Nettipankkihuijausten torjumiseen uusia konsteja
0
Las Vegas – Suomessa on nähty useita rahallisesti merkittäviä huijauksia, jotka ovat kohdistuneet pankkeihin. EMC:n tietoturvayksikkö RSA:n johtaja sanoo, että näitä vastaan voi suojautua. Tilanne on hankala, kun tyypillisesti huijattu asiakas on itse luovuttanut tietonsa.
Suomessa pankit ovat ilmoittaneet, että nettipankkien suojaamiseksi tehdään asioita. Toteutustavoista ne eivät ole halunneet kertoa juuri mitään. Tallennus- ja varmennusyhtiö EMC:n tietoturvayksikkö RSA on hyvä lähde kysyä asiasta, koska se on toteuttanut uusia tietoturvamalleja kansainvälisille pankeille.
Pankkien suojaaminen on tuottoisaa bisnestä, koska nettihuijausten ja -hyökkäysten arvioidaan aiheuttavan maailmanlaajuisesti jo miljardien dollarien menot. Hyökkääjien tiedetään anastaneen rahaa kymmenien miljoonien edestä. Toistaiseksi suojautumiseen käytetään siis paljon enemmän rahaa kuin rikolliset ovat saaneet vietyä.
Netissä asioiva asiakas maksaa tasiantuntijan mukaan kymmenesosan konttorissa käyvästä asiakkaasta. Se ei onnistu, jos nettiasiointia pelätään. Pankeilla on siis hyvä syy panostaa näihin järjestelmiin.
RSA:n tietoturvallisuuden alueen strategiajohtaja Dennis Hoffman toteaa Tietokone-lehden haastattelussa EMC World -tapahtumassa, että nettipankkien huijaukset ovat tulleet Suomeen, koska isoissa maissa niitä vastaan on opittu jo suojautumaan. RSA on neuvotellut myös pohjoismaisten pankkien kanssa, mutta toistaiseksi julkisia referenssiasiakaita ei ole.
Hoffman sanoo, että yksi malli rahaa käsittelevien palveluiden kanssa on "adaptive authentication" eli käyttäjään mukautuva tunnistaminen, jossa mallinnetaan käyttäjän toimia.
"Esimerkiksi yleensä kirjaudun nettipankkiini lauantaiaamuisin kannettavallani kotoa, ja yleensä en tee yli 5000 dollarin siirtoja, ja lisäksi tunnetaan koneen mac-verkko-osoite, nettiyhteyden ja tietokoneen tiedot. Nämä kaikki tiedot tallennetaan, ja niistä rakennetaan käyttäjän riskiprofiili. Jos nyt sitten yhtäkkiä kirjaudunkin pankkiin nettikahvilasta Zimbabwessa ja yritän nostaa 50 000 dollaria ja siirtää sen Bermudalle, riskiprofiiliani rikotaan pahasti", hän kuvaa.
Pankkihuijareita vastaan valepankeilla
Toisena konstina RSA:lla on verkkohuijausten verkosto, joka välittää tiedot ympäri maailmaa, kun yksi pankki on joutunut hyökkäyksen kohteeksi. Niiden kautta leviää tieto, mistä verkosta huijaus tai hyökkäys tulee ja miten se toimii.
"Tällöin voimme aloittaa vastatoimet. Käytämme honey pot -sivustoja (hämäyssivustoja), joihin yritämme houkutella rikolliset. Joskus syötämme takaisin keksittyjä pankkitunnuksia", hän luettelee. Hänen mukaansa juju on se, että rikolliset voivat paljastua tai epäonnistua, kun yksi taho myy toiselle toimimatonta tavaraa – tässä tapauksessa siis keksittyjä tunnuksia.
"Tämä pätee kaikenlaiseen nettiasiointiin, jossa käsitellään rahaa. Pankit vain ovat olleet ensimmäisenä verkossa", sanoo Hoffman. Muita kohteita voivat olla niin nettikaupat kuin julkisen sektorin palvelut.
"Rikolliset etsivät kokoajan uusia kohteita. Minun lentoyhtiön lentopisteeni voivat olla arvokasta anastettavaa. Melkein mikä tahansa verkkokauppa voi kiinnostaa."
Hoffmanin mukaan nettiasioinnin ongelma on se, ettei henkilöllisyydelle verkossa ole yhtä hyväksyttyä menetelmää. Käyttäjän toimia mallintava autentikointi ei auta, jos rikollinen pääsee rekisteröitymään palveluun ensimmäistä kertaa.
USA:ssa tätä on ratkottu siten, että esimerkiksi pankit voivat saada viranomaisilta henkilötiedot. Verkkopalveluun rekisteröityessä kysytään taustatietoja esimerkiksi perheestä ja menneisyydestä. Näin yritetään vähentää identiteettivarkauksien riskiä.
Nettihenkilöllisyydelle olisi kysyntää
EMC osti viime vuonna Verid-yhtiön, joka on tarjonnut palvelua Yhdysvalloissa. Euroopassa yksityisyydensuojaa koskevat lait ovat toistaiseksi estäneet toteutukset. Hoffmanin mukaan asiaa joudutaankin sopimaan maakohtaisesti.
Hoffman ennustaa, että tulevaisuudessa jokin virasto tai yritys antaa kansalaisille henkilöllisyyden verkossa ja luokittelee nämä, samalla tapaa kuten nykyisin luokitellaan luottotiedot. "Ongelma on se, ettei netissä ole luotettavaa henkilöllisyyttä. Ei ole yhtä paikkaa, josta saisi kaikille palveluille yhden henkilöllisyyden."
Tällainen virasto olisi ennen kaikkea sosiaalinen toimija ja juridinen haaste. Jonkun pitäisi ottaa vastuu siitä, että ihmiset voidaan luotettavasti tunnistaa sen sijaan, että joka paikkaan luodaan oma henkilöllisyys.
"Jos luomme henkilöllisyyden takaavan viraston, jossa on kaikkien maailman ihmisten tiedot, ottaako virasto vastuun, jos luottokorttitietosi viedään", pohtii Hoffman. Hänen mukaansa henkilöllisyyden takaamiseen verkossa on kuitenkin suurta kysyntää. "Tämä ei ole toteutumassa vielä. Se on tulevaisuuden visio. Unelma."
Dennis Hoffman sanoo, että nettipankkien huijaukset ovat olleet vasta alkua, ja rikollisia kiinnostavat jo muutkin rahan kanssa tekemisissä olevat palvelut.
