Tietoturva-asiantuntijan Petteri Järvisen mukaan yksi syy pankkihuijauksiin on suomalainen digitunnistus, joka sekoittaa keskenään kaksi tärkeää periaatetta eli tunnistuksen ja allekirjoituksen.
– Kaikki kuitataan yhdellä ja samalla PIN-koodilla, mikä avaa mahdollisuuden huijaukseen. Uhri luulee kirjautuvansa vaikkapa Omakantaan, mutta rosvo käyttääkin saamansa tunnistuksen rahansiirtoon tai mobiilipankin asentamiseen uuteen puhelimeen, Petteri Järvinen kirjoittaa blogissaan.
Järvinen painottaa, että käyttäjän tunnistaminen (todennus) ja toimenpiteen hyväksyminen (allekirjoitus) ovat kaksi aivan eri asiaa.
– Perinteisessä pankkitoiminnassa asiakas tunnistetaan ensin henkilöllisyystodistuksesta ja sen jälkeen rahojen siirto varmistetaan allekirjoituksella. Harva enää asioi pankissa muutoin kuin korkeintaan lainaa nostamassa, mutta periaate pätee muuallakin. Kauppakirja tai lainasopimus on pätevä vasta, kun se on molempien osapuolten allekirjoittama ja sitä ennen osapuolten henkilöllisyydet on varmistettu, Järvinen selventää.
Hänen mukaansa verkkopankin ongelma on siinä, että kaikki hoidetaan pelkällä henkilöllisyyden todentamisella.
– Perinteiseen tilanteeseen sovellettuna tämä tarkoittaisi sitä, että asuntokaupat voitaisiin tehdä vain todentamalla henkilöllisyys, Järvinen sanoo.
Jotta rahojen siirto verkkopankissa olisi turvallista, hyväksyntä pitäisi Järvisen mukaan erottaa käyttäjän tunnistamisesta. Se vaatisi erillistä PIN-koodia tai kokonaan erillistä todennusohjelmaa.
– On helppo nähdä, miksi pankit eivät ole lähteneet tähän. Kaksi erillistä järjestelmää olisi kallis ylläpitää ja asiakkaan kannalta vaikea muistaa. Turvallisuudesta on tingitty mukavuuden ja helppokäyttöisyyden vuoksi. Se ei aikanaan ollut ongelma, mutta nyt turvallisuustilanne on aivan toinen.
Järvisen mukaan ironista on, että mobiilivarmenteessa ja varmennekortissa on erikseen allekirjoitus-PIN. Se on oikeaoppisesti pidempi, 6–8 numeroa, kuin tavallinen nelinumeroinen todennus-PIN.
– Koska sitova allekirjoitus on paljon kriittisempi kuin pelkkä käyttäjän todennus, Järvinen huomauttaa.
Tietoturva-asiantuntijan käsityksen mukaan mobiilivarmenteen allekirjoitusta ei kuitenkaan juuri hyödynnetä. Tämä johtuu siitä, että varmennetta käytetään asiointipalveluissa lähinnä käyttäjän todentamiseen.
– Mobiilivarmenteella voi kuitenkin ottaa pikavippejä ja tehdä muita taloudellisia sitoumuksia, Järvinen muistuttaa.
Järvisellä on antaa vastaus siihen, mitä pankkien pitäisi nyt tehdä.
– Jos kaksi PIN-koodia tai erilliset ohjelmat ovat liian hankalia, eikö pankin oma todennusohjelma voisi vaikka vaihtaa väriä tai antaa erilaiset äänimerkit riippuen siitä, ollaanko kirjautumassa palveluun (todennus) vai siirtämässä rahaa (allekirjoitus)? Väristä ja äänistä käyttäjä erottaisi tapahtumat toisistaan, Järvinen ehdottaa.
– Jätän tämän idean ilmaiseksi pankkien käytettäväksi, enkä tule vaatimaan siitä IPR-oikeuksia. Digiasioinnin ja pankkien verkkotoiminnan turvaaminen on yhteinen asiamme, hän jatkaa.
LUE MYÖS:
Mobiilivarmenteessa vakava puute – huijaus voi onnistua ilman valesivua
