Rikolliset tekevät paljon pahaa mobiilivarmenteilla, koska he voivat. Mikään ei estä. Ongelma on ollut tiedossa jo pitkään, mutta siihen ei reagoida. Näin kirjoittaa tietoturvayrittäjä Petteri Järvinen Tietoviikossa.

Esimerkiksi it-jätti Visma poisti mobiilivarmenteen taloushallinnon Netvisor-ohjelmistostaan marraskuun lopussa. Syynä oli turvallisuus. Yhtiö oli havainnut, että asiakkailta oli huijattu suuria summia rahaa. Viranomaiset ja operaattorit eivät reagoineet julkisesti mitenkään.

Viranomaisten ja pankkien suositus on, että pankkitunnuksilla mentäisiin pelkästään pankkiin ja muissa tilanteissa käytettäisiin mobiilivarmennetta. Jos mobiilivarmenteen turvallisuus pettää, kyse on isosta ongelmasta. Mobiilivarmenteella voi hakea esimerkiksi pikavippejä, muokata henkilötietoja ja asioida viranomaispalveluissa kuten verohallinnossa, Kelassa ja terveyspalveluissa. Mobiilivarmenteen tekniikka on sinänsä turvallista, mutta sen käyttöön liittyy riskejä.

Suomi aloitti vuosituhannen vaihteessa HST/FINEID -nimisen hankkeen sähköisen tunnistautumisen mahdollistamiseksi. Hanke kuitenkin tyssäsi, koska pankit harasivat sitä vastaan. Näin pankkitunnuksista tuli vallitseva sähköisen tunnistautumisen väline. Jotta tunnistautumismarkkinoille saatiin kilpailua, kehitettiin mobiilivarmenne.

Verkkopankki teki mobiilivarmenteiden käyttöönoton liian helpoksi.

Operaattorit alkoivat tarjota sim-korttiin sidottua varmennetta vuonna 2010, mutta sille ei ollut kysyntää. Palveluita oli vähän, ja kuluttajat olivat tyytyväisiä pankkien tarjoamaan tunnistautumiseen. Lisäksi sim-korttivarmenteen ottaminen käyttöön oli vaikeaa: piti vaihtaa sim-kortti, ja se tapahtui henkilöllisyyden tarkastamista vastaan asiakaspalvelupisteessä. Niinpä operaattorit alkoivat lisätä varmenteen sim-kortille valmiiksi. Sitten se piti aktivoida verkkopankkitunnuksilla.

Kun varmenne aktivoidaan pankkitunnuksilla, kukaan ei tarkista, kenen liittymästä on kyse. Mistään ei myöskään voi tarkistaa, kuinka monta mobiilivarmennetta ihmisen nimissä on. Silloin ei selviä myöskään tietoja siitä mihin numeroihin ne on yhdistetty tai milloin ne on aktivoitu.

Jos rikollinen saa uhrin kirjautumaan kalastelusivulla pankkiin, hän pystyy hakemaan uhrin mobiilivarmenteen ja saa pysyvän pääsyn sähköiseen identiteettiin. Kaikki tämä tapahtuu ilman, että uhri saa tietää siitä mitään.

Järvisen mukaan valvova viranomainen ja operaattorit ovat tienneet ongelmasta jo pitkään. Esimerkiksi kun S-Pankkiin tehtiin tietomurto vuonna 2022, murtautujat loivat mobiilivarmenteita luvattomasti toisten ihmisten verkkopankkiin päästyään.

Tällaisilla voidaan esimerkiksi hakea pikavippejä tai muokata ihmisen henkilötietoja. Jos pankkitunnukset joutuvat vääriin käsiin, niillä voi verkossa hankkia mobiilivarmenteen yhdeltä operaattorilta tai vaikka kaikilta. Järvisen mukaan kansalaisilla on silti edelleen virheellinen kuvitelma, että mobiilivarmenne on pankkitunnuksia turvallisempi.

Järvinen ehdottaa, että aluksi uusien mobiilivarmenteiden myöntäminen pelkillä pankkitunnuksilla tulisi välittömästi lopettaa, tai ainakin vaatia enemmän kuin yksi tunnistuskerta. Mobiilivarmenteiden väärinkäyttö on vielä pieni, mutta kasvava ongelma. Ainakin rikolliset ovat hereillä, mistä kertoo poliisin varoitus viime kesältä.

Helsingin poliisi tiedotti kesäkuussa, että sillä on esitutkinnassa tapauksia, joissa epäillyt olivat nostaneet yli 10 000 euroa luottoa mobiilivarmenteilla. Huijaus toteutettiin kalastelemalla ihmiseltä mobiilivarmenteen tunnusluku ja käyttämällä mobiilivarmennetta asianomistajan tietojen tarkasteluun sekä lainojen hakemiseen.