Nätfiske, eller phishing, där personer luras att skriva in sitt användarnamn och lösenord har varit ett vanligt fenomen i Finland under det senaste året. De drabbade organisationerna väljer i flera fall att tona ned riskerna med det här.
Anställda på Esbo stad fick i slutet av mars månad ett e-postmeddelande som lurade några av dem att klicka på en länk och skriva in sitt användarnamn och lösenord.
Elva personer gjorde det här i tron att de loggade in på molntjänsten Microsoft Office 365 som de använder dagligen i sitt jobb.
Men i själva verket handlade det om en webbplats som tillhör kriminella i Nigeria.
Phishingen ledde till att bedragare kunde komma åt personernas e-post och dokument.
Dataintrånget i Esbo avslöjades av en begäran om information som Svenska Yle och Yle-programmet A-studio skickade till Dataombudsmannens byrå.
Esbo stad bekräftar saken i en intervju.
– Det är mycket beklagligt. Så här borde det inte få gå till, säger dataskyddsansvariga Juho Nurmi.
Esbo stad är inte ensam om att råka ut för phishing. Cybersäkerhetscentret varnade redan för ett drygt år sedan om sådana här fall och risken har inte minskat sedan dess.
– Vi får dagligen meddelanden om phishingsidor och om lyckade fall där företag har blivit offer för en phishingkampanj. I värsta fall har det skickats vidare phishingmeddelanden till en massa andra företag, berättar specialsakkunnig Markus Lintula.
Finlands näringsliv EK kallar för sin del sådana här attacker för ett växande problem. Framför allt Office 365-användarkonton drabbas eftersom de är de vanligaste företagskontona i Finland.
Oftast vill inkräktare få tag på räkningar så att de sedan kan skicka ut trovärdiga bluffräkningar där de styr betalningarna till sina egna konton.
Det finns också en risk med att personuppgifter kan läcka ut. Personuppgifter är all information som direkt eller indirekt kan knytas till en person.
Det kan till exempel handla om namn, postadress, e-postadress, telefonnummer och personnummer.
Personuppgifter äventyrades
I Esbo kom staden fram till att 32 dokument hade öppnats av obehöriga. Loggdata visar också att inkräktarna hade loggat in i alla elva användarkonton de hade fått tillgång till, och öppnat e-posten där.
E-posten innehöll en del personuppgifter – något som inkräktare kan använda sig av på olika sätt, till exempel för bedrägerier, identitetsstölder eller för att avslöja hemlig information.
I en anmälan som staden gjorde till dataombudsmannen uppskattas att phishingen gav tillgång till tiotals CV:n, tio hyreskontrakt, tio arbetstagares meritförteckningar och 50 räkningar.
Tusentals e-postmeddelanden innehöll dessutom personuppgifter i signaturerna och hela stadens adressbok – som omfattar cirka 14 500 anställda – var tillgänglig.
De drabbade fick inte veta något
Esbo stad informerade snabbt Dataombudsmannens byrå om phishingattacken såsom lagen nuförtiden kräver, men anmälan innehöll inte tillräckligt med information om vad som hade hänt.
Staden varnade till att börja med inte heller de personer vars personuppgifter kunde ha stulits.
Esbo bedömer att det inte är troligt att e-postmeddelanden har laddats ned av obehöriga, trots att loggdata alltså visar att e-postkonton har öppnats.
Nurmi säger att man drar den slutsatsen utgående från att det inte fanns något klart mönster i vilka dokument som hade öppnats. Han menar dessutom att de bara innehöll få personuppgifter. Det handlade till exempel om pressmeddelanden och mötesprotokoll.
Han bedömer också att motivet för nätfisket troligen var ekonomiskt eftersom det ofta är det enligt Cybersäkerhetscentret. Därmed tonar han ned risken för stöld av personuppgifter.
Dataombudsmannen håller inte med
Men dataombudsmannen Reijo Aarnio bedömer i ett svarsbrev till Esbo att personuppgifter troligen har hamnat hos kriminella.
Han påpekar att det i Office 365 är lätt att ladda ned alla data när man har loggat in – till exempel alla e-postmeddelanden.
Dessutom säger Aarnio att det är mycket lätt att få en kopia av hela adressboken och de telefonnummer som finns i den.
Vissa anställda verkar till exempel inom socialtjänsten eller barnskyddet, och har jobbnummer som inte är offentliga.
Aarnio bedömer också att stulna personuppgifter som hamnar i kriminella händer troligen förr eller senare läggs till försäljning på internet.
Staden ändrade sig
Efter dataombudsmannens svar skickade Esbo stad en varning till nio personer vars personnummer kan ha läckt. De är alla anställda vid staden.
Staden bedömer alltså att risken var särskilt stor i de fallen, men inte i de andra fall som dataombudsmannen var oroad över. En aktör som kan ha läckt personuppgifter till obehöriga behöver enligt lagen bara informera de personer, för vilka det råder en hög risk att drabbas.
Staden ringde också upp de nio personerna och erbjöd dem kreditspärr.
Då hade det gått tre månader efter phishingen. Enligt lagen borde varningen ha skett utan dröjsmål.
– Vi gjorde en annorlunda riskbedömning, och när vi fick dataombudsmannens beslut så reagerade vi förstås genast, säger han.
Esbo påpekar också att man nu är medveten om att bevisbördan ligger på staden – det gäller att vattentätt kunna visa vilka uppgifter som har äventyrats. Det kunde man inte göra i samband med den nu aktuella phishingen.
Höjd säkerhet
Efter phishingen höjde Esbo stad säkerheten genom att aktivera tvåstegsverifiering för sina anställda. De behöver nu till exempel ha tillgång till sin mobiltelefon för att kunna logga in - att endast veta användarnamn och lösenord räcker inte.
Det här är helt i linje med de rekommendationer Cybersäkerhetscentret har kommit med.
Myndigheten publicerade i våras en finskspråkig teknisk guide om hur organisationer kan skydda sig mot phishing. En svenskspråkig version är också att vänta inom kort.
Staden ska dessutom vidareutbilda alla sina anställda i både datasäkerhet och dataskydd. Det är något som den ledande sakkunniga Mika Susi på Finlands näringsliv EK också förespråkar.
– Det är viktigt att inse att sådana här phishingkampanjer pågår, och att utbilda personalen i att känna igen sådana här meddelanden, så att de inte klickar på länkar och skriver in sina användaruppgifter utan att tänka efter. Om man ens är lite tveksam så lönar det sig att vara i kontakt med organisationens egna IT-personer, säger han.
Finnair kan ha läckt kunders uppgifter
Också en av Finnairs anställda blev lurad av phishing tidigare i år. Kriminella fick då tillgång till information som bolaget beskriver som “icke kritisk”. Datamaterialet omfattar också personuppgifter.
– Där ingår en liten mängd uppgifter om Finnair-kunders resor. Det handlar om resor som gjordes för några år sedan. Dessutom har personalens kontaktuppgifter varit tillgänglig, säger Mikko Viemerö som är dataskyddsansvarig på flygbolaget.
Han vill ändå inte berätta exakt hur många kunders uppgifter det handlar om.
Dessutom lyckades inkräktaren skicka tiotals phishing-meddelanden från den anställdas e-post – både till Finnair-anställda och personer utanför företaget. Motivet tros ha varit att få större spridning för phishing-kampanjen.
Viemerö säger att inkräktarna ändå bara hann skicka några tiotals meddelanden.
– Vi lade snabbt märke till det här med hjälp av automatisk övervakning, och med hjälp av tekniska åtgärder kunde vi avsluta det hela mycket snabbt.
Finnair lät först bli att informera de kunder vars personuppgifter kunde ha läckt.
Dataombudsmannen bedömde ändå att risken i vissa av de här fallen kunde vara hög, och uppmanade flygbolaget att informera de drabbade.
Efter det informerade flygbolaget 12 kunder, och man skickade också ett mejl till alla sina anställda.
Finnair har förbättrat säkerheten för att göra phishingattacker betydligt svårare i framtiden.
Nyheten på finska: Huijarit murtautuivat kaupungin työntekijöiden sähköposteihin Nigeriasta – Jopa henkilötunnuksia vaarassa joutua nettimyyntiin