RSA: Verkkopankkien tietoturvaa voisi parantaa
2
Verkkopankkiin kirjautuminen perustuu useimmissa pankeissa käyttäjätunnukseen, vaihtuviin salasanoihin ja erilliseen satunnaiseen tunnukseen maksujen vahvistamisessa. RSA:n mukaan maksujen vahvistamisessa voisi olla erityinen lisätarkistus, jos summa on erityisen suuri tai kohteena on ulkomainen tili.
Kuluttajat ovat valmiita tinkimään käyttömukavuudesta, jos asiointi internetissä on sen ansiosta turvallisempaa, väittää tallennusyhtiö EMC:n tietoturvayksikkö RSA:n teettämä tutkimus. Peräti kahdeksan kymmenestä vastaajista toivoi tehokkaampaa tietoturvaa, ja 86 prosenttia ilmoitti olevansa huolissaan. RSA:sta sanotaan, että tietoturvaa voisi kohentaa monin tavoin.
“Yksi esimerkki on, että maksujen vahvistamiseksi voisi tulla erillinen tekstiviesti”, sanoo teknologiakonsultti Jon Estlander RSA:sta Tietokone-lehdelle. Asiakastietoihin olisi siis tallennettu kännykkänumero, ja uusi viesti piippaisi, kun maksua ollaan hyväksymässä. Viestissä näkyisi hyväksyttävän tapahtuman kohdetili ja summa.
RSA myy tietoturvan ja salauksen konsultaatiota sekä tehokkaita salausmenetelmiä. Se on palkannut nimekkäitä asiantuntijoita, jotka ovat toimineet eri maiden tiedustelupalveluissa.
Estlander toteaa, että viestiä ei tarvitsisi lähettää jokaisesta maksutapahtumasta, vaan ainoastaan, kun summa olisi erityisen suuri, vaikkapa tuhansia euroja yhtä maksua kohti. Näin maksu ei menisi läpi, vaikka kuluttaja olisikin huijattu antamaan tunnuksensa internetissä.
Verkkopankeissa kannattaisi Estlanderin mukaan myös lisätä visuaalisia tunnisteita, joista kuluttaja tunnistaa palvelun omakseen. Siellä voisi olla esimerkiksi henkilökohtainen tervehdys, josta huijari ei voisi tietää. Tällainen onkin jo monissa suomalaisten pankkien sivuilla. Kun nettipankki sanoo yleensä “Hei Tero, olet oikeassa pankissa” tai muun itse kirjoitetun viestin tai käyttäjän valitseman kuvan. Varoituskellot soivat, kun näitä ei näkyisikään.
Myös asiakkaan kannattaa olla itse varuillaan, jos normaalisti suomenkielinen sivusto onkin yhtäkkiä englanninkielinen.
Estlander sanoo, että pankit voisivat myös tehostaa rahaliikenteen valvontaa. “Mukautuvien tunnistautumisjärjestelmien avulla voidaan seurata rahaliikennettä ympäri maailmaa ja reagoida nopeasti. Jos epäilyttävä tili on havaittu jossain, maksut sinne voidaan estää heti muuallakin.”
Suomalaiset pankit ovat kertoneetkin lisänneensä rahaliikenteen tarkistuksia, erityisesti huijausten ollessa liikkeillä. Tietoturvasyistä ne eivät kuitenkaan anna julki yksityiskohtia suojauskeinoista.
“Virustorjuntaohjelmat eivät ole ajan tasalla”
Pankit korostavat sitä, että kuluttajalla on oltava ajantasainen tietoturvaohjelman kotitietokoneessaan. Estlander huomauttaa, ettei turvaohjelma aina riitä. “Virustorjuntaohjelmat eivät aina ole ajan tasalla uusimpien uhkien kanssa, koska haittaohjelmat kehittyvät nopeasti. Virusskannereita on voitu kiertää.”
Estlander huomauttaa, että suurin riski on yleisimpien ohjelmistojen käyttäjillä.
Monissa hyökkäyksissä on suunnattu käyttäjiin, joilla on IE-selain, Windows-käyttöjärjestelmä ja Adobe Reader pdf-lukijana, “Yhden tai useamman näistä vaihtaminen voi parantaa tietoturvaa, sillä suosituimpiin ohjelmiin hyökätään eniten. Rikolliset ovat helpon rahan perässä.”
RSA: 10 miljoonassa koneessa pankkitroijalainen
Tuoreessa Nordea-verkkopankkihuijauksessa kesti ainakin yli vuorokauden ennen kuin monet kaupalliset torjuntaohjelmat tunnistivat rikollisten käyttämän Windows-troijalaisen.
RSA:n mukaan troijalaiset olivat todennäköisesti huomaamattomina käyttäjien koneilla useita kuukausia ennen aktivoitumista. RSA:n mukaan on epäselvää, tunnistavatko torjuntaohjelmat troijalaisia koskaan.
RSA on arvioinut, että tämän hetken tehokkaimman pankkitroijalaisen Zeus 2:n tunnistaa vain 23 prosenttia ajan tasalla olevistakin torjuntaohjelmista.
RSA arvioi netissä olevan yli 10 miljoonaa Windows-konetta, jotka on saastutettu pankkitroijalaisella. Niiden myyjät lupaavat jopa puolen vuoden tunnistamattomuustakuun.
Suomi on pieni maa, kieli on harvinainen ja pankeilla on vahva tunnistaminen käytössä, mutta silti tännekin suunnataan iskuja verkkopankkeja vastaan. Estlander korostaakin, että käyttäjien valistamista pitää jatkaa. “Vahva tunnistaminenkaan ei tarkoita sitä, että oltaisiin täysin suojassa.”
RSA:ssa ei kuitenkaan haluta pelotella, sillä verkkopankkien tietoturva on hyvällä tasolla. “Aina on jotain, mitä voisi parantaa”, kiteyttää Estlander.
