Identiteettisi uhattuna?


Mikä on ylivoimaisesti nopeimmin kasvava rikollisuuden laji? Miten on mahdollista, että tämä rikollisuuden laji ei Suomen lain mukaan edes ole rikos? Miten on mahdollista, että rikoksella hankittua omaisuutta voidaan jälleenmyydä Internetissä?

Tällä hetkellä Suomen laki ei tunne ”identiteettivarkaus” rikosta, mikä varmaankin huojentaa mieliä viihdeteollisuuden imitaattorien ja muiden hauskuuttajien joukossa. Toisena henkilönä esiintyminen sellaisenaan ei ole rikos, …vielä.

Sisäministeriön identiteettiohjelman puheenjohtaja Johanna Kari ei vielä halua ennakoida työryhmänsä lopullista ehdotusta, mutta selkeä kriminalisointikin on yhtenä vaihtoehtona. Paineet tämän vaihtoehdon suuntaan ovat suuret, takana mm.. tietosuojavaltuutettu Reijo Aarnio.

Mitä varastetulla identiteetillä voi tehdä.

Miedoimmillaan väärinkäyttö voi olla vaikkapa Internetin julkiseen keskusteluun osallistumista toisen henkilön ”äänellä” tai kuvien, videoiden tai mielipiteiden assosioimista varastettuun identiteettiin.

Vasta tässä hiljan mm. maahanmuuttoministeri Astrid Thorsin identiteettiä väärinkäytettiin muuttamalla hänen verkkosivunsa sisältöä varsin halventavalla ja matalamielisellä tavalla.

Nuorison joukossa yhdeksi yleisimmistä koulukiusaamisen muodoista on seuloontunut kiusattavan solvaaminen ja perättömien tietojen, photoshopattujen valokuvien ja vastaavien levittäminen nuorison käyttämissä sosiaalisissa medioissa. Häijyä….eikö totta?

Uutisvirrasta voidaan poimia vaikkapa käräjillä oleva Seinäjoen seudun tapaus, jossa väärällä identiteetillä oli hankittu yli 55.000 euron pikavipit ja muut pikalainat. Kaakkois-Suomessa 13 hengen rikollisjoukkio oli 58 henkilön anastetuilla tiedoilla kerännyt yli 80.000 euron lainat.

Entäpä mitä maailmalla: Oklahoman yliopisto tietää kertoa, että ”Identity Theft” -kategorian rikokset ovat liittovaltion ylivoimaisesti nopeimmin kasvava rikollisuuden ala ja rikosten kokonaismäärissäkin ne sijoittuvat sijalle kaksi.

Yksi suurimpia petosvyyhtejä USA:n historiassa oli New Yorkilaisen ID-jengin harjoittama identiteettivarkauksiin pohjautuva luottopetosketju, jossa yli 130.000 kansalaisen varastettuja tietoja käyttäen jengi tyhjensi pankkitilejä, otti lainoja, tilasi palveluita ja tavaraa sekä osti ja myi kiinteää ja irtainta omaisuutta pitkälti yli 50 miljoonan dollarin arvosta. Vyyhti alkoi purkautua, kun uhriksi joutunut verovirkailija tapasi henkilön, joka oli ostanut hänen talonsa ja oli tullut häntä siitä häätämään.

Viiden viimeisen vuoden aikana lasketaan, että 27,3 miljoonaa amerikkalaista on joutunut jonkinlaisen identiteettivarkautta hyödyntäneen rikoksen uhriksi.

Mistä identiteetti vohkitaan?

Business Record Theft – Tiedostovarkaus

Uutiskynnyksen ylittäviä tapoja ovat erilaiset massavarkaudet, joissa vaikkapa haittaohjelmaa käyttäen kopioidaan esim. verkkokauppaa harjoittavan yrityksen asiakastietokanta/luottotietokanta. Jostakin syystä varsinkin Britannian julkishallinnon henkilötietojen ”hukkaamiset” ovat olleet viime aikoina tapetilla.

Skimming – korttikopiointi

Myös erilaiset ”skimming” tapaukset ovat saaneet julkisuutta. Kylmäaseman bensapumppuun ilmestynyt lisähökötys on sujuvasti kopioinut palvelua käyttävien maksukortit ja salasanat samalla kertaa.

Ravintola on myös usein kadonneiden luottokorttitietojen alku ja juuri. Samalla kun tarjoilija höylää ravintolalaskusi, voidaan luottokortin tiedot kopioida hyvin yksinkertaisella laitteistolla varkaiden saaliiksi.

Shoulder Surfing – Salakatselu

Varsinkin ikääntyneiden pankkiautomaattikäyttäjien ”avuksi” on viime aikoina riittänyt laupiaita samarialaisia, jotka sujuvasti mummoa autettuaan pihistävät maksukortin ja mieleen painettu tunnusluku avaa väylän pikarahastukselle.

Hyvinkin erilaisissa yhteyksissä olan takaa kurkkiminen saattaa harjaantuneelle silmälle paljastaa helpostikin sinisilmäisen käyttäjän tietokonejärjestelmän tunnukset salasanoineen. Pienellä harjoituksella itse kukin pystyy helposti ”lukemaan” toisen näppäintyöskentelyä tässä tarkoituksessa hyödynnettävissä olevalla tavalla.

Dumpster Diving – Roskisdyykkaus

Vain hyvin harvoissa yrityksissä ja yhteisöissä tiedon suojaaminen on asiallisella tasolla ulotettu materiaalin hävittämiseen saakka. Tiedon synty ja käyttöaikainen suojaus saattavat olla hyvinkin mallikkaasti järjestetty, mutta CD-levyn tai paperidokumentin siirryttyä ”roskat” -otsakkeen alle, on suojauskin usein puutteellinen.

Uutisissa on kerrottu mm. arkaluontoisten sairaskertomusten päätymisestä lukukelpoisina kaatopaikalle ja eteläsuomalaisesta yrityksestä lipsahti roskikseen asiakasrekisterin paperivedos, näin muutamia mainitakseni.

Yrityksen tietoturvapäällikön iltakierros toimistojen roskisten äärellä ennen siivoushenkilökunnan paikalle saapumista voisi aika ajoin toistettuna olla erinomainen ja halpa idea koulutuksen kohdentamiseksi oikeaan osoitteeseen. Samalla voisi myös katsoa, monellako työpisteellä käyttökelpoinen tunnus/salasana -yhdistelmä on löydettävissä näyttöpäätteeseen teipattuna tai hiirimaton alle kätkettynä.

Under the Color of Authority – Auktoriteettihööpötys

Jokainen turvallisuusjärjestelmä on juuri niin hyvä kuin sen heikoin lenkki on ja varsin usein heikoimpana lenkkinä on ihminen. Mitä siitä, jos järjestelmällä on miljoonan dollarin turvatekniikka, kun tarpeelliset käyttäjätunnukset salasanoineen saa kysymällä järjestelmän käyttöön oikeutetulta henkilöltä näitä esiintymällä valheellisen auktoriteetin kaavussa.

Olemme täällä Suomessa naureskelleet mm. Nordea pankin nimissä lähetettyjä ”hoono-soomi” kirjeitä, joissa kehotellaan käymään pankin sivulta näyttävällä verkkosivulla ”varmistamassa käyttäjätunnuksen säilyminen” tai ”estämässä tilin irtisanominen”. Näiden kirjeiden kieli on ollut niin karmeaa, että juuri kukaan ei ole näihin retkuihin mennyt, mutta valitettavasti tulevat yritykset ovat todennäköisesti jo paljon parempia.

Honeypot – Hunajapurkki

Valitettavasti hyvin monilla Internetin käyttäjillä on paha taipumus valita aina samoja käyttäjätunnuksia ja salasanoja hyvinkin erilaisissa yhteyksissä. Tätä seikkaa voidaan hyödyntää ns. hunajapurkki juonessa.

Idea on pystyttää jokin Internetin palvelu tai laittaa tarjolle jokin ilmainen hyötyohjelma siten, että palvelun tai latauksen saamiseksi sivustolle täytyy rekisteröityä. Rekisteröinnissä kysytään käyttäjän sähköpostitunnusta ja annetaan käyttäjän itse valita käyttäjätunnus ja salasana. Nämä toki kirjataan talteen, mutta käyttäjän tullessa sivulle uudelleen salasana ei kelpaakaan ensimmäisellä kerralla vaan käyttäjältä pyydetään uusintayrityksiä muutama ennen sisään päästämistä. Tämä perustuu seuraavaan: ensimmäisellä kerralla kyse saattoi olla virhenäppäilystä, mutta toisen kerran jälkeen jo kokeilee seuraavaa ”yleensä käyttämäänsä” salasanaa jne. Näin sähköpostiosoitteeseen saadaan liimattua yhden sijasta useampi vaihtoehtoinen salasana, joita voi sitten kokeilla vaikkapa sähköpostitunnuksen mukaiseen postipalveluun ao. henkilönä kirjoittautumiseen.

Classics – Klassikot

Identiteetin rakentamisessa tarvittavia tietoja varastetaan toki myös perinteisin keinoin. Lompakkosi saattaa lähteä väkijoukossa ”kävelylle”, postiasi ja muuta sinulle kuuluvaa materiaalia voidaan kaapata kuljetuksen yhteydessä ja tietenkin suoranaisten murtojen yhteydessä kotoasi saattaa lähteä myös tätä silmällä pitäen valittua materiaalia varkaiden mukaan.

Mikä siis eteen?

Uskaltaako Internetissä enää surffata lainkaan vai onko kyse vain siitä, milloin minun vuoroni tulee joutua nyljettäväksi?

Ei tilanne onneksi nyt ihan näin huono ole ja terveen järjen käyttö on myös Internetin yhteydessä sekä sallittua että suorastaan suotavaa.

Noudattamalla seuraavan listan neuvoja voi päästä jo varsin pitkälle:

1) Vähennä identifioivien tietojesi paljastumismahdollisuuksia

· Älä jakele henkilötietojasi turhaan, esimerkiksi henkilötunnus on harvoin todella tarpeen. Varmistaudu, että tiedon saaja käsittelee ja säilyttää niitä turvallisesti ja oikein. Lue rekisteriseloste.

· Säilytä huolellisesti kaikki kuitit, lomakkeet sekä muut henkilötietojasi sisältävät asiapaperit, muista kunnollinen hävitys.

· Älä pidä mukanasi salasanoja tai muita tunnuslukuja, ellet niitä todella tarvitse, älä ainakaan yhdessä korttiesi kanssa. Matkapuhelimen puhelinluettelo on huono salasanavarasto.

· Älä anna luottokortti- ja muita maksutietojasi muutoin kuin käsillä olevan verkkokaupan maksamiseksi ja silloinkin vain SSL-sertifikaatin (lukonkuva) tarkastuksen jälkeen.

· Älä anna identifioivia tietojasi tarpeettomasti kyselyihin, tilauslomakkeille tai rekisteröintilomakkeille.

· Hävitä vastaamatta kaikki henkilö- ja pankkiyhteystietoja utelevat sähköpostiviestit, joita et pysty esim. puhelimitse varmistamaan.

· Käytä luotettavia ja turvallisia kauppapaikkoja verkossa.

2) Tee identiteettitietosi käyttökelvottomiksi varkaille

· Aina kun mahdollista, käytä salausta, kun käsittelet salassa pidettäviä identiteettitietojasi verkossa

· Kun poistat käytöstä identiteettitietoja sisältäviä asiapapereita, hävitä ne kunnolla

· Kun käyt ostoksilla, pankissa, automaatilla tai vastaavissa paikoissa, joista saat
identifioivia kuitteja, älä heitä niitä roskakoriin.

· Kun poistat levykkeitä ja muita tietovälineitä, hävitä ne huolellisesti. Pelkkä tietovälineen formatointi ei riitä. Ellei erillistä päällekirjoittavaa hävitysohjelmaa käytetä, tulee itse media särkeä fyysisesti käyttökelvottomaksi.

· Jos sinun täytyy kuljettaa puhelimessasi talletettuja salasanoja, käytä tähän tarkoitettuja ns. ”wallet” -sovelluksia tietosisällön salaamiseen.

· Valitse käyttöön nähden järkevät nostorajat luottokortillesi.

3) Tarkista kelpoisuutesi säännöllisesti ja toimi nopeasti, jos epäilet identiteettisi väärinkäytöstä

· On tärkeää pysäyttää tietojesi väärinkäytön jatkuminen mahdollisimman nopeasti ja tehokkaasti

· Selvitä kaikki epäselvyydet maksutiedoissa välittömästi

· Selvitä kaikki puhelin- ja viestintäepäselvyydet välittömästi

· Jos kukkarosi/lompakkosi on hävinnyt tai varastettu, toimi välittömästi; ilmoita pankeillesi, luottokorttiyrityksille ja vastaaville, mitätöi korttisi ja sulje tilisi heti. Tee tätä varten lista, jossa yksilöintitietojen lisäksi sulkupalvelujen puhelinnumerot.

· Puhelimesi voidaan varastaa samalla kertaa, joten sulkunumerot on syytä olla muuallakin kuin puhelinluettelossa.

· Varkaustapauksessa tee aina ilmoitus poliisille

· Ilmoita yhteistyökumppaneillesi, palvelutarjoajillesi (puh./internet) ja pankillesi, että identiteettiäsi saatetaan käyttää väärin.

· Mikäli edes epäilet, että joku on saattanut saada haltuunsa käyttämäsi tunnukset ja salasanat, vaihda ne välittömästi

· Jos sinulla on epäilys, että tietosi ovat virheelliset rekistereissä, ota ensin yhteys kyseisiin rekisterinpitäjiin ja selvitä asia. Jos asia ei etene voit ottaa yhteyden myös tietosuojaviranomaisiin

4) Käytä kunnollisia salasanoja viisaasti

· Universumin huonoimmat salasanat ovat 123456, 12345 ja 1234546789.

· Äärimmäisen kehnoja ovat myös: Password, iloveyou, princess, rockyou, qwerty, abc123, matrix, starwars, ncc1701, näin joitakin esimerkkejä antaakseni.

· Älä milloinkaan käytä työpaikan salasanoja minkään vapaa-ajan sivuston salasanana. Pidä aina työ- ja siviilitunnisteet kokonaan erillisinä.

· Vaihda aika ajoin myös harrastesivujesi salasanoja vaikka se aiheuttaakin rahtusen epämukavuutta.

· Vaadi työpaikallasi Single-Sign-On -järjestelmiä ja sellaisessa ympäristössä käytä yksittäisen salasanan sijasta ”passphrasea” eli muutaman sanan lausetta.

· Käytä muutoin salasanoja, jotka silti ovat riittävän pitkiä 9 – 15 merkkiä pitkiä ja sisältävät isojen ja pienten kirjainten lisäksi numeroita ja/tai erikoismerkkejä.

· Älä milloinkaan kirjoita salasanaasi keltaiselle, näyttösi reunaan liimatulle Post-It muistilapulle. Tällainen on suorastaan kutsu väärinkäytöön.

· Jos muistettavia salasanoja on paljon tai muista syistä on kohtuutonta muistaa ulkoa niitä kaikkia, on vaikkapa matkapuhelimen ”wallet” -sovellus parempi kuin printattu A4 tai levyn kulmalle piilotettu tiedosto.

Yhteenveto

Internet ilmiöineen on tämän päivän villi länsi, jossa sekä suoraselkäiset uudisasukkaat että varjoissa lymyävät konnat touhuavat touhuttavansa. Minkäs teet? Ilmankaan ei voi olla ja mukaan lähteminen tuo muassaan sekä tuttuja että tuntemattomia riskejä.

Kaikesta huolimatta neuvon ottamaan oppia noista uudisasukkaista ja lähtemään Internetin uusien palvelujen mukaan, sillä tässä verkottuvassa tietoyhteiskunnassa Internetin kautta saatavissa oleva ajantasainen tieto on kuitenkin se tekijä, jolla tulevaisuuden tavikset ja sankarit erotetaan toisistaan.

Niin kuin uudisasukkaankaan ei ollut viisasta avata oveaan jokaiselle sisäänpyrkijälle, on tämän päivän surffaajankin pidettävä jäitä hattussaan ja tuumattava ennen klikkausta.

Aki Pitkäjärvi

Mainokset

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out /  Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out /  Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out /  Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out /  Muuta )

Muodostetaan yhteyttä palveluun %s