Kotimainen verkkomaksamiseen erikoistunut maksunvälittäjäpalvelu Paytrail halusi testata asiakaspalvelunsa toiminnan tietoturvaa ja prosessien kestävyyttä Social Engineering -hyökkäyssimulaatioita vastaan. Tavoitteena oli kartoittaa nykytilanne, jonka kautta löydetään oikeat kehitystoimet tietoturvallisuuden ja toimintatapojen kehittämiseksi.
Paytrailin palveluiden kautta jo tuhannet verkkokaupat ja yritykset ovat pystyneet kehittämään liiketoimintaansa luotettavan maksunvälitysjärjestelmän avulla. 2NS pääsi toteuttamaan Paytrailille sen toiminnan laatuvaatimuksia varmistavaa Social Engineering -palvelua hyvin sujuneessa yhteistyössä.
Social Engineering on tarkoituksenmukaista huijaamista
Social Engineering tarkoittaa toimintaa, jossa ihmisiä manipuloidaan tekemään jotakin, joka edistää hyökkääjän tarkoitusperiä. Hyökkääjän perimmäisen tavoitteena on yleensä päästä hyökkäyskohteen arvokkaaseen ja luottamukselliseen tietoon käsiksi tai saada manipuloitava henkilö toimimaan ohjeista ja normaalikäytännöistä poikkeavasti.
Tarkoituksena social engineering -harjoituksessa on siis kiertää kontrollit ja prosessit, jotka voisivat paljastaa hyökkääjän. Yksi yleinen tapa on luoda tilanteeseen kiireen tunne, jolloin vastapuoli manipuloidaan ohittamaan tietyt toiminnan tarkastuspisteet.
”Paytrail näki tarpeen kohdistetulle Social Engineering -simulaatiolle, jotta saataisiin arvokasta tietoa asiakaspalvelun prosesseista ja niiden tietoturvan kehittämisen tarpeesta. Olemme panostaneet paljon tekniseen tietoturvaan ja halusimme tuoda rinnalle lisää uusia panostuksia laajentamalla tietoturvapanostuksiamme tietoturvakulttuurin kehittämiseen”, kertoo Paytrailin Services Director Markku Hänninen.
Projektin suunnittelu onnistumisen keskiössä
2NS:n asiantuntijat rakensivat simulaatioon kuuluneet skenaariot suunnittelemalla toimintaa huolellisesti yhdessä asiakkaan kanssa. Onnistuneessa projektissa valmistelu ja selkeät rajat sille, millaista toimintaa halutaan testata ja mitä työkaluja simulaation toteuttajille annetaan, ovat erittäin tärkeitä.
”Asetimme harjoituksen tavoitteet ja 2NS sai hyvin kiinni toiveistamme tavoitteiden perusteella. Skenaariot sopivat tarpeisiimme hyvin”, Markku toteaa harjoituksen suunnittelusta.
Toimeksiannon onnistumista auttoi myös läheinen yhteistyö asiakkaan kanssa muun muassa asiakaspalvelun prosesseihin perehtymisen kautta. Todellisella kohdistetun hyökkäyksen tekijällä olisi periaatteessa rajattomasti aikaa kalastaa tietoa yrityksen prosesseista ja testata, millaisia erilaisia kontrolleja yrityksellä on manipulaatioyritysten varalta. Näin ollen tiiviiseen aikatauluun mitoitettu simulaatioharjoitus oli asiakkaalle tehokas ja siinä pystyttiin pureutumaan suoraan mahdollisiin ydinkohtiin toimintatavoissa.
Paytrailin puolella yhteistyö koettiin luotettavana ja sujuvana. Mukana oli myös Paytrailin asiakaspalvelutiimiä vetävä Customer Success Manager Emilia Linnera.
Simuloitujen hyökkäysten valmistelu on onnistuneen Social Engineering -harjoituksen tärkein osa. Aidon oloinen ja uskottava hyökkäys varmistaa, että asiakkaan puolella tapahtuva reagointi on mahdollisimman todenmukaista ja löydetään kohdat, joita on syytä kehittää.
”Saimme erittäin hyvää oppia asiakaspalvelun ohjeistuksien ja prosessien kehittämiseen. Korjasimme vanhoja prosesseja paremmiksi ja jatkossa on helpompi huomioida tietoturva osana kriittisiä prosesseja”, Markku kertaa projektin oppeja.
”Harjoituksen perusteella pystyimme tunnistamaan konkreettisen tapauksen, jossa oli tarpeen vahvistaa ja selkeyttää sisäistä prosessia ja dokumentaatiotamme.”, Emilia kertoo projektin kokemuksista.
Oppimaan valmiille organisaatiolle social engineering tarjoaa paljon hyötyjä
Social engineeringin hyödyt ovat moninaiset. Sen avulla saadaan kasvatettua yrityksen tietoturvatietoisuutta ja -osaamista sekä työntekijöiden toimintavalmiuksia todellisista tilanteista ja tarpeista käsin. Social engineeringiä hyödyntävä yritys voi avoimesti toimintaansa kehittämällä vahvistaa luottamustaan sidosryhmissään ja markkinoilla. Lopulta simulaatioiden hyödyt konkretisoituvat myös talouden turvaamisena, kun hyökkäyksiä on opittu ennakoimaan ja niihin varaudutaan. Paytraililla harjoituksen nähtiin kehittäneen yrityksen sisäistä tietoturvakulttuuria ja takaavan sitä kautta paremman kokemuksen maksupalvelua käyttäville verkkokaupoille ja verkko-ostoksia tekeville kuluttajille.
”Osallistimme projektiin myös muutamia verkkokauppa-asiakkaitamme, joilta saatu palaute osoitti, että hekin arvostavat sitä, että Paytrail panostaa yrityksenä merkittävästi tietoturvaan”, Emilia kertoo.
”Tietoturvamme taso on parantunut harjoituksen myötä ja Paytrailin maksuvälityspalvelua käyttävät verkkokauppa-asiakkaat sekä kuluttajat molemmat hyötyvät paremmasta tietoturvamme tasosta”, Markku summaa.
Social Engineering -harjoitus kannattaa rakentaa juuri oman organisaation tarpeisiin sopivaksi. 2NS:llä on kokemusta simulaatioiden suunnittelusta ja kyvykkyys rakentaa sellainen perustuen asiakkaan omaan ideaan ja ongelmaan sopivaksi.