Tietoturvaeksperttien resepti: Maksupetokset ehkäistään maalaisjärjellä, prosessikurilla ja keinoälyllä

27. toukokuuta 2016

Yrityksen talousjohtaja saa liiketoimintajohtajalta sähköpostin, jossa pyydetään maksamaan kiireellinen patenttikorvaus. Kun talousjohtaja kysyy sähköpostilla lisätietoja, talousjohtaja vastaa ja liittää viestiketjuun vielä toimitusjohtajankin, joka vahvistaa maksun olevan kiireellinen ja luottamuksellinen. Talousjohtaja hyväksyy 100 000 euron maksun.

”Kun rahat maksetaan ulos yrityksen pankkitililtä, ne päätyvät itäeurooppalaiselle huijarille, joka oli sähköpostiviestien takana. Jäljet kylmenevät minuuteissa. Voi kulua aikaa, ennen kuin yrityksessä edes huomataan, että heiltä on huijattu rahaa. Tällaisia huijauksia tapahtuu paljon, ja entistä useammin myös Suomessa”, tietoturvayhtiö Nixu Oyj:n kehitysjohtaja Kim Westerlund sanoo.

Westerlund kertoi tarinan niin sanotusta toimitusjohtajahuijauksesta OpusCapitan Finance Forum -tapahtumassa. Hän huomautti osallistujille, että nämä ovat yritysten avainhenkilöinä juuri niitä ”valaita”, joita hakkerit etsivät. Rikollinen murtautuu kohteensa tietokoneeseen, seuraa huomaamatta esimerkiksi sähköpostikeskusteluja ja odottaa otollista hetkeä huijauksensa tekemiseen.

Digitalisaatio on muuttanut maailman myös rikollisille. Kim Westerlund korostaa, että oikeastaan enää ei ole kyberrikollisuutta – on rikollisuutta, joka on digitalisoitunut ja globalisoitunut. Rikollisilla on yhä enemmän mahdollisuuksia tehdä rahaa huijauksilla, ja riski jäädä kiinni on pieni.

”Digiaikana rikolliset voivat haarukoida kohteistaan helposti tietoja verkosta. Lisäksi huijausten tekemiseen on tarjolla monenlaisia valmiita palveluja. Esimerkkitarinan huijari osti hyökkäysohjelmiston dark webin kauppapaikasta, osti käännöstyötä suomenkielisten viestien luomiseksi ja kotiutti huijatut rahat money mule -palvelulla.”

RAKENNA TURVAA PROSESSEILLA

Suomessa yritykset menettivät toimitusjohtajahuijauksissa viime vuonna 18 miljoonaa euroa. Kim Westerlund arvioi, että viranomaisten tiedossa huijauksia on 3–4 kertaa enemmän kuin mitä julkisuuteen on kerrottu. Yhdysvalloissa yrityksiltä huijattu summa oli 2,3 miljardia dollaria.

”Keskimääräinen huijattu summa oli pieni, noin 25 000 dollaria. Huijarit keräävät pottiaan kaikenkokoisista, myös pienemmistä yrityksistä.”

Westerlund muistuttaa, että rikolliset suosivat helppoja kohteita, joten riskejä voi pienentää jo lisäämällä tietoisuutta yrityksissä. OpusCapitan Cash Management tuoteliiketoiminnasta vastaava Jukka Sallinen kehottaa kohdistamaan huomion myös yrityksen omiin maksuprosesseihin. Esimerkiksi toimitusjohtajahuijaus on helppo estää, jos manuaalisia maksuja koskevat käytännöt ovat kunnossa.

”Sähköpostilla tehtyjä maksupyyntöjä ei pitäisi hyväksyä, ei ainakaan ilman, että pyynnön esittäjän henkilöllisyys varmistetaan myös jollakin toisella tavalla. Monitasoinen tunnistautuminen (multi-factor authentication) ja esimerkiksi vahvat mobiilivarmenteet ovat tulossa maksujenkäsittelyyn.”

Lisäksi tiukat hyväksymiskäytännöt, kuten neljän silmän periaate maksujen tai maksutietoihin tehtävien muutosten hyväksymisessä sekä vaarallisten työyhdistelmien estäminen tarkalla käyttöoikeuksienhallinnalla auttavat havaitsemaan ja ehkäisemään sekä ulkoisia että sisäisiä petoksia.

”Uhkakuvien ollessa entistä vakavampia yritykset ovat pakotettuja arvioimaan uudelleen maksamisensa tietoturvaa. Ajantasainen tietoturvapolitiikka esimerkiksi yksinkertaisesti kieltää pankkiaineistojen säilyttämisen tiedostojaoissa tai työasemilla manuaalista pankkiin lataamista varten”, Sallinen korostaa.

Finance Forum 2016 2

KEINOÄLY POIMII PETOKSEN MAKSUVIRROISTA

OpusCapita kehittää parhaillaan keinoälyyn ja koneoppimiseen pohjautuvia keinoja tunnistaa maksupetoksia ja poikkeamia maksuvirroista reaaliaikaisesti ja automaattisesti. Jukka Sallinen toteaa, että uusia teknologioita sovelletaan jo kassanhallinnassa esimerkiksi ostolaskujen täsmäyttämisessä.

Maksupetosten tunnistamisessa käytettävää algoritmia on kehitetty yhteistyössä Haaga-Helia ammattikorkeakoulun kanssa. Osana maksuliikenneohjelmistoa algoritmin on tarkoitus seuloa maksuaineistot automaattisesti ennen kuin ne menevät maksuun ja hälyttää, jos epäilyttäviä poikkeamia löytyy.

”Sovelsimme OpusCapitalta saamaamme maksuliikennedataan koneoppimismenetelmiä ja loimme näin mallin, joka tunnistaa massasta poikkeavat tapahtumat. Käytämme esimerkiksi klusterointia: jos maksu ei sovi yhteenkään ryhmään, se on syytä tarkistaa. Hyödynnämme myös hahmontunnistusmenetelmiä, joilla voidaan havaita esimerkiksi laskussa käytetyn kielen virheet”, yliopettaja Lili Aunimo Tietotekniikan koulutusyksiköstä kertoo.

Koneoppimista täydennetään manuaalisesti määritellyillä säännöillä ja tarkistuksilla. Esimerkiksi jos maksu on menossa tilille, joka ei ole ennalta tunnettu, se liputetaan tarkistettavaksi.

”Koneoppimiseen perustuvien algoritmien hyvä puoli on se, että ne pysyvät ajan tasalla ja oppivat tunnistamaan jatkuvasti uudenlaisia poikkeamia”, Aunimo toteaa.

 

Huolestuttavatko petokset ja kyberrikollisuus? Kuuntele webinaariitallenne riskienhallinnasta, joka keskittyy erityisesti kassanhallintaan. Kerromme konkreettisten esimerkkien kautta miten tunnistaa riskejä ja hallita niitä.