Tietoturva-asiantuntija Petteri Järvinen nostaa blogissaan esiin mobiilivarmenteen käytön ongelmia. Vaikka viranomaiset suosittelevat varmennetta vaihtoehtoiseksi tunnistautumistavaksi verkkopankkitunnuksille, se ei Järvisen mukaan ole luotettavuudessaan vielä pankkitunnistautumisen tasolla.
– Hyvä puoli on, että sim-kortilla oleva varmenne toimii käyttöjärjestelmästä riippumatta ja jopa vanhalla Nokian peruspuhelimella. Sitä ei tarvitse – eikä voikaan – päivittää. Huono puoli on, että toiminta Android-maailmassa voi vaihdella valmistajasta riippuen. Esimerkiksi oma Android-puhelimeni ei näytä tapahtumatunnistetta lainkaan, Järvinen huomauttaa.
Telia vastaa Suomessa mobiilivarmenteen teknisestä toteutuksesta. Elisa ja DNA tarjoavat Telian palvelua myös omiin liittymiinsä. Käytännössä käyttäjä saattaa kohdata toisen operaattorin näkymän tai virheilmoituksen kesken kirjautumisen. Tilanne voi tulla eteen esimerkiksi silloin, jos Elisan tai DNA:n asiakas tunnistautuu mobiilivarmenteella ja saakin eteensä Telian näkymän tai virheilmoituksen. Asiasta tietämättömälle tilanne voi aiheuttaa hämmennystä.
Järvinen on nostanut esiin mobiilivarmenteeseen liittyviä ongelmia aiemminkin. Verkkouutiset on kertonut aiheesta esimerkiksi tässä jutussa.
Mobiilivarmenteen voi nykyisin aktivoida netissä pankkitunnuksilla, mikä helpottaa käyttöönottoa mutta kasvattaa riskejä. Erityistä huolta Järvinen kantaa siitä, että mobiilivarmenne ei ole sidottu liittymän omistajaan. Toisen henkilön identiteetti voidaan teknisesti aktivoida uuteen laitteeseen, jos rikollinen saa kerran käyttöönsä tämän pankkitunnukset.
– Esimerkiksi puoliso voi aktivoida toisen identiteetin omaan puhelimeensa, jos pääsee tunnistautumaan kerran tämän puolesta pankkiin. Perheen sisällä tai lähipiirissä tämä ei yleensä ole ongelma, Järvinen kertoo esimerkkinä.
Edellä mainittu toiminta on laitonta, mutta teknisesti mahdollista. Prepaid-liittymiin mobiilivarmennetta ei ole saatavilla.
Järvinen viittaa myös S-pankin vuoden 2022 tietoturvatapaukseen, jossa rikolliset onnistuivat sekä anastamaan tileiltä rahaa että todennäköisesti luomaan uusia mobiilivarmenteita. Hänen mukaansa kyseessä oli vakava tunnistamisen haavoittuvuus, johon viranomaiset eivät reagoineet riittävästi.
Tietoturva-asiantuntijan mukaan järjestelmä kaipaakin vielä merkittävää kehitystä, ennen kuin se voi korvata pankkitunnukset turvallisena ja helppokäyttöisenä tunnistusmenetelmänä.
LUE MYÖS:
Mobiilivarmenteessa vakava puute – huijaus voi onnistua ilman valesivua
Verkkopankeissa on ongelma, avaa huijauksen mahdollisuuden
