Mitä on vishing-testaus?

Vishing-testaus on kirjallisesti valtuutettu tietoturva-arviointi, jossa testaaja ottaa yhteyttä yrityksen asiakaspalveluun puhelimitse ja pyrkii saamaan tietoja tai toimintoja, jotka eivät hänelle kuulu. Testi mittaa henkilöstön tunnistamis- ja tietosuojaprosessien kestävyyttä.

Onko vishing-testaus laillista?

Kyllä. Vishing-testaus on laillista kirjallisella etukäteisvaltuutuksella toteutettuna. Jokainen toimeksianto perustuu palvelusopimukseen, Authorization Letteriin ja get-out-of-jail-kirjeeseen. Toiminta on EU-lainsäädännön ja Suomen rikoslain mukaista valtuutettua turvallisuustestausta.

Mitä vishing-testaus maksaa?

Pilottitesti alkaa 2 500 eurosta (alv 0 %). Täysmittainen kunnon arviointi kolmella kanavalla maksaa 5 000-7 000 euroa. Jatkuva retainer-mallinen testaus alkaen 1 500 euroa kuukaudessa.

Velvoittaako NIS2 social engineering -testauksen?

NIS2-direktiivi (EU 2022/2555, Suomessa laki 124/2025) edellyttää kriittisen infrastruktuurin toimijoilta kattavaa tietoturvariskien hallintaa, johon kuuluu henkilöstöön kohdistuvien uhkien testaus. Social engineering -testaus on käytännön tapa täyttää tämä velvoite.

Backline Private Office. Valtuutettu social engineering -testaus yrityksille

01 Skenaariot

Tyypilliset testiskenaariot

Tietosuojaloukkaus ei edellytä teknistä hyökkäystä. Riittää, että asiakaspalvelija luovuttaa toisen asiakkaan tiedot puhelimessa puutteellisen tunnistamisprosessin vuoksi. Alla olevat skenaariot perustuvat todellisiin tapaustyyppeihin.

Skenaario A

Ostohistorian kalastelu tekosyyllä

Testaaja ottaa yhteyttä asiakaspalveluun väittäen toimivansa toisen henkilön valtuuttamana. Testi mittaa, noudattaako asiakaspalvelu tunnistamis- ja valtuutusprosessia vai luovuttaako se tietoja pelkän nimen tai muun epävirallisen tiedon perusteella.

Skenaario B

Sisäinen pyynnön väärentäminen

Pyyntö esitetään organisaation sisäisenä viestinä, esimerkiksi IT-tuen tai esihenkilön nimissä. Testi arvioi, miten henkilöstö tunnistaa epäviralliset pyynnöt ja tarkistaa niiden lähteen ennen toimenpiteitä.

Skenaario C

Toimitus- tai yhteystietojen kalastelu

Testaaja pyytää vahvistamaan tai päivittämään toimitustietoja ilman riittävää tunnistautumista. Skenaario paljastaa, missä vaiheessa prosessi sallii tietojen luovuttamisen tai muuttamisen ilman asianmukaista varmennusta.

02 Prosessi

Valtuutettu. Diskreetti. Raportoitu.

Valtuutus

Ennen testauksen käynnistämistä laaditaan kirjallinen palvelusopimus, Authorization Letter ja get-out-of-jail-asiakirja. Allekirjoittajana toimii tilaajan toimitusjohtaja tai hallituksen valtuuttama henkilö. Yhtään testikontaktia ei toteuteta ennen kaikkien asiakirjojen allekirjoittamista.

Testaus

Testaukset toteutetaan puhelimitse ilman synteettistä ääntä tai tekoälypohjaista puhesynteesiä. Tämä vastaa EU AI Act:n Article 50 -vaatimuksia sekä vakiintunutta kansainvälistä käytäntöä valtuutetussa social engineering -testauksessa. Testauksen aikana ei käytetä oikeita kolmansien osapuolien henkilötietoja.

Raportointi

Löydökset dokumentoidaan kirjalliseen raporttiin, joka anonymisoi tulokset tiimi- ja prosessitasolle. Yksittäisiä henkilöitä ei nimetä. Raportti kuvaa, missä prosessivaiheessa haavoittuvuus ilmeni, missä prosessi toimi oikein, ja mitä korjaavia toimenpiteitä suositellaan.

Tulosten esittely

Tulokset käydään läpi etäesittelyssä tilaajan kanssa. Esittely sisältää konkreettiset koulutussuositukset. Laajemmissa paketeissa toteutetaan uusintatesti, joka vahvistaa korjaustoimenpiteiden vaikutuksen.

GDPR-seuraamusmaksu on enintään 20 miljoonaa euroa tai neljä prosenttia vuotuisesta globaalista liikevaihdosta. Vastuu kuuluu johdolle ja hallitukselle. Valtuutettu testaus tuottaa kirjallisen näytön siitä, että organisaatio on arvioinut prosessiensa tietosuojariskit.

03 Paketit

Kolme toimeksiantomallialuetta

Laajuus ja aikataulu sovitaan aloituspuhelussa. Hintoihin lisätään arvonlisävero 25,5 %, ellei tilaaja ole arvonlisäverovelvollinen.

Paketti 01

Pilottitesti

2 500 EUR + ALV

Rajattu yksittäinen testikierros, joka tuottaa selkeän kuvan asiakaspalvelun haavoittuvuustasosta.

20-30 testikontaktia (puhelin ja sähköposti)
3 testattua skenaariota
Kirjallinen raportti anonymisoituna tiimi- ja prosessitasolle
Etäesittely tuloksista

Paketti 02

Kunnon arviointi

5 000-7 000 EUR + ALV

Monikanavainen arviointi, joka tuottaa kattavan kuvan haavoittuvuuksista ja konkreettisen koulutussuunnitelman.

3 kanavaa: puhelin, sähköposti, chat
40-80 testikontaktia
Laajempi skenaariokirjasto
Syvä raportti kriittisyysluokituksella
Kirjalliset koulutussuositukset
Uusintatesti 8-12 viikon kuluttua
2 etäesittelyä

Paketti 03

Jatkuva turva

1 500-2 500 EUR/kk + ALV

Jatkuva retainer-malli, joka ylläpitää testauskyvyn kvartaalista toiseen henkilöstön vaihtuvuudesta riippumatta.

Kvartaaleittain toistuva testikierros
Miniraportti jokaisesta kierroksesta
Vuosittainen koontiraportti
Prioriteettivaraus uusille skenaarioille
Suora yhteys pistetestaukseen

04 Yhteydenotto

Ota yhteyttä

Kuvailkaa lyhyesti organisaationne koko, toimiala ja minkä kanavan tai prosessin haluatte arvioitavan. Backline Private Office vastaa yhteydenottoihin kahden arkipäivän kuluessa ja sopii tarvittaessa lyhyen selvityspuhelun ennen tarjouksen laatimista.

Yhteydenotot lomakkeella tai suoraan osoitteeseen [email protected].