Tehdään tylsistä koulutusvideoista hauskoja

Lentokoneiden turvakuulutukset ovat usein lentävälle pakkopullaa, jota ei jaksa kuunnella edes puolella korvalla. Turvavyön kiinnittäminen ja soljen avaaminen ovat varmasti tuttuja kaikille, mutta esimerkiksi lähimmän hätäuloskäynnin selvittäminen voi pahassa tilanteessa pelastaa hengen.

Joitakin vuosia sitten lentoyhtiöt keksivät uuden jipon: tehdäänpä turvavideoista niin hauskoja, että ihmiset katsovat niitä mielellään. Loistava ajatus. Pakkopullan sijaan videoista tulikin kiinnostavia, jolloin asiat jäävät mieleen kuin itsestään.

Ensimmäinen taisi olla Air New Zealand, joka yhdisti videoonsa Taru Sormusten Herrasta -tyylisen matkailuvideon ja turvakoulutuksen. Tuloksena on "Most Epic Safety Video Ever Made", jota ihmiset katsovat innokkaasti Youtubesta.

Vähän erilainen turvavideo.

Muut lentoyhtiöt seurasivat perässä. Deltalla on useitakin videoita, kuten tämä, joka kertoo tavalliset turva-asiat hauskan asiallisesti. Ja tässä vielä asiallisempi American Airlinesin video.

Viimeksi näin Air Francen videon, joka on hyvin... omaperäinen. Viisi kaunista naista esittelee turva-asiat piirretyissä kulisseissa. Joku voi pitää videota seksistisenä, jonkun mielestä se on vain ranskalaisittain "tres chic".

Turvavideo ranskalaisittain.

Kaikki videot ovat loistavia, koska ne kiinnittävät huomion muuten tylsään ja tuttuun asiaan. Enää ei riitä, että koulutuksen faktasisältö on kohdallaan -- asia täytyy myös esittää niin, että se kiinnostaa nopeatempoiseen ja visuaaliseen viestintään tottunutta katsojaa.

Voisiko tätä periaatetta soveltaa myös tietoturvakoulutuksissa? Täytyykö tietoturvasta pelottelun ja varoittelun olla aina niin tylsää?

Ja bonuksena vielä: minkälaisen turvavideon tekisitte Finnairille? Voisiko päähenkilönä olla joulupukki tai muumit? Olisipa hauska nähdä muumitettu versio esimerkiksi Air New Zealandin videosta. 

Visit Finland - Finland is cool!

Palasin ulkomailta, missä oli ulkona 30-35 astetta ja ilmankosteus yli 50 prosenttia. Oli ihanaa päästä välillä sisätiloihin, joissa ilmastointi viilensi ilman 20 asteeseen.

Mutta hei, juuri sellaistahan meillä Suomessa on ulkonakin. Emme vain osaa arvostaa sitä tarpeeksi, koska pimeän ja kylmän talven jälkeen kaipaamme helteitä (tai ainakin lapsiperheet kaipaavat, jotta pääsisivät uimarannalle).

Sellaiselle, joka elää helteen keskellä, Suomen viileä ilma tuntuu täydellisen sopivalta.

Aamulla klo 8.41 jo 28 C ja ilmankosteus 71 % -- tulee tukala päivä.

Pari viikkoa sitten olin Helsingin kauppatorilla syömässä teltassa paistettua lohta muiden turistien kera. Vastapäätä istui italialainen perhe, jonka mies osasi hieman englantia. Hän kertoi olevansa Etelä-Italiasta ja valitti, että siellä on liian kuuma, siksi olivat tulleet Suomeen pienen tyttönsä kanssa.

Eikö Suomen viileydestä voisi tehdä matkailuvalttia? Etelä-Eurooppaa piinaavat tällä hetkellä ennätyshelteet, pahimmillaan yli 40 astetta. Moni paikallinen asukas luultavasti kaipaisi lomalle raikkaan viileän ja puhtaan ilman Suomeen.

Tule Suomeen, meillä on ulkonakin ilmastointi! eli englanniksi jotain sellaista kuin Come to Finland, we have air conditioned outdoors, too!

Tule HUSsiin, hoidamme sinut sassiin

Olen autoillut kaikissa USA:n 50 osavaltioissa, mutta silti valtava maa yllättää minut joka kerta niin hyvässä kuin pahassakin. Suomen SOTE-vääntö tuoreena mielessä olen katsellut tällä kertaa erityisesti terveydenhuollon mainontaa.

SOTEn valinnanvapaus tarkoittaa kilpailua, ja kilpailu merkitsee mainontaa. Kun valinnanvapaus toteutuu, meilläkin aletaan nähdä uudenlaisia terveydenhuollon mainoksia. Sellaisia, jotka USA:ssa ovat arkipäivää, mutta jotka näyttävät suomalaisen silmin oudoilta -- suorastaan vastenmielisiltä.

USA:ssa terveydenhuolto on valtava bisnes. Televisiossa on pitkiä, tunteisiin vetoavia mainoksia, joissa perheen isä tai äiti kehuu saaneensa uuden elämän tehokkaan syöpähoidon tai sydänleikkauksen ansiosta. Hymyilevä henkilökunta ja onnelliset lastenlapset peittävät alleen lopputekstit, joissa neuvotaan ensin tarkistamaan, kattaako oma vakuutus hoidon kustannukset.

Tänään seurasin ajaessani suuria tienvarsimainoksia, joista mieleeni jäi varsinkin siirappinen "Meillä toivo ja parantaminen kohtaavat". Siitä en ehtinyt napata kuvaa, mutta parista muusta ehdin:

Laita rahasi sinne, missä ihmeetkin ovat (lastensairaala).

Lupaamme, että ensiavussa lääkäri tarkistaa sinut alle 30 minuutissa.

250 lääkäriä, 24 erikoisalaa.

Miltä tällaiset mainokset näyttäisivät Suomessa? Onko tämä sitä luvattua valinnanvapautta?

Ajaessani I-26 highwaytä mietin aikani kuluksi, millaisia sloganeita suomalaiset alan yhtiöt voisivat keksiä samassa hengessä. Ehkä "Tule HUSsiin, hoidamme sinut sassiin" tai "Mehiläinen pistää sinut terveeksi".

Kieli vyön alla mieleen tulee monia muitakin, kuten "viikonlopun erikoistarjouksessa kaksi sairaslomapäivää yhden hinnalla", "meiltä parhaat antibioottikuurit", "tutkitusti Suomen parhaimmat sydänlääkärit" (mukaillen erästä eteläcarolinalaista mainosta).

Tässä polttoainetta syksyn Noin viikon uutisille. Näistä saisi herkullisia sotehenkisiä tv-mainospaloja. Toimitus keksii varmasti paljon osuvampia markkinointiviestejä.

Valinnanvapaus on markkinataloutta.

Lisäys 11.7.2017: vielä pari kuvaa Floridan puolelta samasta teemasta.

Pohjoisen Jacksonvillen ainoa sairaala

Bisneksen kannalta yksi sairaala on parempi kuin useita, jotka kilpailevat keskenään. "Ainoa sairaala" on hyvä mainosargumentti, eikä potilaalle tule valinnan vaikeutta.

Entä tämä sitten:

Liukenevat stentit - vain meiltä!

Jos tulkitsen mainosta oikein, kilpaileva sairaala tarjoaa ainoana itsestään sulavia stenttejä (verisuonia auki pitäviä putkia).  Tästäkin saisi monia iskeviä mainoksia koto-Suomeen, kuten "uusin Gizmo-xyz sydäntahdistin vain meiltä! Äläkä unohda K-kaupan bonuspisteitä, sillä isosta leikkauksesta saa roppakaupalla Plussaa".

Lisäys 13.7.2017: Television lääkemainoksessa kuultua: "ensimmäinen resepti ilmaiseksi".

Kun somemoka osuu tuulettimeen

Olen pitkään varoittanut muita somemokista ja ohjeistanut niiden välttämiseen. Someraivon silmässä käyneenä osaan jatkossa puhua aiheesta syvällä rintaäänellä. Kukaan ei mokaa tahallaan, joten somemoka voi sattua kenelle tahansa, by definition.

Pahinta on mokata juuri ennen lähtöä pitkälle lennolle. Kun sometuomioistuin käsittelee asiaa, puolustuksella ei ole puheenvuoroa eikä asiasta autuaan tietämätön mokaaja pysty edes poistamaan päivitystään. Someraivo saa kasvaa kaikessa rauhassa ja täyttää somefääriä #HasHeLandedYet/#HasSheLandedYet -tyyppisillä viesteillä.

Itselläni oli takana kymmenen tunnin lento ikkunan ja ylileveän henkilön väliin tungettuna. Oli jokseenkin epätodellinen tunne avata puhelin koneen vielä rullatessa kentällä ja saada soittoja Helsingin Sanomista sekä molemmista iltapäivälehdistä. Somemoka joo, mutta mitä se oikeaa mediaa kiinnostaa?

Tilanne on mokaajan kannalta mahdoton: kun ei ole nähnyt nettiä ei tiedä, mistä kohu on  syntynyt ja mitä ihmiset ovat varsinaisesti paheksuneet. Eikä toimittajia edes kiinnosta varsinainen Facebook-viesti -- eivät he olisi sen perusteella alunperinkään soittaneet. Uutinen on aiheesta noussut somekohu, johon heidän täytyy journalismin periaatteiden vuoksi pyytää osapuolen kommentti. Siinä tilanteessa kaikki vastaukset ovat huonoja.

Sometuomioistuimen päätös on aina langettava. Rangaistuksena on julkinen anteeksipyyntö tai merkittävän henkilön tapauksessa virasta eroaminen. Sen jälkeen some hiljenee odottamaan uutta kohua.

Somekohun keskellä vastaaja menettää sananvapautensa. Ketään ei kiinnosta perustelut, selittelyt tai oikaisut. Mitä nopeampi anteeksipyyntö ja sen jälkeinen vaikeneminen, sitä parempi kaikille. Omat  kommentit vain pahentavat vääjäämätöntä lopputulosta. Erityisen tärkeää tämä on poliitikoille ja yrityksen edustajille, joilla on pelissä muutakin kuin oma maineensa.

Missään tapauksessa ei kannata kirjoittaa aiheesta tällaista blogikirjoitusta. Se pitää vain kohua esillä ja jatkaa asiaa tarpeettomasti. Kommentointi on joka tapauksessa turhaa, sillä sometuomioistuimen päätöksestä ei voi valittaa.

Mokia ei saa tekemättömäksi, mutta ainakin niistä voi oppia. Otan tästä opikseni ja opetan jatkossa muitakin.

JK. Netissä on vallalla loukkaantumisen kulttuuri, sillä on niin helppo loukkaantua toistenkin puolesta. Sen vastapainona on anteeksipyytämisen kulttuuri (tai sitten voi persutyyliin vedota ironiaan tai huumoriin). Ex-pääministeri Stubb oli mestari pyytämään kaikkea anteeksi, oli kyse sitten vääristä numeroista tai tahattomista mokista.

Itse olen pyytänyt anteeksi kaikilta, joiden tunteita päivitykseni loukkasi ja myöntänyt mokanneeni. Keneltä vielä pitäisi pyytää anteeksi? Kuvan henkilöltä, mutta hän ei ollut kuvassa tunnistettava.

Nils Torvalds ja somemoka ennen somea

Tämä on ihan hillitön juttu: 23-vuotiaana Nils Torvalds pelotteli RKP-nuoria konepistoolilla ja nyt hän on saman puolueen presidenttiehdokas.

Osattiin sitä ennenkin mokailla.

Ei ihme, että Hufvudstadsbladet kaivoi vanhan aiheen esiin ja uutisoi sen 17.5.2017. Jutun mukaan Nils Torvalds oli seminaarista palatessaan poikennut Paimion motellissa, jossa oli käynnissä RKP:n nuorisojärjestön tilaisuus. Torvalds oli rynnännyt puhujakorokkeelle, vetänyt pyyhkeen sisältä esiin konepistoolin ja karjaissut: Se alkoi nyt! Liikkumatta, kaikki. Paskanjauhaminen loppuu tähän.

Konepistooli oli kuitenkin vain leikkiase, joka oli lainassa Suomi-Filmin varastolta. Porvareita ärsyttääkseen hän suostui poseeraamaan konepistoolin kanssa toimittajalle, jolloin kuva Nilsistä aseen kanssa päätyi lehteen. Helmikuun 1968 paneelikeskustelussa Torvalds oli lisäksi julkisesti arvellut, että vallankumouksen tapahtuessa Suomessa tultaisiin näkemään teloituksia.

Tässä on monia kiinnostavia näkökulmia. Ensinnäkin vielä 1960- ja 1970-luvuilla (aika, jonka monet lukijat muistavat itse, ja jonka heidän vanhempansa itse kokivat) kommunistisen vallankumouksen pelko oli todellinen. Suomessa oli ihmisiä, jotka oikeasti uskoivat aseelliseen toimintaan ja olivat ainakin puheiden tasolla valmiita teloittamaan toisia suomalaisia.

Tämä on hyvä muistaa kun katsomme uutisia Syyriasta tai muista maailman kriisipesäkkeistä. Epäilemättä 1970-luvulla syntyneiden on vaikea tunnistaa tällaista Suomea samaksi maaksi, jossa nyt asuvat.

Toiseksi Torvaldsin hölmöilyt vuonna 1968 olivat aikansa somemoka. Niille kävi kuten somemokille tahtoo käydä: ennen pitkää joku kaivaa mokat esiin ja tekijää hävettää. Takki on kääntynyt ja mielipiteet muuttuneet.

Harva silti yltää uhkailemiensa henkilöiden presidenttiehdokkaaksi. Tällä takinkäännöllä Nils Torvaldsin pitäisi päästä Guinnesin ennätysten kirjaan.

Kyseinen Nils Torvalds on Linuxin kehittäjä Linus Torvaldsin isä. Linus syntyi joulukuussa 1969. Ehkä Nilsin radikaalit ajatukset laimenivat ja mies rauhoittui, kun hän sai tietää tulevansa isäksi pian näiden tapahtumien jälkeen. Pannessaan poikaa alulleen juuri noihin aikoihin Isä-Torvalds tuskin osasi kuvitella, että aikuisena poika ansaitsisi miljoonia ja muuttaisi arkkivihollisen maahan.

Jokaisen some-käyttäjän on hyvä muistaa Nils Torvalds konepistooli kädessään. Kun tänään kirjoittaa Facebookiin jyrkkiä mielipiteitä ja julkaisee raflaavia kuvia itsestä, saattaa jonain päivänä löytää ne edestään.

Viime kädessä tapauksen opetus on kuitenkin lohdullinen: nuoruus ja hulluus, vanhuus ja viisaus. Tai kuten Churchillin väitetään sanoneen (valheellisesti, mutta ainakin se kuulostaa hyvältä): "Jos ihminen ei nuorena ole radikaali, hänellä ei ole sydäntä, jos ihminen ei ole vanhana konservatiivi, hänellä ei ole aivoja".

Nuoruuden toilailut hävettävät, mutta yleensä ne saa kuitenkin anteeksi. Tulihan Nilsistäkin presidenttiehdokas. Osa aikoinaan konepistoolin piippua katselleista nuorisojäsenistä saattaa tänään jopa äänestää häntä.

Missä bloggaajan eettiset ohjeet?

Sähköpostiini kolahti äskettäin selvällä suomella kirjoitettu viesti, jossa tarjottiin ilmeisesti maksua vastaan valmista artikkelia blogiin. Luokittelin tarjouksen tavalliseksi roskapostiksi, mutta lähettäjä muistutti itsestään uudelleen:

Heippa,

Mitä kuuluu? Ajattelin vain kysyä mietteitänne yhteistyöideasta jonka esitin muutama päivä sitten. 

Kertokaa siis mielipiteenne asiasta. Kuten jo sanoin, voimme maksaa teille artikkelin julkaisemisesta.

Uusi viesti pysäytti pohtimaan asiaa. Tässä se alkuperäinen "tarjous":

Härski tarjous maksullisesta artikkelista

Peitin kuvasta lähettäjän nimen (mies), vaikka se tuskin on oikea. Kukapa rekisteröisi Gmail-tilin omalla nimellään tällaista tarjousta varten?

Viestissä tarjotaan valmista artikkelia, joka luultavasti liittyisi Suomessa kiellettyyn vedonlyöntimaailmaan. Sen vuoksi on tärkeää, ettei "artikkelissa mainita kyseessä olevan sponsoroitu sisältö tai mainos". Harmi vain, että laki velvoittaa erottamaan selvästi mainoksen muusta toimituksellisesta sisällöstä, ja säännöt koskevat myös blogeja.

Ilmeisesti tässä on kyse samasta bisneksestä, joka kolme vuotta sitten tarjosi maksua vastaan linkkejä ulkomaisiin rahapelisivuihin. "En pidä lakia missään asioissa ylimpänä moraalinani", nainen sanoi jutussa.

Minä pidän ja siksi varoitan aiheesta muitakin. Tiedän, että monet julkkikset somettavat aktiivisesti omista vedonlyönneistään saaden siitä rahaa, mutta sellainen toiminta on paitsi laitonta myös fanien pettämistä.

Blogitekstien julkaisu salaista maksua vastaan on blogietiikan vastaista. Mutta missä ovat bloggaajan eettiset ohjeet? Mitä niissä tulisi olla?

Tässä alkua omasta listastani:

- Kirjoittaja vastaa teksteistään ja pyrkii todenmukaisuuteen, mielipiteet erotetaan selvästi faktoista
- Tekstiin jääneet asiavirheet korjataan mahdollisuuksien mukaan jälkikäteen
- Jos tekstin asiasisältöä on muokattu julkaisuhetken jälkeen, siitä mainitaan tekstin lopussa (kirjoitus- tai tyylivirheiden korjausta ei lasketa)
- Kirjoittaja erittelee selkeästi mainokset ja itse tuottamansa tekstin
- Muiden tuottamaa sisältöä ei julkaista omissa nimissä, olipa se maksullista tai maksutonta
- Tuotteista kirjoitettaessa mielipiteet ja havainnot ovat vilpittömiä, eikä valmistaja vaikuta niihin
- Kirjoittaja kunnioittaa tekijänoikeuksia eikä käytä toisen kuvia luvatta
- Selkeät lainaukset muiden teksteistä mainitaan ja mahdollisuuksien mukaan linkitetään alkuperäiseen lähteeseen

Ilman eettisiä ohjeita blogeista tulee valemedia, jossa mihinkään ei voi luottaa.

Saako potilastietoja lukea auki jääneeltä koneelta?

Hesari uutisoi, miten päivystyspoliklinikan potilashuoneessa oleva tietokone jäi auki sairaanhoitajan poistuttua, jolloin huoneessa ollut potilas olisi päässyt näppäilemään konetta. Tietosuojavaltuutettu Reijo Aarnio pitää auki jäänyttä konetta tietosuojaongelmana ja riskinä potilasturvallisuudelle. Ingressin mukaan sairaaloiden tietosuoja on suorastaan "retuperällä".

Toimistotyöntekijöitä muistutetaan aina lukitsemaan koneensa, kun hän poistuu sen äärestä. Sairaaloissa ohjeen noudattaminen voi olla vaikeaa: käytössä on jopa toistakymmentä tietojärjestelmää, joiden salasanoja joutuu vaihtamaan säännöllisesti -- ei ihme, jos houkutus jättää kone auki kasvaa. Silloin on väärin syyttää sairaanhoitajaa, pikemminkin tietohallintoa, koska hankalat kirjautumiset ovat kohtuuton työnteon este.

Sairaanhoitaja joutuu ehkä lähtemään huoneesta hälytykseen. Potilasturvallisuuden kannalta on parempi, että hän huolehtii ensin potilaista eikä jää lukitsemaan konettaan.

Asiaan on olemassa teknisiä ratkaisuja. Uusin Windows 10 -päivitys sisältää dynamic lock -toiminnon, jolla työaseman saa lukitsemaan itsensä, kun käyttäjän älykello tai -puhelin poistuu koneen läheltä. Kun lukitus on automaattinen, se ei ainakaan unohdu, eikä edes salasanoja tarvitse muistella. Varjopuolena on, että älypuhelimen akkukesto kärsii.

Hieno homma, ei muuta kuin asentamaan kaikkiin pöytäkoneisiin Windows 10 ja lisäämään niihin bluetooth-adapteri. Tai ehkä sairaaloilla on potilaiden kannalta tärkeämpiäkin rahanreikiä kuin koneiden lukitseminen.

Tietotekniikassa uhrin ja tekijän roolit menevät helposti sekaisin. Monet hakkerit syyttävät uhrejaan siitä, että nämä eivät päivittäneet koneitaan tai tehneet järjestelmistä tietoturvallisia, ikään kuin se jotenkin oikeuttaisi tietomurtoon.

Ei oikeuta. Ei kotiinkaan saa mennä, vaikka ovi olisi unohtunut lukita tai jäänyt jopa kokonaan auki.

Niinpä sen henkilön, joka jää potilashuoneeseen avoinna olevan koneen kanssa pitää muistaa, ettei hänellä silti ole oikeutta katsoa näytöllä olevia tietoja. Vahingossa ne eivät näy. Urkinnasta pitää tuomita samalla tavalla, oli asialla sitten sairaanhoitaja tai potilas.

Petya näyttää olevan oikea kyberhyökkäys

Media viljelee mielellään kyberhyökkäys-sanaa, koska sen avulla otsikoista saa dramaattisempia. Tuore Petya (Petja) kiristysohjelma vaikuttaa kuitenkin olevan aito kyberhyökkäys, jonka toimintaa ja vaikutuksia kannattaa seurata tarkasti.

Monet seikat viittaavat siihen, ettei kiristyksen takana tällä kertaa ole pelkkiä rikollisia, vaan ohjelmalla haetaan jotain muuta:

• Petya laitettiin levitykseen murtautumalla Ukrainassa yritysten käyttämän verosovelluksen valmistajan verkkoon. Näin ohjelma saatiin levitettyä nopeasti yrityksiin. Murto tehtiin niin taitavasti, että päivitykset levittivät sen uhreille ennen kuin yhtiö itse huomasi tapahtunutta.
• Yrityskäyttäjien näkökulmasta vaadittu 300 euron lunnassumma on mitättömän pieni. Aiemmat kiristäjät ovat vaatineet 1-3 bitcoinia, mikä vastaisi nykykurssilla 2000-6000 euroa. Miksi rikollinen kiristäjä tyytyisi näin pieneen summaan?
• Maksaminen on tehty vaikeaksi, koska käytössä on vain yksi bitcoin-osoite ja yhteystietona annetaan ilmainen sähköpostiosoite (joka on jo suljettu). Oikeat rosvot tekevät maksamisesta mahdollisimman helppoa. 
• Vaikka uhri maksaisi, siitä ei ole apua, sillä alkuperäisestä Petya-kiristäjästä poiketen uusi versio tuhoaa kiintolevyn alun pysyvästi. 

Petya leviää tekniikoilla, joita käytetään vain yritysverkoissa. Sen tavoitteena näyttää siis olevan puhtaasti yritysten liiketoiminnan vahingoittaminen. Lunnasvaatimus on pelkkää kosmetiikkaa, jolla häivytetään hyökkääjien todellisia tarkoitusperiä.

Kaiken lisäksi samana aamuna, jolloin Petya alkoi levitä, Ukrainan sotilastiedustelun eversti surmattiin autopommilla.

Ukrainalainen softavalmistaja ja kansallisesti käytetty ohjelmisto, ukrainalaiset yritykset, ukrainalainen eversti... en usko kaiken olevan sattumaa. Petya on oikea kyberhyökkäys, jonka tavoitteena on vahingoittaa yhtä maata. Tästä voi päätellä sen, millaiset voimat ovat hyökkäyksen takana.

Meille muille Petya on erinomainen oppitunti kyberturvallisuuden merkityksestä. Entä jos hyökkäys olisi tehty suomalaisten yritysten käyttämän softan kautta? Miten paljon Suomen talous ja kansalaisten arki olisivat kärsineet? Panostammeko tarpeeksi digitaaliseen maanpuolustukseen, vai ovatko uhkakuvamme edelleen talvisodan vankeja?

Yksi tärkeä oppi liittyy päivityksiin. Petya osoittaa, että ne voivat olla myös vaaraksi. Asiakkaat luottavat, että päivityksen koneeseen tuoma koodi on turvallista ja sallivat sen ajamisen (toisin kuin sähköpostin tuomien tiedostoliitteiden!), mutta jos softan tekijän omiin järjestelmiin on murtauduttu, päivitykset itsessään ovat haittaohjelma. Tunnollinenkaan päivittäminen ei siten takaa tietoturvaa.

Lisäys klo 23: F-Securen tutkija varoittaa tekemästä hätäisiä johtopäätöksiä kyberhyökkäysteoriasta. Tällainen harkinta ja varovaisuus on esimerkillistä ja alan yhtiöille aivan liian harvinaista. Mutta olipa tässä kyse todellisesta hyökkäyksestä tai ei, tapaus on erittäin opettavainen, sillä juuri näin hyökkäys kannattaisi tehdä (ja kääntäen juuri tällaisiin yritysten/yhteiskunnan pitäisi pystyä varautumaan). 

Kansallinen tietoturva paremmaksi pre-paidin tunnistuksella

Suomalainen tietoturva on maailman huippua, mutta parantamisen varaa on aina. Yksi selvä aukko on se helppous, jolla pre-paid-liittymiä voidaan käyttää esimerkiksi identiteettivarkauksissa: uhrin nimissä tilataan tavaraa ja yhteystiedoksi annetaan pre-paid-liittymän numero. Myös pankki hyväksyy turvailmoitusta varten pre-paid-numeron, mikä vesittää koko tekstiviestin hyödyn, sillä yhteys tilin todelliseen omistajaan katkeaa.

Miksei Viestintävirasto voisi pitää rekisteriä, jossa olisi listat operaattorien pre-paid-numeroavaruuksista? Pankeille, vakuutusyhtiöille, verkkokaupoille ym. tarjottaisiin rajapinta, jonka kautta ne voisivat kysyä, onko asiakkaan ilmoittama numero pre-paid.

Kysyjä saisi itse päätellä tiedon merkityksen. Erityisen epäilyttävää olisi, jos tavallinen numero vaihdettaisiin pre-paidiksi ja pian sen jälkeen tulisi iso tilaus. Myöskään 2FA:ta (two-factor authentication) ei pitäisi koskaan lähettää pre-paid-numeroon.

Kokonaan pre-paideja ei voi kieltää, koska niille on myös hyväksyttäviä käyttötarkoituksia. Järjestelmää voisi kehittää niin, että pelkän kyllä/ei -tiedon lisäksi palautuisi tieto siitä, milloin numero on avattu. Mitä pidempään pre-paid on ollut käytössä, sitä turvallisempi se luultavasti on.

Ei ole vaikea toteuttaa, sillä Numpac tarjoaa samantyyppistä palvelua operaattorin selvittämiseen.

Idea on vapaasti kaikkien hyödynnettävissä. Suomi 100 -hengessä eteenpäin!

Lisäys: Tekstiviestin tavoitteena on siis lisätä ylimääräinen varmistus isompien summien siirtoon. Siitä on hyötyä, jos rosvo esimerkiksi pääsee MTM-hyökkäyksellä uhrin ja pankin oikean palvelun väliin, kuten on käynytkin. Fiksumpi rosvo olisi sisään päästyään vaihtanut ensi töikseen puhelinnumeron prepaidiksi tai poistanut koko varmistuksen käytöstä, jolloin uhri ei olisi saanut hälytystä. Ainoa suojakeino on rajoittaa jollain tavalla puhelinnumeron vaihtamista tai esim. vaatia, että uusi numero otetaan käyttöön vasta 24 tunnin kuluttua. Myös ilmoitusviesti vanhaan numeroon numeronvaihdon yhteydessä auttaisi. Tältä osin ongelma on saman tyyppinen kuin postin osoitemuutoksissa, joiden aitoutta on vaikea varmistaa.

Teknisesti ongelma ei ole puhelinnumerossa vaan pankkitunnusten joutumisessa vääriin käsiin, joko varkauden tai esim. MTM-hyökkäyksen vuoksi. Uhri veisaa tekniikasta viis, hänen kannaltaan jokainen uusi suojakeino voi olla ratkaisevan tärkeä. 

Haluatko julkisuutta asiallesi? Tilaa siitä raportti

Eilen julkaistiin raportti, jonka mukaan "suuri osa pk-yrityksistä on täysin pudonnut digitaalisesta kehityksestä", sillä 35 % niistä ei ole mitään toimintaa verkossa. Tällaiset yritykset voidaan luokitella joko "digipudonneiksi" tai "digieksyneiksi".

Tulos on varmaan ihan totta ja pk-yrityksiä pitääkin hoputtaa kehittymään (vaikka samaa nettilaulua on veisattu jo 20 vuotta), mutta kun katsoo raportin tekijöitä, olisiko tulos voinut olla mikään muukaan? Tekijöinä olivat nimittäin Google ja Vainu.io Software. Jälkimmäinen on tuore nettistartup, joka on erikoistunut digitaaliseen myynti- ja markkinointipalveluun. Mukana oli myös Suomen Yrittäjät, joka uutisoi aiheesta. Uutisessa kehutaan Googlen Adwords -palvelua myynnin vauhdittajana.

Niin ikään eilen julkaistiin professori Heikki Hiilamon selvitys keinoista tuloerojen kaventamiseksi. Tutkimuksen tilaaja oli Kalevi Sorsa -säätiö, jonka tiloissa se myös julkaistiin (tv-uutisten kuvasta päätellen). Ketään tuskin yllätti, että raportti päätyi suosittamaan hyvätuloisten verotuksen kiristämistä.

Tänään julkaistu kirjastoseuran tilaama raportti päätyi tulokseen, jonka mukaan kirjastot maksavat itsensä takaisin moninkertaisesti. Kirjastojen suurena ystävänä tervehdin lopputulosta ilolla, mutta olisiko tämäkään selvitys voinut päätyä muuhun lopputulokseen?

Selvitys oli tilattu komealta kuulostavalta Oxford Research -yritykseltä, jolla ei ole mitään tekemistä Britannian Oxfordin tai kuuluisan yliopiston kanssa. Edellisen kerran törmäsin tähän lobbaus- ja viestintätoimistoon pari vuotta sitten, kun Googlen tilaama tutkimus kertoi Googlen olevan erittäin tyytyväinen Suomeen ja datakeskusten tuovan Suomeen tuhansia työpaikkoja. Silloin tiedote oli mennyt sellaisenaan läpi Ylen paikallisissa uutisissa.

Pari vuotta sitten Oxford Researchilla oli kolme suomalaista työntekijää. Nyt määrä on kasvanut neljään ja konttori muuttanut paremmalle paikalle Helsingin keskustaan. Sivuillaan ENSR-verkosto kertoo erikoistuneensa "soveltavaan sosiaaliseen ja taloudelliseen tutkimukseen". Tietoa meistä -kohdassa yritys kertoo erikoisalansa olevan "alueiden ja elinkeinoelämän kehittäminen sekä hyvinvointialojen toiminnan edistäminen". Toisaalla se mainitsee "yhdistävänsä liikkeenjohdon konsultin vaikuttavuuden ja viestintäfirman dynaamisuuden". Kuulostaa kovasti lobbaukselta, tämäkin.

Kun melkein mikä tahansa asia saadaan nostettua uutiskynnyksen yli tekemällä siitä "tutkimus", "selvitys" tai "raportti", toivoisi vielä jäljellä olevilta toimittajilta lähdekriittisyyttä -- ettei kaikki jää lukijan oman medialukutaidon ja omatoimisten taustaselvitysten varaan.

Lisäys 13.7.2017: Google on rahoittanut vuosia tutkimusta vaikuttaakseen lainsäätäjien mielipiteisiin (Kauppalehti)