No nythän se Zorin (Linux) toimii, mutta kynnys on asentamisessa

Nyt alkaa olla lähellä kynnys, joka liittyy peruskäyttäjän vaihtamiseen Windowsista Linuxiin. Sitä ei nimittäin juuri enää ole. Ensimmäistä kertaa Linux alkaa olla niin toimiva, että käyttö onnistuu muultakin kuin nörtiltä. Ulkoasu on kloonattu Windowsista ja nettijutut toimivat ongelmitta. 

Vain Office-sovellukset ovat yhä kompastuskivenä. Niitä ei saa järkevästi toimimaan, eikä Libre Office riitä vaihtoehdoksi. Mutta lähellä ollaan! Jos Microsoft erehtyisi julkaisemaan Officesta Linux-version, monet padot murtuisivat. 

Kerroin ongelmasta, joka syntyi Zorin-Linuxin asentamisesta v. 2011 käyttöönotettuun Dell-pöytäkoneeseen. Kaikki näytti menevän hyvin, mutta heti ensimmäinen selaimen (Brave) käynnistys hyydyttää koneen täysin, joka ikinen kerta. Ajuriongelma selvästikin, mutta hankala juttu ratkaista.

Sen jälkeen olen asentanut Zorinin moneen muuhunkin vanhaan Windows 10 -koneeseen ja ongelmaksi on noussut ihan toinen asia: koneet ovat liian uusia. Niissä on secure boot, joka sallii kyllä asentamisen usb-tikulta, mutta käynnistyksessä kiintolevyä ei enää löydy. Se näyttää täysin hävinneen.

Monien kokeilujen jälkeen onnistuin saamaan Zorinin toimintaan muutamassa vanhassa HP:n läppärissä ja HP:n pöytäkoneessa. Ja pakko myöntää, että ne toimivat hyvin! Kaikki tuntuu jotenkin nopeammalta kuin Windowsissa ja päivitykset sujuvat automaattisesti. Jossain vaiheessa nekin loppuvat, mutta hiljaa hiipumalla eikä sellaisella mediarumballa pakotettuna kuin Windows 10:ssä tapahtui.

Työpöytä kuin Windows.

Yksi asia on edelleen Linuxin Akilleen kantapää: ohjelmien asennukset. Sudo apt install näyttää toimivan hyvin, se jopa tunnistaa ellei haluttua ohjelmaa ole saatavilla ja ehdottaa toista asennuspaikkaa. On flatpakia ja vaikka mitä. Pitääkö valita deb vai ubuntu-versio? Versionumeroita on loputtomasti. Haiskahtaa nörtiltä. 

Toisaalta hieno juttu on siinä, että asentamani sovellukset ovat menneet automaattisesti jopa oikeille paikoille suomenkielisessä käynnistysvalikossa. Chrome, Spotify ja kaikki ilmestyivät koneeseen muutamalla komentorivillä. Hämmästyttävää.

Muutama Windowsissa hyväksi havaittu käytäntö ainakin Zorinista puuttuu, kuten tiedostojen vienti hiiren kakkospainikkeella ja sen jälkeen kopiointi/siirto-valinta. Ykköspainikkeen tehostaminen shiftillä (Vaihto-näppäin) näyttää kuitenkin tekevän siirron, muuten tuloksena on aina kopiointi. Windowsissa ja Macissä tämä on tietenkin eri tavalla.

Outo juttu on myös tiedostohallinnan kyvyttömyys tunnistaa numeronäppäimistön nuolinäppäimiä, vaikka ne toimivat kaikkialla muualla.

4K-näytöllä tekstit menivät liian pieniksi, mutta 2x-skaalaus asetuksista korjaa asian. Windows taitaa tehdän saman asetuksetn automaattisesti.

Pikkujuttuja sinänsä. Suosittelen kaikkia kiinnostuneita kokeilemaan vaikka juuri Zorinia tai jotain muuta Linux-versiota ("jakelua" eli "distroa") - kunhan vain joku tulee asentamaan sen. Hyvin vanhat koneet ovat tässä suhteessa helpompia kuin uudehkot.

Ehkä ne Office-sovelluksetkin voi ajaa selaimen kautta web-versioina, kunhan omistaa maksullisen lisenssin. Virtuaalikone olisi toinen vaihtoehto, mutta sitten ollaan taas naimisissa Windowsin kanssa ja sitä oli tarkoitus välttää.

Jatkossa aihe menee niin tekniseksi, että kommentoin niitä Bittimittari-blogissani. Ensimmäinen blogipostaus onkin Komentorivin lumo.

Vaalien tiedot Amazonin pilvessä Tukholmassa - mikä on riski?

Viime viikolla kerrottiin, että seuraavien vaalien tietojärjestelmä siirtyy TietoEvryn konesalista Amazonin Tukholmassa sijaitsevaan AWS-pilveen. Ilmoitus herätti huolestuneita kysymyksiä vaalien tietoturvasta. Voimmeko luottaa amerikkalaiseen pilveen? Tuoreessa muistissa olivat AWS-pilven käyttökatkot, jotka pimensivät monia suosittuja palveluita kuten Reddit ja Snapchat.

Mitä varsinaisesti on se "vaalidata", joka vuoden 2027 vaaleissa viedään ensi kertaa Suomen ulkopuolella? Selvittelin vähän asiaa, jotta pääsin uutisotsikoiden taakse.

Vaalidata tarkoittaa tietoja, joiden varassa vaalit toteutetaan. Niihin kuuuluvat esimerkiksi äänestyspaikat osoitteineen sekä tiedot vaalipiireistä, toimitsijoista ja ehdokkaista (nimi, ammatti, HETU, kotikunta). 

Kriittisin osa on tiedot kaikista äänioikeutetuista henkilötunnuksineen sekä tieto siitä, milloin kyseinen henkilö on ennakkoäänestänyt (jos on). Tämän lisäksi tulevat tietenkin normaalit tietojärjestelmän osat, kuten käyttöoikeuksien hallinta, tuloslaskenta sekä tilastointi.

Voi vain kuvitella, millainen kuhina pilvessä käy vaali-iltana, kun vaalipiirit syöttävät eri puolilla Suomea valmiiksi saamiaan tuloksia pilveen. Lyhyt kuormituspiikki hyötyy pilviratkaisusta, sillä se skaalautuu tarpeen mukaan.

Vaalidata EI sisällä tietoa kansalaisten äänestämisestä, eikä edes varsinaisena vaalipäivänä äänestäneiden tietoja. Vaalihuoneistoissa käytetyt listat ovat manuaalisia ja tulostetaan ennen vaalipäivää ennakkoäänestystietojen perusteella. Jos haluat, ettei tieto siitä, että käytit äänioikeuttasi päädy pilveen, äänestä vasta varsinaisena vaalipäivänä.

Käänteinen ei pidä paikkaansa. Jos nimeäsi ei löydy ennakkoäänestäneistä, pilvi ei tiedä äänestitkö lainkaan vai nukuitko. 

Tässä on muuten kiinnostava yksityiskohta: vaalisalaisuuteen kuuluu tieto siitä, KETÄ äänestit. Salaista ei ole se, ketä ET äänestänyt - eikä sekään, äänestitkö lainkaan. Sen tiedon näkevät paikalliset vaalivirkailijat, ja usein myös uteliaat samalla sukunimellä varustetut.

Vaalien ohjelmisto on kotimaassa tehty. Lähin AWS-konesali on Tukholmassa, joten ajo tapahtuu siellä. Amazon on suunnitellut omaa konesalia myös Suomeen, mutta se tuskin ehtii toteutua ennen 2027 vaaleja.

Vaalidataa pyöritetään siis Tukholmassa, jenkkiyhtiön omistamassa pilvessä. Mitä riskejä tässä siis on?

Voi ajatella, että CIA/NSA tai jokin muu salainen koneisto saa halutessaan tietoja pilvestä. Nimi ja HETU ovat tietenkin GDPR:n suojaamia tietoja, mutta jos kansallinen intressi löytyy, sopimukset eivät paljon paina. 

Äänioikeutettujen luettelo tuskin kiinnostaa amerikkalaisia, ei edes se, kuka äänesti ennakkoon. Korkeintaan voisivat ottaa oppia siitä, miten Suomessa ennakkoäänestys osataan järjestää luotettavasti, kun eivät itse siihen pysty.

Tuloslaskennan aikana pilveen menevät vain vaalipiireissä lasketut äänten kokonaismäärät, jotka palvelu sitten summaa yhteen. Samat piirikohtaiset tiedot julkaistaan lehdessä ja vaalien tulospalvelussa netissä.

Jos AWS-pilveen osuisi paha toimintahäiriö juuri vaalipäivänä, tulosten saaminen voisi viivästyä. Itse äänestyslipukkeet säilyvät Suomessa ja ne tarkistuslasketaan joka tapauksessa.

Suurimpana riskinä lienee se, että tekninen häiriö osuisi juuri vaalipäivään. Toisaalta Amazon pystyy turvaamaan pilven toiminnan paremmin kuin moni pienempi yritys. Muistissa on vielä tammikuu 2024, jolloin Akira-kiristysohjelma pääsi TietoEvryn konesaliin Tukholmassa. Isku oli niin laaja, että jopa asiakasyritysten varmuuskopioitakin menetettiin. Rustan verkkokauppa oli pitkään pois netistä.

Vaalien kannalta ei riitä, että tulokset ovat oikein - niihin on voitava myös luottaa. Kyse on mielikuvista, ei teknisistä ratkaisuista. Siksi on tärkeää, että tuloslaskenta paitsi toimii, se myös näyttää turvalliselta.

Moni ajattelee, että maan rajojen sisällä tapahtuva laskenta olisi parempi vaihtoehto. AWS:n käyttö lupaa kuitenkin usean miljoonan euron kustannussäästön, ja siitä valtion on nykyisessä taloustilanteessa vaikea kieltäytyä.

Tyylikäs arkkitehtuurinen elämys vai keskeneräinen väylä juna-asemalle?

Lähijuna alkoi kulkea Helsinki-Vantaan lentokentälle kymmenkunta vuotta sitten. Reitti ylös asemalle kulki ensin vanhan kotimaan terminaalin luota, mutta siirtyi laajennusosan avaamisen myötä nykyiselle paikalleen tuloaulan eteen.

Olen aina kuvitellut, että rakentaminen on jäänyt kesken. Eihän voi olla tarkoitus, että Suomeen juuri saapunut turisti näkee rullaportailta pelkkää paljasta betonia matkallaan alas juna-asemalle ja edelleen pääkaupunkiin - eihän?

Isossa maailmassa pinnat olisi täytetty mainosjulisteilla. Ehkä sekin olisi parempi kuin pelkän betonipinnan harmaus. Vielä parempi olisi maalata seiniin suomalaista kauneutta tai peittää seinät jättimäisillä, kauniilla valokuvilla. Niissä vaikka vihreää luontoa, sinistä taivasta ja valkoista tunturimaisemaa. Ah.

Betonikuilun valkokankaalla tanssii hahmoja.

Betonikuilun puolivälissä on valkokangas, jossa lauletaan oopperaa tai näytetään balettia. Se on nimenomaan valkokangas, johon kaukana oleva videotykki heijastaa hailakan kuvan. AV-tekniikka tuo mieleen 1990-luvun ja saa Suomen näyttämään teknologian takapajulalta.

Modernia olisi näyttää videot valoa tuottavalla ulkonäytöllä, jonka kuva on niin kirkas, että se erottuu hyvin jopa kirkkaassa auringonpaisteessa. Betonikäytävässä riittäisi murto-osa valotehosta.

Äänentoisto on sentään kohtalainen, sillä valkokankaan alla on kaksi eteenpäin suunnattua kaiutinta. Paljaista seinistä ääni heijastuu juhlavasti kaikuen.

Tanssijat hyppivät kankaalla, mutta en nähnyt videoissa mitään tekstejä. Ei teosten nimiä, ei esiintyjiä, ei mainintaa teatterista. Kankaan alapuolella on tosin kyltti "Kulttuurinäyttämö", jota en aluksi huomannut lainkaan. Sen mukaan kysessä on Finavian ja Kansallisoopperan yhteinen hanke.

Ei tätä ainakaan piilomarkkinoinnista voi syyttää. Kansallisoopperan mainosta olisi, jos sen ja teosten nimi näkyisivät videossa. Pätkä suomeksi lauletusta Madetojan Pohjalaisia-oopperasta tuskin avautuisi ohi liukuvalle turistille edes teksteillä varustettuna. Nyt näky luultavasti vain hämmentää. Mistä oikein oli kyse?

Näkymä betoniholvin toiseen suuntaan hisseille.

Olen usein kummastellut järjestelyä ja odottanut, että jonain päivänä se vielä valmistuu. Kun herätin aiheesta keskustelua sosiaalisessa mediassa yllätyin. Joidenkin mielestä paljas betonikuilu on valmis ja hieno juuri tällaisena. Ainakin se erottuu maailman muista lentokentistä! Joku vertasi tunnelmaa jopa kirkkoon.

Mitä mieltä itse olet - hieno vai ankea? Entä jos katsoisit asiaa maahan ensi kertaa saapuvan turistin silmin?

Kannan huolta pankkihuijauksista, koska kyse ei ole yksinomaan pankeista vaan koko suomalaisen verkkoasioinnin tulevaisuudesta. Siihen liittyvä kolumnini Tivi-lehdestä. 

Digiturva horjuu – Tämä taho voisi pelastaa suomalaisten luottamuksen

Suomalaiset ovat luottavaista kansaa. Luotamme viranomaisiin, painettuun sanaan ja toisiin suomalaisiin. Mutta edes suomalainen luottamus ei kanna loputtomiin.

Digi- ja väestötietovirasto teettää vuosittain Digibarometri-kyselyn, joka mittaa kansalaisten asenteita tietoturvaan ja verkkoasiointiin.

Tämän syksyn tulosten perusteella 38 prosenttia vastaajista kokee luottamuksensa digitaaliseen turvallisuuteen heikentyneen, kun viime vuonna näin tunsi 36 ja sitä edellisenä ainoastaan 28 prosenttia.

Luottamuksen rapistuminen on huolestuttava trendi, sillä ensi vuoden alusta viranomaiset alkavat viestiä kansalaisiin päin ensisijaisesti sähköisesti. Paperiposteista ja lomakkeista halutaan eroon.

Miten sähköinen kanava voi toimia, jos kansalaiset eivät luota verkkoasiointiin? Moni ei uskalla enää avata edes sähköposteja eikä vierailla nettisivuilla pelätessään, ettei erota niitä huijauksista.

On oikeastaan ihme, että luottamus on näinkin korkealla tasolla, sillä turvallisuuden tunne on psykologiaa. Uutiset huijareista ja digitaalisista pankkirosvoista huolestuttavat kokenuttakin nettikäyttäjää.

Tilanne ei kuitenkaan ole toivoton. Digibarometrin mukaan 11 prosenttia kokee luottamuksensa jopa vahvistuneen, kun vastaava luku vuosi sitten oli kymmenen ja kaksi vuotta sitten vain yhdeksän prosenttia.

Kaikkialla yleistyvä polarisaatio jakaa käyttäjiä voittajiin ja häviäjiin myös turvallisuudessa. Vuoteen 2023 verrattuna voittajien määrä on kasvanut kaksi prosenttiyksikköä, häviäjien kymmenen prosenttiyksikköä. Entistä harvemman luottamus säilyy ennallaan.

Voittajia ovat ne, jotka jaksavat seurata asioita ja kehittää omaa osaamistaan. Huijauksista uutisointi ja tapausten avaaminen julkisuuteen auttavat välttämään niitä omalla kohdalla.

Häviäjät nostavat kädet pysytyn ja ripustavat hiiren naulaan. He katsovat pudonneensa kelkasta ja asioivat verkossa vain, kun on pakko.

Jotta yhä useampi saataisiin häviäjistä voittajien puolelle, tarvitaan uusia toimia.

Medialla on keskeinen rooli turvallisuuden tunteen luomisessa. Moni kyberhyökkäystä tai hybridivaikuttamista hehkuttanut uutinen on myöhemmin paljastunut tavalliseksi rikollisuudeksi tai tahattomaksi tekniseksi ongelmaksi.

Ei ole viisasta, että teemme hybridiuhkien uutisoinnista itse hybridiuhkan.

Kriittisin sähköisen asioinnin kohde on oma pankki. Uutiset tilien tyhjentämisestä pelottavat enemmän kuin vanhan ajan pankkiryöstöt. Niissä vahinko jäi pankin tappioksi, kun taas digirosvon uhri joutuu nuolemaan haavansa itse.

Tähän asti pankkien ulospäin näkyvät toimet luottamuksen vahvistamiseksi ovat jääneet vähäisiksi, mutta jatkossa voi olla toisin.

Korkein oikeus otti äskettäin käsittelyyn pankkiasiakkaan törkeän huolimattomuuden arvioinnin. Huijaukset ovat yhä kehittyneempiä, joten huolellinenkin asiakas voi joutua uhriksi. KKO:n linjaus toivottavasti selkeyttää tilannetta ja lisää painetta pankkien suuntaan.

Yksi luottamusta lisäävä tekijä ovat rangaistukset. Välillä tuntui, että verkkorikollinen pääsee aina kuin koira veräjästä. Viime aikoina poliisi on kuitenkin pystynyt selvittämään muutamia isoja tapauksia, kuten Vastaamon tietomurron, S-pankin tilien tyhjennykset sekä laajan huijaussoittojen verkoston.

Jokainen yritys voi osaltaan lisätä luottamusta huolellisella viestinnällä. Koneellisesti käännetyt nettisivut ja tekoälyn kirjoittamat sähköpostit vievät turhaan uskottavuutta.

Jos luottamuksen laskevaa trendiä ei saada käännettyä, Suomi ajautuu vaikeuksiin. Lisääntyvä vanhusväestö pitäisi tavalla tai toisella saada mukaan sähköiseen itsepalveluun.

Yksi toimija voisi olla keskeisessä roolissa: Yleisradio. Ikääntyvät ihmiset ovat television suurkuluttajia. Ylen ajankohtaisohjelmat paukuttavat heille joka ilta samaa virttä talouden vaikeuksista, Venäjän uhkasta ja Gazan sodasta.

Etäisten uhkien sijaan Yle voisi pyörittää joka ilta tietoiskuja, joissa varoitettaisiin yleisistä huijauksista ja opastettaisiin digiajan vaaroihin. Riittävällä toistolla tieto uppoaisi myös alkavasta muistisairaudesta kärsivään mökin mummoon.

Kansalaisten sivistäminen digiaikaan jos mikä olisi Yleisradion lakisääteistä julkista palvelua ja hyödyttäisi koko suomalaista yhteiskuntaa.

Tietoturvakoulutuksen perusvirhe on loputon uhkakuvien maalailu

Helsingin Sanomissa 4.11.2025 (printtiversio) julkaistu mielipidekirjoitukseni.

Tietoturvakoulutuksen perusvirhe on loputon uhkakuvien maalailu

Tietoturvan pitäisi mahdollistaa työn tekeminen, ei haitata sitä.

Tietoturva ja siitä uutisointi on jokaisen arkea, silti tietoturvaviestinnästä on keskusteltu hämmästyttävän vähän. Mika Pöyliön (HS Mielipide 28.10.) ja Susanna Haaviston (HS Mielipide 30.10.) kirjoitukset nostivatkin esiin hyviä pointteja.

Tietoturvakoulutuksen perusvirhe on loputon uhkakuvien maalailu ja pelottelu, joka lähinnä ahdistaa kuulijaa. Myönteiset asiat unohdetaan, kun uusia uhkia ilmestyy koko ajan, ja epätoivo saa varomaan jokaista klikkausta.

Kuitenkin tietoturvassa on tapahtunut paljon myönteistä kehitystä. Esimerkiksi virukset ovat käytännössä hävinneet, ja lähimaksu on osoittautunut paitsi helpoksi ja nopeaksi myös erittäin turvalliseksi.

Toinen virhe on siinä, että tietoturvasta puhuvat yleensä tekniikan alan ihmiset. Heidän käyttämänsä jargon ja uhkapuhe eivät kosketa tavallista ihmistä, joka haluaa vain hoitaa työnsä ja asioida verkossa.

Tekniselle turvallisuudelle on paikkansa, mutta arjen tietoturva ei ole tekniikkaa vaan psykologiaa. Tarvitaan uudenlaista, positiivista lähestymistä, joka huomioi ihmisen omat lähtökohdat.

Vertailukohtana voi käyttää terveysvalistusta. Jokainen tietää, että rasva, tupakointi ja alkoholi ovat vaaraksi terveydelle, mutta silti ihmiset kuluttavat juuri niitä. Vaikka tiedottamista epäterveiden elintapojen vaarallisuudesta yhä vielä lisättäisiin, se ei saisi ihmisiä muuttumaan.

Yrityksissä työntekijät ovat fiksuja ja haluavat toimia oikein. Jos it-järjestelmät ovat vanhanaikaisia, ohjeet epäkäytännöllisiä ja kiire pakottaa rikkomaan sääntöjä, on yrityksen tietohallinnon aika katsoa peiliin.

Tietoturvan pitäisi mahdollistaa työn tekeminen, ei haitata sitä. Valitettavan usein tietojärjestelmät ovat hankalia käyttää ja ohjeet ristiriidassa työn vaatimusten kanssa. Kuinka monella työpaikalla vieläkin pakotetaan vaihtamaan salasanaa säännöllisesti, vaikka proaktiivisuuden on jo vuosia sitten todettu lähinnä heikentävän tietoturvaa?

Käytän itse mallia, jossa tietoturva on kaikkien yhteinen asia ja ihminen itse sen tärkein lenkki. Toimimalla oikein ja huolellisesti meistä jokainen suojaa paitsi itseään ja lähipiiriään myös työnantajaa ja koko Suomen kansallista turvallisuutta. Sen parempaa motivaatiota tuskin voi kuvitella.

Petteri Järvinen

diplomi-insinööri

Espoo

Hätätilassa riko lasi ja soita 020 333

Edellisessä kirjoituksessa iäkäs uhri teki virheen, kun lähti keskipäivällä vanhasta muistista pankkiin selvittämään huijausepäilyä. Hänen tapauksessaan konttori ei ollut auki, mutta useimmille käynti konttorissa ei ole edes mahdollinen, koska niitä ei käytännössä ole. Lisäksi huijarit iskevät usein iltaisin, etenkin perjantai-iltaisin, koska tietävät, että asian selvittely pankissa alkaa vasta viikonlopun jälkeen.

Seitsemällä pankilla on kuitenkin yhteinen sulkunumero 020 333, johon soittamalla pystyy sulkemaan sekä luotto/pankkikortit että verkkopankkitunnukset. Jos siis epäilee haksahtaneensa huijaukseen, nopea soitto numeroon voi vielä pelastaa tilanteen. Numero kannattaa ohjelmoida puhelimeen valmiiksi kansainvälisessä muodossa +358 20 333, jotta se toimii myös vahingon sattuessa ulkomailla.

Kyse on vanhasta luottokorttien sulkunumerosta, joten se päivystää 24/7. Jostain syystä pankit eivät ole pahemmin mainostaneet, että Netsin (entinen Luottokunta) hoitama numero pystyy sulkemaan myös verkkopankin.

Järjestelmässä ovat mukana S-pankki, Nordea, Säästöpankki, OmaSP, POP, Ålandsbanken ja Hypoteekkiyhdistys. OP:lla on oma numero 0100 0555 ja Danskella 0200 2585.

Kannattaa selvittää jo etukäteen, mikä on oman sekä (iso)vanhempien pankin numero. Paniikissa ja kiireessä, ehkä illalla viinilasinkin jälkeen sitä on myöhäistä kaivaa esiin. Yhteisnumeron muistamista helpottaa sääntö "kolme kolmosta".

Kiitos pikamaksun tilisiirrot liikkuvat kaikkialla EU-alueella 10 sekunnissa maasta toiseen. Jos huijari iskee, on todella kiire toimia. 

Älä epäröi tarvittaessa vaikka rikkoa lasia, kunhan soitat heti!

Eräs pankkihuijaus avattuna - nämä opit varoitukseksi kaikille

Pankkihuijauksissa pankeilla on tiedollinen ylivoima. Ne vetoavat pankkisalaisuuteen eivätkä kerro tarkemmin, miten huijaus onnistui. Se on tavallaan ymmärrettävää, koska silloin wanna-be huijarit eivät saa turhaan opetusta. Toisaalta tapausten avaaminen auttaisi muita suojautumaan ja arvioimaan, ovatko pankkien omat ohjeet ja suojaustoimet riittäviä. Nyt tässäkin kaikki valta on pankeilla itsellään.

Pahinta on, etteivät uhrit itsekään saa kaikkia tietoja. Moni ihmettelee, miten kummassa eläkesäästöni vietiin, vaikka en antanut tunnustani mihinkään. Kafkamainen tilanne. Uhrit uskovat, että puhelimessa (tai jopa pankin järjestelmässä) on täytynyt olla haittaohjelma.

Pankit vaikenevat, mutta Vakuutus- ja rahoitusneuvonta FINE avaa päätöksissään tapahtumien taustoja. Esimerkiksi elokuussa annettu lautakunnan ratkaisu FINE-72843-D4F5P4 käsittelee kahden vuoden takaista tapahtumia. Tapahtumainkuvaus vaikuttaa hyvin samanlaiselta kuin eräässä tämän kevään tapahtumassa. Siinäkin uhri on ymmällään mitä hänelle oikein tapahtui.

FINEn ratkaisu on pitkä, joten yritän tiivistää siitä avainkohdat. Uhri oli saanut pankilta tekstiviestin, jonka mukaan verkkopankki ja pankkikortti on jäädytetty epätavallisen toiminnan vuoksi. Viestissä oli linkki pankkia muistuttavaan com-loppuiseen osoitteeseen, jonka luvattiin palauttavan käyttöoikeuden. 

Uhri meni halpaan ja syötti valesivulle pankkitunnuksensa. Sen jälkeen alkoi tapahtua.

Pankki lähetti englanninkielisen (!) tekstiviestin "Read carefully!..." jossa kerrottiin pankkitunnusohjelman asentamisesta uuteen puhelimeen ja annettiin koodi 03705, joka piti syöttää pankin mobiilisovellukseen.

Saatuaan uhrin tilin näin haltuunsa rosvot siirsivät kolmella Visa-kortin pankkisiirrolla 36 500 euroa, luottokortilta 1258 euroa Revolut-pankkiin ja ottivat vielä 15 000 euron täsmäluoton. Kaikki menivät läpi pankin järjestelmistä, vaikka tunnistusvälineen aktivointi juuri siirtoja ennen uudessa laitteessa oli selkeä hälytysmerkki.

Ensimmäinen tekstiviesti tuli maanantaina 24.7.2023 klo 11.03 irlantilaisesta numerosta. Yli 70-vuotias uhri lähti välittömästi selvittämään asiaa pankin konttoriin, mutta havaitsi konttorin olevan suljettu.

Samaan aikaan rosvot hakivat uhrin operaattorilta eSIM-kortin ja siirsivät uhrin puhelinnumeron itselleen, jolloin uhrin soitto pankin turvallisuusnumeroon katkesi kesken puhelun. Uhri soitti uudelleen vaimonsa puhelimella ja sai pankkitunnukset kuoletettua. Vahinko oli kuitenkin jo tapahtunut. Kokonaisuutena tapahtumiin kului 2 tuntia 10 minuuttia. Tästä varsinaiset siirrot ja sulku toteutuivat 37 minuutin sisällä.

FINE-lautakunnan neljän jäsenen yksimielinen kanta on, että uhri oli toiminut törkeän huolimattomasti eikä se suosita korvauksia. Koko tappio jää uhrin itsensä maksettavaksi, ellei hän lähde käräjöimään asiasta oikeuteen ja onnistu vakuuttamaan tuomaria. Siinä vielä kukaan ei ole onnistunut.

Tapaus herättää lukuisia kysymyksiä, joiden reiluutta jokainen voi mielessään arvioida. Avainkohtia ovat nähdäkseni seuraavat:

• Uhri ei tiedä, miten rosvot pääsivät hänen tililleen. Uhrin mielestä mobiilipankkiohjelmassa oli tuolloin mahdollisuus liittää pankkikortti Google Pay-järjestelmään ilman pankkikortin tietoja, eikä liittäminen vaatinut erillistä vahvistamista.
• Uhrin mielestä Android-selaimessa on ollut päällä automaattinen tekstiviestin vahvistuskoodi, joka on syöttänyt pankin lähettämän turvakoodin automaattisesti. Uhri ei ollut tietoinen tästä automatiikasta (olisitko itse ollut?) eikä huomannut sitä. Pankit eivät ole varoittaneet tästä ominaisuudesta (ei tullut itsellekään mieleen, vaikka olen seurannut useita tapauksia).
• Tekstiviesti on tullut englanniksi, eikä uhri ole täysin ymmärtänyt sen sisältöä. Rosvot olivat vaihtaneet nettipankin kielen englanniksi hämätäkseen uhria.
• Kuin kirsikkana kakun päällä pankki on vielä klo 16 lähettänyt uhrille tekstiviestillä linkin palautekyselyyn (ilmeisesti luokkaa "kuinka hyvin palvelumme tänään onnistui?").
• FINEn ratkaisukäytännön perusteella tunnusten ja avainlukulistan koodin syöttäminen valesivulle ei vielä ollut törkeän huolimatonta, mutta uhrin reagointi mobiilisovelluksen asentamiseen liittyvään englanninkieliseen viestiin oli.
• Pankin mielestä korttitietoja ei voi saada pankin nettipalvelusta, vaan uhrin on täytynyt kirjoittaa tiedot ja antaa aktivointikoodi. Uhri itse kiistää tämän.
• Vastineessaan pankki pahoittelee asian selvittämiseen liittyvää viestinnän epäselvyyttä reklamaatioprosessin aikana; viestintä uhrin suuntaan kärsi, koska tietopyyntöjä selvitettiin usean eri tahon toimesta eikä tieto kulkenut luotettavalla tavalla. Pankki tulkitsi aikajanaa aluksi väärin ja korvasi 96 euron tilisiirron vasta yli vuosi tapahtumien jälkeen.

Jos ilmoitus olisi ollut suomeksi, uhri olisi varmaankin reagoinut siihen paremmin. Tältä osin ratkaisu toteaa seuraavaa: "lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä... Pankkilautakunta on ratkaisukäytännössään (kuten FINE-057082, annettu 6.6.2024) katsonut, että mikäli asiakas ei kielimuurin vuoksi ymmärrä tai voi olla varma, mihin esimerkiksi pankin tekstiviestitse toimittama koodi on tarkoitettu, tulisi hänen huolellisesti toimiessaan keskeyttää asiointinsa ja olla esimerkiksi yhteydessä pankkiinsa varmistuakseen menettelyn tarkoituksesta ja asianmukaisuudesta. Pankkilautakunta katsoo tässäkin tapauksessa, että asiakkaan olisi vetoamastaan kielimuurista huolimatta ja myös kielimuurista johtuen tullut ymmärtää keskeyttää asiointinsa, koska hän ei ole voinut varmistua pankilta tekstiviestitse saamansa koodin käyttötarkoituksesta."

Toisin sanoen pankeilla on velvollisuus viestiä asiakkaille ymmärrettävästi, mutta jos viestit tulevat vieraalla kielellä, vastuu siirtyy uhrille. Tämä on aika kova linjaus.

Miksi ihmeessä pankit sallivat asiointikielen vaihdon, jolla huijataan uhreja? Kuinka moni asiakas haluaa oikeasti kesken pankkiasioinnin vaihtaa palvelun kielen suomesta englanniksi?

Pankki tai lautakunta eivät pysty kertomaan tarkasti, minkä virheen uhri on tehnyt, mutta päättelevät hänen toimineen väärin, koska muutakaan selitystä ei ole. Säästönsä menettäneen uhrin kannalta tämä on tylyä. Pitäisikö pankin järjestelmien olla sellaisia, että niissä jäisi riittävä ja myös käyttäjän ymmärtämä jälki kaikesta tapahtuneesta?

Pankeilla on aina ollut tekninen ja juridinen tiedon ylivoima. Miksei niiden järjestelmä havainnut selkeää rosvousta ja estänyt sitä? Pankin olisi pitänyt soittaa asiakkaalle eikä päinvastoin.

OP-pankin selkeä ilmoitus uuden puhelimen aktivoinnista (ei liity tähän tapaukseen).

Ei ole oikein, että pankkitunnuksilla voi sulkea tai siirtää uhrin puhelinliittymän, jolloin kaikki uudet vahvistuskoodit ja varoitukset tulevat rosvon puhelimeen. Yksikin virhe voi siis johtaa koko tilin hallinnan menettämiseen. Tilille asetetuilla siirto- tai maksurajoituksilla ei ole merkitystä, koska rosvo poistaa ne. Yllä olevan kuvan varoitus on siis äärimmäisen tärkeä lukea ja ymmärtää! 

Tämä asetus kannattaa tarkistaa Android-puhelimissa.

Onko automaattinen tekstiviestikoodin syöttö vielä käytössä sivustoilla? Ilmeisesti kyse on tästä ominaisuudesta, joka voi olla vaarallinen. Kannattaa tarkistaa Asetukset > Google > Kaikki palvelut > Vahvistuskoodit tekstiviestillä.

Kun lautakunta kerran avaa tapahtumat näinkin selvästi, mikseivät pankit itse voi tehdä samaa? Tässä on paljon opittavaa kaikille.

Nähdäkseni pankit eivät ole myöskään mainostaneet tarpeeksi pankkitunnusten sulkunumeroa. 

Tekstiä täydennetty 3.11.2025

Huonon käytettävyyden ennätys: Selectan kahviautomaatti

Huono käyttöliittymän suunnittelu on aiheuttanut lukuisia lento-onnettomuuksia, monista pienemmistä harmeista puhumattakaan. Siksi aihetta on tutkittu ja opetettu jo vuosikymmeniä. Itsekin suoritin käytettävyyden peruskurssin Tampereen teknillisessä korkeakoulussa 2000-luvun alussa. Luulisi, että kaikki suunnittelijat osaavat edes alkeet. 

Valitettavasti ihmeellisiä käytettävyyskukkasia tulee vastaan harva se päivä. Usein ulkonäkö ajaa käytettävyyden edelle, mutta joskus kyse on ihan muusta.

Tänään Helsingin hovioikeudessa Vastaamo-oikeudenkäynnin tauolla seurasin Selectan tilaan toimittaman kahviautomaatin toimintaa. Kaikilla, jotka halusivat laitteesta kahvia, oli ongelmia sen kanssa. Eikä mikään ihme - laite on malliesimerkki siitä, miten käyttöliittymää ei pitäisi toteuttaa. 

On mahdoton käydä läpi ostoprosessia järjestyksessä, koska järjestystä ei ole. Ihmiset vain kokeilivat eri painikkeita ja vaihtoehtoja, kunnes lopulta saivat kahvinsa. Itselläni aikaa kului vielä enemmän kuin muilla. Ehkä se johtui insinöörimielestä ja siitä, että yritin seurata virheellisiä ohjeita. Huono strategia.

Ensimmäinen pohdinnan aihe on kahvikupin saaminen. Automaatin vieressä on pino pahvimukeja, pitäisikö sellainen laittaa annostelijan alle? Missään ei lue ohjetta, mutta vastaus on, ettei tarvitse. Mukit on tarkoitettu vain vesihanan käyttäjille ja tämä automaatti antaa itse mukin. Pieni lappunen auttaisi kummasti vierasta.

"Valitse ja käynnistä"

Automaatin ohje on lupaava ja saa homman kuulostamaan helpolta: Ensimmäinen vaihe on "Push to start" isoilla kirjaimilla. Mitään painiketta ei kuitenkaan ole. Keltaisen rasian näytöllä on vain painikkeen kuva. Vaikka sitä tökkää sormella, mitään palautetta (ääni, animaatio, haptinen) ei tule eikä mitään näytä myöskään tapahtuvan.

Toinen kohta: "Valitse juoma ja käynnistä". Siis käynnistä mikä? Ei aavistustakaan, mikä pitäisi käynnistää, kun mikään ei käynnisty.

Kolmas kohta: "Maksa juoma lähimaksulla". Sentään ymmärrettävä ohje, mutta automaatti ei lue korttia, koska mitään tilaustakaan ei ole vielä tehty. 

Neljäs kohta: "Odota juoman valmistumista". Kunpa pääsisikin niin pitkälle. 

Numeronäppäimistö?

Ohje näyttää, että tuote valitaan syöttämällä sen koodi. Mitään painikkeita ei ole, sillä laitteessa on vain iso kosketusnäyttö, jossa juomat ovat kuvina. 

Näytä kortti uudelleen, miksi?

Jostain syystä kortti pitää näyttää lukijalle kahteen kertaan, oston aluksi ja lopuksi. Tämä ei siis ole  lukuvirhe, vaan se toimii näin joka kerta. Miksi ihmeessä?

Arvo 5 euroa?

Jos on päässyt kahviin asti ja painaa maitoa, sen arvona näkyy 5 euroa. Miksi ihmeessä? Kahvin hinta on 1,50 euroa valitsi siihen maitoa tai ei.

Käytä seuraavalla kerralla numerovalintaa 0756, häh?

Jos onnistuu saamaan laitteesta ulos kahvin maidolla, näyttö muistuttaa seuraavalla kerralla käyttämään numerovalintaa 0756. Mitä kummaa, kun ei numeropainikkeita edes ole?

Ahaa, pikavalinta!

Jossain vaiheessa itselleni tuli oivallus: alariville ilmestynyt vihreä painike liittyy jotenkin asiaan! Ohje ei mainitse siitä mitään, mutta sitä tökkäämällä näytölle tuli kuin tulikin numeronäppäimistö. Ilmeisesti ensi kerralla saisin saman kahvin muistamalla nämä neljä numeroa. Pitää kokeilla torstaina, jolloin on vielä Kivimäen puolustuksen loppulausunto.

Vieressä on toinen myyntiautomaatti, joka toimii kuin ajatus. Siinä on selvät painikkeet eikä käyttöön tarvita virheellisiä ohjeita saati kosketusnäyttöä. Selvästi Selecta osaa tarjota toimiviakin automaatteja, kun vain haluaa.

Hah, tätä sentään osaa käyttää!

Mutta mikä ihme on mennyt pieleen kahviautomaatissa? Helsingin hovioikeus ei ole ainoa paikka, jossa asiakkaita kiusataan tällä mystisellä härvelillä. Vastaava on Espoon käräjäoikeudessa, mutta siellä toimintoja on hieman vähemmän ja siksi käyttö ainakin hieman helpompaa. 

En keksi kuin yhden selityksen. Ilmeisesti keltainen rasia on lisätty automaattiin jälkikäteen korvaamaan kolikkoja, koska niitä kenelläkään ei enää ole. Laitteessa on siten kaksi keskenään kilpailevaa käyttöliittymää, eivätkä ohjeet liity niistä kumpaakaan. Selecta ja Pelican Rouge kiusaavat turhaan käyttäjiä ja automaatin kahvista jää paha maku suuhun.

Zorin OS Linux, vaihtoehto Windowsille?

Windows 10 -tuen loppuminen sai monet etsimään vaihtoehtoja uuden koneen hankkimiselle. Entä jos vaihtaisi ilmaiseen Linuxiin? Sekin kyllä vanhenee lopulta ja päivitykset loppuvat, mutta pääsisi ainakin eroon Microsoftin rahastuksesta. 

Hesarin jutussa "Ihan tavallinen Jaana Palmunoksa, 62" asensi itse Linuxin koneeseensa ja hyvin meni. Olisiko Linux riittävän valmis taviskäyttäjälle?

Olen kokeillut eri Linux-variantteja vuosien varrella, mutta aina niiden kanssa on tullut jotain ongelmia ja säätämistä, jonka vain Linux-osaaja hallitsee. Tekoäly ja verkon tukiryhmät auttavat mielellään, mutta Windowsiin verrattuna se on työlästä.

Harmi kyllä Hesarin juttu tuntuu jääneen kesken. Siinä ei avata tarkemmin, millaisia kokemuksia Jaanalla uudesta Linuxistaan oli. Edes distroa ei tarkemmin mainita (vain "Ubuntu"). 

Kokeilin hyvin tuotteistettua Zorin OS -järjestelmää, joka sekin perustuu Ubuntuun. Sen perusversio on ilmainen. Sivuilla luvataan Zorinin toimivan "jopa 15 vuotta vanhoilla" koneilla, mikä ei itse asiassa ole kovin paljon. Tarjolla on "Windows App Support" -kerros, joka ajaa Winen avulla joitakin Windows-sovelluksia, mutta sen varaan ei kannata laskea liikoja. Zorinin voi yhdistää Android-puhelimeen, mutta ei iPhoneen.  

Ihan pelkkää hyväntekeväisyyttä Zorin ei harrasta. Se pyrkii myymään kaupallisen Pro-version, jonka hinta on 47,99 euroa. Perusversio "Core" on kuitenkin ilmainen. Kouluja varten on oma lisenssinsä. Taustayhtiö on irlantilainen, joten Zorin sopisi hyvin EU:n pyrkimyksiin kasvattaa omaa kybersuvereniteettia. (Zorin Industries, anyone?)

Otin vanhan i7-koneen, jossa oli 12 gigatavua muistia ja 500-gigainen SSD-levy. Ensimmäinen ongelma oli saada kone buuttaamaan usb-tikulta. Se ei ollut ihan triviaalia, mutta onnistui kuitenkin. Asennusohjelma oli helppo ja asennus sujuva. Ääkköset toimivat. Lisäpisteitä siitä, että salasanan voi ohittaa. Miksi kotikäyttäjällä pitäisi olla salasana omalle koneelleen?

Zorin muistuttaa hyvin paljon Windowsia. Kaikki eivät edes huomaisi eroa niiden välillä. Toimistopakettina on tietenkin LibreOffice, sähköpostina/kalenterina Evolution. Google, Microsoft- ym. tunnuksia pystyy yhdistämään ohjelmiin, joten käytön pitäisi sujua helposti. Evolution tukee speksien mukaan jopa Microsoftin Exchangea.

Havaintoja parin tunnin kokeilun jälkeen: toiminta sujuvaa, Gnome-tyyppiset ikkunat vähän askeettisia Windowsiin tottuneille, mutta ihan OK. Pääte avaa terminaali-ikkunan ja osaajia varten aito shell on käytettävissä. Tiedostohallinta löysi NAS-aseman ja sen levyjaot automaattisesti. Etätyöpöytä Remmina avasi Windows-koneen työpöydän omaan ikkunaan (tämä ei peruskäyttäjää kiinnosta, mutta itseä kyllä).

Erityisen positiivinen kokemus Canon MP560-tulostimesta, jota Windows 11 ei tukenut enää lainkaan. Zorin OS tunnisti ja asensi sen automaattisesti. Tulostus toimii, skannaus tuskin.

Aivan kuin Windowsissa olisi.

Mutta sitten. 

Olen tottunut käyttämään hiiren kakkospainiketta tiedostojen siirtoon ja valitsemaan sen jälkeen siirron tai kopioinnin, mutta tätä ominaisuutta ei ole mukana. 

Yritys avata tiedostohallinnassa näkynyt älylaite sai kyseisen ikkunan jumiin, peru-painike ei tehnyt mitään. Piti avata kokonaan uusi ikkuna.

Jossain vilahtaa englanninkielisiä sanoja, mutta ne ovat pelkkä kauneuspilkku. Sen sijaan Tiedostohallinnan punaiset huutomerkit ovat jotain muuta. 

Punaiset huutomerkit hämmentävät (mustat reunat johtuvat jpeg-tallennuksesta).

Alapalkin säätiedotusta varten voi valita monia eksoottisiakin paikkoja, mutta Espoo puuttuu listalta. Tampere ja Helsinki kyllä löytyvät (erikseen vielä Helsinki-Vantaa).

NAS-asemallani on paljon Canonin raw-valokuvia mutta niissä Zorinin esikatselu ei toimi, vaan se ehdottaa kolmea editoriohjelmaa (kaksi niistä näkyy listassa kahteen kertaan). Kuvat saa auki, mutta se oleellisin eli kuvien selaus kansioissa ei onnistu.

Lopuksi kaikkein fataalein asia. Ilmeisesti kaupallisista syistä Zorinissa on valmiina VAIN harvinainen Brave-selain, ei Google Chromea. Jokainen yritys klikata internet-linkkiä käynnistää automaattisesti Braven, mikä taas jäädyttää koneen. On pakko katkaista virrat. Ei virheilmoitusta, ei Windowsin blue screeniä, ei mitään. Vain vanhanaikainen jäätyminen, jota tapahtui Windowsissa joskus 30 vuotta sitten Windows 3.1:lla.

Ongelmallinen näytönohjain: AMD RV370 (tämä kuva alkuperäinen PNG).

Todennäköisesti kyse on näytönajurin bugista, mutta se tieto ei paljoa lämmitä. Koska Brave on ainoa keino päästä nettiin, Chromea ei voi edes hakea nettisivulta (nörtti hakee sen APTilla jostain, mutta tässä on kyse peruskäyttäjästä). Miksei Chromea tai edes Firefoxia ole asennettu valmiiksi, niin kuin muissa distroissa? Varmaan kaupallisten sopimusten vuoksi. Rahaa ei pääse pakoon.

Lupaavasti alkanut Zorin-kokeiluni on nyt tauolla. Jokaisen kannattaa tehdä omat kokeilunsa, mikäli vain kiinnostusta riittää. Myös moni organisaatio etsii vapauttavaa vaihtoehtoa Windowsille. 

Peruskäyttöön Zorin OS on varmasti soiva peli, kunhan sen saa asennettua ja kaikki itselle tärkeät ohjelmat löytyvät. Päivitystä ei silti pääse pakoon: Zorin OS 18 -tuen luvataan jatkuvan "ainakin kesäkuuhun 2029 asti". No, onhan sinne sentään neljä vuotta. 

Sitä odotellessa voi hankkia ideoita vaikka täältä. 

Lisäys 29.10.2025: Päätteessä annettu merkkipohjainen komento sudo apt install firefox käynnisti Firefoxin asennuksen ja loppu sujui graafisesti, selain jopa toimii eikä jäädytä konetta kuten Brave tekee vielä päivityksen jälkeenkin. Jatkossa käsittelen Zorin-asioita Bittimittari-blogissani, ovat sen verran nörttimäisiä juttuja.

Päivitä Windows 11, joudut vaihtamaan myös tulostimen

Tietokoneen vaihto uuteen Windows 11 -päivityksen vuoksi voi olla perusteltua, koska uudet koneet ovat joka tapauksessa turvallisempia ja parempia kuin vanhat. Ennen pitkää levy hajoaa, olipa se sitten mekaaninen tai ssd-levy.

Pahempi ongelma on, että Windows 11 -päivitys saattaa pakottaa vaihtamaan myös tulostimen uuteen, vaikka vanha toimisi ihan hyvin. Itselle kävi juuri näin, sillä hankin n. 15 vuotta sitten mustesuihkun ja skannerin yhdistelmän Canon Pixma MP560. Se oli edullinen ja on palvellut vähäisiä tulostustarpeitani ihan hyvin.

Tulostin tuli markkinoille vuonna 2009, joten se ei ole erityisen vanha. Uuden Windows 11 -koneen hankinta tuotti kuitenkin yllätyksen: tulostinta ei enää tueta. Windows 11 kyllä löytää sen normaalisti:

Windows 11 löytää ja tunnistaa MP560-tulostimen...

Asennus ei kuitenkaan onnistu:

... mutta sitä ei voi käyttää.

Sinänsä erikoista, että skannerin vuoksi laite näyttää asentuneen ja kaikki asetukset toimivat. Silti laitetta ei voi käyttää.

Aivan kuin se toimisi... vaan ei.

Ajuria ei löydy myöskään Canonin sivulta, koska niin ikään valmistaja on lopettanut vanhan mallin tukemisen ja haluaa myydä uuden.

Tuetut käyttöjärjestelmät.

Tässä suhteessa Mac ei ole yhtään parempi, sillä viimeinen tuettu Mac-versio on Yosemite, joka ilmestyi 2014 (viimeinen päivitys 2017). Aika on samaa luokkaa Windows 10:n kanssa (julkaistu 2015, viimeinen iso päivitys 2022).

En ole hankkinut uutta tulostinta, koska käyttö on niin vähäistä. Toimistollani on vielä useita Windows 10 -koneita, joista olen hoitanut muutaman paperin skannauksen ja tulostuksen.

Tiedän myös, että pienellä kikkailulla laitteen saisi toimimaan ainakin tulostimena. Windows 11:stä löytyisi varmasti jokin tuettu rinnakkaismalli, joka menisi täydestä. Tavallinen käyttäjä ei tällaiseen puuhaan kuitenkaan lähde ja niinpä aivan hyvin toimiva monitoimitulostin saattaa päätyä kierrätykseen.

Tässä kyseisessä tapauksessa vielä helpommalla pääsee lataamalla Canonin tukisivulta Windows 10-ajurin exe-tiedostona ja ajamalla sen. Tulostin asentuu ja toimii normaalisti. Herää vain kysymys, miksi Windows 11 noudattaa orjallisesti Canonin ilmoitusta tuen loppumisesta eikä suostu asentamaan täysin toimivaa ajuria. Miksi Canon lopettaa keinotekoisesti tulostimensa toiminnan Windows 11 -siirtymän yhteydessä?

MP560 muistuttaa siitä, ettei käyttöjärjestelmän päivittäminen ole aina niin sujuvaa kuin mainokset lupaavat. Tietokoneen vaihdon lisäksi hankintalistalle saattaa joutua myös oheislaitteita - ainakin, ellei osaa googlata eikä ole nörttihenkeä.

Windows 10 tuki loppuu, miten käy tietoturvan?

(Tekstiä päivitetty 13.10.2025 mm. uusilla ruutukuvilla)

Ensi viikolla Microsoft lopettaa virallisesti Windows 10:n tukemisen. Sille ei enää ilmesty päivityksiä, jotka korjaisivat mahdollisia turva-aukkoja. Siksi Microsoft painostaa kaikkia siirtymään Windows 11 -käyttäjiksi, vaikka se tietää monelle toimivan koneen korvaamista uudella. 

Tämä ilmoitus on tullut tutuksi Windows 10 -käyttäjille.

Näinä ankeina talouden aikoina mikään investointi ei ole läpihuutojuttu. Eikä kyse ole edes rahasta, vaan vaivasta. Windows-koneen vaihtaminen uuteen on pahuksen työläs operaatio, jossa aina katoaa jotain ja asetusten tekemiseen saa kulumaan illan jos toisenkin.

Virallinen kanta on selvä: jokaisen kannattaa siirtyä Windows 11:een, sillä päivittämätön Windows 10 muodostuu ennen pitkää tietoturvaongelmaksi.

Sitten se epävirallinen kanta. Yrityksissä koneiden vaihto uusiin on rutiinia, normaali vaihtoväli on muutenkin 3-5 vuotta, joten valtaosa toimiston ja etätyöntekijöiden koneista uusiutuu joka tapauksessa. Windows 11 -päivitys vanhaan koneeseen ei välttämättä ole läpihuutojuttu, mutta ei mennä nyt siihen.

Microsoftin halu säästää omia kustannuksiaan Windows 10 -tuen lopettamisella on ymmärrettävä, mutta tietoturvapelottelu ei ole asiallista. Apple on hoitanut asian paremmin. Ei sekään tue loputtomiin vanhoja laitteita, mutta käyttöjärjestelmät vain lakkaavat päivittymästä eikä niihin enää ilmesty uusia ominaisuuksia. Itse huomasin tämän konkreettisesti, kun sinällään ihan hyvin toimiva Macbook Air piti vaihtaa uuteen, sillä raw-kuvaformaatin tuki ei enää päivittynyt Canonin uusia kameroita varten.

Mitä siis ensi viikolla tapahtuu? Aiemmat siirtymät, kuten Windows XP:n (8.4.2014) ja Windows 7:n (14.1.2020) tuen lopettaminen, eivät tue pelkoa tietoturvakatastrofista. Pelottelusta huolimatta turvaongelmissa ei havaittu mitään piikkiä. XP-tuen loppumisen jälkeen Microsoft julkaisi vielä yhden päivityksen estämään WannaCry-haittaohjelman leviämistä, koska tilanne oli akuutti.

Jos kyse on kotona käytettävästä läppäristä tai pöytäkoneesta, sitä voi mielestäni käyttää jatkossakin Windows 10:llä. Kone on wifi-verkon ja Windowsin oman palomuurin takana, joten verkosta ei suoraan pääse koneelle, vaikka siinä olisikin aukkoja. Suurin vaara on liitetiedostoissa, joiden suhteen kannattaa olla korostetun varovainen.

Myös nettisivut voivat olla riski, mutta jos antaa Chrome-selaimen päivittää itsensä automaattisesti, ongelmia tuskin tulee. Microsoftin omasta Edge-selaimesta en sano mitään, Microsoft saattaa lopettaa tarkoituksella senkin päivitykset, mutta Google jatkaa omia päivityksiään vielä vuosia. Sitten kun selaimen päivitykset loppuvat, on viimeinen hetki vaihtaa käyttöjärjestelmää.

Riskitaso nousee, jos Windows 10 -läppäriä kuljettaa töissä tai koulussa ja sitä kytkee vieraisiin wifi-verkkoihin. Niissä voi toimia ihmisiä tai ohjelmia, jotka etsivät haavoittuvia 10-koneita.

Ja suuresta armosta Microsoft taipui myöntämään EU-käyttäjille vuoden lisäaikaa, kunhan käyttää kirjautumiseen Microsoft-tunnusta. Sen ansiosta ikävää päivitystyötä voi lykätä vuodella eteenpäin.

Usein päivitys jää kiinni siitä, ettei koneessa ole TPM 2.0-turvapiiriä vaan vanhempi 1.2-versio. Ellei kone oli yli 10 vuotta vanha, siinä todennäköisesti on 2.0-piiri, jota ei vain ole otettu käyttöön. Tällöin vierailu BIOSissa ja 2.0-asetuksen tekeminen muuttaa koneen päivityskelpoiseksi.

Toinen pullonkaula on prosessori. Intel-koneissa Windows 11 vaatii vähintään 8. sukupolven prosessorin. Kahdeksannen sukupolven mallisto julkaistiin syksyllä 2017 (ns. "Coffee Lake"). 

AMD-prosessoreissa tilanne on sekavampi, sillä lähtökohtaisesti vaaditaan vähintään toisen sukupolven Ryzen, mutta myös jotkut Athlon- ja EPYC-mallit kelpaavat. Käytännössä ensimmäiset yhteensopivat AMD-prosessorit ilmestyivät 2018. 

Jos kone on näitä vuosilukuja (2017 ja 2018) vanhempi, se ei ainakaan päivity Windows 11:een. Valitettavasti paljon uudempikin kone saattaa olla yhteensopimaton, sillä varsinkin halvimpia kotikoneita on rakennettu vanhoilla prosessoreilla ja ne ovat saattaneet seistä jälleenmyyjän varastossa vuosiakin.

Oman koneen prosessoritieto on helppo tarkistaa. Sukupolvi selviää Windows 10:n kohdasta Asetukset > Tietoja. 

Prosessori 6. sukupolvea, ei kelpaa.

Tässä koneessa prosessorina on Intel Core, jonka tyyppi on i7 (tehokkaampi kuin i5 ja varsinkin i3), mutta perässä tuleva numero 6700 kertoo, että prosessori on 6. sukupolvea eikä siten riitä.

Windowsin päivitystoiminnon apuohjelma tarkistaa kelpoisuusvaatimukset vielä selkeämmin:

TPM 1.2 ja 6. sukupolvi - eivät riitä Windows 11:een.

Ruutukuva on elokuulta 2025, joten tarkistusohjelma neuvoo vielä jatkamaan Windows 10:llä, mutta nyt elokuussa teksti on jo toinen.

Tekoäly tekee CSAM-aloitteesta entistä pelottavamman

Viime vuonna torpattiin Unkarin ajama CSAM-aloite, joka velvoittaisi operaattorit seuraamaan asiakkaidensa keskinäistä viestintää ja tunnistamaan sieltä lapsipornoa. Lopulta EU-aloite kaatui, mutta nyt Tanska ajaa sitä jälleen Uutuutena mukaan on tullut tekoäly. Sen pitäisi tunnistaa niitäkin kuvia, mitä yksinkertainen kuvasta laskettu tiivistefunktio ei tavoita.

Aloite on edelleen järjetön ja valheellinen. Se ei vaikuta lainkaan aineiston levittämiseen pimeästä verkosta, kuten Tor-verkosta. En tiedä, kuinka paljon ihmiset lähettävät laittomia kuvia tai videoita toisilleen, mutta epäilen, ettei se ole suurin ongelma.

Lisäksi valvontaa olisi helppo kiertää. Kuvia ja videoita voi helposti pakata uudelleen, jolloin mikään tiivistelista ei pysy perässä. Lisäksi operaattorien pitäisi purkaa jokainen pakattu tiedosto varmistaakseen, mitä sen sisällä on. 

Aiheuttaisi hurjan kuormituksen palvelimille ja olisi täysin turhaa, sillä tiedostoja voi myös salata, ja silloin mikään operaattorin seula ei tartu niihin. Ainoa keino EU:lta olisi kieltää kaikkien salausohjelmien käyttö, mikä on tietenkin mahdoton tie.

Tekoälyä pidetään jonkinlaisena taikasanana, joka ratkaisee kaikki it-ongelmat. Todellisuus on ihan muuta. Tekoäly ei pysty massiivisessa mittakaavassa erottamaan laillisia kuvia ja videoita laittomista. Hyviä esimerkkejä saa vaikka Facebookista, joka vähän väliä blokkaa ja poistaa käyttäjätilejä, koska tekoäly on virheellisesti arvioinut niiden loukkaavan yhteisönormeja. Laittomia huijausmainoksia mikään tekoäly ei näytä torjuvan.

On ihmeellistä, että EU jälleen kerran edes harkitsee monta kertaa torjuttua CSAMia. Todellinen motiivi lieneekin voida jatkossa tunnistaa terroristeja ja ehkä muitakin rikollisia heidän viestintänsä perusteella. Tällä hetkellä ei ole tarvetta ryhtyä näin äärimmäisiin toimiin. 

Voi myös miettiä, miten hyvin GDPR toteutui. Valtava hallinnollinen taakka ja isoja sakkoja. Tietosuoja on epäilemättä parantunut, mutta kansalaiset käyttävät edelleen amerikkalaisia palveluita eikä tietosuojasta ole tullut kilpailuetua eurooppalaisille yrityksille. Syy korostaa kybersuvereniteettia liittyy kansalliseen turvallisuuteen, ei tietosuojaan.

GDPR:n oheisvahinkona saimme myös ärsyttävät ja itseään vastaan kääntyvät evästekyselyt jokaisella nettisivulla. Mitähän vastaavaa CSAM-tunnistus tuottaisi, jos EU erehtyisi hyväksymään sen?

Videoiden digitointi herättää muistot eloon

Olen vuosien aikana käyttänyt melkein kaikkia videoformaatteja, halunnut aina olla kehityksen kärjessä ja kuvata arkea mahdollisimman hyvällä tekniikalla. Erilaisia videokasetteja on kertynyt monta laatikkoa: ensin analoginen Video 8, sitten sen S-versio Hi8, sitten digitaalinen DV ja sen HD-versio HDV, kunnes nyt sitten viime vuosina lähinnä puhelimilla kuvattuja HD- ja 4K-videotiedostoja. Unohtamatta tietenkään VHS-kasetteja, joille aikoinaan nauhoitettiin televisiosta sarjoja ja elokuvia.

Suurimman osan videoista olen digitoinut tietokoneen levylle jo aiemmin, eikä se koskaan ole sujunut ihan helposti. Jos haluaa päästä vähällä, vie koko laatikon valokuvausliikkeeseen ja odottaa, kunnes he palauttavat videot USB-tikulla. Hyvälaatuisen digitoinnin tekeminen vaatii kuitenkin hyvät laitteet, analogisilla nauhoilla mielellään myös keinotekoista kuvan parantamista. Hinta voi olla 30-50 euroa/kasetti tai enemmänkin.

Tuorein projektini oli loppujen DV-kasettien siirtäminen. DV oli käytössä vuosituhannen vaihteen molemmin puolin. Se on kiitollinen digitoitava, sillä kuva on jo valmiiksi digimuodossa, ruutu kerrallaan pakattuna. Säästin aikoinaan yhden pöytäkoneen, jossa oli Firewire-kortti. Kaikeksi onneksi DV-kamera toimi vielä. Ohjelma komentaa kameraa ja kuva siirtyy DV-koodekilla pakatuksi AVI-videotiedostoksi. 

Sen verran aikaa oli jo kulunut, että piti katsoa omasta kirjastani, miten siirto tehdään. Ja sehän oli helpompaa kuin muistinkaan, sillä Windowsin MovieMaker hoitaa homman melkein automaattisesti. 

Tunnin kasetista tulee n. 13 gigatavun tiedosto. Aikoinaan hurja luku, nykylaitteille pelkkä suupala. Mutta kun kasetteja on paljon, tuloksena on satojen gigatavujen verran tiedostoja, joiden käsittely ja varmuuskopiointi vaatii aikaa ja kärsivällisyyttä. Itse luen kasetit ensin alkuperäisinä DV-koodattuina tiedostoina ja pakkaan ne sitten uudelleen h.264-koodekilla MP4-tiedostoiksi, jotka näkyvät kaikilla katseluohjelmilla.

Moderneja pakkausmenetelmiä on käytännössä kolme: h.264, h.265 ja h.266. Kokeilussa huomasin, että h.264 pudottaa oletusarvoilla tiedoston koon noin 500 megatavuun eli 1/25 alkuperäisestä. H.265 tiivistää noin 1/35 ja H.266 noin 1/40. Pakkaus on kuitenkin huomattavasti hitaampaa ja tiedostot huonommin yhteensopivia. 

Käytännön vinkki: kelaa kasetti ensin alusta loppuun ja sitten takaisin. Näin nauha pääsee kulkemaan vapaammin ja analogisessa tallennuksessa signaalin kopioituminen kerrokselta toiselle vähenee. 

Vaikka kasetit olivat seisseet 25 vuotta hyllyssä, niiden sisältö oli täysin luettavissa ja vain siellä täällä oli muutama häiriökohta. Digikuva ei haalistu pitkässäkään säilytyksessä.

Youtube-ohjeissa neuvottiin käyttämään usb-porttiin liitettävää analogista Elgato-laitetta, arvo noin sata euroa. Suora lukeminen Firewirellä antaa paremman kuvan, ja ohjelma pystyy ohjaamaan kameran toistoa.

Paremmuus on suhteellista. Videoiden kanssa huomaa, miten valtavasti tekniikka on kehittynyt. Video 8 on ihan kuraa verrattuna DV-tasoon, joka sekin näyttää säälittävältä nykyisillä 4K-monitoreilla. Elävän kuvan näkeminen kuitenkin palauttaa omat muistot ja siksi huonompikin laatu riittää.

Seuraavat kuvat on kaapattu VLC-katseluohjelmalla. Kuvanlaatua on vaikea vertailla, sillä myös valaistus vaikuttaa kohinaan ja suljinaikaan. Pysäytyskuva on armoton, koska se paljastaa myös lomituksen ja suljinajan vaikutuksen.

Video 8 (1991).

Hi8 (1993, Valkoinen talo).

DV (2004).

HDV (2006, Boston).

AVCHD HD-tarkkuus (2012).

AVCHD 4K-tarkkuus (2024, Toulousen ilmailumuseo).

Heikkolaatuisesta kuvasta näkee, että tapahtumat ovat vanhoja. Miten mahtaa käydä nykyisillä 4K-videoilla, joita tulevaisuuden lapset katsovat? Niiden laatu on niin hyvä, ettei eroa todellisuuteen ole helppo havaita. Menneisyys sulautuu nykyhetkeen. 

Sikäli kun nykyiset puhelinvideot edes säilyvät. Paradoksaalista kyllä, vanhat kasetit olivat helpompia säilyttää ja kasetille mahtui koko joulu tai kesäloma. Nykyisillä välineillä jokaisesta otoksesta syntyy itsenäinen tiedosto, joka monella unohtuu puhelimeen ja häviää sen mukana. Jos maksaa pilvestä, tiedostot säilyvät paremmin, mutta sielläkin alustat vaihtuvat eikä videoita ole helppo löytää kaiken muun datan keskeltä.

Lapsen kasvu, juhlapyhät, kesälomat ja syntymäpäivät ovat videoinnin pakkopullaa. Niitä on tylsää katsoa vuosien jälkeen. Itse pidän tavallista arkea paljon kiinnostavampana. Miltä esineet, koti ja naapurusto näyttivät? Miltä autot ja ihmiset, liikennejärjestelyt ja tiet?

Kannattaa kuvata huippuhetkien lisäksi myös tavallista arkea. Se on niin tavallista, että huomaamme arvon vasta vuosien päästä.

Vielä ideoita verkkopankin tietoturvan kehittämiseen (4)

Tämä on neljäs ja tällä erää viimeinen kirjoitukseni todennuksen ja verkkopankkien turvallisuudesta. 

Pistää vihaksi, että huijarit tyhjentävät vanhusten elinikäiset säästöt, eikä kukaan voi tehdä mitään. Tuoreen Ylen uutisen mukaan poliisi saa 200-500 ilmoitusta kuukaudessa kalasteluista, joissa menetetään 2-4 miljoonaa euroa.

Tuore esimerkki on Kokkolasta, jossa 88-vuotiaan lääkärin tililtä vietiin 88 409,09 euroa. Uhri oli erehtynyt syöttämään S-pankin tunnukset kalastelusivulle, jolloin rosvot saivat asennettua verkkopankin omaan puhelimeensa ja tyhjensivät tilin yön aikana yli sadalla erillisellä siirrolla. Eikä pankki huomannut mitään.

Uuden päätelaitteen käyttöönotto ja heti seuraavana yönä tilin tyhjentäminen on niin selvä merkki rikoksesta kuin vain voi olla. Sen tunnistamiseen ei tarvita edes tekoälyä, muutama IF-lause riittää. Jos pankin valvonta ei  havaitse näin räikeää tekoa, pankki on itse toiminut huolimattomasti.

Miksi uhri hyväksyi rikollisten tunnistuspyynnön? Hän oli samaan aikaan itse asioimassa verkkopankissa, jolloin huijauspyynnöt sekoittuivat aitoihin kuittauksiin. Tällainen moka voi sattua kenelle tahansa.

On helppo neuvoa pankkeja ja vaatia niiltä parempia suojauksia tai tekoälyn tehokkaampaa käyttöä. Teknisten muutosten tekeminen pankin järjestelmiin on kuitenkin iso ja raskas operaatio. Muutokset tuottavat aina vääriä hälytyksiä ja kuormittavat asiakaspalvelua. Siksi pankit pyrkivät viimeiseen asti ratkaisemaan ongelmat sisäistä valvontaa tehostamalla. Se ei vain näytä riittävän.

Huijaukset ja niiden yritykset kuormittavat jo nykyisellään raskaasti pankkien asiakaspalvelua. Lisäksi parempien suojausten tarjoaminen, vaikka asiakkaat eivät niitä ottaisikaan, olisi pankeille keino välttää omaa vastuuta tyyliin ”me tarjosimme kyllä tällaista viivästettyä tilimuotoa/turvatiliä, mutta asiakas ei sitä ottanut”. Operaattorit ovat tehneet turvallisuudesta kilpailuedun, pankkien pitäisi toimia samoin.

Olen esitellyt lukuisia ideoita turvallisuuden parantamiseen: viivästetyt siirrot, hyväksynnän vaatiminen uhrin sijaan luottohenkilöltä, ulkomaanestot, toimintaan kytketyt värit ja äänimerkit, puhelinsoiton vaatiminen asennettaessa mobiilipankkiohjelmaa uuteen päätelaitteeseen, pankkien yhteinen 24/7 puhelinpalvelu ja niin edelleen. Näitä voisi keksiä lisääkin, jos pankit kertoisivat, miten onnistuneet huijaukset tapahtuvat. Turvallisuuteen ja yksityisyydensuojaan vedoten tapauksia ei avata, joten tiedollinen ylivoima ja velvollisuus toimia jää niille itselleen. Me ulkopuoliset voimme vain spekuloida.

Spekuloidaan siis. Voisiko pankkitunnusten protokollaan jotenkin lisätä tiedon siitä, mistä ip-osoitteesta yhteys on lähtenyt tai mihin url-osoitteeseen se liittyy? Pankkitunnusten luvallisilla hyödyntäjillä pitää olla sopimus pankin kanssa, koska he maksavat jokaisesta tunnistamisesta. Auttaisiko tämä tunnistamaan kalastelusivuja? 

Myös käyttäjällä on vastuu rahojensa turvallisuudesta. Miksi ihmiset seisottavat isojakin rahasummia tavallisilla tileillä, jotka on helppo yhdistää ja siirtää ulos? Mikään siirtoraja tai ulkomaanesto ei auta, jos asiakas voi itse asettaa ja rosvo yhtä helposti poistaa sen. Pakollisen aikaviiveen lisääminen näihin ei olisi pankille vaikeaa.

Vaarassa ovat varsinkin vanhemmat ihmiset, joille on kertynyt eläkesäästöjä. Mikä olisi sellainen turvatili, johon varat voisi siirtää ilman pelkoa tyhjennyksestä? Kaikki eivät halua sijoittaa säästöjään osakkeisiin tai rahastoihin, joiden arvo voi myös laskea. Rahojen palautus turvatililtä kestäisi esimerkiksi kolme pankkipäivää, mikä oli pankin oman edun mukaista.

Voisiko pankki oma-aloitteisesti tarjota turvatiliä iäkkäämmille asiakkailleen, joilla on esimerkiksi yli 10 000 euroa tilillä? Tai voisiko osan tavallisen käyttötilin varoista jäädyttää niin, ettei uhri itse voisi tyhjentää kaikkia varoja, ei edes usealla pienellä siirrolla? Jonkinlainen minimisaldon vaatimus, siis. Tässäkin olisi tuotekehityksen paikka.

("Turvatili" -nimitys on tässä tarkoituksella, mutta sekaannusvaaran vuoksi pankin ei itse kannata nimetä turvatiliään juuri näin.)

< Edellinen kirjoitus

Mobiilivarmenne pankkitunnuksilla on riski ja käytettävyys kaipaa muutenkin kohentamista (3)

Tietoturvaviranomaiset suosittelevat mobiilivarmenteen käyttöä asiointipalveluihin ja pankkitunnusten rajoittamista vain pankkikäyttöön. Ajatus on hyvä, mutta silloin mobiilivarmenteen soisi olevan pomminvarma ja kaikissa tilanteissa helppokäyttöinen. Vielä ei olla sillä tasolla.

Hyvä puoli on, että sim-kortilla oleva varmenne toimii käyttöjärjestelmästä riippumatta ja jopa vanhalla Nokian peruspuhelimella. Sitä ei tarvitse - eikä voikaan - päivittää. Huono puoli on, että toiminta Android-maailmassa voi vaihdella valmistajasta riippuen. Esimerkiksi oma Android-puhelimeni ei näytä tapahtumatunnistetta lainkaan.

Suomessa varmenteen teknisestä toteutuksesta vastaa Telia, jonka palvelua DNA ja Elisa myyvät myös omiin liittymiinsä. Peruskäyttäjä hämmentyy nähdessään toisen operaattorin kirjautumisaikkunan asioidessaan. Ehkä samasta syystä johtuvat myös ajoittaiset virheilmoitukset. Pankkitunnusten etuna on se, että ne toimivat pomminvarmasti - onhan kyse pankkien omista rahoista (no, pankkien palveluissakin on katkoksia, mutta syy ei ole tunnistamistekniikassa).

"Odottamaton virhe" - tätä ei pankkitunnuksilla tapahdu.

Edullisiin Moi-liittymiin tai prepaid-liittymiin mobiilivarmennetta ei saa lainkaan. Telian omissa Dot-liittymissä ei puolestaan toimi mobiilivarmenteen häiriönestokoodi.

Niin, häiriönestokoodi. Sen asettaminen on tarpeettoman hankalaa. Telian ohjeen mukaan koodi asetetaan tekstiviestillä numeroon 15011 ja avainsanalla ESTO. "Koodi voi olla 3–10 merkkiä pitkä numeroista ja kirjaimista koostuva jono", mutta jättää avoimeksi ovatko numerot pakollisia. Ääkköskielto on ymmärrettävä.

DNA:n mobiilivarmenneohje neuvoo asettamaan estokoodin nettisivulta mobiilivarmenne.dna.fi. Tässä  ohjeessa "Koodin tulee alkaa kirjaimella ja sen pituus voi olla 4-8 merkkiä. Loput merkit voivat olla kirjaimia tai numeroita. Isot ja pienet kirjaimet huomioidaan." - öh, siis mitä? Ovatko numerot pakollisia vai eivät? Onko isoilla ja pienillä kirjaimilla eroa? (Ilmeisesti ei)

Elisan liittymissä häirinnänestokoodin "tulee olla 3-16 merkkiä pitkä. Ensimmäisen merkin tulee olla kirjain, ja koodin tulee sisältää myös numeroita". Tämä teksti näkyy puhelimen asetuksissa. Hämmentävästi numeroita ei ole pakko syöttää, mutta silloin estokoodi ei vain toimi. Mitään  tarkistusta ei ole eikä virheilmoitusta tule.

Elisan ohje kertoo lähettämään tekstiviestin "STKSPAM koodi" numeroon 18258. Koodin voi asettaa myös puhelimesta, Android-puhelimissa on sitä varten Elisa-niminen sim-kortin palvelujen hallintasovellus. 

Elisan sim-palvelujen hallintasovellus.

iPhone-puhelimissa se löytyy (jos vain osaa etsiä) puhelimen sim-asetuksista Mobiilidata > SIMit ensisijainen > SIM-sovellukset > Tunnusluvut > Häirinnänestokoodi ja sen jälkeen joko Aseta estokoodi tai Poista estokoodi. Vastaava asetuspolku pitäisi olla myös Android-puhelimissa, mutta omista malleistani en sitä löytänyt.

iPhonen SIM-sovellukset asetusvalikosta pääsee Tunnuslukuihin.

Tunnistusta käytettäessä kirjoitetaan oma puhelinnumero, odotetaan kunnes palvelu tarkistaa onko sim-kortilla käytössä estokoodi, kysytään sitä, syötetään se ja lopuksi kirjoitetaan pin-koodi puhelimella. Ei ihme, että nopeammat ja yksinkertaisemmat pankkitunnukset ovat yhä laajassa käytössä.

Mobiilivarmenne on voimassa viisi vuotta kerrallaan. Kun aika umpeutuu, sim-kortti pitää vaihtaa, koska sille voi asentaa vain yhden varmenteen kerrallaan. Varmenteeni vanheni ja se irtisanottiin Elisan liikkeessä, mutta nyt pitää odottaa kaksi viikkoa sopimuksen irtisanomista, ennen kuin uusi varmenne alkaa toimia. Siis kaksi viikkoa ilman tunnistuspalvelua.

Jos tämä on viranomaisten suosittelema tunnistusmenetelmä, se kaipaa vielä hiomista. Ilmeisesti on niin, ettei mobiilivarmennetta juuri käytetä maailmalla ja siksi sen tuki päätelaitteissa vaihtelee, eivätkä suomalaisetkaan operaattorit ole panostaneet siihen ihan täysillä. 

Aiemmin varmenteen käyttöönotto vaati asiointia myymälässä ja henkilöllisyyden varmistamista, mutta nykyisin sen voi aktivoida pankkitunnuksilla suoraan netistä. Tässä piilee iso riski. Jos rikollinen pääsee toimimaan uhrin puolesta pankkitunnuksilla, hän voi aktivoida mobiilivarmenteen omaan puhelimeensa ja sen jälkeen tunnistautua vahvasti uhrin nimissä. 

Varmennetta ei ole sidottu liittymän omistamiseen. Esimerkiksi puoliso voi aktivoida toisen identiteetin omaan puhelimeensa, jos pääsee tunnistautumaan kerran tämän puolesta pankkiin. Perheen sisällä tai lähipiirissä tämä ei yleensä ole ongelma. 

Käyttö on tietenkin laitonta, mutta teknisesti mahdollista. Feikkipuhelimessa on oltava liittymä, jossa varmennetta ei vielä ole. Prepaid-liittymät eivät käy, koska niihin varmennetta ei saa. 

Nordealla pankkitunnistuksen voi itse valtuuttaa uuteen puhelimeen, mutta puhelimet pitää nimetä ja alkuperäinen käyttäjä näkee, että toinenkin päätelaite on valtuutettu käyttäjäksi. Muilla pankeilla saattaa olla eri käytännöt. Myös mobiilivarmenteeseen tarvittaisiin toiminto josta näkisi, mihin sim-kortteihin oma identeetti on asennettu.

Kesällä 2022 S-pankilla oli tietoturvakatastrofi, jossa nuoret miehet pääsivät mellastamaan asiakkaiden tileillä eikä pankki aluksi uskonut saamiaan vikailmoituksia. Samassa yhteydessä tekijät onnistuivat ilmeisesti myös luomaan uusia mobiilivarmenteita ja siten varastamaan muiden identiteettejä. He tyytyivät nostamaan 60 000 euroa lainoja, mutta tilanteessa oli aineksia paljon pahempaankin.

Vahvan tunnistuksen huijaaminen tällä tavalla olisi pitänyt soittaa hälytyskelloja viranomaisissa, mutta jostain syystä asia meni ohi tavanomaisena huijausuutisena.

Lisäys 3.9.2025: Varmenteen päivittämisestä tuli parin päivän operaatio, kun myymälän asiantuntija tai chatin tekninen tuki eivät osanneet auttaa. Tieto 14 vrk odotuksesta oli virheellinen, tietokannan päivittämiseen kuluu normaalisti noin vuorokausi. Lopulta varmenne lähti toimimaan, kun valmis kuusinumeroinen PIN-koodi syötettiin puhelimen omalla Elisa-ohjelmalla eikä ohjeiden mukaan nettisivulta.

< Edellinen kirjoitus tästä aiheesta.

Seuraava kirjoitus tästä aiheesta>

Suomalainen digitunnistus sotkee tärkeän periaatteen (2)

Toinen blogiteksti liittyen digiasioinnin turvallisuuteen. 

Yksi syy pankkihuijauksiin on suomalainen digitunnistus, joka sekoittaa kaksi tärkeää periaatetta keskenään: tunnistuksen ja allekirjoituksen. Kaikki kuitataan yhdellä ja samalla PIN-koodilla, mikä avaa mahdollisuuden huijaukseen. Uhri luulee kirjautuvansa vaikkapa Omakantaan, mutta rosvo käyttääkin saamansa tunnistuksen rahansiirtoon tai mobiilipankin asentamiseen uuteen puhelimeen.

Käyttäjän tunnistaminen (todennus) ja toimenpiteen hyväksyminen (allekirjoitus) ovat kaksi aivan eri asiaa. Perinteisessä pankkitoiminnassa asiakas tunnistetaan ensin henkilöllisyystodistuksesta ja sen jälkeen rahojen siirto varmistetaan allekirjoituksella. Harva enää asioi pankissa muutoin kuin korkeintaan lainaa nostamassa, mutta periaate pätee muuallakin. Kauppakirja tai lainasopimus on pätevä vasta, kun se on molempien osapuolten allekirjoittama ja sitä ennen osapuolten henkilöllisyydet on varmistettu. 

Verkkopankin ongelma on siinä, että kaikki hoidetaan pelkällä henkilöllisyyden todentamisella. Perinteiseen tilanteeseen sovellettuna tämä tarkoittaisi sitä, että asuntokaupat voitaisiin tehdä vain todentamalla henkilöllisyys.

Jotta rahojen siirto verkkopankissa olisi turvallista, hyväksyntä pitäisi erottaa käyttäjän tunnistamisesta. Se vaatisi erillistä PIN-koodia tai kokonaan erillistä todennusohjelmaa. On helppo nähdä, miksi pankit eivät ole lähteneet tähän. Kaksi erillistä järjestelmää olisi kallis ylläpitää ja asiakkaan kannalta vaikea muistaa. Turvallisuudesta on tingitty mukavuuden ja helppokäyttöisyyden vuoksi. Se ei aikanaan ollut ongelma, mutta nyt turvallisuustilanne on aivan toinen.

Ironista on, että mobiilivarmenteessa ja varmennekortissa on erikseen allekirjoitus-PIN. Se on oikeaoppisesti pidempi (6-8 numeroa) kuin tavallinen todennus-PIN (4 numeroa), koska sitova allekirjoitus on paljon kriittisempi kuin pelkkä käyttäjän todennus. 

Käsittääkseni mobiilivarmenteen allekirjoitusta ei juuri hyödynnetä, koska varmennetta käytetään asiointipalveluissa lähinnä käyttäjän todentamiseen. Mobiilivarmenteella voi kuitenkin ottaa pikavippejä ja tehdä muita taloudellisia sitoumuksia.

Mitä pankkien sitten pitäisi tehdä? Jos kaksi PIN-koodia tai erilliset ohjelmat ovat liian hankalia, eikö pankin oma todennusohjelma voisi vaikka vaihtaa väriä tai antaa erilaiset äänimerkit riippuen siitä, ollaanko kirjautumassa palveluun (todennus) vai siirtämässä rahaa (allekirjoitus)? Väristä ja äänistä käyttäjä erottaisi tapahtumat toisistaan.

Jätän tämän idean ilmaiseksi pankkien käytettäväksi, enkä tule vaatimaan siitä IPR-oikeuksia. Digiasioinnin ja pankkien verkkotoiminnan turvaaminen on yhteinen asiamme.

---

Havainnollistan tätä vielä. Nykyisellään tilanne on tämä:

Nordea kirjautuminen verkkopankkiin.

Maksun vahvistaminen näyttää erilaiselta, mutta ei kovin paljoa:

Nordea tilisiirron vahvistaminen.

Suunnittelija on epäilemättä ollut tyytyväinen: kirjautumisen ja maksamisen vahvistusikkunat ovat aivan erilaiset. Mutta vanhempi ihminen tai kiireinen keski-ikäinen ei jaksa aina lukea tekstejä, vaan naputtelee tottuneesti PIN-koodin (tai kuittaa ilmoituksen sormenjäljellä, katseella tms. niissä pankeissa, missä se on mahdollista).

Entä jos tilisiirron vahvistaminen olisi vaikka punaisella taustalla:

Entä jos tilisiirron vahvistus olisikin punaisella värillä?

Käyttäjä havahtuisi paremmin, jos rahansiirto olisi eri värillä kuin tunnistaminen. OP-pankilla erot ikkunoissa ovat jo lähtökohtaisesti Nordeaa selkeämmät. 

OP-mobiilikirjautuminen.

Rahansiirron hyväksymisen ikkuna:

"Maksun hyväksyntä" on isolla fontilla, samoin summa näkyy selkeämmin.

Silti myös OP:n maksuikkuna olisi havainnollisempi vaikkapa punaisena:

Maksuvahvistus punaisella.

Selkeyden vuoksi myös kirjautumisikkuna voisi olla värikoodattu jollain toisella värillä.

Uhrin kannalta kaikkein vaarallisin on tilanne, jossa rosvo saa huijattua luvan asentaa mobiilipankin ohjelma omaan puhelimeensa. Sen jälkeen hän saa tilin täydellisesti hallintaansa. Voisiko tässä yhteydessä olla vielä erityinen varoitus - vaikkapa vilkkuva punainen näyttö, joka huutaisi: OLETKO NYT IHAN VARMA MITÄ OLET TEKEMÄSSÄ? On hyvin harvinaista, että mobiilipankki halutaan asentaa uuteen päätelaitteeseen. Voisi jopa vaatia, että siihen haetaan erityinen koodi puhelinpalveluun soittamalla. 

Vielä yksi asia: huomasitko, mikä oli Nordean ja OP:n lähettämä koodi? Et varmaankaan, eihän sitä kukaan katso. Suunnittelija on ajatellut, että tietenkin asiakas vertaa nettisivulla näkyvää koodia Nordean todennusohjelman koodiin (vinkki: se oli XCNL, niinpä tietysti) tai OP:n koodiin (DD88), mutta kuinka moni oikeasti tekee niin?

Miksei koodien sijaan käytetä vaikka avainsanoja, kuten "possu", "lehmä", "kuorma-auto", "viisas"... Ne kiinnittäisivät ihmisen huomion paljon paremmin kuin koodit.

Insinöörin sijaan psykologiaa, sitähän ne huijauksetkin nykyään ovat.

Muokattu 3.9.2025

< Edellinen kirjoitus tästä aiheesta.

Seuraava kirjoitus tästä aiheesta>