Tarkista selaimen asetuksista, että JavaScript ja evästeet ovat käytössä.

Mikäli JavaScript on käytössä, mutta jokin selainlaajennus estää sen lataamisen, poista selainlaajennus käytöstä.

Paha tietoturva-aukko altistaa yritykset valemaksuille

Suomalaisen ohjelmistoyhtiön Baswaren tietoturvaongelmat voivat mahdollistaa maksujen tekaisun yritysten nimissä

Talous
 
Benjamin Suomela
Ohjelmistoyhtiö Baswaren pääkonttori sijaitsee Espoon Leppävaarassa.
Ohjelmistoyhtiö Baswaren pääkonttori sijaitsee Espoon Leppävaarassa. Kuva: Benjamin Suomela

Suomalaisissa ja muissa pohjoismaisissa yrityksissä yleisesti käytettävässä maksuliikenneohjelmistossa on pahoja tietoturvapuutteita, ilmenee Helsingin Sanomien tekemästä selvityksestä.

Pahimmassa tapauksessa yritysten nimissä voi tehdä maksuja siten, että yritys tai pankit eivät välttämättä havaitse niiden olevan tekaistuja.

Tietoturvaongelma koskee ainoastaan yritysten maksuliikennettä, eikä se aiheuta vaaraa kuluttajille.

Tekaistuja maksuja voi ainakin periaatteessa tehdä yritysten oikeiden asiakkaiden nimissä, jolloin varojen siirtymistä väärille pankkitileille ei havaita kuin vasta jälkeenpäin – jos silloinkaan.

Vilpillisiä maksuja pystyy tekemään, jos pääsee yrityksen sisäverkkoon tai yksittäiselle työasemalle.

Suomalaiset pankit eivät ole tietoisia asiasta, eikä niiden tietoturvassa ilmeisesti ole ongelmia.

Tietoturvaongelma on suomalaisen ohjelmistoyhtiö Baswaren kolmessa maksuliikenneohjelmistossa.

Maksuliikenne työaseman ja tietokantapalvelimen välillä on suojaamatonta, jolloin sitä pystyy lukemaan ja muokkaamaan sisäverkossa tai työasemalta. Yksinkertaistaen ongelma on se, että ohjelmiston käyttäjä pystyy verraten helposti tekemään perusteettomia maksuja pääkäyttäjän oikeuksia hyödyntäen.

Fakta

1 500 työntekijän ohjelmistoyhtiö

 Basware on suomalainen vuonna 1985 perustettu ohjelmistoyhtiö, joka on erikoistunut yritysten taloushallinnon automatisointiin.

 Yhtiön mukaan se pyrkii paremmalla talousohjauksella auttamaan asiakkaitaan menestymään ja tuottamaan lisäarvoa liiketoiminnalle.

 Baswaren liikevaihto oli viime vuonna 128 miljoonaa euroa ja liikevoitto 4,3 miljoonaa euroa.

 Kannattavuutta mittava liikevoittoprosentti oli 2,7. Ohjelmistoyhtiöksi Baswaren kannattavuus on hyvin heikko.

 Viime vuoden lopussa yhtiön palveluksessa oli 1 498 työntekijää, joista 479 työskenteli Suomessa. Eniten Baswarella on työntekijöitä Intiassa, jossa sen palveluksessa on 500 henkeä.

Aalto-yliopiston tietoverkkotekniikan professori Jukka Manner tutustui Helsingin Sanomien hankkimiin tietoihin Baswaren kolmen tuotteen tietoturvapuutteista.

"Dokumenttien valossa ohjelmisto on suunniteltu ja toteutettu huolimattomasti, mikä aiheuttaa ilmeisen suuren tietoturvariskin. Yhteyttä ei ole suojattu, ja käyttöoikeudet on mahdollista saada kohtalaisen helposti, jos on riittävät tietotekniset taidot. Pahimmillaan voi olla pääsy yritysten kriittisen tärkeisiin maksutietoihin ja todennäköisesti myös mahdollisuus tehdä tekaistuja maksuja ja jopa piilottaa väärennetyt maksutiedot."

Lokakuussa Basware lähetti asiakkailleen tiedotteen, jonka perusteella ongelman vakavuutta voi olla vaikea ymmärtää. Viestintävirasto on tiennyt asiasta yli puoli vuotta, mutta ei ole kertonut siitä julkisesti.

Viestintäviraston Kyberturvallisuuskeskus on kansallinen tietoturvaviranomainen, jonka tehtäviin kuuluu tietoturvaloukkausten ennaltaehkäisy, havainnointi, ratkaisu ja tietoturvauhkista tiedottaminen.

Johtava asiantuntija Erka Koivunen Kyberturvallisuuskeskuksesta kertoo, että he saivat tiedon haavoittuvuudesta viime kesänä.

"Olemme yhtiön kanssa käyneet keskusteluja siitä, miten ongelma voitaisiin korjata ennen kuin tieto tulee julkisuuteen. Meille on kerrottu, että haavoittuvuudesta kerrotaan yhtiön asiakkaille ja heille annetaan ohjeet sen korjaamiseksi. Meille ei ole syntynyt käsitystä, että asia olisi jäänyt pimentoon. Pikemminkin syntyi käsitys, että siitä tiedottaminen ennalta voisi mahdollisesti aiheuttaa suurta vahinkoa ja haittaa, koska siihen ei olisi varauduttu", sanoo Koivunen.

Suurten yritysten maksuliikenne on nykyisin pääosin automatisoitua, joten ne eivät välttämättä edes havaitse tekaistuja maksuja. Maksuliikenne näyttää ohjelmiston kautta olevan tarkasteluna normaalia. Pankkitilien saldot voivat näyttää jotakin aivan muuta kuin sen, kuinka paljon tileillä on todellisuudessa varoja.

"Olemme tietoisia asiasta. Toimivaltamme kohdistuu kuitenkin vain valvottaviin yrityksiin, ei muihin yrityksiin, jotka toimittavat ohjelmistoja maksujen välitykseen", sanoo Finanssivalvonnan johtava riskiasiantuntija Anne Nisén.

Finanssivalvonta on Suomen rahoitus- ja vakuutusvalvontaviranomainen, jonka valvottaviin kuuluvat pankit, vakuutusyhtiöt, sijoituspalveluyhtiöt, rahastoyhtiöt ja Helsingin pörssi.

Viestintävirasto aikoo tiedottaa asiasta pian, koska siitä on tullut julkinen.

"Uskaltaisin väittää, että ohjelmiston luonteen tuntien yhtiön asiakkaista kaikki eivät ole haavoittuvuuksia korjanneet", sanoo Koivunen.

Tämä aihe on kiinnostava, haluaisin lisää tällaisia uutisia!

Kiitos mielipiteestäsi!

Uusimmat