Tietokone-lehti 5/2000

Vihollinen keskuudessamme

Kuluttajien uskoa sähköisten palvelujen tietoturvaan on viime aikoina koeteltu voimakkaasti. Mediassa on vähän väliä uutisia tietomurroista, hakkereista ja varastetuista luottokorteista. Uskaltaako verkkoa enää käyttää lainkaan? Vai onko vaara, että hakkerit tyhjentävät esimerkiksi verkkopankin tilin?

Ei huolta - verkkopalvelut ovat erittäin turvallisia muihin vaihtoehtoihin verrattuna. Ongelmana ei ole palvelujen epäluotettavuus vaan sinänsä inhimillinen ominaisuus: tuntemattoman pelko.

Turvalliset pankkipalvelut

Suomalaiset verkkopankkien palvelut ovat maailman huippuluokkaa. Amerikkalainen käyttäjä voi vain unelmoida siitä mukavuudesta, joka suomalaiselle on itsestään selvää: laskut voi maksaa ja saldon nähdä reaaliajassa suoraan omalta mikrolta. Rahan siirto tililtä toiselle käy yhdessä päivässä, vaikka pankit olisivat toistensa kilpailijoita. Ja rahaa voi nostaa kaikkien pankkien automaateista.

Pankkipalveluissa käytettävä salaus noudattaa normaalia SSL-tekniikkaa. Eurooppaan toimitettavissa selaimissa salauksen pituus on yhä rajattu 40 bittiin ja huomattavasti turvallisempaa 128-bittistä salausta jaetaan vain amerikkalaisille käyttäjille.

Käytännössä 40-bitin salaus on kuitenkin hyvin turvallinen. Sen murtamiseen kokeilemalla kuluu useita vuorokausia, vaikka käytössä olisi kymmeniä huipputehokkaita mikroja. Eikä murron tuloksena saatavasta avaimesta ole hakkerille mitään iloa, sillä avain on istuntokohtainen ja voimassa vain niin kauan kuin pankkiyhteys on käytössä. Seuraavalla käyntikerralla avain on jo toinen.

Istuntokohtaisen avaimen käyttö on SSL:n perustekniikkaa ja käytössä kaikissa suojatuissa www-yhteyksissä. Ne tunnistaa selaimen alapalkissa näkyvästä lukon kuvasta ja URL-osoitteessa näkyvästä https-protokollasta. Käyttäjä ei koskaan edes näe omaa istuntokohtaista avaintaan.

Lisäksi pankkipalveluissa käytetään kertakäyttöisiä tunnuslukuja, mikä entisestään vaikeuttaa murtajan työtä. Kun säilyttää tunnuslukuja huolellisesti, eikä kirjoita asiakastunnusta arkin yläreunaan, voi verkkopankkia käyttää turvallisin mielin.

Luottokorttikauppa epäilyttää

Monet suomalaiset eivät vieläkään kirjoita mielellään luottokortin numeroa sähköisen kauppapaikan tilauslomakkeeseen, koska pelkäävät kortin numeron joutuvan vääriin käsiin tai hakkerien sieppaavan sen.

Pelko on yleensä täysin turha. Jos asiakas epäilee, että hänen kortillaan on tilattu tavaroita tai palveluita luvattomasti, hän voi aina kiistää tapahtuman. Todistustaakka on myyjällä tai kortin myöntäjällä. Asiakas on aina vahvoilla.

Luottokorttirikoksia tapahtuu jatkuvasti. Lähes aina kortin numero on kuitenkin saatu muualta kuin verkosta. Päivälehdissäkin on hiljattain kerrottu tapauksista, joissa luottokortin käyttö suuressa aasialaisessa hotellissa on johtanut kortin tietojen päätymiseen Australiaan. Siellä niillä on tilattu tavaraa pahaa-aavistamattoman käyttäjän laskuun.

Luottokortteja myös varastetaan jatkuvasti. Ja jos on kiinnostunut pelkistä korttien numeroista, kannattaa mennä penkomaan tavaratalojen roskalaatikoita. Joidenkin kauppojen kassakone nimittäin tulostaa jokaiseen maksukuittiin kortin numeron ja viimeisen voimassaoloajan - vaikka kyseessä olisi yhdistelmäkortti ja maksu suoritettaisiin sen pankkipuolella.

Luottokorttien väärinkäytöksistä aiheutuvat kustannukset on leivottu sisään itse järjestelmään. Maksamme kaikki niiden osuutemme niistä vuosimaksuina ja luottokorttiyhtiön periminä provisioina. Jos väärinkäytökset lisääntyvät liikaa, korttien käyttömaksut nousevat.

Korttiyhtiökään ei maksa mitä tahansa. Käyttäjän on luonnollisesti noudatettava luottokorttiyhtiön antamia ohjeita ja normaalia huolellisuutta kortin käsittelyssä. Niin ikään kannattaa lukea tarkkaan mihin sitoutuu, jos esimerkiksi tilaa kortilla "aikuisviihdepalveluita" amerikkalaiselta sivulta.

Näyttävät uutiset siitä, miten hakkerit ovat murtautuneet sähköisiin kauppapaikkoihin ja varastaneet korttitietoja, eivät sinänsä kerro mitään itse luottokortin käytön turvallisuudesta verkossa. Numerothan ovat saattaneet tulla kaupan tietojärjestelmään faksilla, postilla tai vaikka puhelimella. Varkaat ovat murtautuneet suoraan koneeseen, jossa tietoja on säilytetty.

Maailmalla ei itse asiassa tunneta yhtään tapausta, jossa kortin numero olisi varastettu sen liikkuessa verkon läpi.

Luottokorttien väärinkäytön yleistyessä paineet paremmin suojattuihin maksujärjestelyihin lisääntyvät. Paine tulee lähinnä kauppiaiden ja luottokorttiyhtiöiden - ei asiakkaiden - puolelta. Kun luottotappiot kasvavat liian suuriksi, ne tulevat vaatimaan esimerkiksi SET-turvatekniikan käyttöä.

Vielä ei kuitenkaan olla niin pitkällä. Siksi asiakas voi käyttää korttiaan verkossa turvallisin mielin.

Sähköpostin voi väärentää

Sähköpostin lähettäjätiedot on erittäin helppo väärentää. Pienellä vaivalla asiansa osaava henkilö voi lähettää viestejä vaikka pääministerin tai presidentin nimissä. Vastaanottaja näkee vain lähetysosoitteen eikä ilman header-rivien tutkimista pysty sanomaan, miltä koneelta viesti oikeasti on lähetetty.

Koska sähköpostin väärentäminen on helppoa, monet eivät uskalla käyttää sitä tärkeiden viestien lähettämiseen. Sen sijaan faksiin luotetaan sokeasti, koska se näyttää niin tutulta ja turvalliselta. Paperiin on helppo uskoa, vaikka faksin väärentäminen se vasta helppoa onkin. Faksin yläreunaan tulostuva lähettäjän numero on vapaasti määriteltävissä, eikä se mitenkään todista lähettäjän henkilöllisyyttä.

Faksiväärennyksiä on tapahtunut lukuisia. Yleensä kohteena ovat mediat, joihin lähetetään faksilla tekaistuja tiedotteita. Vuoden alussa saksalaiset mediat uskoivat faksilla saamansa tiedotteen, jossa Kohl kertoi paljastavansa puolueelle rahaa lahjoittaneet tahot. Aprillipäivänä 1998 Suomen mediat ehtivät kertoa, että Interbankin toimitusjohtaja Paavo Prepula oli saanut potkut.

On myös yleistä, että faksi lähetetään väärään numeroon joko näppäilyvirheen tai väärän pikavalinnan vuoksi. Vuosi sitten englantilainen, päiväuniltaan faksin päältä herännyt Rigger-kissa painoi tassullaan faksin lähetysnappulaa ja faksasi vuoroaan odottaneen tarjouksen suoraan kilpailijalle. Bussiyritys arvioi kärsineensä 100000 markan vahingot kissan vuoksi.

Joten faksin turvallisuuskin on pelkkä näköharha.

Vihollinen keskuudessamme

Kuluttajien verkkokauppoja, luottokortteja ja hakkereita kohtaan tuntema pelko on ymmärrettävää. On helppo pelätä tuntematonta ja uutta asiaa, jota ei täysin ymmärrä, mutta joka saa aikaan isoja otsikoita. Paljon vaikeampaa on suhteuttaa uusia uhkakuvia vanhoihin ja punnita niiden todennäköisyyttä keskenään.

Televisio- ja lehtiuutisia lukeneet vanhemmat pelkäävät lastensa joutuvat rikoksen uhreiksi, vaikka vaarallisimmat paikat lapsille ovat koti ja liikenne. Ihmiset pelkäävät myös lentämistä, vaikka omalla autolla ajaminen on paljon turvattomampaa. Melkein jokainen on menettänyt sukulaisiaan liikenneonnettomuuksissa, mutta äärimmäisen harva lento-onnettomuuksissa.

Verkkopankkia pelkäävä ei ota huomioon oikeassa pankissa käynnin vaarallisuutta: matkalla voi joutua ryöstetyksi tai jäädä vaikka auton alle. Joku voi varastaa lompakon tai kurkkia tunnusluvun automaatilla asioitaessa. Nämä kaikki ovat uhkia, jotka toteutuvat viikoittain. Verkkopankkia ei ole tiettävästi murrettu vielä kertaakaan.

Yritykset pelkäävät joutuvansa ulkopuolisen hakkerin uhriksi, vaikka todennäköisin uhka tulee talon sisältä. Oma henkilökunta tietää parhaiten, mikä tieto on arvokasta ja miten sitä voi käyttää. Vaikka hakkeri pääsisi käsiksi yrityksen tuotekehitysosaston koneisiin ja salaisiin tietoihin, hän tuskin edes ymmärtäisi tietojen merkitystä tai pystyisi käyttämään niitä mitenkään. Tieto olisi arvokasta vain toisen alan ammattilaisen käsissä.

Suurin osa tietoturvarikoksista onkin oman henkilökunnan suorittamia. Väärin kohdeltu tai tyytymätön työntekijä on pahin mahdollinen desantti. Häntä eivät torju kalleimmatkaan palomuurit tai pisimmätkään salasanat.

Osa tapauksista on puhtaita vahinkoja, jotka aiheutuvat huolimattomuudesta tai piittaamattomuudesta. Esimerkiksi Yhdysvaltain ulkoministeriöstä katosi vuoden 2000 alussa vakoilusalaisuuksia sisältänyt mikro, kun henkilökunta ei noudattanut sinänsä hyviä ja tarkkoja ohjesääntöjä. Maaliskuussa englantilaiset agentit menettivät pari salaista tietoa sisältänyttä matkamikroa, kun toinen niistä unohtui taksiin ja toinen varastettiin Lontoon maanalaisen asemalla.

Persianlahden sodan aikana suurin osa surmansa saaneista amerikkalaisista kuoli onnettomuuksissa ja omien tulituksessa. Vastaavasti Tshetsenian sodassa venäläinen sotilas ruhjoi lumiauralla vahingossa enemmän hävittäjiä kuin tshetseenit olivat onnistuneet pudottamaan.

Vihollinen ei useinkaan tule verkosta, vaan on jo keskuudessamme.

<takaisin