Tulostusversio

2/2008

Tietoturva: Verkkopankeissa Suomi johtaa

Teksti: Antti J. Lagus

Kun pankkiasiointi siirtyi automaateilta internet-pankkeihin, entistä isompi osa teknisistä turvatoimista siirtyi käyttäjän tietokoneen varaan. Tämä vähensi ennustettavuutta, kun pankki ei voinut enää ottaa vastuuta koko järjestelmästä.

”Jos käyttäjän tietokone on korkattu tai sen käyttäjää uhataan ase ohimolla jossakin kellarissa, pankki ei voi tehdä mitään”, Viestintävirastossa toimivan kansallisen tietoturvaviranomaisen CERT-FI-yksikön päällikkö Erka Koivunen havainnollistaa.

Tietokoneeseen hyökkäämistä pankki ei voi estää, mutta Nordean riskienhallintajohtaja Kari Oksasen mukaan pankki voi monella tavalla kontrolloida maksuketjua ja estää vahinkojen syntymisen hyökkäyksen jälkeen.

Etuna kaksiportainen tunnistaminen

Suomessa verkkopankkitoiminnalla on pitkät perinteet. OP-Pohjola-ryhmän myyntikanavista ja myynnin tuesta vastaava pankinjohtaja Jari Himanen on sitä mieltä, että Suomessa on oltu koko ajan tietoturvan alalla edelläkävijöitä.

Danske Bankin tanskalainen tietohallintojohtaja Peter Schleidt sanoo, että eri Pohjoismaissa noudatetun tietoturvan taso on sama, mutta toteutustavat vaihtelevat. Hänen mukaansa myös EU:ssa on hankkeita, joilla verkkopankkeja yhtenäistettäisiin.

Suomessa uhkiin on suhtauduttu vakavasti alusta lähtien. Suomi on esimerkiksi ensimmäinen maa, jossa on otettu käyttöön kaksiportainen tunnistaminen, jossa asiakas antaa ensin verkkopankkiin tullessaan tunnuslukunsa, joka on vahvistettava salasanalla. Monien ulkomaisten pankkien tunnistusrutiinit jäävät tähän, mutta Suomessa pitää lisäksi antaa vaihtuva avainluku erilaisten pankkiasioiden hoitamiseksi.

Tällä on selvästi ollut vaikutusta. Suomessa esimerkiksi niin sanottuja phishing-yrityksiä eli tunnuslukujen urkintaa on ollut vähemmän kuin muualla.

Kaksiportaisen tunnistamiskäytännön lisäksi Suomessa suojana ovat nostorajoitukset, jotka monessa muussa maassa ovat joko suuria tai puuttuvat kokonaan.

OP-ryhmän Himanen antaa tunnustusta myös suomalaisille verkonkäyttäjille, jotka suhtautuvat hänen mielestään vakavasti tietoturvaan.

Testejä ja auditiontia

”Tärkein turvamekanismi on tunnistautuminen, mutta tietoturvaan kuuluu myös muita elementtejä, joilla käyttöä seurataan ja valvotaan koko ajan. Asiakas voi itsekin asettaa joitakin rajoituksia, kuten kuinka suuria maksuja tililtä voi tehdä tai kuinka paljon tililtä saa päivittäin saa nostaa rahaa”, Himanen sanoo.

Verkkopankkitoimintaa valvova Rahoitustarkastus valvoo muun valvontatyön ohessa, että myös verkkopankkijärjestelmät toimivat luotettavasti ja turvallisesti. Rahoitustarkastuksen sääntelyyn kuuluu muun muassa operatiivisten riskien hallinnan standardi, johon kuuluu tietoturva.

Rahoitustarkastus tekee myös verkkopankkitarkastuksia. Pankkitarkastaja Markku Koponen muistuttaa, että pankki itse vastaa siitä, että pankin riskinhallinta on kunnossa. Huolelliseen käytäntöön kuuluvat muun muassa säännölliset auditoinnit.

”Kun verkkopankissa tehdään uudistuksia tai isompia muutoksia, asiaan kuuluu testata myös tietoturva ja sovelluksen suorituskyky. Sääntelyssä edellytetään, että muutosten hallinnan on oltava kunnossa”, Koponen sanoo.

Myös Jari Himanen korostaa, että on tärkeätä auditoida oma palvelu säännönmukaisesti ja varmistaa, ettei siinä ole minkäänlaisia tietoturva-aukkoja. Hänen mukaansa OP-Pohjola-ryhmässä tehdään tarkat tietoturva-auditoinnit myös silloin, kun tulee uusia palveluita.

”On äärimmäisen tärkeätä, että asiakkaat voivat luottaa verkkopankin turvallisuuteen. Jos on toimintahäiriöitä, ne nousevat nopeasti esille ja julkisuuteen”, Himanen sanoo.

Danske Bankin omistama Sampo-pankki sai osansa julkisuusryöpytyksestä suuren järjestelmäuudistuksen yhteydessä keväällä. Tietohallintojohtaja Peter Schleidtin mukaan tietoturva ei kuitenkaan ollut uhattuna missään vaiheessa.

Uudistuksen myötä Sampo-pankin asiakkaat tarvitsivat pankkiyhteyttään varten tietoturvaa tehostavan Java-ohjelmistopalasen. Kaikki asiakkaat eivät kuitenkaan Schleidtin mukaan ehtineet sitä saada ennen uuden järjestelmän käyttöönottoa.

”Java-ohjelmisto varmistaa yhteyden PKI-varmenteen avulla, minkä ansiosta tiedot voidaan lähettää salattuna. Tämän ansiosta voimme myös tarkkailla maksuja. Voimme puuttua maksutapahtumaan esimerkiksi, jos suurta summaa ollaan siirtämässä ulkomaiselle tilille aiemmin tuntemattomalta koneelta”, Schleidt sanoo.

Normaalia varovaisuutta

Oma merkityksensä on myös pankkiasiakkaan toiminnalla.

”Viime kädessä kontrolli on asiakkaalla, jonka pitäisi huolehtia siitä, että virusturva ja palomuuri ovat kunnossa. Myös pankkien pitää hoitaa oma pesänsä ja tarvittaessa nostaa teknisen tietoturvan tasoa”, Rahoitustarkastuksen Markku Koponen sanoo.

Hän uskoo, että asiakkaat ovat Suomessa hyvin tietoisia siitä, ettei kaikenlaisia viestejä kannata klikkailla sekä siitä, ettei pankki lähesty asiakasta sähköpostilla.

”On tärkeätä, että asiakkaat pitävät koneidensa tietoturvasta hyvää huolta. Tunnuksiaan ei saa missään tapauksessa saa luovuttaa kenellekään muulle, vaan konetta pitää käyttää tutussa ympäristössä”, OP-ryhmän Jari Himanen ohjeistaa.

Kaksi kertaa harvinaisempaa kuin lottovoitto

CERT-FIn näkemyksen mukaan verkkopankkitoiminnan uhkatilanteessa on tapahtunut merkittävä muutos vuodesta 2004 alkaen.

”Tällöin alkoi esiintyä salasanojen urkintaa, ensin Australiassa, josta ilmiö levisi myös muualle. Ensimmäinen suomenkielinen urkintayritys kohdistui Nordeaan lokakuussa 2005”, Erka Koivunen muistaa.

Suomessa oli pari vuotta aikaa katsella maailmalta uhkakuvia ja reagoida niihin. Suomessa jo silloin käytetty kaksitasoinen tunnistus oli Koivusen mielestä hyvä mekanismi urkintaa vastaan.

Tänä talvena havaittiin ensimmäistä kertaa toiseen paikkaan ohjaavia niin kutsuttuja troijalaisia. Sähköpostissa liikkui huomattava määrä viestejä, joiden linkin painaminen latasi suojaamattomalle koneelle haittaohjelman.

Kun saastuneella koneella mentiin verkkopankkiin, ohjelma ohjasikin asiakkaan pankin sivuista tehdylle kopiolle. Näiden kopiosivujen kautta rikolliset yrittivät siirtää varoja omille tileilleen. Nordea onnistui riskienhallintajohtaja Kari Oksasen mukaan kuitenkin estämään kaikki siirrot yhtä lukuun ottamatta, jossa siinäkään ei ollut kyse isoista summista.

Oksanen ei pidä troijalaisten ilmaantumista suurena huolenaiheena, sillä suuria vahinkoja ei ole tapahtunut. Hän muistuttaa, että Nordealla on kolmen viime vuoden aikana ollut 300 miljoonaa nettipankkitransaktiota. Vain 10 tapauksessa asiakkaan tililtä on epäasianmukaisesti siirretty rahaa.

Tämä merkitsee, että vahingon mahdollisuus on ollut yksi 30 miljoonasta. Lottovoiton todennäköisyys on yksi 15 miljoonasta eli on kaksi kertaa harvinaisempaa, että voi menettää rahaa tahtomattaan verkkopankin kautta kuin että saa päävoiton lotossa.

Myös Rahoitustarkastuksen Markku Koponen toteaa, ettei Suomessa ole tehty merkittäviä tappioita puutteellisen tietoturvan takia.

”Nykyaikaiset haittaohjelmat ovat siirtymässä tunnistustietojen kaappaamisesta istuntojen kaappaamiseen. Ensimmäiset merkit tällaisista haittaohjelmista nähtiin jo pari vuotta sitten, mutta vastoin silloisia ennusteitamme laajamittaista väärinkäyttöä ei ole kuitenkaan tapahtunut. Ilmeisesti rikolliset tienaavat tarpeeksi rahaa jo nyt ilman, että heidän tarvitsisi ottaa käyttöön uutta monimutkaisempaa tekniikkaa”, CERT-FIn Erka Koivunen toteaa.

Esimerkiksi WSN-niminen ohjelma osaa käsitellä reaaliaikaisesti summaa ja tilinumeroa niin, että maksaja voi tahtomattaan maksaa isomman summan eri tilille kuin mitä oli aikonut. Tähän uhkaan eivät enää päde kertakäyttösalasanat, vaan tarvitaan uudenlaisia kontrolleja.

Uusia tunnistamiskeinoja tutkitaan

Uudenlaisten tunnistusratkaisujen käyttöönottoa selvitetään OP-ryhmän Jari Himasen mukaan koko ajan:

”Ei siksi, että nykyisessä olisi puutteita vaan siksi, että haetaan uudenlaista käyttömukavuutta. Yksi uusi vaihtoehto on mobiilitunnistautuminen. Siinä toinen kaksiportaisen salasanajärjestelmän salasanoista kulkee matkapuhelinverkon kautta ja toinen internetin kautta, minkä ansiosta tietoturva paranee entisestään.”

Esimerkiksi mobiilitunnistuksen avulla saataisiin tunnistus kulkemaan kahta kanavaa pitkin. CERT-FIn Erka Koivunen tosin huomauttaa, että jos maksuunkin käytetään älypuhelinta, tästä ei ole apua, sillä silloin tietojen välitykseen käytetään vain yhtä kanavaa.

Myös sormenjälkiskannausta on Himasen mukaan kokeiltu, mutta siinä laajemman käytön esteeksi tulee tunnistuslaitteiden puute. Valittavan teknologian pitää olla laajalti levinnyttä ja helposti käytettävää. Esimerkiksi tunnistautuminen henkilökorttiin liitetyn kansalaisvarmenteen avulla ei lähtenyt liikkeelle siksi, että ihmisillä ei ole kotonaan kortin lukulaitteita.

Rahoitustarkastuksen Markku Koponen huomauttaa, että uusien turvatekniikoiden käytössä, kuten mobiilikanavan lisäämisessä tunnistukseen, on kuitenkin aina kyse kustannusten, käytettävyyden ja uhkien kolmiyhteydestä. Kovin hankalakäyttöinen järjestelmä ei edistäisi verkkopankkien käyttöä.

Myös Danske Bankin Peter Schleidt korostaa, että tietoturvan pitää olla tasapainossa helppokäyttöisyyden kanssa. Hän uskoo, että jos pankkiasioita hoitaakseen pitäisi käyttää kolmea eri välinettä, ihmiset eivät enää haluaisi käyttää nettipankkia. Viime kädessä pankki vastaa asiakkaiden riskeistä.

”Nyt meillä on Java, mutta tekniikka kehittyy niin nopeasti, että parin vuoden kuluttua turvaratkaisut saattavat pohjautua toisenlaisiin tekniikoihin”, Schleidt sanoo.

Lue myös

Tietoturva: Mikä phishing? »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.