Henkilöllisyydestäsi tulee kauppatavaraa
7
Howard Schmidt puhui Cert-fi:n haavoittuvuusseminaarissa.
Poliisin ja muiden viranomaisten toimet laajoja hyökkäysverkkoja vastaan tehostuvat, mikä ajaa rikolliset entistä kohdistetumpiin hyökkäyksiin kansalaisia ja yrityksiä vastaan. Arvostettu tietoturvallisuuden asiantuntija Howard A. Schmidt neuvoo, että erityisesti henkilötiedoistaan kannattaa pitää hyvää huolta. Hänen kotimaassaan USA:ssa ne ovat jo kauppatavaraa.
Schmidt vieraili Viestintäviraston Cert-fi-yksikön ohjelmistohaavoittuvuuksien seminaarissa tiistaina ja aiemmin Oulussa Codenomicon-yhtiön vieraana, joka on avustanut myös USA:n hallintoa tietoturva-aukkojen setvimisen kanssa. Helsingissä hän antoi pari haastatteluakin.
Howard Schmidt sanoo, että internetin uhkat kansalaisille ja yrityksille muuttuvat kovaa vauhtia. Hän uskoo, että kansainvälisen yhteistyön avulla esimerkiksi bottiverkkoja saadaan alas kiivasta vauhtia, ja siksi rikolliset etsivät entistä tarkempia keinoja hyökkäyksiin esimerkiksi luotettujen web-sivustojen kautta.
Nettihenkilöllisyys olisi tarpeen
Hän toteaa, että ihmisten henkilöllisyys eli identiteetti netissä on suojeltava aiempaa paremmin. Hallitusten pitäisi tosissaan selvittää, miten kansalaisten henkilöllisyyksiä hallitaan digitaalisessa maailmassa.
"Olen USA:ssa sanonut pitkään, että sosiaaliturvanumeroista on luovuttava. Ne loukkaavat yksityisyyttämme. Ne ovat tehneet meistä verkkorikollisuuden uhreja. Hallituksen pitäisi sanoa, ettei näitä saa enää käyttää, ja luoda digitaalinen henkilöllisyys."
Schmidtin kommentti on tulkittava amerikkalaista taustaa vastaan. Maassa on tapahtunut miljoonia identiteettivarkauksia sikäläisten sosiaaliturvatunnusten avulla. Suomessa vain harvat nettipalvelut yrittävät kysellä henkilötunnusta, tai ainakaan näin tunnistavat asiakastaan. Tietosuojavaltuutettu on muistuttanut, ettei henkilötunnusta pidä käyttää tunnistamiseen.
Schmidt sanoo, että nykyisin kaikenlaisia tietoja kysellään turhan paljon ja usein. "Kun teen ostoksia netissä, minun on annettava nimeni ja maksutietoni. Se on hyväksyttävä. Minun ei pitäisi joutua antamaan tietojani, kun etsin tietoa tiikereistä", hän toteaa.
Schmidt ehdottaa nettiasiointiin pari minuuttia voimassaolevaa varmennetta, jolla kansalainen voi todistaa olevansa kuka väittää olevansa. Kauppias saa varmistettua asiakkaan, ja sen jälkeen tunniste vanhenee, eivätkä henkilötiedot tallennu kauppiaan tietokantaan.
Schmidt muistuttaa, että ihmiset ovat tosin jo vuosia sitten vapaehtoisesti luopuneet suuresta osasta yksityisyyttään kanta-asiakas- ja luottokorttijärjestelmien kautta. "Joka kerta kauppaan mennessämme olemme valmiita antamaan kaikki tietomme parin euron alennusta vastaan. Se tieto pysyy."
Viranomainen haluaa biotunnisteesi
Paljon matkustava Schmidt näyttää amerikkalaista Clear card -korttiaan. Se sisältää henkilötietojen lisäksi sormenjäljen ja silmän iiriksen kuvat. "Luotan tämän turvallisuuteen. Jos se kuitenkin murretaan, en voi korvata silmiäni tai sormenjälkiäni. Biotunnisteista tulee entistä tärkeämpiä, ja niin tulee myös niiden suojaamisesta."
Entä amerikkalainen biopassi, luottaako Schmidt siihen? USA:ta on arvosteltu siitä, että passin tiedot ovat liian helposti varastettavissa rfid-radion kautta. "Minulla on erityinen suojalompakko, jossa passini pidän. Tietoihini ei pääse käsiksi."
Jo vuosia ammattimaiset nettirikolliset ovat havitelleet kiusanteon ja näyttämisen halun sijaan rahaa. "Nyt hyökätään isojen yhtiöiden sijasta yksityishenkilöitä vastaan, koska heidän on vaikeampi puolustautua."
Schmidt kertoo ajattelutavasta, josta on kuultu tietoturvayhtiöistä usein – alan piirit ovat tiiviit. "Jos varastat miljoona dollaria yritykseltä, saat poliisit perääsi. Jos varastat dollarin miljoonalta, kukaan ei ehkä huomaa mitään."
Hän myös muistuttaa, että ilman tietoturvaa ei ole myöskään yksityisyyttä. Tämä koskee kauppojen ja muiden nettipalveluiden sekä viranomaisten tietokantoja. Niitä vastaan on jo kohdistettuja hyökkäyksiä.
Nettirikollisuus ei kiinnosta, jos ruoasta on pulaa
Schmidt kertoo, että kansainvälisessä viranomaisyhteistyössä on myös saatu edistysaskelia. G8-maiden kesken on ollut lähes 15 vuotta verkkorikollisuuteen keskittynyt komitea, jossa vaikuttaa yli 100 maata. Lisäksi erityisesti EU-tasolla on yhtenäistetty nettirikollisuuden lainsäädäntöä.
"Yleensä, jos jokin on rikos Saksassa, se on rikos myös USA:ssa. Rikoksista on aiempaa helpompi nostaa syyte."
Schmidt toteaa, että maailmassa on kahdenlaisia pako- ja turvapaikkoja nettirikollisille. Maat vaihtuvat usein, joten niitä on vaikea listata. Rikolliset tietävät tämän.
On maita, joissa ei ole lainsäädäntöä esimerkiksi nettihujauksia ja roskapostia vastaan. Lisäksi on maita, joissa maan taloustilanne ja vähäiset resurssit, kuten koulutetut poliisit tai nettikollisuutta valvova ministeriö puuttuvat. "Useimmin näkemäni esimerkki on Nigeria. Lait ovat olemassa, mutta rikollisia saadaan harvoin syytteeseen, koska maassa on isompiakin ongelmia kuin netissä rahaa varastavat ihmiset."
Kysymykseen siitä, miksi USA:sta ja USA:n kautta yhä tulee paljon roskapostia, vaikka se on laitonta maassa, Schmidtillä on tuttu vastaus. "Raha. Niin kauan kuin ihmiset menevät lankaan ja tarttuvat huijauksiin, rikollisten kannattaa jatkaa. Vaikka minä tai sinä emme lankea näihin, riittää niitä, jotka lähettävät luottokorttitietonsa tai uskovat mahdollisuuteen voittaa 50 miljoonaa."
Schmidt toivoo, että PGP:n kaltainen salattu ja hallittu sähköposti viimein yleistyisi. Hän arvioi, että uusimmat ohjelmistot ovat jo riittävän helppokäyttöisiä tavallisille käyttäjille. "Sen jälkeen kukaan ei enää avaisi viestejä, joilla ei ole luotettavaa sähköistä allekirjoitusta."
