Kesällä lomaillaan, nautitaan ja otetaan rennosti. Yksi taho ei kuitenkaan lomaile, eikä nauti Suomen suvesta perinteisin tavoin: huijarit. Kesälomakausi lisää yritysten riskiä joutua erilaisten huijausten kohteeksi. Uusin riski on deepfake. Lue vinkit kesätyöntekijöiden tietoturvaperehdytykseen.
TEKSTI IIDA-LYYDIA RIIHIMÄKI, XAMK, DIGIASEMA
Erityisesti toimitusjohtajahuijaukset lisääntyvät kesällä. Toimitusjohtajahuijauksessa rikollinen esiintyy yrityksen johdon jäsenenä ja pyytää esimerkiksi sähköpostitse siirtämään rahaa kiireellisesti.
Kiireellisyyden tunne lisää riskiä joutua huijatuksi, sillä silloin normaalit tarkistusprosessit saatetaan ohittaa. Huijarit esiintyvät vakuuttavasti yrityksen avainhenkilöiden nimissä, ja esimerkiksi sähköpostiosoite, josta viesti lähetetään, voi muistuttaa erehdyttävästi oikeaa osoitetta, joka löytyy vaikkapa yrityksen verkkosivuilta. Kiire ja tutulta vaikuttava viesti voivat helposti johtaa virheeseen, jolloin huijaus menee läpi.
Deepfake-teknologia mahdollistaa tulevaisuudessa yhä enemmän ja kohdennetumpia huijauksia. Deepfake eli syväväärennös on tekoälyn avulla tehty väärennös, joka voi olla video-, kuva- tai äänimateriaalia. Traficomin mukaan nykyisillä tekniikoilla jo lyhyt video- tai ääninäyte riittää esimerkiksi uskottavan videopuheluväärennöksen tekemiseen. Rikolliset hyödyntävät deepfake-teknologiaa huijauksissa jo nyt, ja sen käytön arvioidaan lisääntyvän tulevaisuudessa.
Yritykset voivat kuitenkin vähentää huijausriskejä ennakoivilla toimilla. Tärkeintä on pitää kiinni sovituista tarkistusprosesseista myös kiireessä esimerkiksi varmistussoittojen avulla.
Selkeät sisäiset ohjeistukset, säännölliset tietoturvakoulutukset ja henkilöstön jatkuva perehdyttäminen ovat keskeisessä roolissa turvallisuuden varmistamisessa. Erityisesti kesätyöntekijöiden huolellinen perehdytys on tärkeää, sillä kesäkaudella organisaatioissa työskentelee usein uusia tai väliaikaisia työntekijöitä.
Näin perehdytät kesän sijaisen tai uuden kesätyöntekijän:
- Ota kalenteriin tarpeeksi aikaa uuden työntekijän perehdytystä varten, älä tee sitä hutaisten tai kiireessä.
- Luo kannustava ja rento ilmapiiri, mutta ole jämäkkä ja asiantunteva. Noudata laadittuja perehdytysohjeita ja varmista, että tietoturvakäytännöt koskevat kaikkia työntekijöitä samalla tavalla.
- Käy työntekijän kanssa yhdessä läpi puhelimen, tietokoneen ja muiden työvälineiden käyttöönotto. Luo turvalliset salasanat ja ota monivaiheinen tunnistautuminen käyttöön heti ensimmäisestä päivästä lähtien.
- Varmista, että työntekijä käyttää vain työnantajan hyväksymiä laitteita, ohjelmia ja pilvipalveluita.
- Kerro selkeästi, mitä tietoja saa käsitellä, tallentaa tai jakaa ja mitä tietoja tulee käsitellä ehdottoman luottamuksellisesti.
- Opasta tunnistamaan huijausviestit, toimitusjohtajahuijaukset ja epäilyttävät linkit tai liitetiedostot. Korosta, että kiire ei koskaan saa ohittaa tarkistusprosesseja.
- Käy läpi, miten toimitaan tilanteessa, jossa sähköposti, viesti tai puhelu tuntuu epäilyttävältä.
- Perehdytä työntekijä turvalliseen sähköpostin, pilvipalveluiden ja muiden työjärjestelmien kuten Teamsin käyttöön.
- Muistuta, että työasioita ei saa lähettää henkilökohtaisiin sähköposteihin tai tallentaa omille laitteille ilman lupaa.
- Kerro, miten työlaite lukitaan poistuessa työpisteeltä ja miksi näyttöä ei saa jättää avoimeksi julkisissa tai yhteisissä tiloissa.
- Käy läpi turvallinen etätyöskentely: suojatut verkkoyhteydet, VPN-yhteydet ja julkisten Wi-Fi-verkkojen riskit.
- Varmista, että työntekijä tietää, kenelle ilmoitetaan heti, jos laite katoaa, salasana vuotaa tai epäillään tietoturvaloukkausta.
- Harjoitelkaa käytännössä esimerkiksi huijausviestin tunnistamista tai epäilyttävän puhelun tarkistamista. Konkreettiset esimerkit jäävät paremmin mieleen kuin pelkät ohjeet.
- Muistuta, että rikolliset voivat hyödyntää myös deepfake-teknologiaa, esimerkiksi aidolta kuulostavia puheluita tai videopuheluita. Epätavalliset pyynnöt tulee aina varmistaa.
- Käy läpi yrityksen tietoturvaohjeistus ja varmista, että työntekijä tietää mistä ohjeet löytyvät myös myöhemmin.
- Seuraa perehdytyksen onnistumista ensimmäisten viikkojen aikana ja kertaa tärkeimmät tietoturva-asiat uudelleen. Näytä esimerkkiä omalla toiminnallasi!
Teksti: Iida-Lyydia Riihimäki
Kirjoittaja on kyberturvallisuuden insinööriopiskelija Xamkilla, ja hän tekee parhaillaan opinnäytetyötä deepfake-teknologioista.
Jutussa käytetyt lähteet:
Kun jokainen päivä voi olla aprillipäivä – Mistä deepfakeissa on kysymys?
Kesäloma lisää yrityksiin kohdistuvien huijausten riskiä
Kyberturvallisuuskeskuksen viikkokatsaus – 22/2025
Kyberrikolliset eivät lomaile – Vinkit tietoturvalliseen kesään
Mitä kaikkea on deepfake? Täältä löydät deepfaken lyhyen oppimäärän: https://digiasema.fi/digisisalto/deepfaken-lyhyt-oppimaara/
Lue lisää haitallisista deepfake-sisällöistä ja niiden tunnistamisesta verkossa: https://digiasema.fi/digisisalto/sisaltovaroitus-eli-haitalliset-deepfaket-verkossa/
Maksuttomia kyberturvavinkkejä ja digipalveluohjausta Kymenlaakson yrityksille Digiasemalta https://digiasema.fi/
Digiasemalta voi myös varata ajan: https://digiasema.fi/ajanvaraus/