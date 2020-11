Vastaamon tietomurto näytti, kuinka huonosti digitaalinen identiteettimme on suojattu – nämä kolme tapaa auttavat suojautumaan

Digi- ja väestötietovirasto ja poliisihallitus kehittävät digitaalisen identiteetin tunnistamiseen valtion takaamaa ratkaisua.

Henkilötunnus on keino erottaa yksilöt toisistaan, mutta sähköiseen tunnistautumiseen sitä ei pitäisi käyttää.­

Tietomurto psykoterapiakeskus Vastaamon asiakastietoihin nosti esille, kuinka heikosti suojattu ihmisen digitaalinen identiteetti voi olla.

Käytännössä digitaalinen identiteetti tarkoittaa kaikkia ihmiseen liittyviä henkilötietoja, jotka ovat digitaalisessa muodossa.

Sille tavallinen ihminen ei voi mitään, jos hänen henkilötietonsa vuotavat tietomurron yhteydessä, mutta siltä voi suojautua, mitä rikollinen pystyy omilla tiedoilla tekemään.

Monesti tietomurrossa vuotaa käyttäjätunnuksia ja salasanoja.

Suojautumiseen on kolme keskeistä vinkkiä:

1. Käytä kaikissa palveluissa eri salasanoja

Kun käyttää kaikissa palveluissa eri salasanoja, rikollinen ei pääse kirjautumaan mihinkään toiseen palveluun sinun nimissäsi, vaikka saisikin tietoonsa yhden palvelun salasanan.

Käyttäjätunnus valtaosaan erilaisia palveluita on sähköpostiosoite, joten kun yhden palvelun käyttäjätunnus ja salasana on saatu selville, rikolliset yrittävät todennäköisesti kirjautua niillä myös toisiin palveluihin.

2. Käytä salasanojen sijaan salalauseita

Yleissääntö on, että salasana on sitä parempi, mitä pidempi se on. Tämä johtuu ennen kaikkea siitä, että tavallisesti käyttäjien salasanat ovat erilaisissa palveluissa salatussa muodossa eli niin sanottuina tiivisteinä, minkä ansiosta palvelun ylläpitäjäkään ei tiedä niitä.

Mutta näitä tiivisteitä murretaan automatiikalla, ja lyhyen salasanan murtaminen onnistuu nykytietokoneiden laskentatehoilla hetkessä.

Hyvä salasana on ainakin lähemmäs 20 merkkiä pitkä eli oikeastaan kyse on enemmänkin salalauseesta kuin salasanasta.

Lue lisää: Salasanasi on todennäköisesti murrettavissa minuuteissa – Näin luot salalauseen, jota on nykyteknologialla liki mahdotonta hakkeroida

3. Käytä monivaiheista tunnistautumista

Monivaiheinen tunnistautuminen tarkoittaa, että palveluun ei voi kirjautua pelkästään käyttäjätunnuksella ja salasanalla, vaan niiden lisäksi tarvitsee myös jonkin muun varmenteen, että todella on tilin haltija.

Tavallisesti tällainen varmenne on esimerkiksi mobiilisovelluksen pyytämä vahvistus tai tekstiviestillä kännykkään lähetettävä kertakäyttöinen kirjautumiskoodi.

Monivaiheinen tunnistautuminen kannattaa ottaa aina käyttöön, jos se on mahdollista. Tärkeimpiä käyttäjätilejä ovat ne, joilla voi kirjautua muihin palveluihin tai joihin voi palauttaa unohtuneen salasanan. Näiden käyttäjätilien kautta ulkopuolisilla on mahdollisuus päästä käsiksi muihinkin tileihisi.

Esimerkiksi sähköpostitileille, usein käyttämilleen sosiaalisen median tileille sekä asiakastileille, joiden kautta on pääsy maksukorttitietoihisi, on hyvä ottaa monivaiheinen tunnistautuminen käyttöön.

Esimerkiksi Facebookissa voi ottaa kaksivaiheisen todennuksen käyttöön valitsemalla: Asetukset ja yksityisyys–Asetukset–Turvallisuus ja sisäänkirjautuminen–Kaksivaiheinen todennus.

Facebook ohjeistaa käyttäjiä siinä, miten kaksivaiheisen tunnistautumisen voi ottaa käyttöön.­

Usein käyttäjätunnus ja salasana tai maksukorttitiedot päätyvät rikollisille kuitenkin siksi, että ihminen tulee verkossa huijatuksi ja antaa ne itse.

Nykyään tietojenkalasteluviestit voivat olla niin taitavasti tehtyjä, että niitä ei välttämättä erota aidosta millään.

Silloin tärkein nyrkkisääntö on: jos avaat sähköpostilla lähetetyn linkin, älä koskaan syötä sivustolle salasanaasi tai maksukorttitietojasi, ellet ole täysin varma, että kyseessä on juuri oikea sivusto tai palvelu.

Lue lisää: Sähköposti näytti aidolta, ja siksi niin moni suomalainen työntekijä menee lankaan – Näin tunnistat rikollisten kalasteluyritykset, joita tulee nyt jatkuvalla syötöllä

Tietojenkalastelua tehdään myös puhelimitse. Rikolliset soittavat esimerkiksi Microsoftin teknisen tuen nimissä valtavasti huijauspuheluita.

Vastaamon tietomurrossa kylmäävää oli potilaskertomusten päätyminen vääriin käsiin, mutta digitaalisen identiteetin kannalta keskeistä oli se, että nettiin vuosi myös ihmisten henkilötunnuksia.

Rikollinen voi käyttää niitä esimerkiksi tilausten tekemiseen toisen nimissä, osamaksuihin tai pikavippeihin.

Niiden estämiseksi neljä keskeistä asiaa ovat luottokieltojen hakeminen Asiakastiedosta ja Bisnodelta, rekisteröintikiellon hakeminen Patentti- ja rekisterihallitukselta, muuttosuojauksen pyytäminen Postilta ja Digi- ja Väestövirastolta sekä tietojen luovutuksen kieltäminen Digi- ja väestövirastolta.

Henkilötunnus ei kuitenkaan ole tunnistautumisväline eikä sitä pitäisi käyttää tunnistautumiseen verkossa.

Tietoturvayhtiö Nixun digitaalisen liiketoiminnan johtaja Joonatan Henriksson puhuu henkilötunnuksesta ”puolisalaisena tunnisteena”, jonka käytöstä tunnistautumiseen täytyy päästä kokonaan eroon.

Henriksson on työskennellyt pitkään digitaalisten identiteettien parissa ja ollut vetämässä avoimeen lähdekoodiin perustuvaa SisuID-hanketta. Sen tavoitteena on luoda luotettava ja maksuton sähköisen tunnistamisen ratkaisu kaikille suomalaisille.

Toistaiseksi SisuID:tä on testattu muun muassa Verohallinnon, Postin, opetus- ja kulttuuriministeriön sekä Finnairin kanssa.

Jos verkkopalvelua tarjoava yritys haluaa tänä päivänä varmasti saada selville käyttäjän henkilöllisyyden, se onnistuu kahdella tapaa: pankkien tunnuksilla tai Dnan, Elisan ja Telian tarjoamalla Mobiilivarmenteella.

Niiden käyttämisestä syntyy kuitenkin palveluntarjoajalle maksuja, mikä on rajoittanut pankkitunnusten ja Mobiilivarmenteen käyttöä.

Palvelun käyttäjällä pitää puolestaan olla asiakassuhde pankkiin tai operaattoriin, jotta hän saa palvelun käyttöönsä.

”Palveluntarjoajille tarpeeksi edullisen ja myös puhelin- ja tiskiasioinnissa käytettävän sähköisen tunnistamisen saaminen kansallisesti kaikkien käyttöön on isoin parannus, joka tähän nyt tarvittaisiin ja olisi tarvittu jo monta vuotta sitten, jotta olisi oikeasti päästy vähentämään esimerkiksi henkilötunnuksiin liittyvien identiteettivarkauksien määrää”, Henriksson sanoo.

”Pankit ja operaattorit ovat tehneet hyvää työtä siinä, että meillä ylipäänsä on netissä toimivat vahvan sähköisen tunnistamisen välineet. Mutta Vastaamon tietomurto on taas osoittanut, että tilanne ei silti ole tarpeeksi hyvällä tolalla.”

Digi- ja väestötietovirasto (DVV) eli silloinen Väestörekisterikeskus teki keväällä 2019 valtiovarainministeriön toimeksiannosta selvityksen sähköisen tunnistamisen tarpeista.

Sen pohjalta on tällä hetkellä kehitteillä digitaalinen henkilöllisyystodistus, kertoo Digi- ja väestötietoviraston ylijohtaja Pekka Rehn.

DVV:n lisäksi hanketta on toteuttamassa poliisihallitus.

Sen perimmäinen tarkoitus on, että tulevaisuudessa jokaisella suomalaisella ja Suomessa asuvalla on valtion takaama ydinidentiteetti verkossa. Se toimisi pohjana erilaisille digitaalisille ratkaisuille, joissa on tarpeen saada ihmisistä henkilötietoja.

Vielä on auki, miten digitaalinen henkilöllisyystodistus tullaan toteuttamaan.

Ensimmäisessä vaiheessa sillä on tarkoitus päästä kirjautumaan viranomaispalveluihin ja myöhemmin tarjota se käyttöön tunnistautumisvälineeksi myös kaupallisille toimijoille.

Se siis toimisi samalla periaatteella kuin pankkien ja operaattorien sähköisen tunnistautumisen välineet.

Lisäksi digitaalinen henkilöllisyys -hankkeen yksi kehityssuunta on niin sanottu lupalompakko, jossa ihmisellä olisi keskeiset henkilökohtaiset rekisteritietonsa yhdessä digitaalisessa sovelluksessa.

Rehnin mukaan ajatus on, että sitä käyttäessä ei tarvitsisi luovuttaa henkilötietoja muihin palveluihin, vaan palveluntarjoajat saisivat ainoastaan sen tiedon, mitä ne välttämättä kussakin tilanteessa tarvitsevat.

Jos palveluntarjoaja on esimerkiksi autovuokraamo, se saisi asiakkaasta tiedon, onko hänellä ajo-oikeus, mutta muita ajokortin tietoja ei tarvitsisi antaa sen asiakastietojärjestelmään, Rehn esittelee.

Tämän hetken arvion mukaan Digi- ja väestövirasto julkaisee ensimmäisen version digitaalinen henkilöllisyys -ratkaisusta vuoden 2022 aikana.