisesta arvosta. Ja kun tähän lisätään nykyaikaiset verkkokaupan mahdollisuudet, tavara on usein jo toisessa maassa, ennen kuin yrityksen ostolaskujen käsittelijä havahtuu ihmettelemään outoja hankintoja henkilölle, joka ne on papereiden mukaan tehnyt.
Identiteettivarkausrikosten selvittely kysyy aikaa, hermoja ja resursseja
Identiteettivarkaudesta johtuvat taloudelliset tappiot olivat tutkimukseen vastanneiden yritysten kohdalla enintään 20 000 euroa varkautta kohden. 41 % yrityksistä koki, että varkauksien seuraukset liittyivät erityisesti menetettyyn aikaan, resursseihin sekä yrityksen uskottavuuteen. Identiteettivarkausrikos on harvoin kertaluonteinen. Kun rikos on saatu alulle ja jäljet peitelty, voi yrityksen hyväksikäyttö jatkua jopa vuosikausia.
Taloudellisten menetysten lisäksi menetyksiin lasketaan selvitystyön osuus. Asiat voivat olla vaikeita ja pitkäaikainen selvitystyö kysyy sekä henkilöresursseja että työaikaa, joka maksaa. Rikollisuuden aikaansaamille mainehaitoille ei pystytä usein asettamaan hintaa.
Identiteettirikolliset ovat yhä ovelampia, taitavampia ja he toimivat pääsääntöisesti taidokkaasti johdettujen kansainvälisten verkostojen kautta, jossa tekninen osaaminen on huippuluokkaa. Suomalaisissa yrityksissä riittää kuitenkin vielä luottamusta ja uskoa viranomaisten toimintaan ja ratkaisukykyyn identiteettivarkausrikoksissa. Silti osa rikoksista jää valitettavasti selvittämättä viranomaisten resurssipulan sekä myös teknisen osaamisen puutteen vuoksi.
* Tiedot ovat peräisin mySafetyn teettämästä ja Kantar Sifon toteuttamasta yritysten identiteettivarkaustutkimuksesta. Tutkimus tehtiin huhtikuussa 2019, ja siihen vastasi 500 ruotsalaista ja 503 suomalaista henkilömäärältään alle 250 työntekijän yritystä.
LATAA TÄSTÄ TUTKIMUSRAPORTTI YRITYSTEN IDENTITEETTIVARKAUKSISTA