Jos kuitenkin intuitiivisesti suojaat tietyt asiat salasanalla ja palomuurilla, lukoilla ja turvakameroilla, on hallussasi jotain, mitä et halua kilpailijoiden tai varkaiden saavan haltuunsa. Ja tämä suojeltu materiaali on juuri sitä, mitä yritysvakoilu yrittää saada käsiinsä.
Olemme tehneet kuluneen vuoden aikana asiakkaiden toimeksiannosta lukuisia yritysvakoilusimulaatioita. Simulaatioissa yrityksen arkaluontoista tietoa on yritetty saada haltuun niin puhelimitse, sähköpostikalastelun avulla kuin fyysisesti tunkeutumallakin. Tulokset hätkähdyttävät.
Joka ikisessä puhelimella ja fyysisesti tiloihin tunkeutumalla tehdyssä hyökkäyksessä onnistuimme saamaan käsiimme tietoa, joka ei olisi meille kuulunut. Personoiduista kalasteluviesteistä lähes 60 % avattiin ja 18 % klikattiin ja personoimattomista massaviesteistäkin jopa 26 % avattiin. Kaikkia asiakasyrityksiämme olisi siis voitu vakoilla onnistuneesti.
Onnistuneissa hyökkäyksissä käytettiin hyväksi niin kutsuttua haitallista näkyvyyttä.
Jokainen yritys on internetissä näkyvä ja yrityksistä on usein saatavilla laillisesti paljon erilaista tietoa, kuten esimerkiksi tietoa asiakkaista ja yhteistyökumppaneista. Haitalliseksi tämä tieto muuttuu, kun sitä aletaan käyttää hyökkäyksen tukena. Hyökkääjät yhdistelevät tätä tietoa kuin palapeliä ja muodostavat kuvan kohdeorganisaatiosta.
Selvittämällä vaikkapa yrityksen käytössä olevia alihankkijoita tai tietojärjestelmiä voivat hyökkääjät tekeytyä it-tueksi, lähetiksi tai huoltomieheksi. Samoja tietoja käytetään kalastelusähköposteihin, jotta ne näyttävät aidoilta ja harmittomilta. Myös puhelinhyökkäykset onnistuvat sitä varmemmin, mitä enemmän taustatietoa hyökkääjällä on hallussaan.
Tosiasia on se, että jos puhelimessa luettelen sinulle ensin pari, kolme faktaa, jotka tunnistat todeksi ja sitten esitän sinulle kysymyksen, todennäköisesti vastaat siihen. Olen jo voittanut luottamuksesi. Tähän puhelimella tehty yritysvakoilu perustuu ja siksi se onnistuu kutakuinkin 100 % tapauksista.
Vakoojien ei tarvitse löytää kuin yksi ainoa haavoittuvuus, johon iskeä. Siksi vahvin tapa suojautua yritysvakoilulta on testata yrityksen tekninen ja fyysinen nykytila sekä henkilöstön osaamistaso. Sen jälkeen täytyy kouluttaa organisaatio havaitsemaan vakoiluyritykset ja suojautumaan niiltä. Tieto lisää toki tuskaa, mutta se lisää vääjäämättä myös turvallisuutta. Voimme puolustautua vain siltä, minkä tiedämme voivan tapahtua. Tiedätkö sinä, missä oman yrityksesi haavoittuvuudet ovat?
Tutustu tietoturvatestauksen palveluihimme