Älä helpota huijarin työtä – säädä maksuprosessisi digiaikaan

Tietoturvayhtiö Nixu Oyj:n kehitysjohtajalla Kim Westerlundilla on hyviä ja huonoja uutisia. Ensin huonot uutiset: digiaikana rikollisilla on entistä enemmän mahdollisuuksia tehdä rahaa huijauksilla ja maksupetoksilla. Hyvä uutinen on se, että rikolliset suosivat helppoja kohteita, joten esimerkiksi niin sanottuihin toimitusjohtajahuijauksiin on helppo varautua.

Kim Westerlund2Toimitusjohtajahuijauksessa rikolliset lähettävät yrityksen maksuliikennettä käsittelevälle henkilölle sähköpostitse pyynnön pikaisesta tilisiirrosta yrityksen toimitusjohtajan tai muun avainhenkilön nimissä. Ilmiö on yleistynyt myös Suomessa. Viime vuonna suomalaiset yritykset menettivät tällaisissa huijauksissa 18 miljoonaa euroa. Westerlund arvioi, että viranomaisten tiedossa tapauksia voi olla 3–4 kertaa enemmän kuin mitä julkisuuteen on kerrottu.

”Huijarit keräävät pottiaan kaikenkokoisista, myös pienemmistä yrityksistä. Petoksen riski pienenee jo lisäämällä tietoisuutta: monessa tapauksessa huijaus olisi jäänyt yritykseksi, jos sähköpostipyynnön oikeellisuus olisi tarkistettu toista kanavaa pitkin”, Westerlund sanoo.

Digiaikana rikollisten on hyvin helppo haarukoida kohteistaan tietoja verkosta. Westerlund toteaakin, että osana riskien hallintaa kannattaa pohtia myös mitä tietoja yrityksen avainhenkilöt jakavat esimerkiksi sosiaalisessa mediassa.

”Huijarit odottavat ja etsivät otollista hetkeä petosyritykselle esimerkiksi seuraamalla kohteidensa sähköpostikeskusteluja vakoiluohjelman avulla. Yritysten avainhenkilöiden tietokoneet kannattaakin suojata erityisesti.”

Tuki turvallisuusaukot

Noin joka neljäs organisaatio on kohdannut taloudellisia väärinkäytöksiä kahden viime vuoden aikana Pohjoismaissa, kertoo PwC:n Global Economic Crime Survey 2016. Kyberrikollisuus on noussut tyypillisimpien talousrikosten listalla toiseksi varojen väärinkäytön, käytännössä siis petosten ja kavallusten, jälkeen. Kyberrikollisuudessakin kyse on useimmiten petoksista tai niitä valmistelevista toimista.

OpusCapitan Cash Management -tuoteliiketoiminnasta vastaava Jukka Sallinen toteaa, että maksuliikenteen turvallisuus on suomalaisissa yrityksissä hyvällä tasolla, mutta puutteitakin löytyy. Esimerkiksi sähköposteja käytetään yhä melko yleisestikin maksutoimeksiantojen tekemiseen, vaikka niiden väärentämisen tiedetään olevan helppoa.

”Väärinkäytöksiä estäisi tiukka politiikka, jonka mukaan maksettaviksi hyväksytään vain laskut, joissa on hankintajärjestelmän ostotilausviite tai joiden laskuttaja on rekisteröity toimittaja. Käytännössä yritysten on kuitenkin hankala päästä täysin eroon satunnaisista maksuista”, Sallinen tietää.

Turvallinen tapa hoitaa manuaaliset maksut on luoda maksuliikenneohjelmistoon valmiita maksupohjia ja vaatia maksupyynnön tekijältä monitasoista tunnistautumista.”

PwC:n tutkimuksen mukaan Pohjoismaissa puolet taloudellisista väärinkäytöksistä on organisaation sisäisen tekijän tekemiä. Niin sanottu neljän silmän periaate maksujen ja esimerkiksi toimittajatietoihin tehtävien muutosten hyväksymisessä pienentää riskiä maksuliikenteessä, samoin käyttöoikeuksien hallinta, joka esimerkiksi estää henkilöä hyväksymästä maksua, jonka on syöttänyt järjestelmään itse. Sallinen muistuttaa, että turvallisuudesta pitää huolehtia maksuprosessin päästä päähän.

”Yllättävän moni yritys ottaa riskin säilyttämällä valmiita pankkiaineistoja työasemilla tai tiedostojaoissa odottamassa manuaalista latausta pankkiin. Tämä antaa turhaan mahdollisuuden muuttaa maksutietoja tai lisätä joukkoon väärennettyjä laskuja. Ongelma on erityisesti kansainvälisten yhtiöiden: vaikka Suomessa maksuliikenne hoidettaisiinkin ohjelmistossa, ulkomaisten tytäryritysten varoja ei käsitellä yhtä tietoturvallisesti.”

Poimi poikkeamat maksuvirroista

Jukka Sallinen kehottaa yrityksiä pitämään silmällä poikkeuksia maksuliikenteessään – ei ole nimittäin harvinaista, että kuluu jopa kuukausia ennen kuin yrityksessä huomataan, että heiltä on huijattu rahaa. Kassavirtojen ja saldojen joka-aamuiset, automaattisesti kerättävät ennusteet sekä tilitapahtumien nopea tiliöinti aina päivän päätteeksi parantavat näkyvyyttä.

”Ainahan kyse ei ole petoksesta, vaan joukossa voi olla virheitä, esimerkiksi tahottomia tuplamaksuja. Moderni maksuliikenneohjelmisto hälyttää tarkistamaan poikkeavat tapahtumat jo ennen kuin ne maksetaan.”

OpusCapita kehittää parhaillaan keinoälyyn ja koneoppimiseen pohjautuvia keinoja tunnistaa poikkeamia maksuvirroista entistä reaaliaikaisemmin ja automaattisemmin.

”Koneoppimista hyödyntävä algoritmi luo maksuliikennedatan perusteella sääntöjä ja oppii tunnistamaan jatkuvasti uudenlaisia poikkeamia”, Sallinen kertoo.

››› Lue myös: Tietoturvaeksperttien resepti: Maksupetokset ehkäistään maalaisjärjellä, prosessikurilla ja keinoälyllä


Älyä automaatioon
Maksamisen mullistus on kulman takana
Älä helpota huijarin työtä – säädä maksuprosessisi digiaikaan