Kuigi ettevõtted täiustavad alatasa oma turvalahendusi, unustatakse sageli, et kõige haavatavam lüli on endiselt inimene. LHV väikeste- ja keskmise suurusega ettevõtete finantseerimise osakonna juht Marko Kiisa jagab praktilisi soovitusi, kuidas tagada ettevõtluses turvalisus ka ajal, mil kõikvõimalikke pettusi tuleb ette järjest rohkem.
Tänapäeval ei ründa kurjategijad mitte ainult ettevõtte tehnilisi, vaid eeskätt inimesega seotud nõrkusi. Eesti Pank tõdeb hiljutises pressiteates, et kelmid keskenduvad üha sagedamini neile eraisikutele, kellel on seos ettevõtetega. Nii pääsevad nad näiteks raamatupidaja või ettevõtja enda kaudu korraga ligi nii eraisiku kui ka ettevõtte pangakontole.
Seetõttu on petturi jaoks magusaks sihtmärgiks ettevõtlikud inimesed, kelle rahulikku argipäeva – või vastupidi, tormakat eluviisi – saab nende hajameelsuse tõttu kergekäeliselt kuritarvitada. Küberpättide huviorbiidis ei ole ammu enam ainult mitmemiljonilise käibega suurfirmad. Ohvriks võib langeda igaüks olenemata tegevusvaldkonnast ja organisatsiooni suurusest.
Viimase aja juhtumid viitavad selgelt petturite uuele taktikale: nn külmade kõnede asemel kasutatakse üha rohkem sihitud lähenemist. Enne ohvriga ühenduse võtmist teevad nad põhjaliku eeltöö, kogudes avalikest allikatest ja sotsiaalmeediast võimalikult palju infot tema töö, harjumuste ja tutvusringkonna kohta. Seda infot kasutavad kelmid veenva võltsloo väljamõtlemiseks ja sellesse usaldust tekitavate detailide lisamiseks.
Järgnevad pettuste tüüpnäited illustreerivad hästi seda, kui mitmekülgselt ja osavalt kurjategijad tegutsevad.
Näide nr 1
Hiljuti sattus üks ettevõte BEC-pettuse (ingl business e-mail compromise) ehk meilipettuse ohvriks. Pikaaegse partneriga vahetati aktiivselt e-kirju ja temalt sooviti osta hinnalist kaupa. Ettevõte saigi arve, kuid sellel olnud müüja arvelduskonto number erines senisest. Selgete sisereeglite puudumise tõttu tasus ettevõtte raamatupidaja arve nii, nagu oli harjunud. Hiljem selgus, et arve oli võltsitud ja 15 000 eurot kanti petturitele.
Juhtum näitab, kui oluline on kontrollida mitmest kanalist, kas partneri arvelduskonto on ka päriselt muutunud.
Näide nr 2
Ettevõtte juhatuse liige langes Tervisekassa nimel tehtud petukõne ohvriks. Kõigepealt meelitati temalt arstivisiidi kinnitamise ettekäändel telefonikõne käigus välja PIN1. Kuna petturid olid eeltöö käigus tuvastanud, et tegu on eaka inimesega ja nad olid saanud avalikest allikatest kätte tema isikukoodi, ei olnud neil keeruline järeldada, et ta on hiljuti arsti juures käinud. See muutis nende räägitud loo ohvri jaoks usutavaks. Peagi võttis ohvriga ühendust väidetav pangatöötaja, kes teatas, et eelmine telefonikõne oli pettuslik ja nüüd tuleb tal konto turvalisuse eesmärgil kinnitada mitu toimingut PIN2-ga. Kurjategijad said seega ligi ohvri pangakontole ja tegid sellelt rahakandeid.
Sellised ründed on sihitud just ettevõtetega seotud inimestele. Neil on pangas sageli suuremad makselimiidid ja ligipääs mitmele pangakontole.
Näide nr 3
Ettevõtte juhatuse liikmele helistati näiliselt Elektrilevist sooviga vahetada välja tema elektriarvesti. Kuna petturid teadsid nii tema nime kui ka aadressi, mõjus olukord usutavana. Sellele järgnes telefonikõne juba „pangast“, milles tunti muret inimese kontol toimuvate kahtlaste tehingute pärast. Kolmandana helistas politsei väitega, et ebausaldusväärne pangatöötaja oli kliendi andmed lekitanud ja politsei on alustanud salaoperatsiooni, mistõttu ei tohi ohver juhtunust midagi rääkida ei lähedastele ega pangale. Selles kõnes meelitati ohver petturite seadmesse uut Smart-ID koodi kinnitama, väites, et see on vajalik tema pangakonto turvalisuse tagamiseks ja selleks, et politseinik saaks teda kõige paremal viisil aidata.
Mitmeastmelise skeemiga kasutavad kurjategijad ära ohvril tekkivat ajasurvet, stressi ja autoriteeditaju. Sellises olukorras võivad eksida ka muidu ettevaatlikud inimesed.
Neile näidetele toetudes annan neli nõuannet, millest ei tohiks ükski ettevõtja mööda vaadata.
- Koolita oma töötajaid ära tundma levinud petuskeeme.
Parim kaitse on teadlikkus. Tutvusta töötajatele kurjategijate kolme peamist ründeviisi: andmepüüki (ingl phishing, digitaalne petuskeem, enamasti e-kirja ja URL-i kaudu), SMS-kalastust (ingl smishing, SMS-i kaudu juhitakse ohver petulingile või nõutakse temalt andmete sisestamist) ja telefonkalastust (ingl vishing, telefonipettus, milles kelm esineb ametiasutuse esindajana). Rõhuta, kui tähtis on telefoni teel küsitud tegevusi mitte kinnitada Smart-ID-ga, eriti kui helistaja kiirustab inimest tagant või tekitab temas autoriteeditunnet. Isegi kui autentimine toimub eraisikuna, võib sellel olla tagajärgi ettevõttele. - Loo maksete kinnitamiseks selged protsessid.
Mõtle läbi, mis summast alates kehtib ettevõttes maksete kinnitamisel neljasilmaprintsiip. Lisaks sea sisse maksete topeltkinnitamine ja koosta maksejuhiste edastamise kord (ei võta makseinfot vastu telefoni teel, infot kontrollitakse mitmest kanalist, ei väljastata kaupa PDF-i alusel jne). Selged juhised ei jäta valedeks otsusteks ruumi. - Kaitse iseennast.
Suurim turvarisk istub sinu enda laua taga: see oled sina. Kasuta mitmetasandilist autentimist, hoia paroolid keerukad ja uuenda neid regulaarselt. Väldi tundlike toimingute tegemist avalikus internetivõrgus. Nii ei pääse keegi ligi sinu ettevõtte e-postkastile ega saa sinu nime alt raha välja petta. - Väldi erainfo lekkimist.
Küsi endalt, kui palju infot leiab pettur sinu kohta internetist. Kas sul on äriregistris märgitud ettevõtte asukohana kodune aadress, mida ei peaks seal tegelikult olema? Kui kergesti leiavad kelmid üles, kes on su ettevõttega seotud? Mida vähem on petturil sinu kohta isiklikku infot, seda keerulisem on tal mõelda välja usutav petulugu ning seda väiksem on ka tõenäosus, et ta võtab sinu või su ettevõtte töötajad sihikule.
Turvaline ettevõtlus on teadliku tegutsemise tulemus. Ka kiire elutempo juures tasub alati võtta hetk ja teha paus – kui miski tundub kahtlane, siis tõenäoliselt see nii ka on.
Praegusel ajal, mil pettustest kõrvale hiilimine tundub peaaegu võimatu, saab iga ettevõtja siiski astuda kuluefektiivseid samme, et muuta kelmide töö märksa keerulisemaks. Kui hoiad end ja oma töötajaid teadlikuna ning protsessid läbimõelduna, väheneb pettuserisk märkimisväärselt.
