Kesäaika on valitettavasti aktiivista aikaa erilaisille laskutus- ja toimitusjohtajahuijauksille. Paras suojautuminen ovat laadukkaat ohjeet ja selkeät yhteiset toimintatavat (tietoturvan kielellä kontrollit ja politiikat), jotka on helppoa perehdyttää kesätyöntekijöille.
Yrityksen taloushallinnon postilaatikkoon kilahtaa aurinkoisena heinäkuun päivänä viesti, jossa pyydetään kiireesti maksamaan useamman tuhannen euron yllättävä lasku yrityksen alihankkijalle. Kehoitus saattaa vieläpä tulla itse toimitusjohtajan nimissä. Viestit noudattavat organisaation viestipohjaa ja nopealla vilkaisulla allekirjoituskin täsmää.
Pyynnössä mukana ollut kiireen tuntu asettaa paineita kirjanpidossa kesätyössä olevalle opiskelijalle. Päällisin puolin kaikki näyttää oikealta eikä toimitusjohtajakaan turhaan ottaisi kesken lomansa yhteyttä, ellei asia olisi tärkeä.
Toimitusjohtajahuijaus, kuten myöskin laskutushuijaus, voi näyttää esimerkiksi ylläkuvatun kaltaiselta skenaariolta. Yritystä pommitetaan väärennetyillä laskuilla tai muilla maksupyynnöillä, kun rutinoituneet henkilöt ovat lomalla ja maksuliikenne saattaa olla vähemmän kokeneiden tekijöiden tai ihan puhtaasti kausityöntekijöiden hoidossa.
Huijaukset ovat viheliäitä. Niissä on usein mukana aimo annos sosiaalista painostusta, jonka voi olettaa tehoavan erityisesti nuorempiin ja vähemmän kokeneisiin työntekijöihin. Heillä on kuitenkin halu todistaa, että hommat hoituvat itsenäisesti ja tämän vuoksi toimitusjohtajahuijaus saattaa mennä läpi.
Koulutus ja aidosti käytössä olevat toimintatavat ovat paras puolustus, kun kyseessä on toimitusjohtajahuijaus
Tässä kohtaa mitataan yrityksen perehdytyksen onnistumista, laskujen tarkastukseen liittyvän toiminnan systemaattisuutta ja sisäistä tiedonkulkua. Huijauksiin liittyvät riskit ovat oivallinen esimerkki tietoturvapoliitikkojen tärkeydestä ja tietoturvan laajemmasta merkityksestä yritystoimintaan.
Laskuhuijauksilta vältytään parhaiten, kun prosessi laskujen tarkistamiseen on selkeä. Esimerkiksi nämä perusjutut on aina hyvä käydä läpi: Tarkistetaan laskun lähettäjän sähköposti ja yhteystiedot, katsotaan täsmäävätkö ne aiempiin laskuihin samalta taholta, tarkastetaan lasku lähettäjän päässä, mikäli mahdollista, ja otetaan selvää sisäisesti kuka olisi tilannut laskulla ilmoitettuja palveluita tai tuotteita. Koskaan ei ole niin kiire, ettei asiaa ehtisi tarkistaa.
Samat perusajatukset pätevät myös toimitusjohtajahuijauksiin varautumiseen. Näissä pelataan vielä enemmän nimenomaan sosiaalisella painostuksella. On hyvä käydä läpi, mitkä ovat prosessit, joilla johto- ja esihenkilöt voivat hankituttaa asioita tai hoidattaa maksuja yritykseltä. Jossain pitäisi yleensä olla myös joku muu, joka tietää vaikkapa toimitusjohtajalta tulevasta yllättävästä pyynnöstä ostaa jotakin tai maksaa jotakin laskuja.
Ns. keveimmät versiot laskuhuijauksista sisältävät vain laskujen tai jopa vakiomuodoista poikkeavien maksupyyntöjen lähettämistä yritykselle. Nykyään verkkorikolliset havittelevat monesti lahjakortteja digitaalisiin kauppapaikkoihin, kuten älypuhelimien sovelluskauppoihin tai PC-pelejä myyvään Steam-kauppaan. Näin on käynyt ainakin yhdessä Ilta-Sanomien uutisoimassa tapauksessa.
Myös paperisia huijauslaskuja saatetaan edelleen lähettää.
Kyberturvallisuuskeskus pyytää ilmoittamaan laskuhuijauksista Poliisille ja Kyberturvallisuuskeskukselle. Vaikka kukaan yrityksessä ei reagoisi väärennettyihin laskuihin ja vahinko jäisi tapahtumatta, on viranomaisilla hyvä olla mahdollisimman monesta huijausyrityksestä tieto. Laskuhuijauksia kohdistetaan yleensä samanaikaisesti useaan tahoon, joten tämä helpottaa selvitystyötä.
Jos rahaliikenne on aloitettu, täytyy asiasta laittaa välittömästi rikosilmoitus ja ottaa yhteyttä yrityksen laskujen maksuun käytettyyn pankkiin. Rahaliikenteen voi ehkä ehtiä pysäyttämään. Pankki saattaa vaatia tähän kopion rikosilmoituksesta.
Jos hälytyskellot soivat, niin on aina parempi varmistaa laskujen, maksupyyntöjen ja muiden omituiselta kuuluvien toimeksiantojen todellisuus, etenkin sellaisten, joissa liikkuu rahaa.
2NS auttaa työntekijöiden tietoturvakoulutuksessa ja tarjoaa kattavan asiantuntijuuden yritysten liiketoimintojen riskinarviointeihin. Tutustu vaihtoehtoihin, joilla voit lähtökartoittaa organisaatiosi tietoturvan. Saat helposti lisätietoa ottamalla meihin yhteyttä.