Digitaalisen pankkirosvon iskiessä pankit vetoavat asiakkaan törkeään huolimattomuuteen. Pitäisi aina noudattaa tietoturvan yleisiä ohjeita, jotka mm. kieltävät klikkaamasta sähköpostilla tulevia linkkejä ja varsinkin kirjautumasta niiden perusteella palveluihin.
Mutta mitä tehdä, kun palvelut itse rikkovat ohjeita vastaan?
DNA:n sähköposti kehottaa kirjautumaan ja tunnistautumaan |
Huolestunut käyttäjä lähetti ruutukaappauksen DNA:lta aiemmin syksyllä saamastaan tiedotteesta. Tiedote kertoi webmail-palveluun tulevista muutoksista, jotka vaativat kaikkia asiakkaita kirjautumaan uudelleen. Ilman kirjautumista sähköposti uhkasi lakata toimimasta.
Sähköpostissa oli painike "Tunnistaudu tästä", jolla piti tehdä juuri se kielletty asia: kirjautua linkin perusteella. Kuulin, että DNA on saanut paljon huolestuneita asiakaskyselyitä sähköpostistaan, mikä kertoo ohjeiden menneen hyvin perille.
Myös digitaalisesti allekirjoitettavat sopimukset tulevat sähköpostilla, jolloin ne pitää hyväksyä klikkaamalla. Niin ikään olen nähnyt vakuutusyhtiön lähettämän tekstiviestin, jossa pyydettiin klikkaamaan mukana ollutta linkkiä ja menemään palveluun. Ei näitä pysty välttämään.
Säännöt ovat hyviä, mutta niistä on aina poikkeuksia. Ei ole kansalaisen tietoturvallinen digielämä helppoa, ei.
Sain eilen puhelun kansalaiselta, joka oli hämmentynyt mobiilivarmenteesta. Hänellä (kuten monella muullakin) oli käsitys, että mobiilivarmenne kannattaa hankkia, koska sillä ei voi kirjautua verkkopankkiin.
Hän oli kuitenkin huomannut, että ainakin Norwegian Bank, Alisa Pankki ja joukko muita pieniä pankkia käyttää yleistä Signicatin kirjautumissivua, jossa on perinteisten pankkien lisäksi myös mobiilivarmenne. Mobiilivarmenteella pääsee sittenkin pankkeihin!
Norwegian pankkiin mobiilivarmenteella. |
En tiedä, onko joku oikeasti luvannut, ettei mobiilivarmenteella voi kirjautua pankkiin. Kyse on yhdestä vahvan tunnistuksen muodosta, jota myydään palveluna yrityksille. Toistaiseksi isot pankit eivät ole halunneet tukea mobiilivarmennetta, vaan ne suosivat mieluummin omaa järjestelmäänsä. Mobiilivarmenne on jäänyt lähinnä viranomaispalveluihin.
Mobiilivarmenteen turvallisuutta parantava vaikutus perustuu siihen, ettei käyttäjä kirjaudu vahingossa (asiaa ymmärtämättä) viranomaispalvelun sijaan verkkopankkiinsa. Perinteisissä pankkitunnuksissa kirjautuminen perustuu pankin asiakasnumeroon, jolloin esimerkiksi valesivun kautta Verottajalle pyrkivä kansalainen tuleekin vahingossa avanneeksi pankkiyhteyden.
Mobiilivarmenteessa tällaista vaaraa ei ole, koska siinä on vain PIN-koodi, joka ei lähde puhelimesta mihinkään. Tunnistaminen yksilöi henkilön SATUn perusteella ja varmistaa henkilöllisyyden, mutta siinä ei ole mukana pankin asiakasnumeroa. Tältä osin mobiilivarmenne on turvallisempi, vaikka sitä käytettäisiinkin pankkiin kirjautumisessa.
Lisäksi yksittäinen kirjautuminen, tapahtui se tahallaan tai vahingossa, ei koskaan riitä tilin tyhjentämiseen. Pankkitunnuksia ei voi "kaapata" kuten salasanaa. Asiakkaan omien tilien väliset siirrot eivät välttämättä vaadi tunnistusta, mutta siirrot ulos pankista on aina vahvistettava erikseen.
Tietoturvan yleisohjeet ovat hyviä ja tarpeellisia, mutta valitettavasti aina niitä ei voi noudattaa. Siksi on mahdotonta sanoa, että jokin yleisohjeiden vastainen teko olisi automaattisesti törkeää huolimattomuutta.