Heartbleed ja tunnistustietojen kalastelu ongelmana? Kaksi helppoa tapaa varautua15.04.2014 Verohallinnon, Tullin ja Postin nimissä on vastikään lähetetty huijaussähköpostia ja koitettu onkia verkkopankkitunnuksia. Yli 60% kaikista maailman Internet-palveluista on oletettu haavoittuvan Heartbleedin myötä ja mm. NSA:n on myös sanottu keränneen salasanatietoja. Miten yritykset voivat turvata asiakkaidensa tunnistustiedot jatkossa? Helposti. Suurelle yleisölle nämä uutiskynnyksen ylittävät tietoturva-asiat tulevat aina kulman takaa, sen jälkeen päivitellään tilanteen vakavuutta ja sitten on jo kiire. Olisiko jo vihdoin aika varautua näihin asioihin? Kysehän ei ole rakettitieteestä vaan pienestä investoinnista jota voidaan verrata yrityksen vahinkovakuutukseen. Harva yritys jättää vakuutuksia ottamatta. Ensinnä tunnistustietojen kalastelu eli Phising. Kalastelijat rakentavat kohdesivun (kuten pankkien kirjautumissivut) kaltaiset sivut ja lähettävät linkkejä suoraan feikkisivuille uskotellen vastaanottajalle kyseessä olevan aito tapaus. Hyväuskoiset ihmiset menevät halpaan ja antavat verkkopankkitunnuksensa rikollisille. Sitten tapaus Heartbleed. Hyökkääjät ovat käyttäneet haavoittuvuutta hyväkseen ja saaneet käsiinsä käyttäjätunnukset ja salasanat. Ilman mitään muuta suojausta salasanat on välittömästi vaihdettava, jotta vältytään enemmältä vahingolta. Yritykset voivat kahdella yksinkertaisella tavalla varautua paremmin tulevaisuudessa näihin uhkiin:
Kaiken tämän lisäksi täytyy tietoturvan tietoisuutta pitää yllä niin henkilöstön, asiakkaiden kuin mahdollisten rikollistenkin osalta jatkuvasti. Hyvin vartioitu linna ei ole rikollisten ensimmäisenä hyökkäyskohteena! Teksti: Signicat |