Ads 468x60px

tiistai 31. joulukuuta 2013

NSA:n vakoilulaitteet esittelyssä

Der Spiegel julkaisi vuoden vaihteessa Edward Snowdenin vuotamia dokumentteja NSA:n ANT-osaston työkaluista. ANT on osa NSA:n Tailored Access Operations (TAO) -osastoa, joka tarjoaa NSA:lle työkaluja tietokoneiden, puhelimien ja verkkojen vakoilua varten. ANT tarkoittaa ilmeisesti joko advanced tai access network technologyä. Henkilökohtaisesti olen yllättynyt takaovien määrästä ja työstä, jota niiden suunnittelu ja testaus on vaatinut. Ennen ensimmäisiä Snowdenin paljastuksia, en olisi hevillä uskonut, että näin laaja kirjo edistyneitä vakoilutekniikoita on edes NSA:n aktiivisessa käytössä.

Luettelo on vuodelta 2008 ja sisältää n. 50 sivua lyhyita kuvauksia eri työkaluista. Tarkkoja tietoja niiden toiminnasta tai tavoista, joilla ne asennetaan kohteeseen ei kaikkien osalta ole annettu näissä dokumenteissa. Ilmeistä on, että suuri osa ratkaisuista toimii erillisen mikrosirun avulla, joka asennetaan kohdelaitteeseen. Pelkästään tämä herättää jo kysymyksiä, kuinka takaovet päätyvät laitteisiin. Asennetaanko ne:
  1. Kaikkiin tuotteisiin tehtaalla
  2. Tuotteisiin joiden tiedetään menevän kohteelle
  3. Kohteessa jo oleviin tuotteisiin sisäpiiriläisen toimesta
  4. Haavoittuvuutta hyväksi käyttäen
  5. Muun tietomurron avulla, esimerkiksi varastamalla ylläpitäjän salasanat
  6. Joku muu mikä?
Ilmeisesti ainakin tavat 2,3 ja 5 ovat käytössä. Todella toivon, että listan ensimmäistä tapaa ei käytetä. Joistakin Snowdenin vuotamista dokumenteista selviää, että NSA saattaa esimerkiksi kaapata lähetyksiä laitevalmistajilta, kun ne ovat matkalla loppuasiakkaalle. Paketit viipyvät matkalla vain hieman pidempään, ja saapuvat perille NSA:n sirujen kera.

Pelkästään näitä kuvauksia lukiessa on erittäin vaikea luottaa enää edes laitteisiin mihinkään. Jatkossa korkean turvallisuuden laitteiden osalta on tunnettava käyttöjärjestelmän ja sovelluksien lisäksi myös rautataso ja tarkistettava, että laitteet eivät sisällä mitään ylimääräistä. Tämä on käytännössä erittäin vaikeaa. Laitteiden piirikaaviot tai muut vastaavat ovat luonnollisesti liikesalaisuuksia - lisäksi niitä on myös mahdollista muokata, ja merkitä vakoilusiru normaaliksi osaksi.

Alla on esimerkki ohjelmoitavasta, ARM-pohjaisesta MAESTRO-II-sirusta, jota voidaan käyttää eri laitteissa. Tämä esimerkki on vuodelta 2007, jonka jälkeen vastaavat sirut ovat kehittyneet suurin harppauksin. Kehitystä voidaan verrata esimerkiksi matkapuhelimien suorittimien tehoissa tapahtuneeseen kehitykseen.


Dokumentteja lukiessa on siis muistettava, että teknologinen kehitys on aivan varmasti parantanut myös NSA:n mahdollisuuksia. Esimerkiksi GOPHERSET ja MONKEYCALENDAR ovat työkaluja, jotka asennetaan GSM-puhelimen SIM-kortille, eivät välttämättä enää toimi nykyisissä älypuhelimissa. Aivan varmaa on, että NSA on kehittänyt uusia, edistyneempiä tekniikoita niiden vakoiluun.

Mielenkiintoinen on myös COTTONMOUTH-sarja. Esimerkiksi CM-III on ilmeisesti tietokoneen emolevylle asennettava liitinkomponentti, jossa on verkkoliitäntä ja kaksi USB-liitintä. Lisäksi se pitää sisällään radiokomponentin, jolla voidaan kommunikoida muiden vastaavien komponenttien kanssa tai kauempana olevan etähallintamoduulin kanssa. FIREWALK on puolestaan vastaava komponentti, mutta mahdollistaa VPN-tunnelin luonnin NSA:n operointikeskukseen esimerkiksi radiolinkin läpi. Linkkien luontiin on ilmeisesti tarjolla myös useita eri tekniikoita.

Esimerkiksi CM-moduuleilla on siis mahdollista hypätä ns. air gapin yli. Vaikka huippusalaiset verkot olisivat fyysisesti erossa tavallisista verkoista, näillä fyysisillä laitteilla on mahdollista ohittaa tämäkin suojaus. Tällä on valtava merkitys jatkossa turvallisia verkkoja ja ratkaisuja suunniteltaessa. Jokainen komponentti olisi käytännössä verifioitava käsin, mikäli halutaan olla turvassa esimerkiksi NSA:n vakoilulta.

RAGEMASTER on varmasti yksi vaikeimmin havaittava NSA:n työkalu. Se on erittäin pieni, VGA-monitorikaapelin sisälle piilotettava siru, joka mahdollistaa kaapelin kautta kulkevan kuvan lukemisen etänä erillisen tutkan avulla. Käytännössä tutka lähettää radiosignaalia, jonka kaapeliin piilotettu pieni siru (kuva) heijastaa takaisin tutkan luettavaksi.



Paljastus osoittaa myös, että NSA on suunnitellut ja toteuttanut vastaavia komponentteja jo vuosien ajan. Useat komponentit toimivat jonkun määrätyn arkkitehtuurin mukaisesti ja rakenne on modulaarinen. Komponentteja voidaan päivittää uudemmiksi muista osista riippumatta, kunhan ne toteuttavat samaa arkkitehtuuria.

Vuonna 2013 NSA:n kyvyt ovat todennäköisesti vain kasvaneet. Tämä analyysi on vain pintaraapaisu kaikesta, minkä nykyteknologia mahdollistaa vakoilun saralla.

NSA:n dokumentit kokonaisuudessaan: http://leaksource.wordpress.com/2013/12/30/nsas-ant-division-catalog-of-exploits-for-nearly-every-major-software-hardware-firmware/

maanantai 23. joulukuuta 2013

Tuntematon uhka suomessa - tutkimuksen loppuraportin ja tulosten julkistaminen




15.1.2014 klo 11.30 - 15.15 
KPMG:n koulutustilat, Yrjönkatu 23 b,
(Yrjönkäytävä) 6 krs


Tuntematon uhka suomessa -tutkimuksen loppuraportin ja tulosten julkistaminen

Usein organisaatiot uskovat, että heihin verkon kautta kohdistuva teollisuusvakoilu on vain teoreettinen uhka ja torjuttavissa virustorjunnan ja hyvien salasanojen avulla. Suomessa uskotaan meidän olevan kehittyneiden haittaohjelmien sekä verkkovakoilun osalta erityisasemassa. Näin ei ole, tulokset ovat pysäyttäviä!

KPMG on syksyn aikana järjestänyt tutkimuksen, jossa selvitettiin suomalaisten merkittävien yritysten tietotekniikkaympäristöjen altistusta uusille, kehittyneille haittaohjelmille, joita käytetään esimerkiksi verkkovakoiluun. Tutkimuksessa käytettiin Cybersec Oy:n edustaman FireEyen teknologiaa.

Tutkimuksessa selvitettiin "Tuntemattoman uhan" tilanne Suomessa, eli analysoitiin osallistuja-organisaation verkon tietoliikennettä määrämittainen aika. Tarkoituksena oli selvittää organisaatioiden altistuminen uusille kehittyneille uhille ja nollapäivähaavoittuvuuksille, joista seurauksena voi olla muun muassa tietovuotoja. Tällaista tutkimusta Suomessa ei ole aiemmin tehty. Tutkimus aloitettiin jo keväällä ennen Suomalaiseen julkishallintoon kohdistuneen hyökkäyksen julki tuloa. Tule kuulemaan onko samanlaisia hyökkäyksiä käynnissä muissa merkittävissä organisaatioissa.




Tilaisuudessa julkistetaan tutkimuksen loppuraportti.
Ohjelma

11.30 Ilmoittautuminen ja kahvi

12.00 Keynote, FireEye

12.45 Loppuraportin julkistaminen, Matti Järvinen, KPMG

13.30 Mitä loppuraportista voidaan päätellä, Harri Ruutila, FireEye

14.15  Reagointikykyisten verkkojen rakentaminen, Toni Sulankivi, KPMG

14.45 Kysymyksiä ja keskustelua

15.15 Tilaisuus päättyy

Tervetuloa!
Matti Järvinen, Senior Manager
KPMG Oy Ab

Tilaisuus on TÄYNNÄ, Tulemme pitämään toisen esittelytilaisuuden, jonka ajankohta ilmoitetaan myöhemmin.
 
 

keskiviikko 11. joulukuuta 2013

Pilvipalvelujen turvallisuudesta

KPMG:n pilvipalvelututkimuksen mukaan yli 50% yrityksistä käyttää erilaisia pilvipalveluja mm. HR:n tarpeisiin, IT:n hallintaan, toimisto- ja sähköpostiohjelmiin sekä myynnin ja asiakkaiden hallintaan. Vastanneista 80% aikoo käyttää samoja palveluja myös seuraavien 18 kuukauden sisällä. Tämän lisäksi pilvipalveluiden käyttö tulee tutkimuksen mukaan laajenemaan lähivuosina voimakkaasti toimitusketjujen ja logistiikan, rahoituksen, business intelligencen, tietoturvan sekä toiminnan ohjauksen tarpeisiin.

Luonnollisesti pilvipalveluiden yleistymisellä ja käyttöönoton laajenemisella enemmän bisneskriittisiin toimintoihin ja prosesseihin on huomattavia vaikutuksia organisaatioiden tietoturvaan. Sen seurauksena vaatimukset pilvipalveluiden tietoturvalle ja sen varmentamiselle kasvavat. Tutkimukseen vastanneista liiketoimintajohtajista 30% näkee tietovuodot ja tietosuojan loukkaukset pilvipalveluiden käytön keskeisimpänä riskinä, mikä toisaalta on hidastanut pilvipalveluiden käyttöönottoa. Pilvipalvelutarjoajien näkökulmasta haasteina ovat oman liiketoiminnan nopea kasvu, asiakkaiden ja lainsäädännön kasvavat tietoturvavaatimukset sekä uusien tietoturvauhkien perässä pysyminen.

Sekä pilvipalvelujen käyttäjien että tarjoajien haasteita helpottamaan on kehitetty erittäin käyttökelpoisia ISAE-raportteja, joiden käyttö on kasvanut myös Suomessa viime vuosina voimakkaasti. Lyhyesti ISAE-lausuntojen eroista; ISAE 3402 -varmennuslausunto lausuu taloudellisen raportoinnin kannalta merkittävistä yleisistä IT-kontrolleista (nk. GITC) ja ISAE 3000 -varmennuslausunto taas voidaan tuottaa lähes mistä kontrolliympäristöstä tahansa. Suomessa ISAE 3000 lausuntoja on tuotettu mm. Tietoturvatasoista, KATAKRIsta, fyysisistä kontrolleista konesaleissa (esim. VAHTI 2/2013 tai KATAKRI F-osio), ISO27001, ISO22301 ja WLA-SCS -standardien mukaisuudesta. Listaa voi jatkaa lähes millä tahansa standardilla tai kontrolliviitekehyksellä. Lisää aiheesta aiemmassa blogitekstissäni standardien eroista.

Koska pilvipalvelujen luonne tukee nopeaa käyttöönottoa, on tärkeää että myös niiden turvallisuudesta ja vaatimustenmukaisuudesta varmistuminen on helppoa ja se tukee nopeaa päätöksentekoa. Monilla aloilla (kuten rahoitusalalla) toimittajien riskien arviointi ja auditointi on pakollista tehdä säännöllisesti. Tällaisten auditointien ajoittaminen ja sopivien resurssien saaminen juuri tiettyyn aikaan saattaa olla haasteellista. Kun pilvipalvelun tarjoajalla on jo valmiiksi olemassa ISAE-lausunto vaatimustenmukaisuudesta, ei asiakkaan tarvitse tehdä itse aikaa vievää auditointia, ja toimittajan riskiarviointi on nopeampaa suorittaa.

Pilvipalvelun tarjoajan näkökulmasta ISAE-lausunnon hyödyt näkyvät auditointien määrän vähenemisessä ja ajan sekä resurssien käytön optimoimisessa. Myös palveluntarjoajan intresseissä on asiakkaiden käyttöönoton ja päätöksenteon nopeus ilman monimutkaisia ja haasteellisia auditointeja. Yksi hyvin määritellyn kontrolliympäristön ISAE-auditointi ja raportti vastaa moniin tarpeisiin ja useimpien asiakkaiden auditointivaatimuksiin. Lisäksi ISAE-auditointi ja siitä annettu SOC-lausunto alkaa nykypäivänä olla merkittävä kilpailuetu jo tarjousvaiheessa.

Mikäli kiinnostuit asiasta, ota yhteyttä ja sovi tapaaminen niin saat nimenomaan pilvipalvelujen varmistuslausuntoja koskevan thought leadership-raporttimme, joka ei vielä toistaiseksi ole julkisessa jakelussa. KPMG:n varmentamislausuntoja yleisemmin käsittelevä white paper on ladattavissa täältä.

perjantai 29. marraskuuta 2013

Status update EU:n tietosuoja-asetus


EU:n tietosuoja-asetuksen lainsäädäntöprosessissa eletään jännittäviä aikoja. Mm. Yhdistynyt kuningaskunta ja Ruotsi vastustavat asetuksen hyväksymistä tämän vaalikauden (-2014) aikana, mutta komissio on ilmoittanut, että se aikoo jatkaa lainsäädännön valmistelua siten, että se astuisi voimaan vuoden 2015 alusta. Muussa tapauksessa lainsäädäntötyö jouduttaisiin aloittamaan uudelleen melko lailla puhtaalta pöydältä. 

Poliittisessa ilmapiirissä on Edward Snowdenin NSA-paljastusten ja erinäisten vakoiluskandaalien jälkeen voimistunut tahto saada voimaan uusi, vahvempi ja yhtenäisempi tietosuojalainsäädäntö, jolla pyritään vaikuttamaan myös esim. amerikkalaisten yritysten henkilötietojen käsittelyn käytäntöihin.
Alkuperäiseen luonnokseen on ehdotettu ennätyksellisesti n. 4000 muutosta, ja ehdotus on nyt menossa jäsenvaltioiden välisiin neuvotteluihin unionin neuvostossa. Merkittäviä muutoksia on mm. tietovuototapausten maksimirangaistuksen korottaminen jopa 5 % / 100 milj. euroon yrityksen maailmanlaajuisesta liikevaihdosta. Uutena pyrkimyksenä on rajoittaa EU:n ulkopuolelle tapahtuvaa henkilötietojen siirtoa vaatimalla toimivaltaisen viranomaisen hyväksyntää tiedonsiirroille. Eksplisiittisen suostumuksen vaatimuksella koskien kaikkea henkilötietojen käsittelyä olisi merkittäviä taloudellisia vaikutuksia rekisterinpitäjille. 
Voitaneen todeta, että alalla odotetaan uusien vaatimusten hyväksyntää innolla, lopullisen asetuksen nyanssit ovat toissijaisia; ne kun ovat viime kädessä aina poliittisten intressien värittämiä.

maanantai 25. marraskuuta 2013

Tietoturvaennustukset 2014

Vuoden lähentyessä loppuaan suurten tietoturvayritysten tietoturvaennustukset lisääntyvät. Websense, joka tekee mm. Facebookin kanssa yhteistyötä haitallisten linkkien suodatuksessa, julkaisi vastikään ennustuksensa vuodelle 2014.  Ohessa on yhteenveto ennusteista sekä lyhyesti mahdollisia keinoja näiden riskien hallitsemiseksi.

1. Kehittyneet haittaohjelmat lisääntyvät
Haittaohjelmat ovat määrällisesti vähentyneet viimeaikoina, sillä kyberrikolliset ovat siirtyneet hienostuneimpiin ja kohdistetuimpiin hyökkäysmenetelmiin. Enää ei yritetä saastuttaa mahdollisimman suurta määrää järjestelmiä, vaan keskitytään mieluummin muutaman arvokkaamman järjestelmän valloittamiseen. Tällaisia hyökkäyksiä on hyvin vaikea havaita perinteisillä antivirusratkaisuilla sillä hyökkäystavat ovat hyvin spesifisiä ja tapauksesta riippuvia, josta hyvä esimerkki on Ulkoasianministeriössä ilmennyt tapaus. Paras tapa suojautua kehittyneempiä hyökkäyksiä vastaan on valvoa verkkoja ja järjestelmiä epätavallisen toiminnan varalta. Tähän voidaan käyttää erilaisia IDS-ratkaisuita, kuten esimerkiksi HAVARO-järjestelmää.

2. Laajamittainen tietojen tuhoamishyökkäys
Kyberrikolliset ovat perinteisesti olleet kiinnostuneita tiedostojen sisällöstä, mutta entistä enemmän rikoksia on alettu toteuttaa myös hyödyntämällä erilaisia ”liiketoimintamalleja”. Esimerkiksi tiedostojen varastamisen sijaan tietoja tuhotaan tai pidetään panttivankina. Kyseiset haittaohjelmat ovat yleistyneet vuoden 2013 lopulla huomattavasti ja leviävät erityisesti sähköpostin liitetiedostoina ja USB-tikkujen kautta. Näiden ransomware-haittaohjelmien (mm. CryptoLocker) erityispiirteenä on tietokoneelta löytyvien tiedostojen salaus, joiden avaamiseen tarvitaan salasana. Avaussalasanan saamiseksi vaaditaan maksua, joskaan ei ole mitään takeita siitä että maksun jälkeen mitään avaussalasanaa koskaan saadaan. Lisäksi tulee huomioida, että maksamalla tulee tukeneeksi myös järjestäytynyttä rikollisuutta. Tiedot onkin parempi mieltää tuhoutuneeksi ja hankkiutua eroon haittaohjelmasta, jonka jälkeen tiedot voidaan palauttaa varmuuskopioista. Tästä syystä Websense ennustaakin, että tänä vuonna tullaan näkemään entistä laajempia tietojen tuhoamishyökkäyksiä. Oleellista kyseisen riskin kohdalla on käyttäjien koulutus ja tietoisuuden lisääminen, jolla estetään haittaohjelmien pääsy organisaation laitteisiin.

3. Hyökkäykset kohdistuvat yritysverkkojen sijasta pilvipalveluihin
Sekä yksityiset ihmiset että yritykset siirtävät tietojaan helppouden ja kustannustehokkuuden takia verkkopalveluihin, joten kyberrikolliset ovat kiinnostuneet pilivipalveluista entistä enemmän. Tämä voi tosin olla tietoturvan kannalta hyväkin asia, sillä Googlella ja muilla suuremmilla pilvipalveluyrityksillä tietoturvan taso on oletettavasti jopa korkeampi kuin useilla yrityksillä keskimäärin. Pilvipalveluihin liittyvät kuitenkin edelleen samat ongelmat, jotka liittyvät yksityisyyteen, tietosuojaan sekä tietojen saatavuuteen. Pilvipalvelu ei siis ole lähtökohtaisesti huono vaihtoehto, mutta ennen niihin siirtymistä tulee kiinnittää huomiota erityisesti palvelusopimuksiin ja omaan toimintaan kohdistuviin tietoturvavaatimuksiin.

4. Uusien haittaohjelmatyökalujen leviäminen
Yhden maailman menestyksekkäimmän haittaohjelmien kehitystyökalun Blackholen kehittäjän pidätyksen jälkeen on oletettavissa, että haittaohjelmamarkkinoilla tullaan näkemään entistä kiivaampaa tuotekehitystä, koska kaikki pyrkivät toteuttamaan seuraavan ”markkinaykkösen”. Tämä asevarustelu voi näkyä vuonna 2014 entistä suurempana määränä erilaisia haittaohjelmia.

5. Javan haavoittuvuusongelmat jatkuvat
Javan haavoittuvuusongelmien ennustetaan jatkuvan. Ongelma ei ole kuitenkaan täysin Javan, vaan juurisyynä on usein se, että monet yritykset joutuvat käyttämään vanhentuneita Java-versioita koska muut liiketoimintakriittiset järjestelmät sitä vaativat. Yritysten tulisi yrittää tasapainottaa tietoturva ja liiketoiminta niin, että tietoturvariskit eivät kasva liian suuriksi. Esimerkiksi kaikista kriittisimpiin toimintoihin ei ole suotavaa käyttää ohjelmistoja jotka hyödyntävät Java-toimintoja.

6. Sosiaalisen median kautta tehtävät kohdistetut hyökkäykset
Henkilöstöön ja erityisesti liikkeenjohtoon kohdistuvat sosiaalisen median kautta tehtävät hyökkäykset tulevat luultavasti lisääntymään. Varsinkin LinkedInin kaltaiset sivut houkuttelevat tietojen kalastelijoita, jotka voivat kohdistaa hyökkäyksensä tarkasti. Tätä metodia tullaan käyttämään enemmän erityisesti tietojen urkintaan ja sosiaaliseen hakkerointiin, mutta samalla perinteisesti tietokoneiden saastuttamiseen. Oleellista on pitää koko organisaatio tietoisena mahdollisesta riskistä ja oikeista toimintamalleista. Tässä korostuu säännöllisen, koko organisaation laajuisen tietoturvallisuuskoulutuksen merkitys.

8. Alihankkijoihin ja muihin 3. osapuoliin kohdistuvat hyökkäykset lisääntyvät
Koska yritykset alkavat vähitellen parantaa tietoturvansa tasoa, kyberrikolliset kohdistavat hyökkäyksensä mielummin kumppani- ja alihankintaketjuihin, joissa tietoturvaa ei välttämättä priorisoida vastaavalla tavalla. Tästä syystä tietoturvallisuusvaatimukset tulee ulottaa myös alihankintaketjuihin, joiden toimintaa tulee valvoa säännöllisesti. Tällöin on ensisijaista varmistua siitä, että sopimuksissa määritellyt tietoturvavaatimukset toteutuvat myös käytännön tasolla. Yrityksen on hyvä siis itse auditoida alihankkijansa toimintaa, tai toisaalta säännölliset auditoinnit voidaan toteuttaa ulkopuolisen toimijan toimesta. Näiden lisäksi soveltuvien varmennuslausuntojen kuten ISAE3000 hyödyntäminen ovat erinomainen tapa varmistua kolmansien osapuolien tietoturvallisuustasosta.

9. Vastahyökkäykset lisääntyvät, ja kohdistuvat vääriin tahoihin
”Hyökkäys on paras puolustus” –sanonnan mukaisesti monet, sekä yritys- että valtiotahot pyrkivät eliminoimaan mahdollisia uhkia mahdollisimman tehokkaasti. Tämän hetken pelkona tosin on, että ennaltaehkäisevät iskut tai kostoiskut kohdistuvat vääriin tahoihin, sillä esim. murtojälkien väärentäminen sujuu osaavalta kyberrikolliselta käden käänteessä.

Listalta ei sinänsä löydy suuria yllätyksiä, vaan suurimmat riskit näyttävät olevan jo tämänhetkisten ongelmien jatkoa. Riskeihin varautumisessa voidaankin tehdä myös vastaava yleistys. Tietoturvallisuus perustuu edelleen samoihin perusasioihin kuin aikaisemminkin: riskien tunnistukseen ja hallintaan, tekniseen suojaukseen sekä koko organisaation koulutukseen ja tietoisuuden ylläpitoon.

Ennustuksiinkaan ei tosin aina kannata luottaa liikaa, sillä vain pieni osa Websensen viime vuoden ennustuksista kävi toteen. Tai sitten yritykset ottivat ennustuksista opikseen, ja pystyivät valmistautumaan mahdollisiin ongelmiin. Toivotaan siis jälleen, etteivät vuoden 2014 ennustukset toteudu tai vähintäänkin niihin on osattu varautua!

Websensen koko raportti saatavissa osoitteesta:
http://www.websense.com/content/websense-2014-security-predictions-report.aspx

-Alex ja Harri

torstai 21. marraskuuta 2013

Taloudellisiin väärinkäytöksiin syyllistyvät arvostetut kollegat, kyberuhat tulevat ulkopuolelta


Taloudellisiin väärinkäytöksiin syyllistyvät arvostetut kollegat, kyberuhat tulevat ulkopuolelta
KPMG analysoi Global profiles of the fraudster -tutkimuksessa lähes 600 taloudellisesta väärinkäytöstapausta ja väärinkäytösten tekijää 78 maassa ympäri maailmaa, mukaan lukien Suomessa. Tutkimuksen mukaan tyypillistä väärinkäytöksille on: 
-      tekijän ikä on 36−45 vuotta
-      teko kohdistuu omaan työnantajaorganisaatioon
-      tekijä toimii johtavassa asemassa
-      tekijä on ollut organisaation palveluksessa yli kuusi vuotta
-      tekijä toimii yhteistyössä yhden tai useamman henkilön kanssa
-      tekijä nauttii kollegoidensa arvostusta.

Tekijöistä 61 prosenttia on sen organisaation palveluksessa, johon väärinkäytös kohdistuu. Näistä 41 prosenttia on ollut kyseisen organisaation palveluksessa yli kuusi vuotta. Useamman tekijän yhteistyössä toteuttamien väärinkäytösten määrä on noussut jatkuvasti ja niitä oli 70 prosenttia tutkituista tapauksista (vuoden 2011 tutkimuksessa vastaava luku oli 61 prosenttia ja vuoden 2007 tutkimuksessa ainoastaan 32 prosenttia). Näistä 43 prosentissa oli mukana tekijöitä sekä organisaation sisältä että sen ulkopuolelta.

Vahvat sisäiset kontrollitkaan eivät estä väärinkäytöksiä
Tutkimuksen mukaan peräti 93 prosentissa tapauksista teko sisälsi useita yksittäisiä transaktioita. Väärinkäytökset jatkuvat monesti useita vuosia ja niiden havaitsemiseen saattaa mennä 3−5 vuotta. Heikko sisäinen kontrolli mahdollisti 54 prosenttia väärinkäytöksistä.
− Sisäisten kontrollien toimivuutta onkin syytä arvioida uudelleen muuttuvassa ympäristössä: eilisen kontrollit eivät vastaa tämän päivän eivätkä etenkään huomisen kyberriskeihin, toteaa Suomessa KPMG:n Forensic-palveluita vetävä Jyri Tarvainen.
− Toisaalta vahvatkaan kontrollit eivät estä väärinkäytöksiä – peräti 20 prosenttia tekijöistä toimi uhkarohkeasti kontrolleista piittaamatta, jatkaa Tarvainen.

Kyberväärinkäytösten osuus kasvaa
Tutkimuksen mukaan erilaiset kyberväärinkäytökset, kuten haittaohjelmien tai väärennettyjä www-sivujen avulla tehtävät rikokset tulevat todennäköisesti kasvamaan. Samalla huipputeknologian rooli väärinkäytöksissä voi lisääntyä merkittävästi. Taloudelliset väärinkäytökset ja perinteiset petokset, joiden tekijä tulee usein organisaation sisältä, poikkeavat jossain määrin kyberrikollisuudesta, jossa uhka tulee tyypillisesti ulkoa.
− Uhrina on yleensä ensiksi organisaation työntekijä, joka tietämättään tai ajattelemattomuuttaan joutuu osaksi hyökkäystä antamalla yritykseen liittyviä tietoja puhelimessa tai klikkaamalla sähköpostin linkkiä tai liitetiedostoa, kertoo Suomen KPMG:n tietoturvapalveluista vastaava Mika Laaksonen.
− Kun organisaation sisäisiin järjestelmiin on päästy, hyökkääjä etsii haluamiaan tietoja esimerkiksi patenteista, hinnoittelusta tai muista liikesalaisuuksista, joilla on merkitystä sekä hyökkääjälle että organisaatiolle itselleen, jatkaa Laaksonen.

Perinteiset petokset ja sisäiset väärinkäytökset eivät ole kadonneet mutta kyberuhat ovat tulleet niiden rinnalle. Yritysten on panostettava myös kyberväärinkäytösten ehkäisemiseen ja niiden havaitsemiseen.
− Selvää on, että organisaatioiden kyky havaita ja siten puuttua ulkoisiin ja sisäisiin uhkiin ja väärinkäytöksiin on niin KPMG tutkimuksen kuin julkisuuteen tulleiden tapaustenkin valossa aivan riittämätön, jatkaa Laaksonen.

Taustaa tutkimuksesta
KPMG:n Global profiles of the fraudster -tutkimus on jatkoa vuosina 2007 ja 2011 toteutetuille tutkimuksille. Tutkimuksen kohteena on valkokaulusrikollisuus. Tutkimus pureutuu tyypillisen taloudellisen väärinkäytöksen tekijän profiiliin sekä tunnusmerkkien, motivaatiotekijöiden ja ympäristötekijöiden suhteeseen. Vuoden 2013 tutkimuksessa analysoitiin 596 väärinkäytöksen tekijää ja väärinkäytöstapausta 78 maassa ympäri maailmaa. Tutkimus perustuu tapauksiin, joita KPMG tutki elokuun 2011 ja helmikuun 2013 välisenä aikana.  

Tutkimus on luettavissa osoitteessa: