Tietoturva http://pelisuomi.puheenvuoro.uusisuomi.fi/taxonomy/term/138168/all Wed, 05 Sep 2018 08:17:08 +0300 fi Varas voi viedä rahasi mobiiliverkkopankista ellet varaudu erikoisella tavalla http://jannepitknen1.puheenvuoro.uusisuomi.fi/260478-varas-voi-vieda-rahasi-mobiiliverkkopankista-ellet-varaudu-erikoisella-tavalla <p>Tiesitkö, että pankkitilisi voidaan tyhjentää pelkällä puhelimella, jos käytät mobiiliverkkopankkia ja tunnuslukusovellusta. Puhallus tapahtuu huomaamattomasti näin:</p><ol><li><p>Puhelimeesi asennetaan huomaamattasi näytöntallennussovellus ja kehittäjäasetuksista laitetaan päälle näyttökosketusten visualisointi.&nbsp;</p></li><li><p>Käytät verkkopankkia, etkä huomaa taustalla pyörivää näytöntallennussovellusta. Asiakasnumerosi tallentuu näytöltä ja tunnuslukusovelluksen pin-koodin syöttämisessä näppäiltyjen numeroiden paikat paljastuvat.&nbsp;</p></li><li><p>Puhelimesi uudestaan käsiinsä saanut varas tekee tilisiirrot tallenteesta saamillaan asiakasnumerolla ja pin-koodilla. Vaikka summat olisivat riittävän suuria vaatiakseen tekstiviestivahvistuksen, varas kuittaa nämä samalla puhelimella yksin tein.&nbsp;</p><hr /></li></ol><p>Kuva 1: Ensimmäisessä näyttökuvassa vasemmalla käyttäjätunnuksen syöttö, jonka jälkeen tunnuslukusovelluksen käyttö, missä näytöntallennus on estetty, näkyy mustana. Näissä mustissa kuvissa pin-koodin näppäilyjen paikat ovat kuitenkin tunnistettavissa kakkoseksi, neloseksi, seiskaksi ja kahdeksikoksi, minkä jälkeen oikeanpuolimmaisessa näyttökuvasssa siirtyminen verkkopankkiin on juuri tapahtumassa.</p><hr /><p>Tämä puhallus vaatii puhelimeen käsiksi pääsemisen ja mahdollisen näyttölukituksen avaamisen kahteen otteeseen. Mitään muuta ei kuitenkaan tarvita ja puutteet tunnistautumisen turvallisuudessa saattavat mahdollistaa puhalluksen myös etänä haittaohjelmien avulla. Nordean asiakaspalvelussa vakuutellaan toistuvasti, että tunnuslukusovellus tuhoaa itsensä turvallisesti, jos puhelimen tai sovelluksen tietoturvaa yritetään murtaa. Tämä ei pitänyt lainkaan paikkansa kun tallensimme mobiiliverkkopankin käyttöä Android-puhelimella ylläkuvatulla tavalla.</p><p>Mobiiliverkkopankin käyttö helpottaa sen verran paljon pankkiasioiden hoitoa, että siitä ei mielellään luopuisi, vaikka uudessa versiossa ei enää ole tunnuslukukorttiin tai tunnuslukulaitteeseen perustuvia turvallisempia tunnistautumistapoja. Oma ratkaisuni asiaan on sim-kortilla varustettu älykello, jonka liittymään tekstiviestivarmistukset on ohjattu tehtäväksi puhelimesta riippumattomalla tavalla.</p><hr /><p>Kuva 2: Sim-kortilla varustettu älykello mahdollistaa sen, ettei samalla puhelimella, jolla käytetään mobiilipankkia, voi kuitata tekstiviestivahvistuksia.</p><hr /><p>Normaalikäytössä yhden laitteen varassa oleva verkkopankin käyttö ja tunnistautuminen on riskialtis ja merkittävä heikennys mobiiliverkkopankin tietoturvaan. Tunnuslukulaitteen käyttö tulisi ainakin olla mahdollista, koska keskivertokäyttäjältä ei voi edellyttää kahden puhelinliittymän käyttöä rahojen pitämiseksi turvassa. Pin-koodin paljastuminen voitaisiin myös estää satunnaistamalla numeronäppäinten paikat tunnuslukusovelluksessa. Keskivertokäyttäjälläkin voi olla tuhansia tai jopa kymmeniä tuhansia euroja rahaa mobiiliverkkopankin ulottuvilla.&nbsp;</p> Tiesitkö, että pankkitilisi voidaan tyhjentää pelkällä puhelimella, jos käytät mobiiliverkkopankkia ja tunnuslukusovellusta. Puhallus tapahtuu huomaamattomasti näin:

  1. Puhelimeesi asennetaan huomaamattasi näytöntallennussovellus ja kehittäjäasetuksista laitetaan päälle näyttökosketusten visualisointi. 

  2. Käytät verkkopankkia, etkä huomaa taustalla pyörivää näytöntallennussovellusta. Asiakasnumerosi tallentuu näytöltä ja tunnuslukusovelluksen pin-koodin syöttämisessä näppäiltyjen numeroiden paikat paljastuvat. 

  3. Puhelimesi uudestaan käsiinsä saanut varas tekee tilisiirrot tallenteesta saamillaan asiakasnumerolla ja pin-koodilla. Vaikka summat olisivat riittävän suuria vaatiakseen tekstiviestivahvistuksen, varas kuittaa nämä samalla puhelimella yksin tein. 


Kuva 1: Ensimmäisessä näyttökuvassa vasemmalla käyttäjätunnuksen syöttö, jonka jälkeen tunnuslukusovelluksen käyttö, missä näytöntallennus on estetty, näkyy mustana. Näissä mustissa kuvissa pin-koodin näppäilyjen paikat ovat kuitenkin tunnistettavissa kakkoseksi, neloseksi, seiskaksi ja kahdeksikoksi, minkä jälkeen oikeanpuolimmaisessa näyttökuvasssa siirtyminen verkkopankkiin on juuri tapahtumassa.


Tämä puhallus vaatii puhelimeen käsiksi pääsemisen ja mahdollisen näyttölukituksen avaamisen kahteen otteeseen. Mitään muuta ei kuitenkaan tarvita ja puutteet tunnistautumisen turvallisuudessa saattavat mahdollistaa puhalluksen myös etänä haittaohjelmien avulla. Nordean asiakaspalvelussa vakuutellaan toistuvasti, että tunnuslukusovellus tuhoaa itsensä turvallisesti, jos puhelimen tai sovelluksen tietoturvaa yritetään murtaa. Tämä ei pitänyt lainkaan paikkansa kun tallensimme mobiiliverkkopankin käyttöä Android-puhelimella ylläkuvatulla tavalla.

Mobiiliverkkopankin käyttö helpottaa sen verran paljon pankkiasioiden hoitoa, että siitä ei mielellään luopuisi, vaikka uudessa versiossa ei enää ole tunnuslukukorttiin tai tunnuslukulaitteeseen perustuvia turvallisempia tunnistautumistapoja. Oma ratkaisuni asiaan on sim-kortilla varustettu älykello, jonka liittymään tekstiviestivarmistukset on ohjattu tehtäväksi puhelimesta riippumattomalla tavalla.


Kuva 2: Sim-kortilla varustettu älykello mahdollistaa sen, ettei samalla puhelimella, jolla käytetään mobiilipankkia, voi kuitata tekstiviestivahvistuksia.


Normaalikäytössä yhden laitteen varassa oleva verkkopankin käyttö ja tunnistautuminen on riskialtis ja merkittävä heikennys mobiiliverkkopankin tietoturvaan. Tunnuslukulaitteen käyttö tulisi ainakin olla mahdollista, koska keskivertokäyttäjältä ei voi edellyttää kahden puhelinliittymän käyttöä rahojen pitämiseksi turvassa. Pin-koodin paljastuminen voitaisiin myös estää satunnaistamalla numeronäppäinten paikat tunnuslukusovelluksessa. Keskivertokäyttäjälläkin voi olla tuhansia tai jopa kymmeniä tuhansia euroja rahaa mobiiliverkkopankin ulottuvilla. 

]]>
42 http://jannepitknen1.puheenvuoro.uusisuomi.fi/260478-varas-voi-vieda-rahasi-mobiiliverkkopankista-ellet-varaudu-erikoisella-tavalla#comments Kotimaa Pankkipalvelut Sähköinen tunnistautuminen Tietoturva Wed, 05 Sep 2018 05:17:08 +0000 Janne Pitkänen http://jannepitknen1.puheenvuoro.uusisuomi.fi/260478-varas-voi-vieda-rahasi-mobiiliverkkopankista-ellet-varaudu-erikoisella-tavalla
Hallitus haluaa myydä kansalaisten terveystietoja http://nikokaistakorpi.puheenvuoro.uusisuomi.fi/259841-hallitus-haluaa-myyda-kansalaisten-terveystietoja <p>Kaiken sotehässäkän taustalla perustuslakivaliokunnassa on käsittelyssä ns toisiolaki, joka mahdollistaisi kerätyn kansalaisten terveystiedon luovuttamisen erilaisiin tarkoituksiin. Tietoviikon mukaan <em>hallitus uskoo, että potilastiedot voisivat olla Suomelle melkoinen rahasampo, sillä dataa voitaisiin hyödyntää kaupallisten keksintöjen tekemisessä. Tämän povataan tuottavan tuhdin rahavirran yritysten kassoihin</em>.</p><p>Tämä laki on edennyt monilta kansalaisilta pimennossa suurempien soteasioiden taustalla. Kuitenkin tässä on kyse todella suurista asioista ja merkittävästä päätöksestä, jota ollaan jälleen kerran ajamassa kiireellä ja puutteellisilla selvityksillä.</p><p><strong>Keskustan sote-valiokunnan jäsenen mukaan tietojen hakkerointi ei ole mahdollista</strong></p><p><a href="https://www.tivi.fi/Kaikki_uutiset/uhka-mahdollisuus-vai-selva-katastrofi-seura-hallitus-haluaa-myyda-kansalaisten-terveystietoja-hakkerointi-ei-mahdollista-6737343?utm_source=Tivi_Uutiskirje&amp;utm_medium=email&amp;utm_campaign=Tivi_Uutiskirje">Tietoviikko kertoo</a>:</p><p><em>&quot;Toisiolakia valmisteleva STM vakuuttaa, että tietojen vuotaminen on turha pelko.&quot;</em></p><p><em>&rdquo;Tuleva tietoympäristö on sellainen, ettei hakkerointi ole enää mahdollista&rdquo;, sanoo sote-valiokunnan jäsen, erikoislääkäri ja kansanedustaja <strong>Martti Talja</strong> (kesk).</em></p><p>Itse tietoturva-asioiden parissa työskennelleenä ja mm Kansallisen turvallisuusauditointikriteeristö Katakrin tuntevana voin kyllä kohtuullisella rintaäänellä todeta, ettei nyt arvon kansanedustajan lausunnot oikein vakuuta. Samalla kannalla ovat useat tietoturva-asiantuntijat lausunnoissaan.</p><p>Kansanedustaja kertoo, että hakkerointi ei ole mahdollista - varsin absurdi lausunto. Varsinkin kun Seura kertoo STM:n todenneen, että tietoja voisi kuitenkin käsitellä etäyhteydellä.</p><p><strong>Hallitus aikoo jättää tekemättä EU:n tietosuoja-asetuksen edellyttämän vaikutusten arvioinnin</strong></p><p>Tampereen kaupungin tietosuojavastaava Ari Andreasson kertoo <a href="https://seura.fi/asiat/ajankohtaista/terveystietojen-myyminen-voisi-olla-suomen-rahasampo-mureneeko-tietosuoja-jos-toisiolaki-sallii-kansalaisten-tietojen-kauppaamisen/">Seura-lehdelle</a>, että toisiolaista pitäisi ehdottomasti tehdä EU:n tietosuoja-asetuksen edellyttämä vaikutusten arviointi, niin sanottu DPIA (data protection impact assessment). Siinä käytäisiin läpi, mitä seurauksia suomalaisille voisi pahimmillaan koitua. Kun riskit olisivat selvästi tiedossa ja ne olisi dokumentoitu, myös tietoturva osattaisiin mitoittaa oikein.</p><p>STM kertoo ettei varsinaista DPIA:ta ole tehty, vaikkakin riskejä on kartoitettu.</p><p>Tietosuojavaltuutetun mukaan EU-oikeuden ja EU:n tietosuoja-asetuksen mukaan ihmisten sote-tietoja ei voi käyttää kaupalliseen toimintaan lupaa kysymättä, vaikka tiedot olisikin anonymisoitu. GDPR on jokin aika sitten tullut voimaan ja kuitenkin näin kriittisen tiedon osalta halutaan jo kiertää sen vaatimuksia ja olla tekemättä kattavia selvityksiä. Jälleen kerran kiireellä mennään välittämättä seurauksista.</p><p>Ei tämä näin voi mennä.</p><p><strong>Tietosuojavaltuutettu Aarnio epäilee ymmärtävätkö kansanedustajat kokonaisuutta</strong></p><p>Useat lait vaikuttavat toisiinsa ja tietosuojavaltuutettu Aarnio toteaakin Seura-lehdelle:</p><p><em>&rdquo;Vieno kysymykseni kollegoille ministeriössä ja eduskunnassa kuuluu, että kuka pysyy enää perässä siitä, mitä tässä tapahtuu.&rdquo;</em></p><p>Keskustelun vähäisyydestä päätellen kansalaisetkaan eivät tunnu oikein sisäistävän kuinka suuresta asiasta on kysymys. Esimerkkinä mainittakoon, että samaan aikaan käynnissä olevan biopankkilain uudistus yhdessä toisiolain kanssa mahdollistaa geenitiedon luovuttamisen.</p><p>Tähän asti potilastietoja on saanut käyttää vain potilaan hoitamiseen eli siihen tarkoitukseen, mihin tiedot on vastaanotolla kerätty. Potilaalta on tarvittu erillinen suostumus tietojen käyttämiseen esimerkiksi lääketieteelliseen tutkimukseen. Toisiolaki kuitenkin sallisi sote-tietojen luovuttamisen kaupalliseen tutkimus-, kehitys- ja innovaatiotoimintaan. Tarkoitus on varsin löyhästi määritelty ja sen ei pitäisi sellaisenaan mennä läpi.</p><p><strong>Hyötyjä ja haittoja - molempia punnittava</strong></p><p>Suomessa on kansalaisista kerätty poikkeuksellisen kattavat terveystiedot verrattuna moneen muuhun maahan ja se herättää kiinnostusta. Tästä tiedosta olisi hyötyä monelle taholle kuten lääkkeiden sekä hoitojen kehittämiseen. Tietoja on pääosin tarkoitus luovuttaa anonymisoituna, mutta erilaislla big datan analyysikeinoilla ja/tai tekoälyllä saatetaan yhdistelyä voida tulevaisuudessa hyvinkin onnistua tekemään.</p><p>Ehdotuksen mukaan oltaisiin kuitenkin luovuttamassa todella arkaluonteisia tietoa, joita mahdoolisesti toteutuvien sote-järjestelmien myötä kertyy yhä lisää ja niitä yhdistellään. Esimerkiksi sosiaalihuollon tiedot ovat yhdistettävissä.</p><p>Ainakaan tällaisia päätöksiä ei pitäis tehdä kiireellä tänä syksynä teettämättä kunnollisia arviointeja. Hallituskauden lähetessä loppuaan yhä usempaa lakimuutosta koitetaan viedä kiireellä läpi, mutta ainakaan tätä kauaskantoista päätöstä ei saisi tehdä vaillinnaisin tiedoin.</p><p>Kansalaisen ja luulen myös kansanedustajan on erittäin vaikea ymmärtää lakien vaikutuksia toisiinsa ja mitä niiden yhteisvaikutuksena mahdollistuu. Tätäkin toisiolakia sovellettaisiin yhdessä monien muiden lakien kanssa kuten valmisteilla olevien biopankkilain uudistuksen, genomilain sekä soten valinnanvapauslainsäädännön kanssa.</p><p>Nyt malttia tähän touhuun eikä kaikkea kertarysäyksellä ilman kunnon harkintaa ja keskustelua.</p><p>&nbsp;</p><div class="field field-type-number-integer field-field-first-published"> <div class="field-items"> <div class="field-item odd"> 0 </div> </div> </div> Kaiken sotehässäkän taustalla perustuslakivaliokunnassa on käsittelyssä ns toisiolaki, joka mahdollistaisi kerätyn kansalaisten terveystiedon luovuttamisen erilaisiin tarkoituksiin. Tietoviikon mukaan hallitus uskoo, että potilastiedot voisivat olla Suomelle melkoinen rahasampo, sillä dataa voitaisiin hyödyntää kaupallisten keksintöjen tekemisessä. Tämän povataan tuottavan tuhdin rahavirran yritysten kassoihin.

Tämä laki on edennyt monilta kansalaisilta pimennossa suurempien soteasioiden taustalla. Kuitenkin tässä on kyse todella suurista asioista ja merkittävästä päätöksestä, jota ollaan jälleen kerran ajamassa kiireellä ja puutteellisilla selvityksillä.

Keskustan sote-valiokunnan jäsenen mukaan tietojen hakkerointi ei ole mahdollista

Tietoviikko kertoo:

"Toisiolakia valmisteleva STM vakuuttaa, että tietojen vuotaminen on turha pelko."

”Tuleva tietoympäristö on sellainen, ettei hakkerointi ole enää mahdollista”, sanoo sote-valiokunnan jäsen, erikoislääkäri ja kansanedustaja Martti Talja (kesk).

Itse tietoturva-asioiden parissa työskennelleenä ja mm Kansallisen turvallisuusauditointikriteeristö Katakrin tuntevana voin kyllä kohtuullisella rintaäänellä todeta, ettei nyt arvon kansanedustajan lausunnot oikein vakuuta. Samalla kannalla ovat useat tietoturva-asiantuntijat lausunnoissaan.

Kansanedustaja kertoo, että hakkerointi ei ole mahdollista - varsin absurdi lausunto. Varsinkin kun Seura kertoo STM:n todenneen, että tietoja voisi kuitenkin käsitellä etäyhteydellä.

Hallitus aikoo jättää tekemättä EU:n tietosuoja-asetuksen edellyttämän vaikutusten arvioinnin

Tampereen kaupungin tietosuojavastaava Ari Andreasson kertoo Seura-lehdelle, että toisiolaista pitäisi ehdottomasti tehdä EU:n tietosuoja-asetuksen edellyttämä vaikutusten arviointi, niin sanottu DPIA (data protection impact assessment). Siinä käytäisiin läpi, mitä seurauksia suomalaisille voisi pahimmillaan koitua. Kun riskit olisivat selvästi tiedossa ja ne olisi dokumentoitu, myös tietoturva osattaisiin mitoittaa oikein.

STM kertoo ettei varsinaista DPIA:ta ole tehty, vaikkakin riskejä on kartoitettu.

Tietosuojavaltuutetun mukaan EU-oikeuden ja EU:n tietosuoja-asetuksen mukaan ihmisten sote-tietoja ei voi käyttää kaupalliseen toimintaan lupaa kysymättä, vaikka tiedot olisikin anonymisoitu. GDPR on jokin aika sitten tullut voimaan ja kuitenkin näin kriittisen tiedon osalta halutaan jo kiertää sen vaatimuksia ja olla tekemättä kattavia selvityksiä. Jälleen kerran kiireellä mennään välittämättä seurauksista.

Ei tämä näin voi mennä.

Tietosuojavaltuutettu Aarnio epäilee ymmärtävätkö kansanedustajat kokonaisuutta

Useat lait vaikuttavat toisiinsa ja tietosuojavaltuutettu Aarnio toteaakin Seura-lehdelle:

”Vieno kysymykseni kollegoille ministeriössä ja eduskunnassa kuuluu, että kuka pysyy enää perässä siitä, mitä tässä tapahtuu.”

Keskustelun vähäisyydestä päätellen kansalaisetkaan eivät tunnu oikein sisäistävän kuinka suuresta asiasta on kysymys. Esimerkkinä mainittakoon, että samaan aikaan käynnissä olevan biopankkilain uudistus yhdessä toisiolain kanssa mahdollistaa geenitiedon luovuttamisen.

Tähän asti potilastietoja on saanut käyttää vain potilaan hoitamiseen eli siihen tarkoitukseen, mihin tiedot on vastaanotolla kerätty. Potilaalta on tarvittu erillinen suostumus tietojen käyttämiseen esimerkiksi lääketieteelliseen tutkimukseen. Toisiolaki kuitenkin sallisi sote-tietojen luovuttamisen kaupalliseen tutkimus-, kehitys- ja innovaatiotoimintaan. Tarkoitus on varsin löyhästi määritelty ja sen ei pitäisi sellaisenaan mennä läpi.

Hyötyjä ja haittoja - molempia punnittava

Suomessa on kansalaisista kerätty poikkeuksellisen kattavat terveystiedot verrattuna moneen muuhun maahan ja se herättää kiinnostusta. Tästä tiedosta olisi hyötyä monelle taholle kuten lääkkeiden sekä hoitojen kehittämiseen. Tietoja on pääosin tarkoitus luovuttaa anonymisoituna, mutta erilaislla big datan analyysikeinoilla ja/tai tekoälyllä saatetaan yhdistelyä voida tulevaisuudessa hyvinkin onnistua tekemään.

Ehdotuksen mukaan oltaisiin kuitenkin luovuttamassa todella arkaluonteisia tietoa, joita mahdoolisesti toteutuvien sote-järjestelmien myötä kertyy yhä lisää ja niitä yhdistellään. Esimerkiksi sosiaalihuollon tiedot ovat yhdistettävissä.

Ainakaan tällaisia päätöksiä ei pitäis tehdä kiireellä tänä syksynä teettämättä kunnollisia arviointeja. Hallituskauden lähetessä loppuaan yhä usempaa lakimuutosta koitetaan viedä kiireellä läpi, mutta ainakaan tätä kauaskantoista päätöstä ei saisi tehdä vaillinnaisin tiedoin.

Kansalaisen ja luulen myös kansanedustajan on erittäin vaikea ymmärtää lakien vaikutuksia toisiinsa ja mitä niiden yhteisvaikutuksena mahdollistuu. Tätäkin toisiolakia sovellettaisiin yhdessä monien muiden lakien kanssa kuten valmisteilla olevien biopankkilain uudistuksen, genomilain sekä soten valinnanvapauslainsäädännön kanssa.

Nyt malttia tähän touhuun eikä kaikkea kertarysäyksellä ilman kunnon harkintaa ja keskustelua.

 

]]>
7 http://nikokaistakorpi.puheenvuoro.uusisuomi.fi/259841-hallitus-haluaa-myyda-kansalaisten-terveystietoja#comments Juha Sipilän hallitus Maakunta- ja soteuudistus Terveystieto Tietoturva Wed, 22 Aug 2018 08:35:14 +0000 Niko Kaistakorpi http://nikokaistakorpi.puheenvuoro.uusisuomi.fi/259841-hallitus-haluaa-myyda-kansalaisten-terveystietoja
Pankit ja tietoturva http://ingmarforne.puheenvuoro.uusisuomi.fi/259643-pankit-ja-tietoturva <p>Olen miettinyt myös olisiko otsikoksi pitänyt laittaa &ldquo;Turvallista maksuväline-seksiä&rdquo;. Se olisi ehkä ollut vetävämpi. Click-bait. Syy selviää myöhemmin tässä tekstissä.</p><p>&nbsp;</p><p>Åbo Underrättelser lehden päätoimittaja Tom Simola kirjoitti 8.8.2018 lehden pääkirjoituksessa pankeista ja niiden asiakkaista.</p><p>&nbsp;</p><p>&ldquo;Ilman pankkikorttia, tietokonetta ja älypuhelinta alkaa olla lähes mahdotonta hoitaa pankkiasioitaan.&rdquo;</p><p>&nbsp;</p><p>Tavallaan.</p><p>&nbsp;</p><p>Voi kyllä edelleen pärjätä varsin pitkälle ilman näitä mainittuja vempaimia. Mutta kaikki nämä vaihtoehdot, jotka pankit yrittävät saada tavallisia kansalaisia käyttämään rahan sijasta kärsivät enemmän tai vähemmän vakavista tietoturva-puutteista, joista ei haluta puhua. Ei ainakaan pankkien taholta.</p><p>&nbsp;</p><p>&ldquo;Älypuhelin on yleisvaarallinen laite, joka voi tuhota elämäsi&rdquo;, totesi kansainvälisesti tunnettu tietoturvaasiantuntija Harri Hursti YLE:n haastattelussa tässä jokunen vuosi sitten. Ja kun &nbsp;jopa hän on saanut älypuhelimensa hakkeroitu, niin miten sitten tavallisten kansalaisten laita?</p><p>&nbsp;</p><p>Älypuhelin on painajainen, jos ajattelee asiaa yksityisyyden ja turvallisuuden kannalta. On jopa ollut mahdollista ostaa älypuhelimia joissa vakoiluohjelma on ollut valmiiksi asennettu jo tehtaalta asti. Pankkien ajatukset omasta vastuustaan asiakkaistaan kuvastuu hyvin siitä innosta, joilla pankit haluavat että tätä erittäin turvatonta alustaa pitäisi käyttää maksamiseen.</p><p>&nbsp;</p><p>Kainuun Sanomat julkaisi 10.5.2016 jutun maksuvälinepetoksista. Jutussa haastateltiin Tero Muurman:ia Keskusrikospoliisista. Vuonna 2015 oli ollut 10900 maksuvälinepetosta. Se oli 41% enemmän kuin edellisenä vuonna. Vuoden 2016 kolmen ensimmäisten kuukausien aikana oli viranomaisten tietoon tullut 4960 maksuvälinepetosta. Tämä oli 175% kasvu verrattuna samaan aikaan vuonna 2015.</p><p>&nbsp;</p><p>On nyt kerta kaikkiaan vaan niin että kun työntää maksukorttinsa johonkin rakoon ei voi tietää mitä siellä on vastassa. Siellä voi olla piilossa jonkinlainen kopiointilaite. Sen jälkeen oma tili voidaan tyhjentää missä päin maailmaa tahansa. Tai jos pankki huomaa asian ajoissa, niin kortti voidaan mitätöidä, jonka jälkeen ei pystytä maksamaan yhtään mitään noin viikon aikana. Se on olotila jonka kaikki kortti-intoilijat pitäisi kokeilla, ihan vaan kertausharjoitus-mielessä. Todella surkuhupaisaa että pankit tällaisissa tapauksissa kehoittavat käyttämään käteistä. Ovathan pankit lakkauttaneet mahdollisuuksia nostaa käteistä ilman muovipaloja sen minkä ovat ehtineet.</p><p>&nbsp;</p><p>Hieman tilastoa. Terveyden ja Hyvinvoinnin laitoksen mukaan voidaan arvioida että noin 30000 suomalaista saavat jonkinlaisen sukupuolitaudin vuosittain. Maksukortit ovat näin ollen karkeasti ottaen noin ⅓ niin turvallisia kuin suojaamaton seksi. Mutta myös maksukorttien suhteen pankit ovat olleet innokkaasti ajaamassa niiden käyttöä.</p><p>&nbsp;</p><p>Turvallista maksuväline-seksiä siis.</p><p>&nbsp;</p><p>Maksukortti-yhtiöt perivät maksua maksun vastaanottajalta. Ainakin Amerikoissa. Kanadassa tästä syttyi viime vuonna oikein eräänlainen sota, kun suuri sikäläinen kauppaketju Walmart ilmoitti etteivät enää ota vastaan maksuja Visa-korteilla johtuen juuri liian korkeista maksuista. Nyttemmin on kylläkin solmittu rauha tässä sodassa. Samaan aikaan Suomessa mainostettiin että Visa-korteilla voi maksaa missä tahansa maailmassa. Walmart-sodasta ei kerrottu mitään.</p><p>&nbsp;</p><p>Laskuja voidaan maksaa käteisellä. R-kioskissa. Se maksaa 4:50, mikä on hivenen halvempaa kuin maksaminen tiskillä pankissa. Mutta pitää esittää henkilöllisyystodistus, koska on ilmeisesti olemassa vakava epäilys että kyseessä on rahanpesuyritys, jos maksaa käteisellä, silloinkin kun maksaa oman puhelinlaskunsa, joka on muutama kymppi. Epäilyttävien joukkoon kuuluvat näköjään myös kotimaiset tele-operaattorit.</p><p>&nbsp;</p><p>Pankkien pyrkimys päästä eroon käteisestä liittyy pankkien valta-pyrkimyksiin. Pankeilla on hyvin pitkälti samanlainen asenne asiakkaisiinsa kuin keskiajan feodaali-herrojen asenne omiin maa-orjiinsa. Asiakkaat? Hehän vain tuovat sisään hiekkaa salin lattialle!</p><p>&nbsp;</p><p>Sen jälkeen kun kirjoitin alun yllä olevalle tekstille on tapahtunut hiukan.</p><p>&nbsp;</p><p>16.8.2018 kerrottiin Suomessa että FBI oli varoittanut pankkeja maailmanlaajuisesta rikosoperaatiosta lähipäivien aikana. Alunperin varoitus oli lähetetty 10.8.2018.</p><p>&nbsp;</p><p>11.8.2018 rikolliset sitten iskivät. Kohteena oli intialainen pankki, josta onnistuttiin viemään runsaat 13 miljoonaa dollaria. Tehtiin vajaat 15000 käteisnostoa automaateista 28 maassa väärennetyillä korteilla. Epäillään että asialla olisi ollut Pohjois-Korealainen hakkeriryhmä.</p><p>&nbsp;</p><p>Pohjois-Koreaan on hiukan hankalaa jonkun ulkopuolisen mennä pidättämään ylipäätänsä ketään. Lisäksi Pohjois-Korea taitaa nykyään olla Donald Trumpin ystävien joukossa, mikä ei tee asiaa yhtään helpommaksi.</p><p>&nbsp;</p><p>En ole nähnyt että missään suomalaisessa mediassa olisi kerrottu tästä onnistuneesta etäryöstöstä. Mikä on tavallaan ymmärrettävää. Pankkien kannalta on tietysti äärettömän tärkeää että &ldquo;Pokka pitää&rdquo;. Olisi äärettömän noloa tunnustaa että on yritetty saamaan ihmisiä käyttämään turvattomia maksutapoja.</p><p>&nbsp;</p><p>16.8.2018 Iltasanomat tiedottaa että valtiovarainministeriön työryhmä ehdottaa että keskeiset rahoitusalan yritykset velvoitetaan rakentamaan varajärjestelmät Suomeen poikkeusolojen ja vakavien häiriöiden varalle.</p><p>&nbsp;</p><p>Kas kun aamuherätys on siirtynyt ilta yhteentoista. Meillä on ollut tällainen järjestelmä, jonka kruununpäättäjät ovat suosiolla antaneet pankkien pikkuhiljaa romuttaa melkein täysin.</p><p>&nbsp;</p><p><strong>Käteinen raha.</strong></p><p>&nbsp;</p><div class="field field-type-number-integer field-field-first-published"> <div class="field-items"> <div class="field-item odd"> 0 </div> </div> </div> Olen miettinyt myös olisiko otsikoksi pitänyt laittaa “Turvallista maksuväline-seksiä”. Se olisi ehkä ollut vetävämpi. Click-bait. Syy selviää myöhemmin tässä tekstissä.

 

Åbo Underrättelser lehden päätoimittaja Tom Simola kirjoitti 8.8.2018 lehden pääkirjoituksessa pankeista ja niiden asiakkaista.

 

“Ilman pankkikorttia, tietokonetta ja älypuhelinta alkaa olla lähes mahdotonta hoitaa pankkiasioitaan.”

 

Tavallaan.

 

Voi kyllä edelleen pärjätä varsin pitkälle ilman näitä mainittuja vempaimia. Mutta kaikki nämä vaihtoehdot, jotka pankit yrittävät saada tavallisia kansalaisia käyttämään rahan sijasta kärsivät enemmän tai vähemmän vakavista tietoturva-puutteista, joista ei haluta puhua. Ei ainakaan pankkien taholta.

 

“Älypuhelin on yleisvaarallinen laite, joka voi tuhota elämäsi”, totesi kansainvälisesti tunnettu tietoturvaasiantuntija Harri Hursti YLE:n haastattelussa tässä jokunen vuosi sitten. Ja kun  jopa hän on saanut älypuhelimensa hakkeroitu, niin miten sitten tavallisten kansalaisten laita?

 

Älypuhelin on painajainen, jos ajattelee asiaa yksityisyyden ja turvallisuuden kannalta. On jopa ollut mahdollista ostaa älypuhelimia joissa vakoiluohjelma on ollut valmiiksi asennettu jo tehtaalta asti. Pankkien ajatukset omasta vastuustaan asiakkaistaan kuvastuu hyvin siitä innosta, joilla pankit haluavat että tätä erittäin turvatonta alustaa pitäisi käyttää maksamiseen.

 

Kainuun Sanomat julkaisi 10.5.2016 jutun maksuvälinepetoksista. Jutussa haastateltiin Tero Muurman:ia Keskusrikospoliisista. Vuonna 2015 oli ollut 10900 maksuvälinepetosta. Se oli 41% enemmän kuin edellisenä vuonna. Vuoden 2016 kolmen ensimmäisten kuukausien aikana oli viranomaisten tietoon tullut 4960 maksuvälinepetosta. Tämä oli 175% kasvu verrattuna samaan aikaan vuonna 2015.

 

On nyt kerta kaikkiaan vaan niin että kun työntää maksukorttinsa johonkin rakoon ei voi tietää mitä siellä on vastassa. Siellä voi olla piilossa jonkinlainen kopiointilaite. Sen jälkeen oma tili voidaan tyhjentää missä päin maailmaa tahansa. Tai jos pankki huomaa asian ajoissa, niin kortti voidaan mitätöidä, jonka jälkeen ei pystytä maksamaan yhtään mitään noin viikon aikana. Se on olotila jonka kaikki kortti-intoilijat pitäisi kokeilla, ihan vaan kertausharjoitus-mielessä. Todella surkuhupaisaa että pankit tällaisissa tapauksissa kehoittavat käyttämään käteistä. Ovathan pankit lakkauttaneet mahdollisuuksia nostaa käteistä ilman muovipaloja sen minkä ovat ehtineet.

 

Hieman tilastoa. Terveyden ja Hyvinvoinnin laitoksen mukaan voidaan arvioida että noin 30000 suomalaista saavat jonkinlaisen sukupuolitaudin vuosittain. Maksukortit ovat näin ollen karkeasti ottaen noin ⅓ niin turvallisia kuin suojaamaton seksi. Mutta myös maksukorttien suhteen pankit ovat olleet innokkaasti ajaamassa niiden käyttöä.

 

Turvallista maksuväline-seksiä siis.

 

Maksukortti-yhtiöt perivät maksua maksun vastaanottajalta. Ainakin Amerikoissa. Kanadassa tästä syttyi viime vuonna oikein eräänlainen sota, kun suuri sikäläinen kauppaketju Walmart ilmoitti etteivät enää ota vastaan maksuja Visa-korteilla johtuen juuri liian korkeista maksuista. Nyttemmin on kylläkin solmittu rauha tässä sodassa. Samaan aikaan Suomessa mainostettiin että Visa-korteilla voi maksaa missä tahansa maailmassa. Walmart-sodasta ei kerrottu mitään.

 

Laskuja voidaan maksaa käteisellä. R-kioskissa. Se maksaa 4:50, mikä on hivenen halvempaa kuin maksaminen tiskillä pankissa. Mutta pitää esittää henkilöllisyystodistus, koska on ilmeisesti olemassa vakava epäilys että kyseessä on rahanpesuyritys, jos maksaa käteisellä, silloinkin kun maksaa oman puhelinlaskunsa, joka on muutama kymppi. Epäilyttävien joukkoon kuuluvat näköjään myös kotimaiset tele-operaattorit.

 

Pankkien pyrkimys päästä eroon käteisestä liittyy pankkien valta-pyrkimyksiin. Pankeilla on hyvin pitkälti samanlainen asenne asiakkaisiinsa kuin keskiajan feodaali-herrojen asenne omiin maa-orjiinsa. Asiakkaat? Hehän vain tuovat sisään hiekkaa salin lattialle!

 

Sen jälkeen kun kirjoitin alun yllä olevalle tekstille on tapahtunut hiukan.

 

16.8.2018 kerrottiin Suomessa että FBI oli varoittanut pankkeja maailmanlaajuisesta rikosoperaatiosta lähipäivien aikana. Alunperin varoitus oli lähetetty 10.8.2018.

 

11.8.2018 rikolliset sitten iskivät. Kohteena oli intialainen pankki, josta onnistuttiin viemään runsaat 13 miljoonaa dollaria. Tehtiin vajaat 15000 käteisnostoa automaateista 28 maassa väärennetyillä korteilla. Epäillään että asialla olisi ollut Pohjois-Korealainen hakkeriryhmä.

 

Pohjois-Koreaan on hiukan hankalaa jonkun ulkopuolisen mennä pidättämään ylipäätänsä ketään. Lisäksi Pohjois-Korea taitaa nykyään olla Donald Trumpin ystävien joukossa, mikä ei tee asiaa yhtään helpommaksi.

 

En ole nähnyt että missään suomalaisessa mediassa olisi kerrottu tästä onnistuneesta etäryöstöstä. Mikä on tavallaan ymmärrettävää. Pankkien kannalta on tietysti äärettömän tärkeää että “Pokka pitää”. Olisi äärettömän noloa tunnustaa että on yritetty saamaan ihmisiä käyttämään turvattomia maksutapoja.

 

16.8.2018 Iltasanomat tiedottaa että valtiovarainministeriön työryhmä ehdottaa että keskeiset rahoitusalan yritykset velvoitetaan rakentamaan varajärjestelmät Suomeen poikkeusolojen ja vakavien häiriöiden varalle.

 

Kas kun aamuherätys on siirtynyt ilta yhteentoista. Meillä on ollut tällainen järjestelmä, jonka kruununpäättäjät ovat suosiolla antaneet pankkien pikkuhiljaa romuttaa melkein täysin.

 

Käteinen raha.

 

]]>
2 http://ingmarforne.puheenvuoro.uusisuomi.fi/259643-pankit-ja-tietoturva#comments Tietoturva Tietoturvariskit Sat, 18 Aug 2018 10:20:04 +0000 Ingmar Forne http://ingmarforne.puheenvuoro.uusisuomi.fi/259643-pankit-ja-tietoturva
Yksityisyyden suoja virastoissa (kuva) http://juhanivehmaskangas.puheenvuoro.uusisuomi.fi/257933-yksityisyyden-suoja-virastoissa-kuva <p>Voiko ihminen nykypäivänä luottaa siihen, että hänen yksityiset asiansa pysyvät salassa kun hän asioi viranomaisessa?</p><p>Julkisessa tilassa saa kuvata, mutta onko Kelan konttori sellainen tila joka on kyseisellä tavalla julkinen kun jo se seikka, että joku henkilö on Kelan asiakas on salassapidettävä tieto?</p><p>Kuvan tapauksessa lienee selvää, että virkailijan olisi pitänyt huolehtia siitä, että ovi olisi suljettu ennen kuin asiointi alkoi.</p><p>Kysyä voi myös toteutuuko tietoturva riittävästi terveyskeskuksissa joiden odotusauloissa kuvaaminen on lain mukaisesti sallittua - myös sukupuolitautien poliklinikalla, kaiketi?</p><p>Joissain toimistoissa/konttoreissa on merkitystä mm. sillä miten tietokoneet sijoitetaan, jotta esim. näyttöä ei pysty ulkopuolelta lukemaan ja/tai kuvaamaan.</p><p>Onko yksityisyytemme riittävästi suojattu kun asioimme eri viranomaisissa?</p><div class="field field-type-number-integer field-field-first-published"> <div class="field-items"> <div class="field-item odd"> 0 </div> </div> </div> Voiko ihminen nykypäivänä luottaa siihen, että hänen yksityiset asiansa pysyvät salassa kun hän asioi viranomaisessa?

Julkisessa tilassa saa kuvata, mutta onko Kelan konttori sellainen tila joka on kyseisellä tavalla julkinen kun jo se seikka, että joku henkilö on Kelan asiakas on salassapidettävä tieto?

Kuvan tapauksessa lienee selvää, että virkailijan olisi pitänyt huolehtia siitä, että ovi olisi suljettu ennen kuin asiointi alkoi.

Kysyä voi myös toteutuuko tietoturva riittävästi terveyskeskuksissa joiden odotusauloissa kuvaaminen on lain mukaisesti sallittua - myös sukupuolitautien poliklinikalla, kaiketi?

Joissain toimistoissa/konttoreissa on merkitystä mm. sillä miten tietokoneet sijoitetaan, jotta esim. näyttöä ei pysty ulkopuolelta lukemaan ja/tai kuvaamaan.

Onko yksityisyytemme riittävästi suojattu kun asioimme eri viranomaisissa?

]]>
5 http://juhanivehmaskangas.puheenvuoro.uusisuomi.fi/257933-yksityisyyden-suoja-virastoissa-kuva#comments Salakatselu Salakuvaaminen Tietoturva Yksityisyyden suoja Yksityisyys Fri, 06 Jul 2018 15:36:10 +0000 Juhani Vehmaskangas http://juhanivehmaskangas.puheenvuoro.uusisuomi.fi/257933-yksityisyyden-suoja-virastoissa-kuva
Pankkien vedätys?? http://ingmarforne.puheenvuoro.uusisuomi.fi/256098-pankkien-vedatys <p><a href="https://www.uusisuomi.fi/kotimaa/249929-tunnuslukulistat-jaavat-historiaan-verkkopankkiin-kirjautuminen-muuttuu-pian-suomessa">Tunnuslukulistat jäävät historiaan: Verkkopankkiin kirjautuminen muuttuu pian Suomessa.</a> uutisoi Uusi Suomi 29.5.2018 viitaten TiVi-lehden <a href="https://www.tivi.fi/Kaikki_uutiset/nettipankin-kaytto-muuttuu-direktiivi-uudistaa-kirjautumisen-6726823">uutiseen</a> 25.5.2018.</p><p>Onkohan kukaan asiasta kirjoittavista toimittajista vaivautunut lukemaan itse direktiiviä?</p><p>Suomenkielinen laitos on vain 93 sivua, joten siihen tutustuminen ei nyt pitäisi olla aivan mahdoton tehtävä kuitenkaan.</p><p>Maksupalveludirektiivi on &nbsp;ladattavissa PDF-tiedostona suomeksi <a href="https://eur-lex.europa.eu/legal-content/FI/TXT/PDF/?uri=CELEX:32015L2366&amp;from=EN">täältä.</a> Ja sama teksti ruotsinkielisenä PDF-tiedostona <a href="https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:32015L2366&amp;from=EN">täältä</a>. Ja vielä englanniksi <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32015L2366&amp;from=EN">täältä</a></p><p>&nbsp;</p><p>97 artikla</p><p>Tunnistaminen</p><p>&ldquo;1. <strong>Jäsenvaltioiden</strong> on varmistettava, että<strong> maksupalveluntarjoaja</strong> soveltaa asiakkaan <strong>vahvaa tunnistamista</strong>, jos</p><p>a) maksaja käyttää maksutiliään verkon kautta;</p><p>b) maksaja käynnistää sähköisen maksutapahtuman;</p><p>c) maksaja toteuttaa etäkanavan kautta minkä tahansa toimen, joka voi johtaa maksupetokseen tai muunlaisen väärinkäytöksen riskiin.&rdquo;</p><p>&nbsp;</p><p>Artiklassa 4 <strong>vahvaa tunnistamista</strong> määritellään näin:</p><p>&ldquo;&rsquo;asiakkaan vahvalla tunnistamisella&rsquo; tunnistamista, jossa käytetään tunnistamistiedon luottamuksellisuuden suojaamiseksi menettelyä, joka perustuu kahteen tai useampaan tekijään, jotka kuuluvat toisistaan riippumattomiin ryhmiin, jotka ovat tieto (jotain, minkä vain käyttäjä tietää), hallussapito (jotain, mitä vain käyttäjällä on hallussaan) ja erityinen ominaisuus (jotain, mitä käyttäjä on) siten, että yhden rikkominen ei aseta kyseenalaiseksi muiden luotettavuutta;&rdquo;</p><p>&nbsp;</p><p>Ymmärtääkseni jo nyt käytössä olevat S-pankin, Osuuspankin ja Aktian koodikortit täyttävät yllä olevat vaatimukset. Jollei, niin joku paremmin tietävä selittäköön miksi näin ei ole.</p><p>Ensiksikin. Direktiivi itse väittää että <strong>jäsenvaltioiden</strong> on varmistettava. Siis <strong>jäsenvaltioiden.</strong> eikä EU. Kuten yllä olevasta lainauksesta näkyy.</p><p>Minkä takia siis viitatata EU-direktiiviin ollenkaan, kun direktiivi itse määrä että jäsenvaltioiden harteille tämä asettuu. Suomen kansallinen lainsäädäntö tulee siis määrääväksi. Ei direktiivi sinänsä.</p><p>Omassa jutussaan, jonka linkki on tuolla ylhäällä, Uusi Suomi haastattelee Danske Bankin kehityspäällikköä. Hän tyrkyttää ensiksikin erillistä pankkitunnusta tuottavaa laitetta.</p><p>Sellainen voidaan varastaa yhtä helposti kun paperinen tunnuslukulistaakin. Jos se laite on kovin pieni, ehkä jopa helpommin.</p><p>Lisäksi sellainen laite kuuluu melko varmasti jätelaissa mainitun tuottajavastuun piiriin. Se merkitsee että pankkien on järjestettävä jotenkin näiden käytöstä poistettujen tunnuslukulaitteiden jätehuoltoa. Onkohan herra kehityspäällikkö ollenkaan miettinyt tätä puolta asiasta? Tai joku pankissa ylipäätänsä?</p><p>Toiseksi vaihtoehdoksi kehityspäällikkö tyrkyttää mobiilisovellusta. Melko turvaton vaihtoehto.</p><p>3.12.2016 Yle haastatteli kansainvälisestikin tunnettua tietoturvaasiantuntijaa Harri Hurstia. Hän totesi haastattelussa että kännyköiden tietoturva on yleisesti ottaen retuperällä.</p><p>&ldquo;Harri Hursti on huolissaan erityisesti matkapuhelinten tietoturvasta, koska ihmisten koko elämä on nykyään älykännykässä. Jälki on rumaa, jos rikollliset pääsevät hakkeroimaan puhelimen.&rdquo;</p><p>&ldquo;<strong>Matkapuhelin on yleisvaarallinen laite</strong>, joka voi tuhota koko sinun elämäsi. Kun se tapahtuu sähköisesti, et edes tiedä, että olet uhri, hän sanoo.&rdquo;</p><p>Ja tällaisia yleisvaarallisia laitteita pankin kehityspäällikkö siis haluaa että käytettäisiin, väittämällä että ne ovat turvallisempia kuin muut vaihtoehdot.</p><p>Välitetäänkö ylipäätänsä asiakkaiden tietoturvasta, kun tarjotaan tällaisia turvattomia vaihtoehtoja?</p><p>Minkälainen on näiden kehityspäälliköiden tietoturvaaosaaminen? Onko sitä?</p><p>Että mobiilisovellus olisi turvallisempi sen takia että se on jonkun pankin mobiilisovellus ei välttämättä päde sekään. Seuraava uutinen (englanniksi) julkaistiin 7.12.2017</p><p><a href="https://www.techrepublic.com/article/these-8-banking-apps-left-millions-of-users-vulnerable-to-getting-hacked/?ftag=TRE684d531&amp;bhid=26452067858445674898141709672982">These 8 banking apps left millions of users vulnerable to getting hacked.</a></p><p>Oli löytynyt kahdeksan turvatonta pankkisovellusta. Löydöksen teki Birminghamin Yliopisto Englannissa.</p><p>Entäs kaikki muut mobiilisovellukset jotka käyttäjä lataa kännykkäänsä?</p><p>Seuraava uutinen (englanniksi) julkaistiin 1.12.2017.</p><p><a href="https://www.techrepublic.com/article/over-75-of-android-apps-are-secretly-tracking-users/?ftag=TREa988f1c&amp;bhid=26452067858445674898141709672982">Over 75% of Android apps are secretly tracking users</a>.</p><p>Android on ylivoimaisesti eniten käytetty kännyköiden käyttöjärjestelmä. Android-puhelimiiin ladatuista sovellutuksista yli 75% vakoilevat käyttäjää tavalla tai toisella. Tätä on todettu tutkimuksessa jonka on tehnyt Yhdysvaltalainen Yale yliopisto.</p><p>On olemassa suorastaan informaation ylitarjontaa kun on kyse uutisista siitä miten turvattomia kännykät ovat tietoturvan suhteen. Pankeilla on kuitenkin otsaa väittää että ne ovat turvallisia.</p><p>Kiitos, mutta pankkien väitteet eivät minua vakuuta.</p><p>Hallitus tulee epäilemättä tekemään asiassa sellaisen kansallisen lainsäädännön kun pankit haluavat. Kansalaisten tietoturvasta välittämättä. Hallituksen ministereiden tietoturvaosaaminen kun näyttää olevan sillä tasolla ettei tiedetä että 6 kuukautta ja puoli vuotta ovan yksi ja sama asia.</p><p>&nbsp;</p><div class="field field-type-number-integer field-field-first-published"> <div class="field-items"> <div class="field-item odd"> 0 </div> </div> </div> Tunnuslukulistat jäävät historiaan: Verkkopankkiin kirjautuminen muuttuu pian Suomessa. uutisoi Uusi Suomi 29.5.2018 viitaten TiVi-lehden uutiseen 25.5.2018.

Onkohan kukaan asiasta kirjoittavista toimittajista vaivautunut lukemaan itse direktiiviä?

Suomenkielinen laitos on vain 93 sivua, joten siihen tutustuminen ei nyt pitäisi olla aivan mahdoton tehtävä kuitenkaan.

Maksupalveludirektiivi on  ladattavissa PDF-tiedostona suomeksi täältä. Ja sama teksti ruotsinkielisenä PDF-tiedostona täältä. Ja vielä englanniksi täältä

 

97 artikla

Tunnistaminen

“1. Jäsenvaltioiden on varmistettava, että maksupalveluntarjoaja soveltaa asiakkaan vahvaa tunnistamista, jos

a) maksaja käyttää maksutiliään verkon kautta;

b) maksaja käynnistää sähköisen maksutapahtuman;

c) maksaja toteuttaa etäkanavan kautta minkä tahansa toimen, joka voi johtaa maksupetokseen tai muunlaisen väärinkäytöksen riskiin.”

 

Artiklassa 4 vahvaa tunnistamista määritellään näin:

“’asiakkaan vahvalla tunnistamisella’ tunnistamista, jossa käytetään tunnistamistiedon luottamuksellisuuden suojaamiseksi menettelyä, joka perustuu kahteen tai useampaan tekijään, jotka kuuluvat toisistaan riippumattomiin ryhmiin, jotka ovat tieto (jotain, minkä vain käyttäjä tietää), hallussapito (jotain, mitä vain käyttäjällä on hallussaan) ja erityinen ominaisuus (jotain, mitä käyttäjä on) siten, että yhden rikkominen ei aseta kyseenalaiseksi muiden luotettavuutta;”

 

Ymmärtääkseni jo nyt käytössä olevat S-pankin, Osuuspankin ja Aktian koodikortit täyttävät yllä olevat vaatimukset. Jollei, niin joku paremmin tietävä selittäköön miksi näin ei ole.

Ensiksikin. Direktiivi itse väittää että jäsenvaltioiden on varmistettava. Siis jäsenvaltioiden. eikä EU. Kuten yllä olevasta lainauksesta näkyy.

Minkä takia siis viitatata EU-direktiiviin ollenkaan, kun direktiivi itse määrä että jäsenvaltioiden harteille tämä asettuu. Suomen kansallinen lainsäädäntö tulee siis määrääväksi. Ei direktiivi sinänsä.

Omassa jutussaan, jonka linkki on tuolla ylhäällä, Uusi Suomi haastattelee Danske Bankin kehityspäällikköä. Hän tyrkyttää ensiksikin erillistä pankkitunnusta tuottavaa laitetta.

Sellainen voidaan varastaa yhtä helposti kun paperinen tunnuslukulistaakin. Jos se laite on kovin pieni, ehkä jopa helpommin.

Lisäksi sellainen laite kuuluu melko varmasti jätelaissa mainitun tuottajavastuun piiriin. Se merkitsee että pankkien on järjestettävä jotenkin näiden käytöstä poistettujen tunnuslukulaitteiden jätehuoltoa. Onkohan herra kehityspäällikkö ollenkaan miettinyt tätä puolta asiasta? Tai joku pankissa ylipäätänsä?

Toiseksi vaihtoehdoksi kehityspäällikkö tyrkyttää mobiilisovellusta. Melko turvaton vaihtoehto.

3.12.2016 Yle haastatteli kansainvälisestikin tunnettua tietoturvaasiantuntijaa Harri Hurstia. Hän totesi haastattelussa että kännyköiden tietoturva on yleisesti ottaen retuperällä.

“Harri Hursti on huolissaan erityisesti matkapuhelinten tietoturvasta, koska ihmisten koko elämä on nykyään älykännykässä. Jälki on rumaa, jos rikollliset pääsevät hakkeroimaan puhelimen.”

Matkapuhelin on yleisvaarallinen laite, joka voi tuhota koko sinun elämäsi. Kun se tapahtuu sähköisesti, et edes tiedä, että olet uhri, hän sanoo.”

Ja tällaisia yleisvaarallisia laitteita pankin kehityspäällikkö siis haluaa että käytettäisiin, väittämällä että ne ovat turvallisempia kuin muut vaihtoehdot.

Välitetäänkö ylipäätänsä asiakkaiden tietoturvasta, kun tarjotaan tällaisia turvattomia vaihtoehtoja?

Minkälainen on näiden kehityspäälliköiden tietoturvaaosaaminen? Onko sitä?

Että mobiilisovellus olisi turvallisempi sen takia että se on jonkun pankin mobiilisovellus ei välttämättä päde sekään. Seuraava uutinen (englanniksi) julkaistiin 7.12.2017

These 8 banking apps left millions of users vulnerable to getting hacked.

Oli löytynyt kahdeksan turvatonta pankkisovellusta. Löydöksen teki Birminghamin Yliopisto Englannissa.

Entäs kaikki muut mobiilisovellukset jotka käyttäjä lataa kännykkäänsä?

Seuraava uutinen (englanniksi) julkaistiin 1.12.2017.

Over 75% of Android apps are secretly tracking users.

Android on ylivoimaisesti eniten käytetty kännyköiden käyttöjärjestelmä. Android-puhelimiiin ladatuista sovellutuksista yli 75% vakoilevat käyttäjää tavalla tai toisella. Tätä on todettu tutkimuksessa jonka on tehnyt Yhdysvaltalainen Yale yliopisto.

On olemassa suorastaan informaation ylitarjontaa kun on kyse uutisista siitä miten turvattomia kännykät ovat tietoturvan suhteen. Pankeilla on kuitenkin otsaa väittää että ne ovat turvallisia.

Kiitos, mutta pankkien väitteet eivät minua vakuuta.

Hallitus tulee epäilemättä tekemään asiassa sellaisen kansallisen lainsäädännön kun pankit haluavat. Kansalaisten tietoturvasta välittämättä. Hallituksen ministereiden tietoturvaosaaminen kun näyttää olevan sillä tasolla ettei tiedetä että 6 kuukautta ja puoli vuotta ovan yksi ja sama asia.

 

]]>
9 http://ingmarforne.puheenvuoro.uusisuomi.fi/256098-pankkien-vedatys#comments Tietoturva Wed, 30 May 2018 13:12:04 +0000 Ingmar Forne http://ingmarforne.puheenvuoro.uusisuomi.fi/256098-pankkien-vedatys
Carunan viestintä herätti enemmän kysymyksiä http://jussisalokangas.puheenvuoro.uusisuomi.fi/256043-carunan-viestinta-heratti-enemman-kysymyksia <p>Muutama päivä sitten julkaisin blogikirjoituksen Carunan markkinointikirjeessä olevasta tietoturvahaavoittuvuudesta. Tämän muun muassa Iltalehti bongasi. Ajattelin jättäväni asian tähän, mutta eniten koko jutussa harmitti Carunan viestinnän tahaton tai tahallinen väärinymmärtäminen.</p><p>Pahin pelkoni osoittautui toteen, sillä kyseisen haavoittuvuuden kautta olisi saanut (tai joku sai) urkittua Carunan asiakkaiden nimen, puhelinnumeron ja sähköpostiosoitteen.</p><p>Ilmoitin asiasta yhtiölle välittömästi chatin kautta, sillä käytännössä omatkin asiakastietoni olivat vaarassa päätyä kolmansin käsiin tai on myös mahdollista, että näin on myös käynyt.</p><p>Yllätyin kuitenkin hieman Carunan viestinnän tai IT-osaston vastaanotosta. Carunan viestintäjohtaja otti kantaa väitteisiin myöhemmin:</p><p>&quot;Viestit on lähetetty salatun yhteyden kautta ja ne on toimitettu asianmukaisiin sähköpostiosoitteisiin. Sähköpostissa oli linkki/kehotus käydä tarkistamassa omat tiedot linkin kautta. Linkki on https/ssl- yhteydellä salattu <strong>eli yhtä turvallinen kuin verkkopankki</strong>, Vanhanen vakuuttaa&quot;. Caruna vakuutti, että kaikki on kunnossa.</p><p>Kommentti sai aikaan itsessäni naurahduksia. Eikö Caruna tosissaan tunnista, mistä asiassa on kysymys vai onko kysymys kriisiviestintästrategiasta, jossa kuuta väitetään juustoksi?</p><p>Kysymys ei myöskään ollut toimittajalle suoralta kädeltä annetusta vastauksesta, vaan heillä oli muutama tunti aikaa valmistella näitä vastauksia. Nämä vastaukset herättivät ainakin IT-ammattilaisten kesken suurta naurua&nbsp; ja LinkedInissä muun muassa tätä kutsuttiin asiakkaan aliarvioimiseksi.</p><p>Joka tapauksessa Caruna sulki palvelunsa, vaikka heidän käsityksen mukaan palvelu oli yhtä turvallinen kuin verkkopankki ja kaiken piti olla kunnossa.</p><p>Pieni faktakertaus Carunalle:</p><p>1) Sähköposti liikkuu suojaamattomassa muodossa. Se ei varsinaisesti ollut tämän haavoittuvuuden ongelma.</p><p>2) Se, että linkki/selailu on salattu HTTPS/SSL -salauksella, ei vielä tarkoita, että viesti olisi turvallinen. SSL-salaus ei millään tavalla turvannut asiakkaiden tietoja tässä eikä järjestelmä faktisesti ollut yhtä turvallinen kuin verkkopankki. Kuka tahansa henkilö menemällä https:// -yhteyteen olisi saanut ko. viestin auki. Tilanne rinnastuisi siihen, jos taloyhtiön huoltomiehen yleisavain olisi unohdettu taloyhtiön hiekkalaatikolle, mutta huoltoyhtiö kertoisi lukkojen olevan toiminnassa ja kunnossa.</p><p>Käytännössä lataamalla kotikoneelle tai muutamalle pilvipalvelimelle ns. crawlereita, koko tietokanta olisi saatu muumassa tunnissa imuroitua palvelimelta. Yksi tietokone pystyy hakemaan 50-100 sivua per sekunti riippuen palvelimen vastaanottokyvystä. Toki kyselyiden määrää voi rajoittaa palvelimelta, mutta epäilen, että näin olisi tehty. Kun otetaan mukaan muutama pilvipalvelin, tehokkuus nousee huomattavasti korkeammaksi.&nbsp;</p><p>Toisessa artikkelissa Carunan tietohallintojohtaja kertoi vielä mystisemmin ongelman korjauksesta: &quot;Kunhan robotin sieltä blokkaa, se on turvallinen.&quot; Mitäh? Mistä hän oikein puhuu? Jos tietohallintojohtaja tarkoitti näitä crawlereita, ne pystyy käyttämään helposti eri IP-osoitteita tai käyttämään proxyjä. Niitä on myös aika mahdoton blokata. Tämäkään ei ole riittävä tietoturvatoimenpide.</p><p>Carunan tietohallintojohtaja kertoi, että numerosarjat eivät olleet vierekkäin, vaan 1/30 000 olisi osunut oikeaan. Käytännössä matemaattisesti laskien yksi tietokone olisi saanut yhden asiakkaan tiedot noin 30 minuutissa (huomioimatta lukuisia crawlereita, joiden avulla päästäisiin huomattavasti korkeampaan lukuun ja riippuen täysin palvelimen ja crawlerin nopeudesta). Tämän olisi voinut tehdä huomaamatta yön yli muutaman päivän ajan kuka tahansa monella eri crawlerilla. Yksikin paljastus on mielestäni kuitenkin liikaa.</p><p>Koko viestin idea oli se, ettei yksittäinen asiakas käsipelillä saa auki toisen viestejä, enkä niin ole väittänyt. Kysymys oli siitä, että teknisesti vähänkin IT-asioista perillä oleva henkilö voi saada asiakastiedot ladattua palvelimelta käyttäen internetissä yleisesti saatavilla olevilla työkaluilla. Se olisi toki tietomurto, joka on rikos, mutta usein näillä identiteettivarkailla on käytössä Tor-verkkoa tai muita proxyjä, joten kiinnijäämisen riski on todella alhainen.</p><p>Käytännössä Carunan järjestelmä ei toteuta tietosuoja-asetuksen mukaista oletusarvoista tietoturvaa, sillä pääsyä asiakastietoihin ei teknisesti oltu millään tavalla suojattu. Yrityksenä en lähtisi kutsumaan haavoittuvuutta lieväksi, jos kysymys on ollut näin alkeellisesta virheestä, joka on kenen tahansa huomattavissa. Enemmän tämä herätti kysymyksiä siitä, miten Caruna käsittelee luottamuksellisia asiakastietoja. Siinä tilanteessa itse en lähtisi selittämään kuuta juustoksi ja kiistämään tietoturvahuolia, vaan palkitsisin asiakasta siitä, että tiedot todennäköisesti jäivät talon sisäiseksi.</p><p>Jos virhe ei olisi tullut kauttani Carunan tietoon, todennäköisesti viikon kuluessa tämäkin tietokanta olisi julkaistu jossain palstalla.&nbsp;Kirjoitin tästä asiasta blogin, koska ajattelin, että se on tehokkain tapa saada myös pidettyä omat asiakastiedot poissa tietovuodosta ja että tietovuoto myös otettaisiin yhtiössä vakavasti.&nbsp;</p><p>&nbsp;</p> Muutama päivä sitten julkaisin blogikirjoituksen Carunan markkinointikirjeessä olevasta tietoturvahaavoittuvuudesta. Tämän muun muassa Iltalehti bongasi. Ajattelin jättäväni asian tähän, mutta eniten koko jutussa harmitti Carunan viestinnän tahaton tai tahallinen väärinymmärtäminen.

Pahin pelkoni osoittautui toteen, sillä kyseisen haavoittuvuuden kautta olisi saanut (tai joku sai) urkittua Carunan asiakkaiden nimen, puhelinnumeron ja sähköpostiosoitteen.

Ilmoitin asiasta yhtiölle välittömästi chatin kautta, sillä käytännössä omatkin asiakastietoni olivat vaarassa päätyä kolmansin käsiin tai on myös mahdollista, että näin on myös käynyt.

Yllätyin kuitenkin hieman Carunan viestinnän tai IT-osaston vastaanotosta. Carunan viestintäjohtaja otti kantaa väitteisiin myöhemmin:

"Viestit on lähetetty salatun yhteyden kautta ja ne on toimitettu asianmukaisiin sähköpostiosoitteisiin. Sähköpostissa oli linkki/kehotus käydä tarkistamassa omat tiedot linkin kautta. Linkki on https/ssl- yhteydellä salattu eli yhtä turvallinen kuin verkkopankki, Vanhanen vakuuttaa". Caruna vakuutti, että kaikki on kunnossa.

Kommentti sai aikaan itsessäni naurahduksia. Eikö Caruna tosissaan tunnista, mistä asiassa on kysymys vai onko kysymys kriisiviestintästrategiasta, jossa kuuta väitetään juustoksi?

Kysymys ei myöskään ollut toimittajalle suoralta kädeltä annetusta vastauksesta, vaan heillä oli muutama tunti aikaa valmistella näitä vastauksia. Nämä vastaukset herättivät ainakin IT-ammattilaisten kesken suurta naurua  ja LinkedInissä muun muassa tätä kutsuttiin asiakkaan aliarvioimiseksi.

Joka tapauksessa Caruna sulki palvelunsa, vaikka heidän käsityksen mukaan palvelu oli yhtä turvallinen kuin verkkopankki ja kaiken piti olla kunnossa.

Pieni faktakertaus Carunalle:

1) Sähköposti liikkuu suojaamattomassa muodossa. Se ei varsinaisesti ollut tämän haavoittuvuuden ongelma.

2) Se, että linkki/selailu on salattu HTTPS/SSL -salauksella, ei vielä tarkoita, että viesti olisi turvallinen. SSL-salaus ei millään tavalla turvannut asiakkaiden tietoja tässä eikä järjestelmä faktisesti ollut yhtä turvallinen kuin verkkopankki. Kuka tahansa henkilö menemällä https:// -yhteyteen olisi saanut ko. viestin auki. Tilanne rinnastuisi siihen, jos taloyhtiön huoltomiehen yleisavain olisi unohdettu taloyhtiön hiekkalaatikolle, mutta huoltoyhtiö kertoisi lukkojen olevan toiminnassa ja kunnossa.

Käytännössä lataamalla kotikoneelle tai muutamalle pilvipalvelimelle ns. crawlereita, koko tietokanta olisi saatu muumassa tunnissa imuroitua palvelimelta. Yksi tietokone pystyy hakemaan 50-100 sivua per sekunti riippuen palvelimen vastaanottokyvystä. Toki kyselyiden määrää voi rajoittaa palvelimelta, mutta epäilen, että näin olisi tehty. Kun otetaan mukaan muutama pilvipalvelin, tehokkuus nousee huomattavasti korkeammaksi. 

Toisessa artikkelissa Carunan tietohallintojohtaja kertoi vielä mystisemmin ongelman korjauksesta: "Kunhan robotin sieltä blokkaa, se on turvallinen." Mitäh? Mistä hän oikein puhuu? Jos tietohallintojohtaja tarkoitti näitä crawlereita, ne pystyy käyttämään helposti eri IP-osoitteita tai käyttämään proxyjä. Niitä on myös aika mahdoton blokata. Tämäkään ei ole riittävä tietoturvatoimenpide.

Carunan tietohallintojohtaja kertoi, että numerosarjat eivät olleet vierekkäin, vaan 1/30 000 olisi osunut oikeaan. Käytännössä matemaattisesti laskien yksi tietokone olisi saanut yhden asiakkaan tiedot noin 30 minuutissa (huomioimatta lukuisia crawlereita, joiden avulla päästäisiin huomattavasti korkeampaan lukuun ja riippuen täysin palvelimen ja crawlerin nopeudesta). Tämän olisi voinut tehdä huomaamatta yön yli muutaman päivän ajan kuka tahansa monella eri crawlerilla. Yksikin paljastus on mielestäni kuitenkin liikaa.

Koko viestin idea oli se, ettei yksittäinen asiakas käsipelillä saa auki toisen viestejä, enkä niin ole väittänyt. Kysymys oli siitä, että teknisesti vähänkin IT-asioista perillä oleva henkilö voi saada asiakastiedot ladattua palvelimelta käyttäen internetissä yleisesti saatavilla olevilla työkaluilla. Se olisi toki tietomurto, joka on rikos, mutta usein näillä identiteettivarkailla on käytössä Tor-verkkoa tai muita proxyjä, joten kiinnijäämisen riski on todella alhainen.

Käytännössä Carunan järjestelmä ei toteuta tietosuoja-asetuksen mukaista oletusarvoista tietoturvaa, sillä pääsyä asiakastietoihin ei teknisesti oltu millään tavalla suojattu. Yrityksenä en lähtisi kutsumaan haavoittuvuutta lieväksi, jos kysymys on ollut näin alkeellisesta virheestä, joka on kenen tahansa huomattavissa. Enemmän tämä herätti kysymyksiä siitä, miten Caruna käsittelee luottamuksellisia asiakastietoja. Siinä tilanteessa itse en lähtisi selittämään kuuta juustoksi ja kiistämään tietoturvahuolia, vaan palkitsisin asiakasta siitä, että tiedot todennäköisesti jäivät talon sisäiseksi.

Jos virhe ei olisi tullut kauttani Carunan tietoon, todennäköisesti viikon kuluessa tämäkin tietokanta olisi julkaistu jossain palstalla. Kirjoitin tästä asiasta blogin, koska ajattelin, että se on tehokkain tapa saada myös pidettyä omat asiakastiedot poissa tietovuodosta ja että tietovuoto myös otettaisiin yhtiössä vakavasti. 

 

]]>
1 http://jussisalokangas.puheenvuoro.uusisuomi.fi/256043-carunan-viestinta-heratti-enemman-kysymyksia#comments Kotimaa Caruna Gdpr Tietoturva Viestintä Tue, 29 May 2018 12:01:09 +0000 Jussi Salokangas http://jussisalokangas.puheenvuoro.uusisuomi.fi/256043-carunan-viestinta-heratti-enemman-kysymyksia
Vanhempi! Onnittele teiniä hyvästä tietoturvasta jos löydät näitä appeja! http://usvi.puheenvuoro.uusisuomi.fi/245856-vanhempi-onnittele-teinia-hyvasta-tietoturvasta-jos-loydat-naita-appeja <p>Tietoturva on hieno asia. Monet vaarat vaanivat verkossa tietokoneiden ja mobiililaitteiden käyttäjiä. Virukset, valtiolliset tiedustelutahot, mainostajat ja muut ilkimykset ovat jatkuvasti kyttäämässä. Onneksi kasvava joukko suomalaisia nuoria osaa suhtautua vaaroihin asiallisesti älypuhelimensa varustamalla. Vanhempien tulisi voida kehua nuorta, jos hänellä on käytössä esimerkiksi <strong>Tor Browser</strong>, <strong>Orfox</strong> tai <strong>Wickr</strong>.</p><p>Tor Browseria käytettäessä internetiä pystyy selaamaan anonyymisti, jälkiä jättämättä. Tor salaa käyttäjän sijainnin internetiä valvovilta tahoilta, ja tekee käyttäjän jäljittämisestä vaikeampaa. Tor-verkon käyttäminen itsessään ei tarkoita mitään rikollista, mutta kyseistä selainta on käytetty esimerkiksi kiertämään sensuuria valtioissa, joiden sananvapaustilanne on huono. Orfox on Tor-pohjainen selainohjelma. Wickr on puolestaan applikaatio, jonka avulla voi turvallisesti käydä luottamuksellisia keskusteluita muiden applikaation käyttäjien kanssa.</p><p>Nuoren vanhempi! Jos nuoren älypuhelimesta löytyy jokin edellä mainituista sovelluksista, on aika kehua häntä tietoturvan hyvästä hallinnasta!</p><p>Janne Paalijärvi - <a href="http://paalijarvi.fi/" target="_blank" title="http://paalijarvi.fi/">http://paalijarvi.fi/</a><br />Facebook: <a href="https://www.facebook.com/paalijarvi" target="_blank" title="https://www.facebook.com/paalijarvi">https://www.facebook.com/paalijarvi</a><br />Twitter: <a href="https://twitter.com/paalijarvi" target="_blank" title="https://twitter.com/paalijarvi">https://twitter.com/paalijarvi</a></p><div class="field field-type-number-integer field-field-first-published"> <div class="field-items"> <div class="field-item odd"> 0 </div> </div> </div> Tietoturva on hieno asia. Monet vaarat vaanivat verkossa tietokoneiden ja mobiililaitteiden käyttäjiä. Virukset, valtiolliset tiedustelutahot, mainostajat ja muut ilkimykset ovat jatkuvasti kyttäämässä. Onneksi kasvava joukko suomalaisia nuoria osaa suhtautua vaaroihin asiallisesti älypuhelimensa varustamalla. Vanhempien tulisi voida kehua nuorta, jos hänellä on käytössä esimerkiksi Tor Browser, Orfox tai Wickr.

Tor Browseria käytettäessä internetiä pystyy selaamaan anonyymisti, jälkiä jättämättä. Tor salaa käyttäjän sijainnin internetiä valvovilta tahoilta, ja tekee käyttäjän jäljittämisestä vaikeampaa. Tor-verkon käyttäminen itsessään ei tarkoita mitään rikollista, mutta kyseistä selainta on käytetty esimerkiksi kiertämään sensuuria valtioissa, joiden sananvapaustilanne on huono. Orfox on Tor-pohjainen selainohjelma. Wickr on puolestaan applikaatio, jonka avulla voi turvallisesti käydä luottamuksellisia keskusteluita muiden applikaation käyttäjien kanssa.

Nuoren vanhempi! Jos nuoren älypuhelimesta löytyy jokin edellä mainituista sovelluksista, on aika kehua häntä tietoturvan hyvästä hallinnasta!

Janne Paalijärvi - http://paalijarvi.fi/
Facebook: https://www.facebook.com/paalijarvi
Twitter: https://twitter.com/paalijarvi

]]>
7 http://usvi.puheenvuoro.uusisuomi.fi/245856-vanhempi-onnittele-teinia-hyvasta-tietoturvasta-jos-loydat-naita-appeja#comments Suomi Tietoturva Tor Fri, 10 Nov 2017 07:06:55 +0000 Janne Paalijärvi http://usvi.puheenvuoro.uusisuomi.fi/245856-vanhempi-onnittele-teinia-hyvasta-tietoturvasta-jos-loydat-naita-appeja
Nordea ei huolehtinut riittävästä tietoturvasta ja asiakas maksaa http://pelisuomi.puheenvuoro.uusisuomi.fi/245775-nordea-ei-huolehtinut-riittavasta-tietoturvasta-ja-asiakas-maksaa <p><em>&rdquo;Iäkäs pariskunta joutui nettihuijauksen uhriksi ja syytti pankkia - oikeus tuomitsi 38 000 euron korvauksiin&rdquo;</em></p><p><em>&rdquo; Rikollinen teki tilisiirron 8. heinäkuuta. Tilille oli ensin kirjauduttu vanhentuneella pankkitunnuksella ja heti perään oikealla. <strong>Rikollinen vaihtoi oman puhelinnumeronsa pariskunnan numeron tilalle</strong>, minkä avulla hän pääsi ohittamaan pankin tekstiviestivarmenteen tilisiirroissa.</em></p><p><em>Huijari siirsi 4 800 euroa puolalaiselle tilille. Siirron jälkeen varas kävi vielä tarkistamassa, oliko siirto onnistunut.&rdquo;</em> Lähde: Iltalehti 8.11.2017</p><p><strong>Nordean sivulta:</strong></p><p><em>&quot;Pankin vastuu ja velvollisuudet palvelun tarjoajana</em></p><p><em>Pankin vastuulla palveluntarjoajana on suojata verkkopankkiohjelma parhailla mahdollisilla ratkaisuilla. Näitä ratkaisuja ovat muun muassa TLS-suojaus sekä vaihtuvien salasanojen järjestelmä. Pankki seuraa tietoturvauhkien ja -ratkaisujen kehitystä jatkuvasti ja ottaa ne huomioon omissa tietoturvaratkaisuissaan.&quot;</em></p><p><strong>Suojasiko Nordea verkkopankkiohjelmansa parhaalla mahdollisella tavalla?</strong></p><p>Minun mielestäni ei suojannut, jos verkkopankissa voidaan vaihtaa puhelinnumero, jota ei voi esim. Espanjalaisen verkkopankin tilillä tehdä, vaan täytyy mennä pankin konttoriin vaihtamaan puhelinnumero. Ei pidä olla tietoturva-asiantuntija, kun ymmärtää tämän haavoittuvuuden verkkopankissa.&nbsp;Espanjassa pankista soitetaan aina, kun tilinsiirto ulkomaille tehdään, riippumatta siirettävän summan suuruudesta. Turha olisi soitella, jos puhelinnumeron voisi varas verkopankissa vaihtaa</p><p>Suomalaisten ei tarvitse useasti käydä edes pankissa puhelinnumeroa vaihtamassa, sillä vanha numero säilyy vaikka operaattoria vaihtaisi.</p><p><strong>On aivan selvää, että Nordea pankki on laiminlyönyt verkkopankkiohjelman tietoturvan suojauksen mahdollistaen kaksinkertaisen suojauksen yksinkertaisen murron, eli pankkitunnuksilla puhelinnumeron vaihdon, joka on se toinen tilisiirron varmistustoimenpide.</strong></p><p>Ihmettelen myös Helsingin käräjäoikeuden tuomiota, kun siinä ei ole huomioitu &rdquo;Heikomman suojaa&rdquo;, joka täytyisi erityisesti ottaa huomioon määrättäessä oikeudenkäyntikulujen korvaaminen. Iäkkäälle pariskunnalle 38.000&euro;:n oikeudenkäyntikulut ovat täysin kohtuuttomat verrattuna suuren Nordea pankin mahdollisuuteen vastata niistä kuluista itse.</p><p><strong>Mielestäni ei tapahtunut oikeus ja kohtuus, vaan väärys ja kohtuuttomuus!</strong></p><div class="field field-type-number-integer field-field-first-published"> <div class="field-items"> <div class="field-item odd"> 0 </div> </div> </div> ”Iäkäs pariskunta joutui nettihuijauksen uhriksi ja syytti pankkia - oikeus tuomitsi 38 000 euron korvauksiin”

” Rikollinen teki tilisiirron 8. heinäkuuta. Tilille oli ensin kirjauduttu vanhentuneella pankkitunnuksella ja heti perään oikealla. Rikollinen vaihtoi oman puhelinnumeronsa pariskunnan numeron tilalle, minkä avulla hän pääsi ohittamaan pankin tekstiviestivarmenteen tilisiirroissa.

Huijari siirsi 4 800 euroa puolalaiselle tilille. Siirron jälkeen varas kävi vielä tarkistamassa, oliko siirto onnistunut.” Lähde: Iltalehti 8.11.2017

Nordean sivulta:

"Pankin vastuu ja velvollisuudet palvelun tarjoajana

Pankin vastuulla palveluntarjoajana on suojata verkkopankkiohjelma parhailla mahdollisilla ratkaisuilla. Näitä ratkaisuja ovat muun muassa TLS-suojaus sekä vaihtuvien salasanojen järjestelmä. Pankki seuraa tietoturvauhkien ja -ratkaisujen kehitystä jatkuvasti ja ottaa ne huomioon omissa tietoturvaratkaisuissaan."

Suojasiko Nordea verkkopankkiohjelmansa parhaalla mahdollisella tavalla?

Minun mielestäni ei suojannut, jos verkkopankissa voidaan vaihtaa puhelinnumero, jota ei voi esim. Espanjalaisen verkkopankin tilillä tehdä, vaan täytyy mennä pankin konttoriin vaihtamaan puhelinnumero. Ei pidä olla tietoturva-asiantuntija, kun ymmärtää tämän haavoittuvuuden verkkopankissa. Espanjassa pankista soitetaan aina, kun tilinsiirto ulkomaille tehdään, riippumatta siirettävän summan suuruudesta. Turha olisi soitella, jos puhelinnumeron voisi varas verkopankissa vaihtaa

Suomalaisten ei tarvitse useasti käydä edes pankissa puhelinnumeroa vaihtamassa, sillä vanha numero säilyy vaikka operaattoria vaihtaisi.

On aivan selvää, että Nordea pankki on laiminlyönyt verkkopankkiohjelman tietoturvan suojauksen mahdollistaen kaksinkertaisen suojauksen yksinkertaisen murron, eli pankkitunnuksilla puhelinnumeron vaihdon, joka on se toinen tilisiirron varmistustoimenpide.

Ihmettelen myös Helsingin käräjäoikeuden tuomiota, kun siinä ei ole huomioitu ”Heikomman suojaa”, joka täytyisi erityisesti ottaa huomioon määrättäessä oikeudenkäyntikulujen korvaaminen. Iäkkäälle pariskunnalle 38.000€:n oikeudenkäyntikulut ovat täysin kohtuuttomat verrattuna suuren Nordea pankin mahdollisuuteen vastata niistä kuluista itse.

Mielestäni ei tapahtunut oikeus ja kohtuus, vaan väärys ja kohtuuttomuus!

]]>
19 http://pelisuomi.puheenvuoro.uusisuomi.fi/245775-nordea-ei-huolehtinut-riittavasta-tietoturvasta-ja-asiakas-maksaa#comments Nordea Tietoturva Verkkopankki Wed, 08 Nov 2017 15:10:48 +0000 Pertti Lindeman http://pelisuomi.puheenvuoro.uusisuomi.fi/245775-nordea-ei-huolehtinut-riittavasta-tietoturvasta-ja-asiakas-maksaa
Venäläinen tietoturvayhtiö Kaspersky Lab ja Vladimir Putin http://aripesonen1.puheenvuoro.uusisuomi.fi/244444-venalainen-tietoturvayhtio-kaspersky-lab-ja-vladimir-putin <p>Venäläinen Kaspersky Lab -tietoturvayhtiö (<a href="https://www.kaspersky.com/"><u>Kaspersky Lab</u></a>) ei ole useimmille lukijoille tuttu, vaikka monella heistä on tietolaitteissaan tämän venäläisyhtiön tuottama virustorjuntaohjelmisto.</p><p>Kaspersky Labilla noin 400 miljoonaa kotikäyttäjää ja 270&nbsp;000 yritysasiakasta ympäri maailmaa. Vuonna 2016 yrityksen liikevaihto oli lähes 650 miljoonaa dollaria, josta yli 370 miljoonaa dollaria koostui myynnistä läntisessä Euroopassa ja Yhdysvalloissa. Kaspersky Lab on merkittävä venäläinen suuryritys sekä kooltaan että toiminnaltaan. Vertauksena suomalaisen F-Secure Oy:n liikevaihto vuonna 2016 oli noin 160 miljoonaa euroa.</p><p>Kaspersky Lab on herättänyt koko sen olemassaoloajan vuodesta 1997 läntisissä turvallisuuspalveluissa ja myös laajemminkin epäilyksiä yhteyksistä Venäjän valtionhallintoon ja ennen kaikkea Venäjän turvallisuuspalvelu FSB:hen (<a href="http://www.fsb.ru/"><u>ФСБ</u></a>).</p><p>Epäilyt saivat viime kesällä vahvaa konkretiaa, kun Yhdysvallat esti vuoden 2018 liittovaltiobudjetin käsittelyn yhteydessä lainsäädännöllisin toimenpitein Kaspersky Labia toimittamasta Yhdysvaltain puolustusministeriölle tietoturvaohjelmistoja.</p><p>Lakialoite <a href="https://www.congress.gov/bill/115th-congress/senate-bill/1519?q=%7B%22search%22%3A%5B%22Kaspersky%22%5D%7D&amp;r=3"><u>S.1519 &mdash; 115th Congress (2017-2018)</u></a> 10.7.2017:</p><p>&ldquo;<em>Prohibition. - No department, agency, organization, or other element of the Department of Defense may use, whether directly or through work with or on behalf of another organization or element of the Department or another department or agency of the United States Government, any software platform developed, in whole or in part, by <u>Kaspersky Lab</u> or <u>any entity of which Kaspersky Lab has a majority ownership</u>.</em>&rdquo;</p><p>Vapaasti suomennettuna:</p><p>&rdquo;<em>Kielto. - Puolustusministeriön mikään osasto, virasto, organisaatio tai muu ministeriöön sidoksissa oleva toimija ei saa käyttää suoraan tai välillisesti Yhdysvaltain liittovaltion hallintoon liittyvän osaston tai viraston kautta sellaisia tieto-ohjelmistoja, jotka kehitetty kokonaan tai osittain <u>Kaspersky Lab -yhtiön</u> kanssa tai minkä tahansa sellaisen toimijan kanssa, jossa <u>Kaspersky Lab -yhtiöllä on enemmistöomistus</u>.</em>&rdquo;</p><p>Lakialoite <a href="https://www.congress.gov/bill/115th-congress/senate-bill/1631/text?q=%7B%22search%22%3A%5B%22Kaspersky%22%5D%7D&amp;r=2"><u>S.1631 - 115th Congress (2017-2018)</u></a> 25.7.2017:</p><p>&ldquo;<em>Not later than 30 days after the date of the enactment of this Act, the Secretary of State shall develop a process and timeframe for determining whether or not the Department of State purchased software, hardware, or services from <u>Kaspersky Lab</u>, <u>Huawei</u>, <u>ZTE Corporation</u>, or from any affiliates where Kaspersky Lab, Huawei, or ZTE Corporation equipment, software, or services may be contained, and if so, if any of those products or services are still in use.</em>&rdquo;</p><p>Vapaasti suomennettuna:</p><p>&quot;<em>Ulkoministeri [ulkoministeriö] laatii viimeistään 30 päivän kuluttua tämän lain voimaantulosta toimenpiteet ja aikataulun sen määrittelemiseksi, onko ulkoministeriö hankkinut ohjelmistoja, laitteistoja tai palveluita <u>Kaspersky Lab</u>-, <u>Huawei</u>- ja <u>ZTE Corporation</u> -yritykseltä tai tytäryhtiöstä, joissa on Kaspersky Lab-, Huawei- tai ZTE Corporation -yritysten laitteita, ohjelmistoja tai palveluita. Onko jokin näistä tuotteista tai palveluista vielä käytössä.</em>&quot;</p><p>Yhdysvaltain tietotekniikan &rdquo;mustalla listalla&rdquo; ei ole vain venäläinen Kaspersky Lab vaan myös kiinalaiset Huawei ja ZTE Corporation.</p><p>Kaspersky Lab yhtiön tietoturvayhtiön tuotteista luopuminen on huomioitu myös jo puolustusministeriön ensi vuoden budjettiesityksessä (<a href="https://www.congress.gov/bill/115th-congress/house-bill/2810/text"><u>H.R.2810 &mdash; 115th Congress (2017-2018)</u></a> ja <a href="https://www.armed-services.senate.gov/imo/media/doc/FY18%20NDAA%20summary2.pdf"><u>National Defense Authorization Act for Fiscal Year 2018</u></a>) komiteasenaattoreiden seuraavilla sanankäänteillä:</p><p>&rdquo;<em>Prohibits the DOD from using software platforms developed by <u>Kaspersky Lab</u> due to reports that the Moscow-based company might be vulnerable to Russian government influence.</em>&rdquo;</p><p>Vapaasti suomennettuna:</p><p>&rdquo;<em>[Komitea] kieltää puolustusministeriötä käyttämästä <u>Kaspersky Lab -yhtiön</u> kehittämiä ohjelmistoalustoja, koska selonteot osoittavat, että moskovalainen yritys saattaa olla altis Venäjän hallituksen vaikutusvallalle</em>.&rdquo;</p><p>Yhdysvalloissa ylimääräistä ärsyyntymistä synnytti Kaspersky Labin sekaantuminen Yhdysvaltain presidentinvaaleihin, joka tuli ilmi presidentinvaalien Venäjä-tutkinnan yhteydessä.</p><p><a href="https://www.congress.gov/bill/115th-congress/house-concurrent-resolution/47/text?q=%7B%22search%22%3A%5B%22Kaspersky%22%5D%7D&amp;r=1"><u>H.Con.Res.47 &mdash; 115th Congress (2017-2018)</u></a> 5.4.2017:</p><p>&ldquo;<em>Former Assistant to the President for National Security, Michael Flynn, who was compelled to resign just weeks into his tenure because he misled Vice President Mike Pence about his conversations with Ambassador Kislyak, and who also failed to disclose a $33,750 payment from RT, for a speech in Moscow in 2015, and a <u>$11,250 payment from Kaspersky Lab</u>, a company suspected of having ties with the Russian intelligence services and later caught up in a Russian espionage investigation, for a speech in 2015;</em>&rdquo;.</p><p>Vapaasti suomennettuna:</p><p>&ldquo;<em>Entinen Yhdysvaltain turvallisuuspoliittinen neuvonantaja Michael Flynn, joka edellytettiin eroamaan vain muutaman viikon virassaolon jälkeen, koska hän harhautti varapresidentti Mike Penceä hänen keskusteluistaan suurlähettiläs [Sergei] Kisljakin kanssa ja koska hän ei myöskään paljastanut [venäläisen uutissivusto] RT:n 33 750 dollarin maksua Moskovassa pidetystä puheesta vuonna 2015 ja <u>Kaspersky Lab</u><u>in 11 250 dollarin maksua</u>. Kaspersky Lab on yhtiö, jonka epäillään olevan läheiset suhteet venäläisten tiedustelupalvelun [FSB] kanssa ja joka myöhemmin saatu kiinni puheena vuonna 2015 olleessa Venäjää koskevassa vakoilututkinnassa;</em>&rdquo;</p><p>Noiden Yhdysvaltain kongressissa laadittujen lakialoitteiden ja muiden asiakirjojen viesti on selvä. Yhdysvaltain liittovaltion hallinto luopuu venäläisistä tietoturvatuotteista, joita edustaa Kaspersky Lab.</p><p>On selvä, että noihin toimiin ei ole ryhdytty vähäisin perustein ja että Yhdysvalloilla on tiedustelupalvelujensa kautta saatuna hyvä tieto Kaspersky Labin ja Venäjän hallinnon välisistä yhteyksistä, joilla voi olla heikentävä vaikutus Yhdysvaltain tietoturvallisuuteen.</p><p>On todennäköistä, että Yhdysvallat tulee aikanaan vaatimaan puolustuksen yhteistyökumppaneilta myös ulkomailla sitä samaa, mitä se on vaatimassa lainsäädäntöteitse liittovaltiolta ja yhteistyökumppaneilta kotimaassa: &rdquo;<em>No department, agency, <u>organization</u>, <u>or other element</u> of the Department of Defense <u>may use</u>, <u>whether directly or through work with or on behalf of another organization or element</u> of the Department or another department or agency of the United States Government&hellip;&rdquo;.</em></p><p>Yksi keskeinen senaattori Kaspersky Lab -asiassa on ollut republikaani John McCain.</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ****</p><p>Kaspersky Labin perustaja ja toimitusjohtaja on vuonna 1965 syntynyt Jevgeni Kasperski (Евгений Касперский, Yevgeny Kaspersky, <a href="https://ru.wikipedia.org/wiki/%D0%9A%D0%B0%D1%81%D0%BF%D0%B5%D1%80%D1%81%D0%BA%D0%B8%D0%B9,_%D0%95%D0%B2%D0%B3%D0%B5%D0%BD%D0%B8%D0%B9_%D0%92%D0%B0%D0%BB%D0%B5%D0%BD%D1%82%D0%B8%D0%BD%D0%BE%D0%B2%D0%B8%D1%87"><u>wikipedia</u></a>). Yhtiön toinen osakas Kasperskin vaimon ja opettajaprofessorin lisäksi perustamisajankohtana oli Aleksei De Mont De Rique (Alexey De Mont De Rique, tunnetaan paremmin nimellä Alexey De-Monderik, Алексей Де-Мондерик).&nbsp; Kasperski ja De Mont De Rique olivat kehittäneet parivaljakkona jo syksyllä 1991 KAMI Information Technologies Center -nimisessä teknologiayrityksessä ensimmäisen virustentorjuntaohjelman nimeltään AVP-antivirus.</p><p>Jevgeni Kasperski on KGB:n kasvatti. Hän on KGB:n vanha tiedustelu-upseeri.</p><p>Ollessaan 16-vuotias vuonna 1981 hänet valittiin Institute of Cryptography, Telecommunications, and Computer Science -opinahjoon (Академия федеральной службы безопасности Российской Федерации, <a href="http://www.academy.fsb.ru/"><u>АфсpбРФ</u></a>). Opinahjo tunnetaan nykyisin FSB-akatemiana (FSB Academy) sekä Venäjän federaation koulutus- ja tutkimuslaitoksena, josta valmistutaan Venäjän tiedustelupalvelutoimintojen ja erityisesti turvallisuuspalvelu FSB:n leipiin.</p><p>Kasperski valmistui FSB-akatemiasta 5-vuotisen opinjakson jälkeen vuonna 1987, jonka jälkeen hänet valittiin KGB:n tiedustelu-upseeriksi. Kasperski ei ole koskaan paljastanut, mitä hän opiskeli ja missä tehtävissä hän työskenteli KGB:ssä, mutta tietotekniikkaan liittyvää kuitenkin, se on selvä. &ldquo;<em>That was top-secret, so I don&rsquo;t remember.</em>&rdquo; on ollut englanninkielinen vastaus kysymyksiin, kun häneltä on kysytty 1980-luvun KGB-ajasta.</p><p>Vladimir Putin on KGB:n kasvatti. Hän on KGB-mies. Kaikki keskeiset henkilöt Putinin lähipiirissä ovat olleet KGB-taustaisia tavalla tai toisella, poikkeukset ovat harvassa. Monet Putinille läheiset ovat kotoisin myös Leningradista Putinin tapaan. Putinin lähelle päästääkseen ansioluettelossa KGB- sekä Leningrad- ja Pietari-sanat eivät ole pahaksi.</p><p>Kerran KGB-mies, aina KGB-mies. Jos et hyvällä, niin sitten pahalla. Aikaisemmin KGB ja myöhemmin FSB tietävät kaikkein niiden opinahjoissa opiskelleiden ja niiden palveluksessa olleiden ihmisten vahvuudet ja heikkoudet. Jos et ole lojaali hyvällä, olet sitten pahalla. Aleksandr Litvinenko (Александр Литвиненко, <a href="https://ru.wikipedia.org/wiki/%D0%9B%D0%B8%D1%82%D0%B2%D0%B8%D0%BD%D0%B5%D0%BD%D0%BA%D0%BE,_%D0%90%D0%BB%D0%B5%D0%BA%D1%81%D0%B0%D0%BD%D0%B4%D1%80_%D0%92%D0%B0%D0%BB%D1%8C%D1%82%D0%B5%D1%80%D0%BE%D0%B2%D0%B8%D1%87"><u>wikipedia</u></a>) oli entinen KGB:n eversti ja myöhemmin turvallisuuspalvelu FSB:n everstiluutnantti, joka loikaksi Iso-Britanniaan vuonna 2000 ja tuli myrkytetyksi marraskuussa 2006. Kuolinpäiväksi kirjattiin 23.11.2006.</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ****</p><p><a href="https://en.wikipedia.org/wiki/Stuxnet"><u>Stuxnet</u></a> on Windows-käyttöliittymään liittyvä matotyyppinen tietokonehaittaohjelma, josta ensimmäisenä raportoi kesäkuussa 2010 valkovenäläinen turvallisuusyritys <a href="http://anti-virus.by/en/index.shtml"><u>VirusBlokAda</u></a>. Stuxnet oli ensimmäinen mato, joka vakoilee ja uudelleenohjelmoi teollisuusjärjestelmiä.</p><p>Virus tuli tietoisuuteen, kun maailmalla levisi tieto, että mato oli päässyt Iranin ydinlaitoksiin. Myöhemmin varmistui, että kyseessä oli Yhdysvaltojen ja Israelin yhteinen kyberhanke, jonka päämäärä oli hidastaa ja estää Iranin kyvykkyyttä rakentaa ydinase (<a href="http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html?_r=1"><u>The New York Times 1.6.2012</u></a>).</p><p>Henkilöt, jotka työskentelivät VirusBlokAda-yhtiössä löytäen Stuxnet-tietokonemadon, siirtyivät Jevgeni Kasperskin palvelukseen. Osittain samat henkilöt kykenivät toukokuussa 2012 paljastivat toisen tietokonehaittaohjelman, jonka he nimesivät <a href="https://en.wikipedia.org/wiki/Flame_(malware)"><u>Flame</u></a>-virukseksi. Hieman myöhemmin varmistui, että kyseessä oli jälleen Yhdysvaltojen ja Israelin yhteishanke, jonka päämäärä oli hidastaa ja estää Iranin kyvykkyyttä rakentaa ydinase (<a href="https://www.washingtonpost.com/world/national-security/us-israel-developed-computer-virus-to-slow-iranian-nuclear-efforts-officials-say/2012/06/19/gJQA6xBPoV_story.html?utm_term=.cb26118bead0"><u>The Washington Post 19.6.2012</u></a>).</p><p>Toisin sanoen, Kaspersky Lab ei ollut enää 2010-luvun alussa vain tavanomainen virustentorjuntayhtiö, vaan sillä oli myös asema valtioiden tietoverkkojen kybervakoilussa (<a href="https://en.wikipedia.org/wiki/Cyber_spying"><u>Cyber spying</u></a>). Venäläinen Kaspersky Lab tiedostettiin yhä enemmän myös Yhdysvaltojen liittovaltion turvallisuushallinnoissa.</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ****</p><p>Vuodet 2011-2012 olivat käänne Kaspersky Labin toiminnassa suhteessa Venäjän tiedusteluhallintoon ja presidentti Putinin lähipiiriin. Ennen tätä ajankohtaa yrityksen voidaan katsoa olleen pitkälti tavanomaisen virustentorjuntayhtiön, muttei enää tämän jälkeen. Ei ainakaan minun ajatusmaailmassa.</p><p>Huhtikuun 19. päivänä 2011 aamulla kello 6.30, Kasperski sai Lontoon hotellihuoneessaan puhelun, jonka numero oli hänen poikansa, mutta soittaja ei ollut hänen poikansa. &quot;<em>Meillä on poikasi.</em>&quot;, Kasperskille ilmoitettiin pojan kidnappauksesta. Kasperskin 19-vuotias poika oli kidnapattu Venäjällä. Eri vaiheiden jälkeen Kasperski otti turvallisuuspäällikkönsä välityksellä yhteydettä FSB:hen, joka otti asian hoitaakseen.</p><p>FSB sai pojan vapaaksi ja tekijät kiinni, mutta tapahtumalla oli vaikutus Kasperskin ajatteluun. Kasperski alkoi syyttää VKontakte- sosiaalista verkkosivustoa (<a href="https://vk.com/"><u>ВК</u></a>) siellä olevista poikansa henkilökohtaista tiedoista, jotka olivat kaikkien nähtävillä.</p><p>VK-asiassa Kasperskin ja presidentti Putinin näkemykset yhdistyivät hieman myöhemmin vuonna 2012, yhdistävä linkkihenkilö oli Kremlin turvallisuusneuvoston sihteeri Nikolai Patrušhev (Николай Патрушев, <a href="https://ru.wikipedia.org/wiki/%D0%9F%D0%B0%D1%82%D1%80%D1%83%D1%88%D0%B5%D0%B2,_%D0%9D%D0%B8%D0%BA%D0%BE%D0%BB%D0%B0%D0%B9_%D0%9F%D0%BB%D0%B0%D1%82%D0%BE%D0%BD%D0%BE%D0%B2%D0%B8%D1%87"><u>wikipedia</u></a>), jonka rooliin palaan myöhemmin. VKontakte tai lyhyemmin VK vastaa Venäjällä Facebook-sivustoa.</p><p>Joulukuussa 2011 tuli esiin seikkoja, jotka osoittivat läheisyyttä Kaspersky Labin ja Kremlin välisissä suhteissa.</p><p>Venäjällä olivat duuman vaalit joulukuussa 2011. Vaalien aattona massiiviset palvelunestohyökkäykset lamauttivat sosiaalisen median sivustoja, kuten yhdysvaltalaisen <a href="https://www.livejournal.com/"><u>LiveJournal</u></a>-sivuston, yhteiskuntaliberaalin <a href="https://www.kommersant.ru/"><u>Kommersant</u></a>-sivuston sekä itsenäisenä vaalitarkkailijana toimivan <a href="http://archive.golos.org/"><u>Golos</u></a>-sivuston.</p><p>Palvelunestohyökkäyksillä oli poliittinen tarkoitusperä estää Venäjän nykyjärjestelmää arvostelevien ja vastustavien toimintaa vaalien alla. Kuitenkin Kaspersky Lab, joka on aina ylpeillyt sillä, että sen ohjelmistot voivat havaita ja torjua<a href="https://en.wikipedia.org/wiki/Denial-of-service_attack"><u> DDoS</u></a>-hyökkäyksiä (Distributed Denial of Service), kielsi tässä yhteydessä tällaisen palvelunestohyökkäystoiminnan olemassaolon. Kaspersky Labilla olisi ollut kyvykkyys estää palvelunestohyökkäykset, jos se vain olisi halunnut.</p><p>Seuraava näyttö Kaspersky Labin ja Kremlin välisistä suhteista saatiin jo heti seuraavan vuoden alkupuolella.</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ****</p><p>Yhdysvaltalainen sijoitusyhtiö General Atlanticilla (<a href="http://www.generalatlantic.com/"><u>General Atlantic</u></a>) &nbsp;oli vuoteen 2012 saakka viidenneksen omistusosuus Kaspersky Labista, jota se luopui - hyvällä tai pahalla - vuonna 2012.</p><p>Keväällä 2015 Bloomberg uutisoi (<a href="https://www.bloomberg.com/news/articles/2015-03-19/cybersecurity-kaspersky-has-close-ties-to-russian-spies"><u>Bloomberg 19.3.2015</u></a>), että vuodesta 2012 useat asiantuntijatyöntekijät ovat joko jättäneet Kasperskyn omaehtoisesti tai tulleet irtisanotuiksi. Bloombergin jutun otsikko oli &ldquo;<em>The Company Securing Your Internet Has Close Ties to Russian Spies</em>&rdquo; (&rdquo;<em>Yrityksellä, joka turvaa internettisi, on läheiset yhteydet venäläistiedustelijoihin</em>&rdquo;).</p><p>Bloombergin mukaan osa yrityksen työntekijöistä avustaa aktiivisesti Venäjän turvallisuuspalvelu FSB:tä hyödyntämällä tietoja, joita yhtiöllä on 400 miljoonasta asiakkaastaan eri puolilla maailmaa. Työntekijät myös kertoivat, että Jevgeni Kasperski saunoo säännöllisesti ryhmässä, johon kuuluu 5&ndash;10 venäläistä tiedusteluviranomaista.</p><p>Yhtiö on korvannut vanhoja työntekijöitä väellä, joka pitää yhteyttä FSB:hen. Osalla on koulutusta siitä samasta FSB-opinahjosta, josta Jevgeni Kasperski on itsekin saanut.</p><p>Uutissivusto Bloomberg uutisoi kesällä 2017 (<a href="https://www.bloomberg.com/news/articles/2017-07-11/kaspersky-lab-has-been-working-with-russian-intelligence"><u>Bloomberg 11.7.2017</u></a>) otsikolla &rdquo;<em>Kaspersky Lab </em><em>Has Been Working With Russian Intelligence</em>&rdquo; (&rdquo;<em>Kaspersky Lab on työskennellyt Venäjän tiedustelulle</em>&rdquo;), että Kaspersky Lab on ylläpitänyt paljon läheisempiä yhteistyösuhteita Venäjän tärkeimpään tiedustelupalveluun FSB:hen kuin mitä se on julkisesti myöstänyt. &nbsp;</p><p>Bloomberg oli saanut haltuunsa Kaspersky Labin vuoden 2009 sähköposteja, joiden mukaan jo vuonna 2008 salaisesta projektista &quot;<em>suurta pyyntöä varten Lubjankan puolella</em>&quot; (&rdquo;<em>per a big request on the Lubyanka </em><em>side</em>&rdquo;), jossa Lubjanka viittaa FSB:n yhden direktoraatin moskovalaisen toimitalon nimeen Lubjanka (Лубянка, <a href="https://ru.wikipedia.org/wiki/%D0%97%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BE%D1%80%D0%B3%D0%B0%D0%BD%D0%BE%D0%B2_%D0%B3%D0%BE%D1%81%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_%D0%BD%D0%B0_%D0%9B%D1%83%D0%B1%D1%8F%D0%BD%D0%BA%D0%B5"><u>wikipedia</u></a>).</p><p>Bloomberg kirjoittaa haltuunsa saamien sähköpostien perusteella: &rdquo;<em>Kaspersky </em><em>provides the FSB with real-time intelligence on the hackers&rsquo; location and sends experts to accompany the FSB and Russian police when they conduct raids. That&rsquo;s what Kaspersky was referring to in the emails, says the person familiar with the system.</em>&rdquo;</p><p>Vapaasti suomennettuna:</p><p>&ldquo;<em>Kaspersky Lab toimittaa FSB:lle reaaliaikaista tiedustelutietoa hakkereiden sijainnista ja lähettää asiantuntijoita FSB:n ja Venäjän poliisin tueksi, kun ne tekevät verkkohyökkäyksiä. Tämä on, mihin Kaspersky viittasi sähköposteissa, kertoo järjestelmän tunteva henkilö.</em>&rdquo;</p><p>Edellä mainittu edelleen suomennettuna tarkoittaa sitä, Kaspersky Lab tiedustelee sitä tietokonekantaa, joissa on sen ohjelmistoja ja lähettää epäilyttävistä koneista tietoa FSB:lle toimenpiteitä varten.</p><p>Projektia Kaspersky Labissa hoiti päälakimies Igor Tšekunov (Игорь Чекунов), joka on&nbsp;toiminut aikaisemmin poliisina ja KGB-upseerina. Tšekunovin tehtävä oli toimia teknisenä tukena FSB:lle ja muille Venäjän federaation virastoille sekä kerätä tunnistetietoja asiakkaiden tietokoneista.</p><p>Toinen Bloombergin haltuun saamissa sähköposteissa mainittu henkilö, joka on sidottu Venäjän federaation turvallisuushallintoon, on nimeltään Ruslan Stojanov (Руслан Стоянов), joka siirtyi Kaspersky Labiin sisäministeriön kyberturvallisuusyksiköstä. FSB pidätti Ruslan Stojanovin joulukuussa 2016, ja samassa yhteydessä pidätettiin myös FSB:n Sergei Mihailov (Сергей Михайлов), joka toimi FSB:n tietoturvakeskuksen (<a href="https://ru.wikipedia.org/wiki/%D0%A6%D0%B5%D0%BD%D1%82%D1%80_%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_%D0%A4%D0%A1%D0%91"><u>ЦИБ</u></a>) päällikkönä. FSB:ssä kyseinen keskus toimii tietoturvallisuuden varmistajana Venäjällä.</p><p>Kyse pidätyksessä oli ulkomaisesta lähteestä saadusta lahjuksesta, joka on välitetty venäläiselle virkamiehelle tietojenkäsittelyn alalla työskentelevän venäläisen työntekijän välityksellä (<a href="http://www.rosbalt.ru/moscow/2017/02/05/1588993.html"><u>Rosbalt 5.2.2017</u></a>). Ruslan Stojanov ja Sergei Mikhailov yhdessä samassa asiassa on osaltaan merkki Kaspersky Labin ja FSB:n yhteyksistä.</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ****</p><p>Venäjällä on kaksi myös Kremlin kannalta merkittävää yritystä, jotka toimivat sähköisessä verkossa ja nettimaailmassa. Toinen on tietoturvayhtiö Kaspersky Lab ja toinen on Facebookin venäläinen korvike VKontakte.</p><p>Kaspersky Lab siirtyi täydelliseen venäläiskontrolliin vuonna 2012, kun yhdysvaltainen vähemmistöomistaja luopui yrityksen omistuksesta. Näkemykseni mukaan Kaspersky Lab on Kremlin riittävässä hallinnassa ja Kreml voi säädellä yrityksen toimintaa Venäjän etujen mukaisesti siinä määrin kuin Kreml haluaa. Lainsäädäntö mahdollistaa myös tietoturvayhtiön käyttämiseen, siis myös Kaspersky Labin.</p><p>Venäjän federaation lain nro N 99-FZ (<a href="http://www.consultant.ru/cons/cgi/online.cgi?req=doc&amp;base=LAW&amp;n=221382&amp;fld=134&amp;dst=1000000001,0&amp;rnd=0.3688166714785939#0"><u>N 99-ФЗ</u></a>, <a href="https://ohranatruda.ru/ot_biblio/normativ/data_normativ/9/9014/"><u>N 128-ФЗ</u></a> ei enää voimassa olevana ja <a href="https://www.wired.com/images_blogs/dangerroom/2012/07/Russian-Laws-and-Regulations-and-Implications-for-Kaspersky-Labs.pdf"><u>N 128-ФЗ, vaikutukset Kaspesky Labin toimintaan, Taia Global, Inc.</u></a>) mukaan FSB:llä ei ole pelkästään mahdollisuutta pakottaa kaikkia tietoliikenneyrityksiä asentamaan kaikki &quot;<em>ylimääräisiä laitteita ja ohjelmistoja</em>&quot; vaan avustamaan FSB:tä saattamaan tiedustelupalvelun virkailijoita toimiin tietoliikenneyrityksessä. FSB:n toimille Kasperski Labissakin on siis lakiin perustuvat mahdollisuudet. Venäläinen N 99-FZ-laki on vuodelta 2011 , kun yhdysvaltainen General Atlantic luopui siis omistuksistaan Kaspersky Labissa vuonna 2012.</p><p>VKontakte siirtyi vastaavasti Kremlin hallintaan vuonna 2014. VKontakten perustaja ja toimitusjohtaja Pavel Durov (Павел Дуров, <a href="https://ru.wikipedia.org/wiki/%D0%94%D1%83%D1%80%D0%BE%D0%B2,_%D0%9F%D0%B0%D0%B2%D0%B5%D0%BB_%D0%92%D0%B0%D0%BB%D0%B5%D1%80%D1%8C%D0%B5%D0%B2%D0%B8%D1%87"><u>wikipedia</u></a>) kirjoitti VK-sivullaan huhtikuussa 2014, että hän oli luopunut yhtiön hallinnasta myymällä omistuksensa Putinin lähipiirin kahdelle sijoittajalle, Igor Setšinille (Игорь Сечин, <a href="https://en.wikipedia.org/wiki/Igor_Sechin"><u>wikipedia</u></a>) ja Alisher Usmanoville (Алишер Усманов, <a href="https://fi.wikipedia.org/wiki/Ali%C5%A1er_Usmanov"><u>wikipedia</u></a>).</p><p>Igor Setšin on kotoisin Pietarista ja työskenteli Pietarin kaupungin hallinnossa 1990-luvulla (1991-1996) pormestari Anatoli Sobtšakin alaisuudessa. Setšin ja Putin ystävystyivät jo 1980-luvun lopulla Leningradin yliopistoon liittyen. Setšin ei ole KGB-mies.</p><p>VKontakten haltuunoton myötä Kremlillä on hallussaan Venäjän tärkein sosiaalinen media.</p><p>Jevgeni Kasperskin ja Vladimir Putinin ajatukset nettipohjaisen sosiaalisen median haitallisuudesta ovat&nbsp;olleet vuodesta 2012 yks yhteen.</p><p>Jevgeni Kasperski totesi helmikuussa vuonna 2012 Wired-verkkojulkaisulle Meksikon Cancunissa antamassaan haastattelussa:</p><p>&ldquo;<em>Especially dangerous, is the role of social networks in fueling protest movements from Tripoli to Moscow, where blogger Alexei Navalny has emerged as perhaps the most important dissident leader and sites like VK and LiveJournal have helped bring tens of thousands of people into the streets.&rdquo; These developments are as part of a disinformation campaign by antigovernment forces to &lsquo;manipulate crowds and change public opinion.&rsquo;</em>&rdquo;</p><p>Vapaasti suomennettuna:</p><p>&ldquo;<em>Erityisen vaarallinen on sosiaalisten median rooli vahvistamassa protestiliikkeitä Tripolista Moskovaan, jossa bloggaaja Aleksei Navalnyi [</em><em>Алексей </em><em>Навальный, </em><a href="https://ru.wikipedia.org/wiki/%D0%9D%D0%B0%D0%B2%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B9,_%D0%90%D0%BB%D0%B5%D0%BA%D1%81%D0%B5%D0%B9_%D0%90%D0%BD%D0%B0%D1%82%D0%BE%D0%BB%D1%8C%D0%B5%D0%B2%D0%B8%D1%87"><em><u>wikipedia</u></em></a><em>] on noussut ehkä tärkeimmäksi toisinajattelijaksi, ja nettisivustot - kuten VK ja LiveJournal - ovat saaneet kymmeniä tuhansia ihmisiä kaduille. Nämä tapahtumat ovat osa hallitusta vastustavien voimien disinformaatiokampanoita tarkoituksena &rsquo;manipuloida väkijoukkoja ja muuttaa yleistä mielipidettä.&rsquo;</em>&rdquo;</p><p>LiveJournal oli nettisivusto, joihin kohdistettuja verkkohyökkäyksiä Kaspersky Lab torjunut muutamaa kuukautta aikaisemmin, kun Venäjällä olivat duuman vaalit 4.12.2011.</p><p>Aleksei Navalnyi on venäläinen johtava oppositiopoliitikko, joka 2.10.2017 tuomittiin 20 päiväksi vankeuteen, koska hän on rikkonut toistuvasti lakia julkisten kokoontumisten järjestämisestä. Venäjän hallinto ei ole katsellut suopeasti maan suosituinta oppositiojohtajaa ja hänen aikeitaan asettua ehdolle ensi vuoden presidentinvaaleissa.</p><p>Kremlin politiikka oppositiovoimia ja sosiaalista mediaa vastaan, jota se harjoittaa edelleen, oli tiedossa siis vuonna jo 2012. Politiikkaan ovat kuuluneet myös järjestelyt yrityksissä.</p><p>Jevgeni Kasperskin sanat vuodelta 2012 ovat yhtenevät Nikolai Patrušhevin sanojen kanssa samalta ajankohdalta. Patrušhevin on presidentinhallinnon turvallisuusneuvoston sihteeri ja entinen FSB-päällikkö elokuusta 1999 toukokuuhun 2008. Patrušhev on kotoisin hänkin Leningradista, jossa hän työskenteli Leningradin alueen KGB:ssä (контрразведывательные подразделения, <a href="http://shieldandsword.mozohin.ru/kgb5491/terr_org/oblast/leningrad.htm"><u>УКГБ по Ленинградской области</u></a>).</p><p>Kesäkuussa 2012 Patrušhev kertoi Interfaxin toimittajalle, että ulkomaiset voimat internetissä luovat jatkuvasti jännitteitä Venäjän yhteiskuntaan. &quot;<em>Ulkomaiset sivustot levittävät poliittista keinottelua ja kutsuvat luvattomia protesteja</em>&rdquo;, hän totesi suomennettuna (<a href="https://www.ridus.ru/news/35119"><u>Ridus 1.6.2012</u></a> ja <a href="http://www.interfax.ru/interview/248374"><u>Interfax 1.6.2012</u></a>).</p><p>Nikolai Patrušhevin ja Kaspersky Labin yhteistyöstä on raportoitu jo vuonna 2007, jolloin Patrušhev siis toimi vielä FSB-päällikkönä. Patrušhev lähetti henkilökohtaisen kiitossähköpostin Kaspersky Labin Sergei Golovanoville (Сергей Голованов), kun yritys oli auttanut FSB:tä saada kiinni virsuohjelmoijat.</p><p>Putin on valmis käyttämään hyväkseen venäläistä tietoturvayhtiötä valvomaan niitä päämääriä sosiaalisessa mediassa, joita Putinin hallinto asettaa. Sosiaalisessa mediassa valvonta on helppoa tietoturva- ja virustorjunta ohjelmien kautta.</p><p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ****</p><p>Tietoturva- ja virustorjuntayritykset ovat erityisen herkkiä, koska niiden ohjelmistot<br />ovat tietoisia kaikista tietokoneiden tiedostoista. Virustorjuntaohjelmistot viestivät myös säännöllisesti<br />ohjelmavalmistajan kanssa mm. päivitysten vastaanottamisesta, mikä turvallisuusasiantuntijoiden mukaan<br />tarjoavat pääsyn teoreettisesti myös arkaluonteisten käyttäjien - kuten valtion virastojen, pankkien energiayhtiöiden jne. - tiedostoihin.</p><p>Viime vuonna Eugene Kasperski ilmoitti yhtiöiden turvallisen käyttöjärjestelmän käynnistämisestä -tuotenimeltään <a href="https://os.kaspersky.com/"><u>KasperskyOS</u></a> -, joka on suunniteltu sähköverkkojen, tehtaiden, putkistojen ja muita kriittisiä infrastruktuureja ohjaavia tietojärjestelmiä varten.</p><p>Yhdysvaltain puolustustarkastusvirasto esitti Yhdysvaltain liittovaltion hallinnolle varoituksen siitä, että Kaspersky Labin uutuustuotetuote voisi antaa Venäjän hallituksen pääsyn järjestelmiin, minkä väitteen Kaspersky Lab kielsi. Ainakaan Yhdysvalloissa Kaspersky Lab ei tule pääsemään kesällä 2017 käynnistyneen lainsäädäntöuudistuksen myötä kiinni uutuusohjelmallaan infrastruktuuriin. Toivottavasti ei myöskään Suomessa.</p><p>Ilman muuta myös läntisillä tietoturva- ja virustorjuntayrityksillä on läheiset suhteet maittensa hallituksiin, ja yritykset tekevät läheistä yhteistyötä maittensa hallitusten kanssa. Yhdysvalloissa liittovaltiolla on tiiviit suhteet mm. McAfeehen (<a href="https://www.mcafee.com/consumer/en-us/store/m0/index.html"><u>McAfee</u></a>) ja Symanteciin (<a href="https://www.symantec.com/"><u>Symantec</u></a>).</p><p>Oleellista tässä on, länsimaiset yhtiöt ovat juuri länsimaisia. Meillä on siis yhteinen ideologia ja maailmankatsomus, olemme samassa veneessä. On eri asia hankkia tietoturvaa ja virustorjuntaa sellaisesta maasta, jonka maailmankatsomus ja toimintatavat poikkeavat omistamme.</p><p>Voimmeko luottaa ohjelmien toimivuuteen kaikissa olosuhteissa? Voisimmeko luottaa vastaavasti venäläishävittäjien nousevan ilmaan kaikissa olosuhteissa? Edellisen puolustusministerin Call Haglundin sanat ovat kuvaavia: &rdquo; <em>Emme liioin voi luottaa, olisivatko ne [venäläishävittäjät] toimintakykyisiä kriisitilanteissa. Saataisiinko tarvittaessa koneisiin huoltoa, tukea tai varaosia?</em>&rdquo; (<a href="https://yle.fi/uutiset/3-7786082"><u>Yle 6.2.2015</u></a>).</p><p>En ikimaailmassa hankkisi venäläiseltä yritykseltä tietoturva- ja virustorjuntaohjelmaa, joka valvoisi maassamme sähköverkkoja, liikennettä tai energialaitoksia. En ikimaailmassa hankkisi venäläiseltä yritykseltä tietoturva- ja virustorjuntaohjelmaa, jos tietojärjestelmissäni olisi suurta salassapitoa vaativia tietoja.</p><div class="field field-type-number-integer field-field-first-published"> <div class="field-items"> <div class="field-item odd"> 0 </div> </div> </div> Venäläinen Kaspersky Lab -tietoturvayhtiö (Kaspersky Lab) ei ole useimmille lukijoille tuttu, vaikka monella heistä on tietolaitteissaan tämän venäläisyhtiön tuottama virustorjuntaohjelmisto.

Kaspersky Labilla noin 400 miljoonaa kotikäyttäjää ja 270 000 yritysasiakasta ympäri maailmaa. Vuonna 2016 yrityksen liikevaihto oli lähes 650 miljoonaa dollaria, josta yli 370 miljoonaa dollaria koostui myynnistä läntisessä Euroopassa ja Yhdysvalloissa. Kaspersky Lab on merkittävä venäläinen suuryritys sekä kooltaan että toiminnaltaan. Vertauksena suomalaisen F-Secure Oy:n liikevaihto vuonna 2016 oli noin 160 miljoonaa euroa.

Kaspersky Lab on herättänyt koko sen olemassaoloajan vuodesta 1997 läntisissä turvallisuuspalveluissa ja myös laajemminkin epäilyksiä yhteyksistä Venäjän valtionhallintoon ja ennen kaikkea Venäjän turvallisuuspalvelu FSB:hen (ФСБ).

Epäilyt saivat viime kesällä vahvaa konkretiaa, kun Yhdysvallat esti vuoden 2018 liittovaltiobudjetin käsittelyn yhteydessä lainsäädännöllisin toimenpitein Kaspersky Labia toimittamasta Yhdysvaltain puolustusministeriölle tietoturvaohjelmistoja.

Lakialoite S.1519 — 115th Congress (2017-2018) 10.7.2017:

Prohibition. - No department, agency, organization, or other element of the Department of Defense may use, whether directly or through work with or on behalf of another organization or element of the Department or another department or agency of the United States Government, any software platform developed, in whole or in part, by Kaspersky Lab or any entity of which Kaspersky Lab has a majority ownership.

Vapaasti suomennettuna:

Kielto. - Puolustusministeriön mikään osasto, virasto, organisaatio tai muu ministeriöön sidoksissa oleva toimija ei saa käyttää suoraan tai välillisesti Yhdysvaltain liittovaltion hallintoon liittyvän osaston tai viraston kautta sellaisia tieto-ohjelmistoja, jotka kehitetty kokonaan tai osittain Kaspersky Lab -yhtiön kanssa tai minkä tahansa sellaisen toimijan kanssa, jossa Kaspersky Lab -yhtiöllä on enemmistöomistus.

Lakialoite S.1631 - 115th Congress (2017-2018) 25.7.2017:

Not later than 30 days after the date of the enactment of this Act, the Secretary of State shall develop a process and timeframe for determining whether or not the Department of State purchased software, hardware, or services from Kaspersky Lab, Huawei, ZTE Corporation, or from any affiliates where Kaspersky Lab, Huawei, or ZTE Corporation equipment, software, or services may be contained, and if so, if any of those products or services are still in use.

Vapaasti suomennettuna:

"Ulkoministeri [ulkoministeriö] laatii viimeistään 30 päivän kuluttua tämän lain voimaantulosta toimenpiteet ja aikataulun sen määrittelemiseksi, onko ulkoministeriö hankkinut ohjelmistoja, laitteistoja tai palveluita Kaspersky Lab-, Huawei- ja ZTE Corporation -yritykseltä tai tytäryhtiöstä, joissa on Kaspersky Lab-, Huawei- tai ZTE Corporation -yritysten laitteita, ohjelmistoja tai palveluita. Onko jokin näistä tuotteista tai palveluista vielä käytössä."

Yhdysvaltain tietotekniikan ”mustalla listalla” ei ole vain venäläinen Kaspersky Lab vaan myös kiinalaiset Huawei ja ZTE Corporation.

Kaspersky Lab yhtiön tietoturvayhtiön tuotteista luopuminen on huomioitu myös jo puolustusministeriön ensi vuoden budjettiesityksessä (H.R.2810 — 115th Congress (2017-2018) ja National Defense Authorization Act for Fiscal Year 2018) komiteasenaattoreiden seuraavilla sanankäänteillä:

Prohibits the DOD from using software platforms developed by Kaspersky Lab due to reports that the Moscow-based company might be vulnerable to Russian government influence.

Vapaasti suomennettuna:

[Komitea] kieltää puolustusministeriötä käyttämästä Kaspersky Lab -yhtiön kehittämiä ohjelmistoalustoja, koska selonteot osoittavat, että moskovalainen yritys saattaa olla altis Venäjän hallituksen vaikutusvallalle.”

Yhdysvalloissa ylimääräistä ärsyyntymistä synnytti Kaspersky Labin sekaantuminen Yhdysvaltain presidentinvaaleihin, joka tuli ilmi presidentinvaalien Venäjä-tutkinnan yhteydessä.

H.Con.Res.47 — 115th Congress (2017-2018) 5.4.2017:

Former Assistant to the President for National Security, Michael Flynn, who was compelled to resign just weeks into his tenure because he misled Vice President Mike Pence about his conversations with Ambassador Kislyak, and who also failed to disclose a $33,750 payment from RT, for a speech in Moscow in 2015, and a $11,250 payment from Kaspersky Lab, a company suspected of having ties with the Russian intelligence services and later caught up in a Russian espionage investigation, for a speech in 2015;”.

Vapaasti suomennettuna:

Entinen Yhdysvaltain turvallisuuspoliittinen neuvonantaja Michael Flynn, joka edellytettiin eroamaan vain muutaman viikon virassaolon jälkeen, koska hän harhautti varapresidentti Mike Penceä hänen keskusteluistaan suurlähettiläs [Sergei] Kisljakin kanssa ja koska hän ei myöskään paljastanut [venäläisen uutissivusto] RT:n 33 750 dollarin maksua Moskovassa pidetystä puheesta vuonna 2015 ja Kaspersky Labin 11 250 dollarin maksua. Kaspersky Lab on yhtiö, jonka epäillään olevan läheiset suhteet venäläisten tiedustelupalvelun [FSB] kanssa ja joka myöhemmin saatu kiinni puheena vuonna 2015 olleessa Venäjää koskevassa vakoilututkinnassa;

Noiden Yhdysvaltain kongressissa laadittujen lakialoitteiden ja muiden asiakirjojen viesti on selvä. Yhdysvaltain liittovaltion hallinto luopuu venäläisistä tietoturvatuotteista, joita edustaa Kaspersky Lab.

On selvä, että noihin toimiin ei ole ryhdytty vähäisin perustein ja että Yhdysvalloilla on tiedustelupalvelujensa kautta saatuna hyvä tieto Kaspersky Labin ja Venäjän hallinnon välisistä yhteyksistä, joilla voi olla heikentävä vaikutus Yhdysvaltain tietoturvallisuuteen.

On todennäköistä, että Yhdysvallat tulee aikanaan vaatimaan puolustuksen yhteistyökumppaneilta myös ulkomailla sitä samaa, mitä se on vaatimassa lainsäädäntöteitse liittovaltiolta ja yhteistyökumppaneilta kotimaassa: ”No department, agency, organization, or other element of the Department of Defense may use, whether directly or through work with or on behalf of another organization or element of the Department or another department or agency of the United States Government…”.

Yksi keskeinen senaattori Kaspersky Lab -asiassa on ollut republikaani John McCain.

                                                                                   ****

Kaspersky Labin perustaja ja toimitusjohtaja on vuonna 1965 syntynyt Jevgeni Kasperski (Евгений Касперский, Yevgeny Kaspersky, wikipedia). Yhtiön toinen osakas Kasperskin vaimon ja opettajaprofessorin lisäksi perustamisajankohtana oli Aleksei De Mont De Rique (Alexey De Mont De Rique, tunnetaan paremmin nimellä Alexey De-Monderik, Алексей Де-Мондерик).  Kasperski ja De Mont De Rique olivat kehittäneet parivaljakkona jo syksyllä 1991 KAMI Information Technologies Center -nimisessä teknologiayrityksessä ensimmäisen virustentorjuntaohjelman nimeltään AVP-antivirus.

Jevgeni Kasperski on KGB:n kasvatti. Hän on KGB:n vanha tiedustelu-upseeri.

Ollessaan 16-vuotias vuonna 1981 hänet valittiin Institute of Cryptography, Telecommunications, and Computer Science -opinahjoon (Академия федеральной службы безопасности Российской Федерации, АфсpбРФ). Opinahjo tunnetaan nykyisin FSB-akatemiana (FSB Academy) sekä Venäjän federaation koulutus- ja tutkimuslaitoksena, josta valmistutaan Venäjän tiedustelupalvelutoimintojen ja erityisesti turvallisuuspalvelu FSB:n leipiin.

Kasperski valmistui FSB-akatemiasta 5-vuotisen opinjakson jälkeen vuonna 1987, jonka jälkeen hänet valittiin KGB:n tiedustelu-upseeriksi. Kasperski ei ole koskaan paljastanut, mitä hän opiskeli ja missä tehtävissä hän työskenteli KGB:ssä, mutta tietotekniikkaan liittyvää kuitenkin, se on selvä. “That was top-secret, so I don’t remember.” on ollut englanninkielinen vastaus kysymyksiin, kun häneltä on kysytty 1980-luvun KGB-ajasta.

Vladimir Putin on KGB:n kasvatti. Hän on KGB-mies. Kaikki keskeiset henkilöt Putinin lähipiirissä ovat olleet KGB-taustaisia tavalla tai toisella, poikkeukset ovat harvassa. Monet Putinille läheiset ovat kotoisin myös Leningradista Putinin tapaan. Putinin lähelle päästääkseen ansioluettelossa KGB- sekä Leningrad- ja Pietari-sanat eivät ole pahaksi.

Kerran KGB-mies, aina KGB-mies. Jos et hyvällä, niin sitten pahalla. Aikaisemmin KGB ja myöhemmin FSB tietävät kaikkein niiden opinahjoissa opiskelleiden ja niiden palveluksessa olleiden ihmisten vahvuudet ja heikkoudet. Jos et ole lojaali hyvällä, olet sitten pahalla. Aleksandr Litvinenko (Александр Литвиненко, wikipedia) oli entinen KGB:n eversti ja myöhemmin turvallisuuspalvelu FSB:n everstiluutnantti, joka loikaksi Iso-Britanniaan vuonna 2000 ja tuli myrkytetyksi marraskuussa 2006. Kuolinpäiväksi kirjattiin 23.11.2006.

                                                                                   ****

Stuxnet on Windows-käyttöliittymään liittyvä matotyyppinen tietokonehaittaohjelma, josta ensimmäisenä raportoi kesäkuussa 2010 valkovenäläinen turvallisuusyritys VirusBlokAda. Stuxnet oli ensimmäinen mato, joka vakoilee ja uudelleenohjelmoi teollisuusjärjestelmiä.

Virus tuli tietoisuuteen, kun maailmalla levisi tieto, että mato oli päässyt Iranin ydinlaitoksiin. Myöhemmin varmistui, että kyseessä oli Yhdysvaltojen ja Israelin yhteinen kyberhanke, jonka päämäärä oli hidastaa ja estää Iranin kyvykkyyttä rakentaa ydinase (The New York Times 1.6.2012).

Henkilöt, jotka työskentelivät VirusBlokAda-yhtiössä löytäen Stuxnet-tietokonemadon, siirtyivät Jevgeni Kasperskin palvelukseen. Osittain samat henkilöt kykenivät toukokuussa 2012 paljastivat toisen tietokonehaittaohjelman, jonka he nimesivät Flame-virukseksi. Hieman myöhemmin varmistui, että kyseessä oli jälleen Yhdysvaltojen ja Israelin yhteishanke, jonka päämäärä oli hidastaa ja estää Iranin kyvykkyyttä rakentaa ydinase (The Washington Post 19.6.2012).

Toisin sanoen, Kaspersky Lab ei ollut enää 2010-luvun alussa vain tavanomainen virustentorjuntayhtiö, vaan sillä oli myös asema valtioiden tietoverkkojen kybervakoilussa (Cyber spying). Venäläinen Kaspersky Lab tiedostettiin yhä enemmän myös Yhdysvaltojen liittovaltion turvallisuushallinnoissa.

                                                                                   ****

Vuodet 2011-2012 olivat käänne Kaspersky Labin toiminnassa suhteessa Venäjän tiedusteluhallintoon ja presidentti Putinin lähipiiriin. Ennen tätä ajankohtaa yrityksen voidaan katsoa olleen pitkälti tavanomaisen virustentorjuntayhtiön, muttei enää tämän jälkeen. Ei ainakaan minun ajatusmaailmassa.

Huhtikuun 19. päivänä 2011 aamulla kello 6.30, Kasperski sai Lontoon hotellihuoneessaan puhelun, jonka numero oli hänen poikansa, mutta soittaja ei ollut hänen poikansa. "Meillä on poikasi.", Kasperskille ilmoitettiin pojan kidnappauksesta. Kasperskin 19-vuotias poika oli kidnapattu Venäjällä. Eri vaiheiden jälkeen Kasperski otti turvallisuuspäällikkönsä välityksellä yhteydettä FSB:hen, joka otti asian hoitaakseen.

FSB sai pojan vapaaksi ja tekijät kiinni, mutta tapahtumalla oli vaikutus Kasperskin ajatteluun. Kasperski alkoi syyttää VKontakte- sosiaalista verkkosivustoa (ВК) siellä olevista poikansa henkilökohtaista tiedoista, jotka olivat kaikkien nähtävillä.

VK-asiassa Kasperskin ja presidentti Putinin näkemykset yhdistyivät hieman myöhemmin vuonna 2012, yhdistävä linkkihenkilö oli Kremlin turvallisuusneuvoston sihteeri Nikolai Patrušhev (Николай Патрушев, wikipedia), jonka rooliin palaan myöhemmin. VKontakte tai lyhyemmin VK vastaa Venäjällä Facebook-sivustoa.

Joulukuussa 2011 tuli esiin seikkoja, jotka osoittivat läheisyyttä Kaspersky Labin ja Kremlin välisissä suhteissa.

Venäjällä olivat duuman vaalit joulukuussa 2011. Vaalien aattona massiiviset palvelunestohyökkäykset lamauttivat sosiaalisen median sivustoja, kuten yhdysvaltalaisen LiveJournal-sivuston, yhteiskuntaliberaalin Kommersant-sivuston sekä itsenäisenä vaalitarkkailijana toimivan Golos-sivuston.

Palvelunestohyökkäyksillä oli poliittinen tarkoitusperä estää Venäjän nykyjärjestelmää arvostelevien ja vastustavien toimintaa vaalien alla. Kuitenkin Kaspersky Lab, joka on aina ylpeillyt sillä, että sen ohjelmistot voivat havaita ja torjua DDoS-hyökkäyksiä (Distributed Denial of Service), kielsi tässä yhteydessä tällaisen palvelunestohyökkäystoiminnan olemassaolon. Kaspersky Labilla olisi ollut kyvykkyys estää palvelunestohyökkäykset, jos se vain olisi halunnut.

Seuraava näyttö Kaspersky Labin ja Kremlin välisistä suhteista saatiin jo heti seuraavan vuoden alkupuolella.

                                                                                   ****

Yhdysvaltalainen sijoitusyhtiö General Atlanticilla (General Atlantic)  oli vuoteen 2012 saakka viidenneksen omistusosuus Kaspersky Labista, jota se luopui - hyvällä tai pahalla - vuonna 2012.

Keväällä 2015 Bloomberg uutisoi (Bloomberg 19.3.2015), että vuodesta 2012 useat asiantuntijatyöntekijät ovat joko jättäneet Kasperskyn omaehtoisesti tai tulleet irtisanotuiksi. Bloombergin jutun otsikko oli “The Company Securing Your Internet Has Close Ties to Russian Spies” (”Yrityksellä, joka turvaa internettisi, on läheiset yhteydet venäläistiedustelijoihin”).

Bloombergin mukaan osa yrityksen työntekijöistä avustaa aktiivisesti Venäjän turvallisuuspalvelu FSB:tä hyödyntämällä tietoja, joita yhtiöllä on 400 miljoonasta asiakkaastaan eri puolilla maailmaa. Työntekijät myös kertoivat, että Jevgeni Kasperski saunoo säännöllisesti ryhmässä, johon kuuluu 5–10 venäläistä tiedusteluviranomaista.

Yhtiö on korvannut vanhoja työntekijöitä väellä, joka pitää yhteyttä FSB:hen. Osalla on koulutusta siitä samasta FSB-opinahjosta, josta Jevgeni Kasperski on itsekin saanut.

Uutissivusto Bloomberg uutisoi kesällä 2017 (Bloomberg 11.7.2017) otsikolla ”Kaspersky Lab Has Been Working With Russian Intelligence” (”Kaspersky Lab on työskennellyt Venäjän tiedustelulle”), että Kaspersky Lab on ylläpitänyt paljon läheisempiä yhteistyösuhteita Venäjän tärkeimpään tiedustelupalveluun FSB:hen kuin mitä se on julkisesti myöstänyt.  

Bloomberg oli saanut haltuunsa Kaspersky Labin vuoden 2009 sähköposteja, joiden mukaan jo vuonna 2008 salaisesta projektista "suurta pyyntöä varten Lubjankan puolella" (”per a big request on the Lubyanka side”), jossa Lubjanka viittaa FSB:n yhden direktoraatin moskovalaisen toimitalon nimeen Lubjanka (Лубянка, wikipedia).

Bloomberg kirjoittaa haltuunsa saamien sähköpostien perusteella: ”Kaspersky provides the FSB with real-time intelligence on the hackers’ location and sends experts to accompany the FSB and Russian police when they conduct raids. That’s what Kaspersky was referring to in the emails, says the person familiar with the system.

Vapaasti suomennettuna:

Kaspersky Lab toimittaa FSB:lle reaaliaikaista tiedustelutietoa hakkereiden sijainnista ja lähettää asiantuntijoita FSB:n ja Venäjän poliisin tueksi, kun ne tekevät verkkohyökkäyksiä. Tämä on, mihin Kaspersky viittasi sähköposteissa, kertoo järjestelmän tunteva henkilö.

Edellä mainittu edelleen suomennettuna tarkoittaa sitä, Kaspersky Lab tiedustelee sitä tietokonekantaa, joissa on sen ohjelmistoja ja lähettää epäilyttävistä koneista tietoa FSB:lle toimenpiteitä varten.

Projektia Kaspersky Labissa hoiti päälakimies Igor Tšekunov (Игорь Чекунов), joka on toiminut aikaisemmin poliisina ja KGB-upseerina. Tšekunovin tehtävä oli toimia teknisenä tukena FSB:lle ja muille Venäjän federaation virastoille sekä kerätä tunnistetietoja asiakkaiden tietokoneista.

Toinen Bloombergin haltuun saamissa sähköposteissa mainittu henkilö, joka on sidottu Venäjän federaation turvallisuushallintoon, on nimeltään Ruslan Stojanov (Руслан Стоянов), joka siirtyi Kaspersky Labiin sisäministeriön kyberturvallisuusyksiköstä. FSB pidätti Ruslan Stojanovin joulukuussa 2016, ja samassa yhteydessä pidätettiin myös FSB:n Sergei Mihailov (Сергей Михайлов), joka toimi FSB:n tietoturvakeskuksen (ЦИБ) päällikkönä. FSB:ssä kyseinen keskus toimii tietoturvallisuuden varmistajana Venäjällä.

Kyse pidätyksessä oli ulkomaisesta lähteestä saadusta lahjuksesta, joka on välitetty venäläiselle virkamiehelle tietojenkäsittelyn alalla työskentelevän venäläisen työntekijän välityksellä (Rosbalt 5.2.2017). Ruslan Stojanov ja Sergei Mikhailov yhdessä samassa asiassa on osaltaan merkki Kaspersky Labin ja FSB:n yhteyksistä.

                                                                                   ****

Venäjällä on kaksi myös Kremlin kannalta merkittävää yritystä, jotka toimivat sähköisessä verkossa ja nettimaailmassa. Toinen on tietoturvayhtiö Kaspersky Lab ja toinen on Facebookin venäläinen korvike VKontakte.

Kaspersky Lab siirtyi täydelliseen venäläiskontrolliin vuonna 2012, kun yhdysvaltainen vähemmistöomistaja luopui yrityksen omistuksesta. Näkemykseni mukaan Kaspersky Lab on Kremlin riittävässä hallinnassa ja Kreml voi säädellä yrityksen toimintaa Venäjän etujen mukaisesti siinä määrin kuin Kreml haluaa. Lainsäädäntö mahdollistaa myös tietoturvayhtiön käyttämiseen, siis myös Kaspersky Labin.

Venäjän federaation lain nro N 99-FZ (N 99-ФЗ, N 128-ФЗ ei enää voimassa olevana ja N 128-ФЗ, vaikutukset Kaspesky Labin toimintaan, Taia Global, Inc.) mukaan FSB:llä ei ole pelkästään mahdollisuutta pakottaa kaikkia tietoliikenneyrityksiä asentamaan kaikki "ylimääräisiä laitteita ja ohjelmistoja" vaan avustamaan FSB:tä saattamaan tiedustelupalvelun virkailijoita toimiin tietoliikenneyrityksessä. FSB:n toimille Kasperski Labissakin on siis lakiin perustuvat mahdollisuudet. Venäläinen N 99-FZ-laki on vuodelta 2011 , kun yhdysvaltainen General Atlantic luopui siis omistuksistaan Kaspersky Labissa vuonna 2012.

VKontakte siirtyi vastaavasti Kremlin hallintaan vuonna 2014. VKontakten perustaja ja toimitusjohtaja Pavel Durov (Павел Дуров, wikipedia) kirjoitti VK-sivullaan huhtikuussa 2014, että hän oli luopunut yhtiön hallinnasta myymällä omistuksensa Putinin lähipiirin kahdelle sijoittajalle, Igor Setšinille (Игорь Сечин, wikipedia) ja Alisher Usmanoville (Алишер Усманов, wikipedia).

Igor Setšin on kotoisin Pietarista ja työskenteli Pietarin kaupungin hallinnossa 1990-luvulla (1991-1996) pormestari Anatoli Sobtšakin alaisuudessa. Setšin ja Putin ystävystyivät jo 1980-luvun lopulla Leningradin yliopistoon liittyen. Setšin ei ole KGB-mies.

VKontakten haltuunoton myötä Kremlillä on hallussaan Venäjän tärkein sosiaalinen media.

Jevgeni Kasperskin ja Vladimir Putinin ajatukset nettipohjaisen sosiaalisen median haitallisuudesta ovat olleet vuodesta 2012 yks yhteen.

Jevgeni Kasperski totesi helmikuussa vuonna 2012 Wired-verkkojulkaisulle Meksikon Cancunissa antamassaan haastattelussa:

Especially dangerous, is the role of social networks in fueling protest movements from Tripoli to Moscow, where blogger Alexei Navalny has emerged as perhaps the most important dissident leader and sites like VK and LiveJournal have helped bring tens of thousands of people into the streets.” These developments are as part of a disinformation campaign by antigovernment forces to ‘manipulate crowds and change public opinion.’

Vapaasti suomennettuna:

Erityisen vaarallinen on sosiaalisten median rooli vahvistamassa protestiliikkeitä Tripolista Moskovaan, jossa bloggaaja Aleksei Navalnyi [Алексей Навальный, wikipedia] on noussut ehkä tärkeimmäksi toisinajattelijaksi, ja nettisivustot - kuten VK ja LiveJournal - ovat saaneet kymmeniä tuhansia ihmisiä kaduille. Nämä tapahtumat ovat osa hallitusta vastustavien voimien disinformaatiokampanoita tarkoituksena ’manipuloida väkijoukkoja ja muuttaa yleistä mielipidettä.’

LiveJournal oli nettisivusto, joihin kohdistettuja verkkohyökkäyksiä Kaspersky Lab torjunut muutamaa kuukautta aikaisemmin, kun Venäjällä olivat duuman vaalit 4.12.2011.

Aleksei Navalnyi on venäläinen johtava oppositiopoliitikko, joka 2.10.2017 tuomittiin 20 päiväksi vankeuteen, koska hän on rikkonut toistuvasti lakia julkisten kokoontumisten järjestämisestä. Venäjän hallinto ei ole katsellut suopeasti maan suosituinta oppositiojohtajaa ja hänen aikeitaan asettua ehdolle ensi vuoden presidentinvaaleissa.

Kremlin politiikka oppositiovoimia ja sosiaalista mediaa vastaan, jota se harjoittaa edelleen, oli tiedossa siis vuonna jo 2012. Politiikkaan ovat kuuluneet myös järjestelyt yrityksissä.

Jevgeni Kasperskin sanat vuodelta 2012 ovat yhtenevät Nikolai Patrušhevin sanojen kanssa samalta ajankohdalta. Patrušhevin on presidentinhallinnon turvallisuusneuvoston sihteeri ja entinen FSB-päällikkö elokuusta 1999 toukokuuhun 2008. Patrušhev on kotoisin hänkin Leningradista, jossa hän työskenteli Leningradin alueen KGB:ssä (контрразведывательные подразделения, УКГБ по Ленинградской области).

Kesäkuussa 2012 Patrušhev kertoi Interfaxin toimittajalle, että ulkomaiset voimat internetissä luovat jatkuvasti jännitteitä Venäjän yhteiskuntaan. "Ulkomaiset sivustot levittävät poliittista keinottelua ja kutsuvat luvattomia protesteja”, hän totesi suomennettuna (Ridus 1.6.2012 ja Interfax 1.6.2012).

Nikolai Patrušhevin ja Kaspersky Labin yhteistyöstä on raportoitu jo vuonna 2007, jolloin Patrušhev siis toimi vielä FSB-päällikkönä. Patrušhev lähetti henkilökohtaisen kiitossähköpostin Kaspersky Labin Sergei Golovanoville (Сергей Голованов), kun yritys oli auttanut FSB:tä saada kiinni virsuohjelmoijat.

Putin on valmis käyttämään hyväkseen venäläistä tietoturvayhtiötä valvomaan niitä päämääriä sosiaalisessa mediassa, joita Putinin hallinto asettaa. Sosiaalisessa mediassa valvonta on helppoa tietoturva- ja virustorjunta ohjelmien kautta.

                                                                                   ****

Tietoturva- ja virustorjuntayritykset ovat erityisen herkkiä, koska niiden ohjelmistot
ovat tietoisia kaikista tietokoneiden tiedostoista. Virustorjuntaohjelmistot viestivät myös säännöllisesti
ohjelmavalmistajan kanssa mm. päivitysten vastaanottamisesta, mikä turvallisuusasiantuntijoiden mukaan
tarjoavat pääsyn teoreettisesti myös arkaluonteisten käyttäjien - kuten valtion virastojen, pankkien energiayhtiöiden jne. - tiedostoihin.

Viime vuonna Eugene Kasperski ilmoitti yhtiöiden turvallisen käyttöjärjestelmän käynnistämisestä -tuotenimeltään KasperskyOS -, joka on suunniteltu sähköverkkojen, tehtaiden, putkistojen ja muita kriittisiä infrastruktuureja ohjaavia tietojärjestelmiä varten.

Yhdysvaltain puolustustarkastusvirasto esitti Yhdysvaltain liittovaltion hallinnolle varoituksen siitä, että Kaspersky Labin uutuustuotetuote voisi antaa Venäjän hallituksen pääsyn järjestelmiin, minkä väitteen Kaspersky Lab kielsi. Ainakaan Yhdysvalloissa Kaspersky Lab ei tule pääsemään kesällä 2017 käynnistyneen lainsäädäntöuudistuksen myötä kiinni uutuusohjelmallaan infrastruktuuriin. Toivottavasti ei myöskään Suomessa.

Ilman muuta myös läntisillä tietoturva- ja virustorjuntayrityksillä on läheiset suhteet maittensa hallituksiin, ja yritykset tekevät läheistä yhteistyötä maittensa hallitusten kanssa. Yhdysvalloissa liittovaltiolla on tiiviit suhteet mm. McAfeehen (McAfee) ja Symanteciin (Symantec).

Oleellista tässä on, länsimaiset yhtiöt ovat juuri länsimaisia. Meillä on siis yhteinen ideologia ja maailmankatsomus, olemme samassa veneessä. On eri asia hankkia tietoturvaa ja virustorjuntaa sellaisesta maasta, jonka maailmankatsomus ja toimintatavat poikkeavat omistamme.

Voimmeko luottaa ohjelmien toimivuuteen kaikissa olosuhteissa? Voisimmeko luottaa vastaavasti venäläishävittäjien nousevan ilmaan kaikissa olosuhteissa? Edellisen puolustusministerin Call Haglundin sanat ovat kuvaavia: ” Emme liioin voi luottaa, olisivatko ne [venäläishävittäjät] toimintakykyisiä kriisitilanteissa. Saataisiinko tarvittaessa koneisiin huoltoa, tukea tai varaosia?” (Yle 6.2.2015).

En ikimaailmassa hankkisi venäläiseltä yritykseltä tietoturva- ja virustorjuntaohjelmaa, joka valvoisi maassamme sähköverkkoja, liikennettä tai energialaitoksia. En ikimaailmassa hankkisi venäläiseltä yritykseltä tietoturva- ja virustorjuntaohjelmaa, jos tietojärjestelmissäni olisi suurta salassapitoa vaativia tietoja.

]]>
13 http://aripesonen1.puheenvuoro.uusisuomi.fi/244444-venalainen-tietoturvayhtio-kaspersky-lab-ja-vladimir-putin#comments Kaspersky Kyberturvallisuus Nato Tietoturva Venäjän uhka Sat, 14 Oct 2017 19:45:28 +0000 Ari Pesonen http://aripesonen1.puheenvuoro.uusisuomi.fi/244444-venalainen-tietoturvayhtio-kaspersky-lab-ja-vladimir-putin
Meitä vakoillaan jo - ja teemme siitä helppoa http://eliisakuusama.puheenvuoro.uusisuomi.fi/244294-meita-vakoillaan-jo-ja-teemme-siita-helppoa <p>Ajelin pari päivää sitten puolisoni kanssa Googlen navigaattorin avulla Vantaalta Espooseen. Puolisoni on ollut tyytyväinen kännykän puhesoftaan, jolle voi karttasovelluksessa kätevästi kertoa osoitteen näppäilemättä. Juttelimme niitä näitä, ja puhe oli muistaakseni Elina Lepomäestä, kun navigaattori yhtäkkiä ehdotti reittiä eduskuntatalolle.<br /><br />Mikrofonin ei pitänyt olla päällä - mikrofonia pitää erikseen täpätä - ja puhelin tönötti tukevasti telineessään ilman että kumpikaan oli koskenut siihen viimeiseen kymmeneen minuuttiin. Olimme myös matkalla&nbsp;päinvastaiseen suuntaan Arkadianmäestä, joten eduskunnan tarjoaminen vaihtoehdoksi oli vähintäänkin erikoista. Kumpikaan meistä ei myöskään ollut juttelumme lomassa maininnut eduskunta -sanaa, vaikka hallituksesta olimmekin puhuneet. Tapausta ihmetellessä navigaattori tarjosi määränpääksi pikkuparlamenttia.&nbsp;</p><p><br /><a href="http://www.tekniikkatalous.fi/tekniikka/ict/2014-03-04/Mobiilisovellukset-ahmivat-k%C3%A4ytt%C3%B6oikeuksia-%E2%80%93-kamera-mikrofoni-yhteystiedot-ja-sijainti-3318133.html">Sovellukset pyytävät käyttäjältään valtavasti oikeuksia</a>, esimerkiksi pääsyn puhelimen mikrofoniin, sijainnin, kameran sekä käyttäjän yhteystiedot. Osa sovelluksista haluaa nähdä myös tekstiviestit ja puhelutiedot. Suurin osa käyttäjistä klikkaa &quot;hyväksyn&quot; melko huolettomasti, ja kas näin hittisovellus kuten&nbsp;Venäläinen <a href="http://gadgets.ndtv.com/apps/features/whats-wrong-with-faceapp-the-latest-creepy-photo-app-for-your-face-1686570">FaceApp </a>ja kiinalainen <a href="https://www.wired.com/2017/01/meitu-viral-anime-makeover-app-major-privacy-red-flags/">Meitu</a>&nbsp;asentuu puhelimelle - mutta kukaan ei tunnu tietävän, mitä sovellukset kaikilla oikeuksillaan tekevät.&nbsp;<br /><br />Monesti tietoturvajutuille viitataan kintaalla koska &quot;eihän rehellisellä ole mitään salattavaa&quot;, mutta luultavasti kaikilla on laittessaan sellaista dataa, jota ei haluaisi tuntemattoman saavan käsiinsä - ja esimerkiksi tallennettuja yhteystietoja, tärkeitä sähköposteja, henkilökohtaisia kuvia. Vain <a href="http://www.nytimes.com/2013/07/13/your-money/novel-length-contracts-online-and-what-they-say.html">yksi tuhannesta lukee nettisivun tai sovelluksen käyttöoikeussopimuksen</a>&nbsp;(terms of service), ja ihmiset antavat&nbsp;suosituille sovelluksille puhelimensa käyttöoikeudet juurikaan miettimättä.&nbsp;<br /><br />Ei olisi mitenkään yllättävää, että seuraavan uuden hittisovelluksen takana olisi Suomelle pahantahtoinen taho - viimeisimpänä sekä Ranskan että USA:n vaaleihin pyritty vaikuttamaan ulkomailta nimenomaan sosiaalisen median kautta, esimerkiksi tietomurroilla ja psykologisella vaikuttamisella. <a href="https://blogit.iltalehti.fi/jarno-limnell/2017/10/07/informaatiovaikuttaminen-vaaleissa/">Informaatiovaikuttaminen</a>&nbsp;vaaleissa tulee lisääntymään jatkuvasti algorytmien parantymisen myötä, ja mitä enemmän sovellukset ja sivustot saavat henkilöstä kerättyä tietoa, sitä helpompi propagandaa kuten valeuutisia on kohdentaa.<br /><br />Nyt jo sosiaalisessa mediassa näkyy kuplautumisen ilmiö selkeästi. Meidän digitaalinen jalanjälkemme on niin massiivinen: yksilöltä löytyy satoja ja satoja tykkäilyjä, kommentteja, päivityksiä, sijainteja ja kuvia, joita sivustot yhdistelevät kohdentaessaan mainontaa ja uutisia. Vielä kun lisää että pöydällä lepäävä<a href="http://www.image.fi/image-lehti/image-tutkitutti-matkapuhelimen-asiantuntijoilla-voidaanko-facebookin-salakuuntelu"> puhelin saattaa&nbsp;myös&nbsp; kuun</a>nella keskustelua niin alkaa jo miettiä foliohatun ostamista. Taidan kuitenkin ensimmäisenä tarkistaa sovellusasetukset.&nbsp;&nbsp;</p><p><br /><em>Kirjoittaja on <a href="https://liberaalipuolue.fi/">Liberaalipuolueen</a> hallituksen varajäsen, jonka Sony Xperiaa tyhmennetään kohta oikein urakalla.&nbsp;</em><br />&nbsp;</p><div class="field field-type-number-integer field-field-first-published"> <div class="field-items"> <div class="field-item odd"> 0 </div> </div> </div> Ajelin pari päivää sitten puolisoni kanssa Googlen navigaattorin avulla Vantaalta Espooseen. Puolisoni on ollut tyytyväinen kännykän puhesoftaan, jolle voi karttasovelluksessa kätevästi kertoa osoitteen näppäilemättä. Juttelimme niitä näitä, ja puhe oli muistaakseni Elina Lepomäestä, kun navigaattori yhtäkkiä ehdotti reittiä eduskuntatalolle.

Mikrofonin ei pitänyt olla päällä - mikrofonia pitää erikseen täpätä - ja puhelin tönötti tukevasti telineessään ilman että kumpikaan oli koskenut siihen viimeiseen kymmeneen minuuttiin. Olimme myös matkalla päinvastaiseen suuntaan Arkadianmäestä, joten eduskunnan tarjoaminen vaihtoehdoksi oli vähintäänkin erikoista. Kumpikaan meistä ei myöskään ollut juttelumme lomassa maininnut eduskunta -sanaa, vaikka hallituksesta olimmekin puhuneet. Tapausta ihmetellessä navigaattori tarjosi määränpääksi pikkuparlamenttia. 


Sovellukset pyytävät käyttäjältään valtavasti oikeuksia, esimerkiksi pääsyn puhelimen mikrofoniin, sijainnin, kameran sekä käyttäjän yhteystiedot. Osa sovelluksista haluaa nähdä myös tekstiviestit ja puhelutiedot. Suurin osa käyttäjistä klikkaa "hyväksyn" melko huolettomasti, ja kas näin hittisovellus kuten Venäläinen FaceApp ja kiinalainen Meitu asentuu puhelimelle - mutta kukaan ei tunnu tietävän, mitä sovellukset kaikilla oikeuksillaan tekevät. 

Monesti tietoturvajutuille viitataan kintaalla koska "eihän rehellisellä ole mitään salattavaa", mutta luultavasti kaikilla on laittessaan sellaista dataa, jota ei haluaisi tuntemattoman saavan käsiinsä - ja esimerkiksi tallennettuja yhteystietoja, tärkeitä sähköposteja, henkilökohtaisia kuvia. Vain yksi tuhannesta lukee nettisivun tai sovelluksen käyttöoikeussopimuksen (terms of service), ja ihmiset antavat suosituille sovelluksille puhelimensa käyttöoikeudet juurikaan miettimättä. 

Ei olisi mitenkään yllättävää, että seuraavan uuden hittisovelluksen takana olisi Suomelle pahantahtoinen taho - viimeisimpänä sekä Ranskan että USA:n vaaleihin pyritty vaikuttamaan ulkomailta nimenomaan sosiaalisen median kautta, esimerkiksi tietomurroilla ja psykologisella vaikuttamisella. Informaatiovaikuttaminen vaaleissa tulee lisääntymään jatkuvasti algorytmien parantymisen myötä, ja mitä enemmän sovellukset ja sivustot saavat henkilöstä kerättyä tietoa, sitä helpompi propagandaa kuten valeuutisia on kohdentaa.

Nyt jo sosiaalisessa mediassa näkyy kuplautumisen ilmiö selkeästi. Meidän digitaalinen jalanjälkemme on niin massiivinen: yksilöltä löytyy satoja ja satoja tykkäilyjä, kommentteja, päivityksiä, sijainteja ja kuvia, joita sivustot yhdistelevät kohdentaessaan mainontaa ja uutisia. Vielä kun lisää että pöydällä lepäävä puhelin saattaa myös  kuunnella keskustelua niin alkaa jo miettiä foliohatun ostamista. Taidan kuitenkin ensimmäisenä tarkistaa sovellusasetukset.  


Kirjoittaja on Liberaalipuolueen hallituksen varajäsen, jonka Sony Xperiaa tyhmennetään kohta oikein urakalla. 
 

]]>
24 http://eliisakuusama.puheenvuoro.uusisuomi.fi/244294-meita-vakoillaan-jo-ja-teemme-siita-helppoa#comments Kyberturvallisuus Tietoturva Turpo Wed, 11 Oct 2017 15:52:56 +0000 Eliisa Kuusama http://eliisakuusama.puheenvuoro.uusisuomi.fi/244294-meita-vakoillaan-jo-ja-teemme-siita-helppoa
Myös kesätyöntekijät perehdytettävä kyberturvaan http://kimmohalonen.puheenvuoro.uusisuomi.fi/238973-myos-kesatyontekijat-perehdytettava-kyberturvaan <p>Juhannusta lähestyttäessä myös työpaikoilla kesätyöntekijöiden ja sijaisten määrä kasvaa. Vakituiset työntekijä kirmaisevat kesälomilleen ja töitä jatkamaan on rekrytoitu enemmän tai vähemmän tuurajia.</p><p>Uusia työntekijöitä perehdytetään tehtäviin vaihtelevin käytännöin; osa hyppää remmiin vähäisellä opastuksella, osa saa paremman neuvonnan.</p><p>Kesätyöntekijöitä rekrytoidessa ja perehdyttäessä töihin olisi muistettava myös kyberturvallisuus. Sijaisten on hallittava yritysten tietoturvakäytännöt siinä missä kaikki muutkin työturvallisuusasiat.</p><p>Lomatuuraajatkin käyttävät yrityksen tietokoneita, kännyköitä ja lukittuja tiloja tai ovia. Osalla on pääsy sähköposteihin, asiakas- ja henkilötietoihin, monet saavat&nbsp;laitteiden ja ovien salasanoja ja turvakoodeja.</p><p>Tietoturva-asiat koskevat kesätyöntekijöitä niin konttoreissa kuin varastollakin. Mihin työläppärin tai -kännykän saa viedä, sisältävätkö ne&nbsp;kriittistä tietoa asiakkaista tai henkilöstöstä, saako omaa muistitikkua käyttää, missä säilytetään salasanoja, työpapereita, asiakirjoja, mitä työsähköposteja ja -liitteitä kannattaa avata,&nbsp;mihin vieraita saa päästää julkisista tiloista ja aulasta?</p><p><strong>Pieni uhraus, iso säästö</strong></p><p>Työnantajan kannattaa uhrata muutama ylimääräinen minuutti kyberturvallisuusasioihin perehdyttämistilanteessa. Ne voivat olla rahanarvoisia minuutteja pitkässä juoksussa.</p><p>Parhaillaankin yrityksiin kohdistuu ns. toimitusjohtaja- ja laskuhuijauksia, joilla yritetään hyödyntää kesäloma-aikaa ja sijaissesonkia. Pieni valistus näistäkin pitää huijausviestit kurissa eikä firmalta lähde suorituksia feikkilaskuihin.</p><p>Kun yrityksen&nbsp;tilat&nbsp;ja laitteet ovat turvassa ja niitä käytetään turvallisesti, niin monesti myös yritystä koskeva data on turvassa.</p><p>Aina kuitenkin muistettava, että yhtälön heikoin lenkki on se yksittäinen ihminen. Olipa hän sitten vakituinen työntekijä tai kesäduunari. Siksi&nbsp;valistus, koulutus ja hyvä perehdytys on kaiken a ja o. Muutoin juhannuksena voi olla yrityksen koneet ja järjestelmät jumissa&nbsp;ja ict-osasto ylitöissä.&nbsp;Ja ihan turhaan.&nbsp;</p><p><em>Kirjoittaja on helsinkiläinen toimittaja ja viestintäasiantuntija, joka pyörittää <a href="http://www.kyberturva.fi" title="www.kyberturva.fi">www.kyberturva.fi</a> ja <a href="http://www.havittajahnkinta.fi" title="www.havittajahnkinta.fi">www.havittajahnkinta.fi</a> -informaatiokonsepteja sosiaalisen median kanavineen.</em></p><p>&nbsp;</p><p>&nbsp;</p><p>&nbsp;</p><div class="field field-type-number-integer field-field-first-published"> <div class="field-items"> <div class="field-item odd"> 0 </div> </div> </div> Juhannusta lähestyttäessä myös työpaikoilla kesätyöntekijöiden ja sijaisten määrä kasvaa. Vakituiset työntekijä kirmaisevat kesälomilleen ja töitä jatkamaan on rekrytoitu enemmän tai vähemmän tuurajia.

Uusia työntekijöitä perehdytetään tehtäviin vaihtelevin käytännöin; osa hyppää remmiin vähäisellä opastuksella, osa saa paremman neuvonnan.

Kesätyöntekijöitä rekrytoidessa ja perehdyttäessä töihin olisi muistettava myös kyberturvallisuus. Sijaisten on hallittava yritysten tietoturvakäytännöt siinä missä kaikki muutkin työturvallisuusasiat.

Lomatuuraajatkin käyttävät yrityksen tietokoneita, kännyköitä ja lukittuja tiloja tai ovia. Osalla on pääsy sähköposteihin, asiakas- ja henkilötietoihin, monet saavat laitteiden ja ovien salasanoja ja turvakoodeja.

Tietoturva-asiat koskevat kesätyöntekijöitä niin konttoreissa kuin varastollakin. Mihin työläppärin tai -kännykän saa viedä, sisältävätkö ne kriittistä tietoa asiakkaista tai henkilöstöstä, saako omaa muistitikkua käyttää, missä säilytetään salasanoja, työpapereita, asiakirjoja, mitä työsähköposteja ja -liitteitä kannattaa avata, mihin vieraita saa päästää julkisista tiloista ja aulasta?

Pieni uhraus, iso säästö

Työnantajan kannattaa uhrata muutama ylimääräinen minuutti kyberturvallisuusasioihin perehdyttämistilanteessa. Ne voivat olla rahanarvoisia minuutteja pitkässä juoksussa.

Parhaillaankin yrityksiin kohdistuu ns. toimitusjohtaja- ja laskuhuijauksia, joilla yritetään hyödyntää kesäloma-aikaa ja sijaissesonkia. Pieni valistus näistäkin pitää huijausviestit kurissa eikä firmalta lähde suorituksia feikkilaskuihin.

Kun yrityksen tilat ja laitteet ovat turvassa ja niitä käytetään turvallisesti, niin monesti myös yritystä koskeva data on turvassa.

Aina kuitenkin muistettava, että yhtälön heikoin lenkki on se yksittäinen ihminen. Olipa hän sitten vakituinen työntekijä tai kesäduunari. Siksi valistus, koulutus ja hyvä perehdytys on kaiken a ja o. Muutoin juhannuksena voi olla yrityksen koneet ja järjestelmät jumissa ja ict-osasto ylitöissä. Ja ihan turhaan. 

Kirjoittaja on helsinkiläinen toimittaja ja viestintäasiantuntija, joka pyörittää www.kyberturva.fi ja www.havittajahnkinta.fi -informaatiokonsepteja sosiaalisen median kanavineen.

 

 

 

]]>
2 http://kimmohalonen.puheenvuoro.uusisuomi.fi/238973-myos-kesatyontekijat-perehdytettava-kyberturvaan#comments Kesätyopaikka Kyberturvallisuus Perehdytys Tietoturva Työnantaja Tue, 20 Jun 2017 15:28:21 +0000 Kimmo Halonen http://kimmohalonen.puheenvuoro.uusisuomi.fi/238973-myos-kesatyontekijat-perehdytettava-kyberturvaan
Kehen luottaa? Aika herätä todellisuuteen! http://abdurrahmanfaig.puheenvuoro.uusisuomi.fi/238213-kehen-luottaa-aika-herata-todellisuuteen <p><strong>MEITÄ VALVOTAAN JATKUVASTI!</strong></p><p>&nbsp;</p><p>Nyt olisi jo korkea aika huomata tämä ja ottaa asia todesta. Massavalvontaa on harjoitettu aina 1950-luvulta eteenpäin, mutta syyskuun 11. päivän iskujen jälkeen massavalvontaa on tiukennettu entisestään. Tämä on ehdottomasti väärin, ja ihmisoikeuksien loukkaamista aivan yhtä lailla kuin on kiduttaminenkin. En puhu omiani sanoessani, että olemme jatkuvan massaseurannan uhreja, vaan pohjustan väitteeni internetiin vuodettujen salaisten asiakirjojen sisältöihin. Julian Assangen perustama WikiLeaks on oiva paikka ymmärtää maailmaa.</p><p>&nbsp;</p><p>Massaseuranta on siis sitä, kun jokin yksittäinen taho tai valtio ottaa luvatta ja ilmoittamatta tarkkailtavakseen yksityisen henkilön lähettämää dataa eli tietoa, mm. puhelinsignaaleja, radioaaltoja ja internet-liikennettä seuraamalla. Tällä hetkellä lähes jokaisen Yhdysvaltalaisen alle 30-vuotiaan henkilön menneisyys on kirjattu NSA:n ja CIA:n kaltaisten tiedustelupalvelujen huippusalaisiin arkistoihin. Sieltä nämä &quot;valtion virkaelimet&quot;&nbsp; löytävät helposti haluamansa henkilön kaikki tiedot, mikäli heillä on tarvetta jäljittää kyseistä henkilöä. Pari kuukautta aikaisemmin puheenaiheeksi noussut lakiluonnos SUPOn (Suomen suojelupoliisi) ja Puolustusvoimien tietoturvavakoilun oikeuksien laajentamisesta on ollut varoittava uutinen. Emme ole kaukana Yhdysvaltojen tilanteesta, jos sallimme terrorismin vastaisen &quot;varovaisuuden&quot; nimissä valtion virkaelimille luvan vakoilla meitä salaa.</p><p>&nbsp;</p><p>Massaseuranta rikkoo monia moraalin ja etiikan sääntöjä. Jokaisella ihmisellä on oikeus yksityisyyteen ja itsemääräämisoikeuteen. Tosin korkeat ja varakkaat tai poliittisesti vahvat tahot pyrkivät aina kaikin voimin laiminlyömään tätä valitettavan vähän arvostettua ihmisoikuden perustaa. Heidän mielestään on oikein, että he saavat tietää satojen miljoonien ihmisten yksityisasioita. Jos individuaalin tietojen urkkiminen on oikeutettavissa, niin miksei sitten poliitikot tarjoa meille samanlaista mahdollisuutta tekemällä politiikasta läpinäkyvää? &quot;Huippusalaiset&quot; asiakirjat täytyisi poistaa 2000-luvun politiikasta.</p><p>&nbsp;</p><p>Tiesitkö muuten, että Sinun tiedoillasi ja datallasi käydään mittavaa kauppaa? Ahneet yritykset pyrkivät ostamaan mahdollisimman paljon tietoa siitä, että missä sivustoissa vierailet, mitä kirjoitat ja mitä ostat. Nämä kyseiset tiedot kerää Microsoftin ja Googlen kaltaiset suuryhtiöt, joita kiinnostavat vain raha. Tällainen kohdistettu mainonta on myös aivopesua, sillä jatkuvasti näkyvissä olevat, kiinnostavat mainokset saavat kuluttajan ennen pitkään valitsemaan mainosten tuotteita. Ikävä kyllä alitajunta ei ole ihmisen itsensä hallittavissa. Internet tarkoitettiin alun perin julkiseksi ja vapaaksi, mutta valitettavasti siitä on tullut nykyisin pelkkä liiketoiminnan harjoituspaikka.</p><p>&nbsp;</p><p>Kun Edward Snowden paljasti vuonna 2013, kuinka NSA vakoilee tietoliikennettä myös maansa ulkopuolelta, muuttui vain yksi asia. Snowdenin paljastukseen asti massavalvontaa epäileviä aliarvioitiin ja nimitettiin salaliittoteoreetikoiksi ja vainoharhaisiksi. Nyt heidät otetaan todesta, ja hyvästä syystä.</p><p>&nbsp;</p><p>Kaikki, mitä teet internetissä, on tallennettu. Jopa tämä blogikirjoitus. Juuri tämän blogikirjoituksen takia tietokoneeni saattaa tästä lähtien olla valtion tai jonkin muun korkean tahon tarkkailun kohteena, mutta osaan kyllä varautua siihen. Sinäkin voit varautua massavalvontaan ja estää tietojesi vuotamista ahneille miljardööreille. Jokainen yksilö voi omalla toiminnallaan edistää omaa ja muiden yksityisyyttä. Se ei vaadi tietotekniikkakoulutusta, sillä kaikki on jo ohjelmoitu valmiiksi. Tarvitset ainoastaan sovellukset ja hiukan kärsivällisyyttä, sekä tietysti internet-yhteyden.</p><p>Olen maininnut tässä perusasiat omien tietojen vuotamisen minimoimiseksi (en mainosta mitään, sovellukset omien kokemusten kautta suositeltuja):</p><p>0. Poista Microsoftilta kaikki luvat, jotka sallivat tarkkailun, tietojen keräämisen ja hyödyntämisen. <strong>KAIKKI. </strong>Jopa ne, joissa sanotaan kerättävän dataa nimettömänä kehittämistarkoituksiin. Kyseiset tiedot menevät suurimmaksi osaksi mainosyhtiöille, siitä voitte olla varmoja. Keskityn siis Windows-käyttäjien opastamiseen.</p><p>1. Vaihda selaimesi. Chrome on Googlen omistama ja tallentaa paljon tietoasi. Hyviä, avoimen lähdekoodin selaimia ovat mm. <strong>Midori</strong>, <strong>Yandex </strong>tai oma suosikkini <strong>Mozilla Firefox</strong>. Avoimen lähdekoodin selaimet keräävät ja tallentavat tietojasi mahdollisimman vähän, sillä niitä ei omista mikään keskittynyt yritys eikä sidä sido tekijänoikeuslait.</p><p>2. Vaihda hakukoneesi. Google on tunnettu laajoista data-arkistoistaan, joihin kuuluvat miljardien käyttäjien yksilöllinen data.&nbsp;<strong><a href="https://duckduckgo.com/">https://duckduckgo.com/</a></strong> on hyvä vahtoehto Googlelle. Se ei tallenna eikä seuraa käyttäjäänsä.</p><p>3. Lataa mainoksenesto. Kyseisen sovelluksen saa monen selaimen oman &quot;lisäosat&quot; - valikon kautta. Hyvä ja helppokäyttöinen mainoksenestosovellus on <strong>Adblock plus</strong>. Jos haluaa enemmän suojaa niin <strong>Ublock Origin, </strong>jota itsekin käytän, on suositeltava. Siihen saa monia kolmannen osapuolen estolistoja. <u><strong>Huom!</strong></u> Adblock plus -sovelluksessa täytyy mennä asetuksiin ja poistaa raksi ruudusta, joka sallii osan mainoksista. Jos haluat tukea jotakin sivustoa taloudellisesti sallimalla mainokset, voit lisätä sivuston ns. &quot;valkoiselle listalle&quot; tai sammuttaa sovellus tilapäisesti.</p><p>4. Lataa <strong>Ghostery. </strong>Se on sovellus, selaimen lisäosa siis, joka estää peruskäytössä lähes kaiken datan, mitä sivustot sinusta pyrkivät keräämään. Näet valikosta, että mitä kaikkea roinaa sivustosta löytyy. Tämä ja edellämainittu mainoksenesto myös nopeuttavat hitaampia tietokoneita estämällä mainosten latautumisen ja ylimääräisen datahäviön. Myös Ghosteryn voi sulkea niin halutessaan.</p><p>5. Lataa <strong>Bleachpit</strong>. Se on sovellus, joka puhdistaa tietokoneesi ohjelmista, joita et edes tiennyt kuuluvan laitteeseesi. Samalla sovellus myös edistää yksityisyyttäsi poistamalla tietokoneeseen tallentuneita ei-toivottuja tietoja. Poistaminen ei ole automaattista, eli voit valita säilytettävät tiedostot.</p><p>6. Hyvä antivirusohjelma on myös kannattavaa, muttei välttämätöntä. Ilmainen, avoimen lähdekoodin antivirusohjelma, kuten <strong>Clamwin, </strong>hoitaa asian.</p><p>&nbsp;</p><p>Jos paranoia iskee ja haluat lisäturvaa:</p><p>6. Lataa Tor-verkko. Sipuliverkosta voi lukea internetissä riittävästi. Ohjeet kannattaa lukea tarkasti läpi.</p><p>7. Käytä VPN-verkkoa. Itse suosittelen TunnelBear-sovellusta. Antaa joka kuukausi ilmaiseksi 500 megabittiä salattua dataa. VPN estää mm. operaattoriasi näkemästä puuhailujasi internetin syöväreissä.</p><p>8. Teippaa kannettavan tietokoneen kamera kiinni, mikäli et käytä sitä. Kamera on tietokoneen murtoalttiimpia osia.</p><p>&nbsp;</p><p>Jotkut saattavat pudistaa päätään ja ajatella &quot;Enhän minä myy huumeita tai suunnittele terrorismia, miksi minun tulisi vaivautua moiseen?&quot;. Kyse ei ole käytännöstä vaan periaatteesta. Massavalvonnan harjoittaminen on ihmisoikeuksien ylenkatsomista ja sananvapauden rajoittamista. Tällaiseen sortoon ei saa taipua. Jos muutama sataa tuhatta ihmistä ajattelisi samoin, niin valtioiden ja yritysten olisi paljon vaikeampi harjoittaa datankeruuta ja valvontaa. Tämä on mielenosoitus sananvapauden ja yksityisyydensuojan puolesta. Ihmisellä on oikeus olla vapaa valvonnasta.</p><p>&nbsp;</p><p>Lopuksi vielä sanon, että olen hyvin tietoinen, että massavalvontaa tehdään terrorismin ja rikollisuuden ehkäisemiseksi. Silti tämä ei oikeuta tavallisten kansalaisten vakoiluun. Jos vakoilua aiotaan tehdä, niin silloin vastapalkkioksi valtion toimien tulisi olla läpinäkyvää. Kuten V sanoi Elokuvassa <em>V niin kuin Verikosto:</em></p><p>&quot;People should not be afraid of their governments, governments should be afraid of their people&quot;</p><p>&quot;Kansan ei tulisi pelätä valtiota, valtion tulisi pelätä kansaa&quot;</p><p>&nbsp;</p><p>Olemme lähempänä George Orwellin <em>Vuonna 1984 </em>kuin luulemmekaan.</p><div class="field field-type-number-integer field-field-first-published"> <div class="field-items"> <div class="field-item odd"> 0 </div> </div> </div> MEITÄ VALVOTAAN JATKUVASTI!

 

Nyt olisi jo korkea aika huomata tämä ja ottaa asia todesta. Massavalvontaa on harjoitettu aina 1950-luvulta eteenpäin, mutta syyskuun 11. päivän iskujen jälkeen massavalvontaa on tiukennettu entisestään. Tämä on ehdottomasti väärin, ja ihmisoikeuksien loukkaamista aivan yhtä lailla kuin on kiduttaminenkin. En puhu omiani sanoessani, että olemme jatkuvan massaseurannan uhreja, vaan pohjustan väitteeni internetiin vuodettujen salaisten asiakirjojen sisältöihin. Julian Assangen perustama WikiLeaks on oiva paikka ymmärtää maailmaa.

 

Massaseuranta on siis sitä, kun jokin yksittäinen taho tai valtio ottaa luvatta ja ilmoittamatta tarkkailtavakseen yksityisen henkilön lähettämää dataa eli tietoa, mm. puhelinsignaaleja, radioaaltoja ja internet-liikennettä seuraamalla. Tällä hetkellä lähes jokaisen Yhdysvaltalaisen alle 30-vuotiaan henkilön menneisyys on kirjattu NSA:n ja CIA:n kaltaisten tiedustelupalvelujen huippusalaisiin arkistoihin. Sieltä nämä "valtion virkaelimet"  löytävät helposti haluamansa henkilön kaikki tiedot, mikäli heillä on tarvetta jäljittää kyseistä henkilöä. Pari kuukautta aikaisemmin puheenaiheeksi noussut lakiluonnos SUPOn (Suomen suojelupoliisi) ja Puolustusvoimien tietoturvavakoilun oikeuksien laajentamisesta on ollut varoittava uutinen. Emme ole kaukana Yhdysvaltojen tilanteesta, jos sallimme terrorismin vastaisen "varovaisuuden" nimissä valtion virkaelimille luvan vakoilla meitä salaa.

 

Massaseuranta rikkoo monia moraalin ja etiikan sääntöjä. Jokaisella ihmisellä on oikeus yksityisyyteen ja itsemääräämisoikeuteen. Tosin korkeat ja varakkaat tai poliittisesti vahvat tahot pyrkivät aina kaikin voimin laiminlyömään tätä valitettavan vähän arvostettua ihmisoikuden perustaa. Heidän mielestään on oikein, että he saavat tietää satojen miljoonien ihmisten yksityisasioita. Jos individuaalin tietojen urkkiminen on oikeutettavissa, niin miksei sitten poliitikot tarjoa meille samanlaista mahdollisuutta tekemällä politiikasta läpinäkyvää? "Huippusalaiset" asiakirjat täytyisi poistaa 2000-luvun politiikasta.

 

Tiesitkö muuten, että Sinun tiedoillasi ja datallasi käydään mittavaa kauppaa? Ahneet yritykset pyrkivät ostamaan mahdollisimman paljon tietoa siitä, että missä sivustoissa vierailet, mitä kirjoitat ja mitä ostat. Nämä kyseiset tiedot kerää Microsoftin ja Googlen kaltaiset suuryhtiöt, joita kiinnostavat vain raha. Tällainen kohdistettu mainonta on myös aivopesua, sillä jatkuvasti näkyvissä olevat, kiinnostavat mainokset saavat kuluttajan ennen pitkään valitsemaan mainosten tuotteita. Ikävä kyllä alitajunta ei ole ihmisen itsensä hallittavissa. Internet tarkoitettiin alun perin julkiseksi ja vapaaksi, mutta valitettavasti siitä on tullut nykyisin pelkkä liiketoiminnan harjoituspaikka.

 

Kun Edward Snowden paljasti vuonna 2013, kuinka NSA vakoilee tietoliikennettä myös maansa ulkopuolelta, muuttui vain yksi asia. Snowdenin paljastukseen asti massavalvontaa epäileviä aliarvioitiin ja nimitettiin salaliittoteoreetikoiksi ja vainoharhaisiksi. Nyt heidät otetaan todesta, ja hyvästä syystä.

 

Kaikki, mitä teet internetissä, on tallennettu. Jopa tämä blogikirjoitus. Juuri tämän blogikirjoituksen takia tietokoneeni saattaa tästä lähtien olla valtion tai jonkin muun korkean tahon tarkkailun kohteena, mutta osaan kyllä varautua siihen. Sinäkin voit varautua massavalvontaan ja estää tietojesi vuotamista ahneille miljardööreille. Jokainen yksilö voi omalla toiminnallaan edistää omaa ja muiden yksityisyyttä. Se ei vaadi tietotekniikkakoulutusta, sillä kaikki on jo ohjelmoitu valmiiksi. Tarvitset ainoastaan sovellukset ja hiukan kärsivällisyyttä, sekä tietysti internet-yhteyden.

Olen maininnut tässä perusasiat omien tietojen vuotamisen minimoimiseksi (en mainosta mitään, sovellukset omien kokemusten kautta suositeltuja):

0. Poista Microsoftilta kaikki luvat, jotka sallivat tarkkailun, tietojen keräämisen ja hyödyntämisen. KAIKKI. Jopa ne, joissa sanotaan kerättävän dataa nimettömänä kehittämistarkoituksiin. Kyseiset tiedot menevät suurimmaksi osaksi mainosyhtiöille, siitä voitte olla varmoja. Keskityn siis Windows-käyttäjien opastamiseen.

1. Vaihda selaimesi. Chrome on Googlen omistama ja tallentaa paljon tietoasi. Hyviä, avoimen lähdekoodin selaimia ovat mm. Midori, Yandex tai oma suosikkini Mozilla Firefox. Avoimen lähdekoodin selaimet keräävät ja tallentavat tietojasi mahdollisimman vähän, sillä niitä ei omista mikään keskittynyt yritys eikä sidä sido tekijänoikeuslait.

2. Vaihda hakukoneesi. Google on tunnettu laajoista data-arkistoistaan, joihin kuuluvat miljardien käyttäjien yksilöllinen data. https://duckduckgo.com/ on hyvä vahtoehto Googlelle. Se ei tallenna eikä seuraa käyttäjäänsä.

3. Lataa mainoksenesto. Kyseisen sovelluksen saa monen selaimen oman "lisäosat" - valikon kautta. Hyvä ja helppokäyttöinen mainoksenestosovellus on Adblock plus. Jos haluaa enemmän suojaa niin Ublock Origin, jota itsekin käytän, on suositeltava. Siihen saa monia kolmannen osapuolen estolistoja. Huom! Adblock plus -sovelluksessa täytyy mennä asetuksiin ja poistaa raksi ruudusta, joka sallii osan mainoksista. Jos haluat tukea jotakin sivustoa taloudellisesti sallimalla mainokset, voit lisätä sivuston ns. "valkoiselle listalle" tai sammuttaa sovellus tilapäisesti.

4. Lataa Ghostery. Se on sovellus, selaimen lisäosa siis, joka estää peruskäytössä lähes kaiken datan, mitä sivustot sinusta pyrkivät keräämään. Näet valikosta, että mitä kaikkea roinaa sivustosta löytyy. Tämä ja edellämainittu mainoksenesto myös nopeuttavat hitaampia tietokoneita estämällä mainosten latautumisen ja ylimääräisen datahäviön. Myös Ghosteryn voi sulkea niin halutessaan.

5. Lataa Bleachpit. Se on sovellus, joka puhdistaa tietokoneesi ohjelmista, joita et edes tiennyt kuuluvan laitteeseesi. Samalla sovellus myös edistää yksityisyyttäsi poistamalla tietokoneeseen tallentuneita ei-toivottuja tietoja. Poistaminen ei ole automaattista, eli voit valita säilytettävät tiedostot.

6. Hyvä antivirusohjelma on myös kannattavaa, muttei välttämätöntä. Ilmainen, avoimen lähdekoodin antivirusohjelma, kuten Clamwin, hoitaa asian.

 

Jos paranoia iskee ja haluat lisäturvaa:

6. Lataa Tor-verkko. Sipuliverkosta voi lukea internetissä riittävästi. Ohjeet kannattaa lukea tarkasti läpi.

7. Käytä VPN-verkkoa. Itse suosittelen TunnelBear-sovellusta. Antaa joka kuukausi ilmaiseksi 500 megabittiä salattua dataa. VPN estää mm. operaattoriasi näkemästä puuhailujasi internetin syöväreissä.

8. Teippaa kannettavan tietokoneen kamera kiinni, mikäli et käytä sitä. Kamera on tietokoneen murtoalttiimpia osia.

 

Jotkut saattavat pudistaa päätään ja ajatella "Enhän minä myy huumeita tai suunnittele terrorismia, miksi minun tulisi vaivautua moiseen?". Kyse ei ole käytännöstä vaan periaatteesta. Massavalvonnan harjoittaminen on ihmisoikeuksien ylenkatsomista ja sananvapauden rajoittamista. Tällaiseen sortoon ei saa taipua. Jos muutama sataa tuhatta ihmistä ajattelisi samoin, niin valtioiden ja yritysten olisi paljon vaikeampi harjoittaa datankeruuta ja valvontaa. Tämä on mielenosoitus sananvapauden ja yksityisyydensuojan puolesta. Ihmisellä on oikeus olla vapaa valvonnasta.

 

Lopuksi vielä sanon, että olen hyvin tietoinen, että massavalvontaa tehdään terrorismin ja rikollisuuden ehkäisemiseksi. Silti tämä ei oikeuta tavallisten kansalaisten vakoiluun. Jos vakoilua aiotaan tehdä, niin silloin vastapalkkioksi valtion toimien tulisi olla läpinäkyvää. Kuten V sanoi Elokuvassa V niin kuin Verikosto:

"People should not be afraid of their governments, governments should be afraid of their people"

"Kansan ei tulisi pelätä valtiota, valtion tulisi pelätä kansaa"

 

Olemme lähempänä George Orwellin Vuonna 1984 kuin luulemmekaan.

]]>
5 http://abdurrahmanfaig.puheenvuoro.uusisuomi.fi/238213-kehen-luottaa-aika-herata-todellisuuteen#comments Korruptio Massaseuranta Tietoturva Tietoturvallisuus Yhdysvallat Sat, 10 Jun 2017 01:02:47 +0000 Abdurrahman Faig http://abdurrahmanfaig.puheenvuoro.uusisuomi.fi/238213-kehen-luottaa-aika-herata-todellisuuteen
Case WanaCrypt0r: Valtion haittaohjelma on kuin digitaalinen pernarutto http://usvi.puheenvuoro.uusisuomi.fi/236963-case-wanacrypt0r-valtion-haittaohjelma-on-kuin-digitaalinen-pernarutto <p>Maailmalla on tällä viikolla levinnyt todella vaarallinen kiristyshaittaohjelma, joka salakirjoittaa käyttäjän tiedostot ja käytännössä lukitsee hänet pois koneelta, ellei käyttäjä maksa rikollisille lunnasrahoja Bitcoineina. Monet sairaalat ja yritykset ovat joutuneet maailmalla hyökkäyksen kohteeksi.</p><p><strong>Kuinka kaikki alkoi</strong></p><p>Tilanne alkoi siitä, että USA:n kansallinen turvallisuusvirasto NSA kehitteli maailmanvakoilutoimiinsa soveltuvia haittaohjelmia takavuosina. Krakkeriryhmittymä <a href="https://en.wikipedia.org/wiki/The_Shadow_Brokers">The Shadow Brokers</a> varasti myöhemmin NSA:lta haavoittuvuustietoja, joiden avulla hyökkäysohjelmia pystyi laatimaan. Ryhmä on kaupitellut saalistaan eniten maksaville hämärämiehille.</p><p>Ryhmä julkaisi 14. huhtikuuta 2017 tiedot haavoittuvuudesta. Toukokuussa nettiin ilmaantui kiristyshaittaohjelma WannaCry, joka tunnetaan myös nimellä WanaCrypt0r 2.0 tai <a href="https://www.viestintavirasto.fi/kyberturvallisuus/varoitukset/2017/varoitus-2017-02.html">WanaCrypt0r</a>.</p><p><strong>Kiristyshaittaohjelman vaikutukset netissä</strong></p><p>Haittaohjelma on tällä hetkellä saastuttanut noin 60 000 konetta maailmalla. Kohteeksi joutuivat mm. sairaalat, ministeriöt, puhelinoperaattorit ja juna-asemat (<a href="https://en.wikipedia.org/wiki/WannaCry_ransomware_attack">linkki1</a>, <a href="https://www.bleepingcomputer.com/news/security/wana-decrypt0r-ransomware-using-nsa-exploit-leaked-by-shadow-brokers-is-on-a-rampage/">linkki2</a>). Ohjelmasta on tehty <a href="http://www.is.fi/digitoday/art-2000005209711.html?ref=rss">havaintoja Suomessakin</a>. Viimeisimpien tietojen mukaan näyttää kuitenkin siltä, että leviäminen on onnistuttu ainakin <a href="https://www.theguardian.com/technology/2017/may/13/accidental-hero-finds-kill-switch-to-stop-spread-of-ransomware-cyber-attack">tilapäisesti pysäyttämään</a>. Se ei kuitenkaan välttämättä auta niitä käyttäjiä, joiden tietokoneet ovat jo saastuneet ja tiedostot salakirjoitettu. Kannattaa siis aina pitää käyttöjärjestelmäpäivitykset ajan tasalla.</p><p><strong>Digitaalista pernaruttoa</strong></p><p>Kuvitellaanpa tilannetta Suomessa. Haluaisitko sinä tänne armeijan laitoksen, jossa valjastetaan taudinaiheuttajia kuten pernaruttoa biologisen sodankäynnin aseiksi? Ai etkö? No enpä minäkään. Silti Suomen <a href="http://www.finlex.fi/fi/laki/ajantasa/2011/20110806#L10P26">nykyisen pakkokeinolain</a> mukaan viranomaisilla on mahdollisuus <em><strong>&quot;kiertää, purkaa tai muulla vastaavalla tavalla tilapäisesti ohittaa kohteiden tai tietojärjestelmän suojaus tai haitata sitä&quot;</strong></em>. Toisin sanoen Suomessakin on annettu viranomaisille valtuudet käyttää erinäköisiä suojauksia vahingoittavia haittaohjelmia.</p><p>Jatketaanko kuvittelua. Jos viranomaiset kehittelevät ja hankkivat käyttöönsä näitä ohjelmia ja muita hyökkäysmetodeja, jossain vaiheessa heistä itsestään tulee todella houkutteleva kohde. Sitten joku krakkeriryhmä varastaa tiedot, kuten NSA:n jutussa kävi, ja markkinoille rupeaa ilmestymään kiristysohjelmia. Vaikka WanaCrypt0r:in leviäminen onnistuttiin sattumalta estämään, ennustan, että tulevaisuudessa tulemme näkemään todella pahoja valtioiden tietoihin perustuvia kiristysohjelmia, jotka johtavat jopa hengenmenetyksiin. Tällaisia ohjelmia voimme ihan hyvällä syyllä kutsua digitaaliseksi pernarutoksi.</p><p><strong>Poliittinen ulottuvuus</strong></p><p>Mielestäni valtioiden ei pitäisi kehitellä tai kerätä tietoturvaa heikentäviä tai muitakaan haittaohjelmia. Ihan siitä syystä, että ne ovat pahimmassa tapauksessa väärissä käsissä todella vaarallisia koko maapallon tietojärjestelmille. Tämä on myös Piraattipuolueen kanta.</p><p>Rikolliset luonnollisesti kehittelevät aina haittaohjelmia, sitä emme voi estää. Voimme kuitenkin estää sen, että viranomaiset kasaisivat itselleen &quot;varmuuden vuoksi&quot; esim. troijalaisrepertuaaria, joka tekee heistä itsestään houkuttelevan hyökkäyskohteen ja tätä kautta asettavat monen sivulliset vaaraan. Haavoittuvuuksien etsiminen on sinänsä on ok, mikäli ne raportoidaan vastuullisesti tietoturvakorjauksia varten.</p><p>Janne Paalijärvi - <a href="http://paalijarvi.fi/" target="_blank" title="http://paalijarvi.fi/">http://paalijarvi.fi/</a></p><p>Facebook: <a href="https://www.facebook.com/paalijarvi" target="_blank" title="https://www.facebook.com/paalijarvi">https://www.facebook.com/paalijarvi</a></p><p>Twitter: <a href="https://twitter.com/paalijarvi" target="_blank" title="https://twitter.com/paalijarvi">https://twitter.com/paalijarvi</a></p><p>&nbsp;</p><p><strong>Lisäys 2017-05-13 klo 21.15</strong>: Painotan varmuuden vuoksi vielä, että WanaCrypt0r ei ollut siis NSA:n kehittämä, vaan &quot;ainoastaan&quot; ohjelman kehityksestä tarvittavat tiedot oli varastettu NSA:lta. Tapahtunut tuo kokonaisuutena esiin niitä ongelmia, jotka liittyvät valtiollisten toimijoiden sekoiluun vaarallisten haavoittuvuuksien, troijalaisten ja muiden haittaohjelmien kanssa.</p><div class="field field-type-number-integer field-field-first-published"> <div class="field-items"> <div class="field-item odd"> 0 </div> </div> </div> Maailmalla on tällä viikolla levinnyt todella vaarallinen kiristyshaittaohjelma, joka salakirjoittaa käyttäjän tiedostot ja käytännössä lukitsee hänet pois koneelta, ellei käyttäjä maksa rikollisille lunnasrahoja Bitcoineina. Monet sairaalat ja yritykset ovat joutuneet maailmalla hyökkäyksen kohteeksi.

Kuinka kaikki alkoi

Tilanne alkoi siitä, että USA:n kansallinen turvallisuusvirasto NSA kehitteli maailmanvakoilutoimiinsa soveltuvia haittaohjelmia takavuosina. Krakkeriryhmittymä The Shadow Brokers varasti myöhemmin NSA:lta haavoittuvuustietoja, joiden avulla hyökkäysohjelmia pystyi laatimaan. Ryhmä on kaupitellut saalistaan eniten maksaville hämärämiehille.

Ryhmä julkaisi 14. huhtikuuta 2017 tiedot haavoittuvuudesta. Toukokuussa nettiin ilmaantui kiristyshaittaohjelma WannaCry, joka tunnetaan myös nimellä WanaCrypt0r 2.0 tai WanaCrypt0r.

Kiristyshaittaohjelman vaikutukset netissä

Haittaohjelma on tällä hetkellä saastuttanut noin 60 000 konetta maailmalla. Kohteeksi joutuivat mm. sairaalat, ministeriöt, puhelinoperaattorit ja juna-asemat (linkki1, linkki2). Ohjelmasta on tehty havaintoja Suomessakin. Viimeisimpien tietojen mukaan näyttää kuitenkin siltä, että leviäminen on onnistuttu ainakin tilapäisesti pysäyttämään. Se ei kuitenkaan välttämättä auta niitä käyttäjiä, joiden tietokoneet ovat jo saastuneet ja tiedostot salakirjoitettu. Kannattaa siis aina pitää käyttöjärjestelmäpäivitykset ajan tasalla.

Digitaalista pernaruttoa

Kuvitellaanpa tilannetta Suomessa. Haluaisitko sinä tänne armeijan laitoksen, jossa valjastetaan taudinaiheuttajia kuten pernaruttoa biologisen sodankäynnin aseiksi? Ai etkö? No enpä minäkään. Silti Suomen nykyisen pakkokeinolain mukaan viranomaisilla on mahdollisuus "kiertää, purkaa tai muulla vastaavalla tavalla tilapäisesti ohittaa kohteiden tai tietojärjestelmän suojaus tai haitata sitä". Toisin sanoen Suomessakin on annettu viranomaisille valtuudet käyttää erinäköisiä suojauksia vahingoittavia haittaohjelmia.

Jatketaanko kuvittelua. Jos viranomaiset kehittelevät ja hankkivat käyttöönsä näitä ohjelmia ja muita hyökkäysmetodeja, jossain vaiheessa heistä itsestään tulee todella houkutteleva kohde. Sitten joku krakkeriryhmä varastaa tiedot, kuten NSA:n jutussa kävi, ja markkinoille rupeaa ilmestymään kiristysohjelmia. Vaikka WanaCrypt0r:in leviäminen onnistuttiin sattumalta estämään, ennustan, että tulevaisuudessa tulemme näkemään todella pahoja valtioiden tietoihin perustuvia kiristysohjelmia, jotka johtavat jopa hengenmenetyksiin. Tällaisia ohjelmia voimme ihan hyvällä syyllä kutsua digitaaliseksi pernarutoksi.

Poliittinen ulottuvuus

Mielestäni valtioiden ei pitäisi kehitellä tai kerätä tietoturvaa heikentäviä tai muitakaan haittaohjelmia. Ihan siitä syystä, että ne ovat pahimmassa tapauksessa väärissä käsissä todella vaarallisia koko maapallon tietojärjestelmille. Tämä on myös Piraattipuolueen kanta.

Rikolliset luonnollisesti kehittelevät aina haittaohjelmia, sitä emme voi estää. Voimme kuitenkin estää sen, että viranomaiset kasaisivat itselleen "varmuuden vuoksi" esim. troijalaisrepertuaaria, joka tekee heistä itsestään houkuttelevan hyökkäyskohteen ja tätä kautta asettavat monen sivulliset vaaraan. Haavoittuvuuksien etsiminen on sinänsä on ok, mikäli ne raportoidaan vastuullisesti tietoturvakorjauksia varten.

Janne Paalijärvi - http://paalijarvi.fi/

Facebook: https://www.facebook.com/paalijarvi

Twitter: https://twitter.com/paalijarvi

 

Lisäys 2017-05-13 klo 21.15: Painotan varmuuden vuoksi vielä, että WanaCrypt0r ei ollut siis NSA:n kehittämä, vaan "ainoastaan" ohjelman kehityksestä tarvittavat tiedot oli varastettu NSA:lta. Tapahtunut tuo kokonaisuutena esiin niitä ongelmia, jotka liittyvät valtiollisten toimijoiden sekoiluun vaarallisten haavoittuvuuksien, troijalaisten ja muiden haittaohjelmien kanssa.

]]>
29 http://usvi.puheenvuoro.uusisuomi.fi/236963-case-wanacrypt0r-valtion-haittaohjelma-on-kuin-digitaalinen-pernarutto#comments Kotimaa Suomi Tietoturva Sat, 13 May 2017 14:14:58 +0000 Janne Paalijärvi http://usvi.puheenvuoro.uusisuomi.fi/236963-case-wanacrypt0r-valtion-haittaohjelma-on-kuin-digitaalinen-pernarutto
Tieto on valtaa - kenen pitäisi omistaa rekisteritiedot? http://markokettunen.puheenvuoro.uusisuomi.fi/233620-tieto-on-valtaa-kenen-pitaisi-omistaa-rekisteritiedot <p>Keskustelua rekisteröinnin rajoista käydään yksittäisten tietokantojen kohdalla, mutta kukaan ei tunnu tarkkailevan kokonaisuutta. Jokaisen uuden kansallisen rekisterin myötä yksilöiden liikkumatila pienenee, yksityisyydensuoja heikkenee ja vapaus vähenee.</p><p>Suomi on kansainvälisestikin tunnettu kansalaisten kattavasta rekisteröinnistä ja tilastoinnista. Rekisteröinnillä on juurensa mm. kirkon ja valtion tarpeissa koota jäsenensä ja kontrolloida näiden käyttäytymistä. Kirkonkirjoista olemme edenneet moderneihin tietojärjestelmiin ja niiden luomiin mahdollisuuksiin ja haasteisiin.</p><p>Vuosisataisen valistuksen tuloksena kansalaiset ovat sisäistäneet tietorekisterien tarpeen. Kollektivistisesti orientoituneessa yhteiskunnassa uusia rekistereitä perustellaan yhteisellä edulla ja hallinnoinnin käytännöllisyydellä. Vähemmän keskustellaan siitä, millainen merkitys kattavalla kaikkien elämän alueiden rekisteröinnillä on kansalaisten itsemääräämisoikeudelle ja yksityisyydensuojalle.</p><p>Kirkonkirjojen, rikosrekisterien, verorekisterien, eläkerekisterien, yritysrekisterien - vain muutamia mainitakseni - ohella valmistellaan ainakin kansallista sosiaali- ja terveystietokantaa, reaaliaikaista tulorekisteriä ja positiivista luottorekisteriä. Onpa jo ehdotettu autoilijoiden reaaliaikaista seurantaakin. Yhteiskunnan tietotarpeet tuntuvat loputtomilta ja tietotekniikka luo mahdollisuudet rekisteri-innovaatioille.</p><p>Virallisten ja laillisten rekisterien lisäksi voi vain arvailla, kuinka paljon virastoissa, järjestöissä, yrityksissä, kansalaisten kaapeissa ja kovalevyillä on epävirallisia mappeja ja Excel-taulukoita, jotka tietosisältöjensä vuoksi täyttävät tietorekisterin määritelmän.</p><p>Kaikki tietokannat ovat vaarassa tulla urkituiksi paitsi ulkoa myös niitä ylläpitävien ja käyttävien tahojen toimesta. Tietorekisterien sisäisiä väärinkäyttötapauksia päätyy julkisuuteen harvakseltaan. On kuitenkin arveltavissa, että roskalavalle päätyneet rekisteritiedot ja julkisuuden henkilöiden tietojen sisäiset urkinnat ovat vain jäävuoren huippu.</p><p>Ovatko tietojärjestelmien ongelmat ratkaistavissa? Ennen kaikkea kysymys on tiedon omistajuudesta. Nykyisellään kullakin viranomaistaholla on oma tietojärjestelmänsä, joiden tiedot ovat lainsäädännön takaamana kansalaisten nähtävissä. Tiedon omistaja on kuitenkin aina viranomainen. Tämä historiasta juontuva ajattelu- ja toimintamalli olisi nykyteknologian avulla oikaistavissa.</p><p>Teknologia mahdollistaa kansalaisia koskevan tiedon tallentamisen pilvipalvelimille. Viranomaisen sijasta tiedon omistajaksi voitaisiin yhtälailla valtuuttaa kansalainen, joka tarvittaessa myöntäisi luku- ja kirjoitusoikeuksia omaan tietokantaansa. Kansalainen saisi näin itse hallita tietojaan ja päättää, milloin tiedon jakaminen on hänen etunsa ja milloin tietoa on syytä suojata väärinkäytöltä ja urkinnalta.</p><p>Malli poistaisi myös yhden nykyisen lainsäädännön keskeisistä ongelmista, tiedon jakamisen vaikeuden eri viranomaisten välillä. Kun tieto olisi asiakkaan omistuksessa, hän voisi palveluntarjoajalta toiselle kulkiessaan myöntää vapaasti käyttöoikeuksia omaan tietokantaansa.</p><p>Sanomattakin on selvää, että malli ei poistaisi viranomaisten tarvetta ylläpitää esimerkiksi kansalliseen turvallisuuteen ja oikeuslaitoksen toimintaan liittyviä rekistereitä. Tällaisia muutamia poikkeuksia lukuun ottamatta lähes kaikkien viranomaisrekisterien omistajuus on siirrettävissä kansalaiselle. Tämä varmistaisi yksityisyydensuojan ja kansalaisten oikeusturvan sekä mahdollistaisi tiedon kuljettamisen viranomaisten välillä.</p><p>Tieto on valtaa. Olisiko aika valtaistaa ihminen oman elämänsä tietäjäksi?&nbsp;</p><div class="field field-type-number-integer field-field-first-published"> <div class="field-items"> <div class="field-item odd"> 0 </div> </div> </div> Keskustelua rekisteröinnin rajoista käydään yksittäisten tietokantojen kohdalla, mutta kukaan ei tunnu tarkkailevan kokonaisuutta. Jokaisen uuden kansallisen rekisterin myötä yksilöiden liikkumatila pienenee, yksityisyydensuoja heikkenee ja vapaus vähenee.

Suomi on kansainvälisestikin tunnettu kansalaisten kattavasta rekisteröinnistä ja tilastoinnista. Rekisteröinnillä on juurensa mm. kirkon ja valtion tarpeissa koota jäsenensä ja kontrolloida näiden käyttäytymistä. Kirkonkirjoista olemme edenneet moderneihin tietojärjestelmiin ja niiden luomiin mahdollisuuksiin ja haasteisiin.

Vuosisataisen valistuksen tuloksena kansalaiset ovat sisäistäneet tietorekisterien tarpeen. Kollektivistisesti orientoituneessa yhteiskunnassa uusia rekistereitä perustellaan yhteisellä edulla ja hallinnoinnin käytännöllisyydellä. Vähemmän keskustellaan siitä, millainen merkitys kattavalla kaikkien elämän alueiden rekisteröinnillä on kansalaisten itsemääräämisoikeudelle ja yksityisyydensuojalle.

Kirkonkirjojen, rikosrekisterien, verorekisterien, eläkerekisterien, yritysrekisterien - vain muutamia mainitakseni - ohella valmistellaan ainakin kansallista sosiaali- ja terveystietokantaa, reaaliaikaista tulorekisteriä ja positiivista luottorekisteriä. Onpa jo ehdotettu autoilijoiden reaaliaikaista seurantaakin. Yhteiskunnan tietotarpeet tuntuvat loputtomilta ja tietotekniikka luo mahdollisuudet rekisteri-innovaatioille.

Virallisten ja laillisten rekisterien lisäksi voi vain arvailla, kuinka paljon virastoissa, järjestöissä, yrityksissä, kansalaisten kaapeissa ja kovalevyillä on epävirallisia mappeja ja Excel-taulukoita, jotka tietosisältöjensä vuoksi täyttävät tietorekisterin määritelmän.

Kaikki tietokannat ovat vaarassa tulla urkituiksi paitsi ulkoa myös niitä ylläpitävien ja käyttävien tahojen toimesta. Tietorekisterien sisäisiä väärinkäyttötapauksia päätyy julkisuuteen harvakseltaan. On kuitenkin arveltavissa, että roskalavalle päätyneet rekisteritiedot ja julkisuuden henkilöiden tietojen sisäiset urkinnat ovat vain jäävuoren huippu.

Ovatko tietojärjestelmien ongelmat ratkaistavissa? Ennen kaikkea kysymys on tiedon omistajuudesta. Nykyisellään kullakin viranomaistaholla on oma tietojärjestelmänsä, joiden tiedot ovat lainsäädännön takaamana kansalaisten nähtävissä. Tiedon omistaja on kuitenkin aina viranomainen. Tämä historiasta juontuva ajattelu- ja toimintamalli olisi nykyteknologian avulla oikaistavissa.

Teknologia mahdollistaa kansalaisia koskevan tiedon tallentamisen pilvipalvelimille. Viranomaisen sijasta tiedon omistajaksi voitaisiin yhtälailla valtuuttaa kansalainen, joka tarvittaessa myöntäisi luku- ja kirjoitusoikeuksia omaan tietokantaansa. Kansalainen saisi näin itse hallita tietojaan ja päättää, milloin tiedon jakaminen on hänen etunsa ja milloin tietoa on syytä suojata väärinkäytöltä ja urkinnalta.

Malli poistaisi myös yhden nykyisen lainsäädännön keskeisistä ongelmista, tiedon jakamisen vaikeuden eri viranomaisten välillä. Kun tieto olisi asiakkaan omistuksessa, hän voisi palveluntarjoajalta toiselle kulkiessaan myöntää vapaasti käyttöoikeuksia omaan tietokantaansa.

Sanomattakin on selvää, että malli ei poistaisi viranomaisten tarvetta ylläpitää esimerkiksi kansalliseen turvallisuuteen ja oikeuslaitoksen toimintaan liittyviä rekistereitä. Tällaisia muutamia poikkeuksia lukuun ottamatta lähes kaikkien viranomaisrekisterien omistajuus on siirrettävissä kansalaiselle. Tämä varmistaisi yksityisyydensuojan ja kansalaisten oikeusturvan sekä mahdollistaisi tiedon kuljettamisen viranomaisten välillä.

Tieto on valtaa. Olisiko aika valtaistaa ihminen oman elämänsä tietäjäksi? 

]]>
0 http://markokettunen.puheenvuoro.uusisuomi.fi/233620-tieto-on-valtaa-kenen-pitaisi-omistaa-rekisteritiedot#comments Henkilötietojärjestelmät Rekisteri Tietoturva Yksilönsuoja Fri, 17 Mar 2017 08:45:08 +0000 Marko Kettunen http://markokettunen.puheenvuoro.uusisuomi.fi/233620-tieto-on-valtaa-kenen-pitaisi-omistaa-rekisteritiedot
Cloudflare-bugi altisti monta saittia; vaihda ainakin reddit-salasanasi http://usvi.puheenvuoro.uusisuomi.fi/232083-cloudflare-bugi-altisti-monta-saittia-vaihda-ainakin-reddit-salasanasi <p>Muunmuassa välimuisti- ja kuormantasauspalveluistaan tunnettu Cloudflare on kertonut palveluistaan löytyneestä tietoturvaongelmasta. Bugi mahdollisti <a href="https://arstechnica.com/security/2017/02/serious-cloudflare-bug-exposed-a-potpourri-of-secret-customer-data/">monen tunnetun verkkopalvelun salasanojen ja muiden tietojen vuotamisen</a> Internettiin hakukoneiden armoille.</p><p>Cloudflaren ja hakukonepalveluiden tietoturvatiimit ovat tehneet parhaansa ongelman korjaamiseksi, mutta täyttä varmuutta bugin hyväksikäytön laajuudesta ei ole. Siksi onkin tärkeää, että Cloudflare-vetoisten webbisaittien käyttäjät vaihtavat salasanansa (ja API-avaimensa) niin pian kuin mahdollista. Alla joitakin saitteja, jotka ovat mahdollisesti vaarantuneet:</p><ul><li>authy.com</li><li>coinbase.com</li><li>betterment.com</li><li>transferwise.com</li><li>prosper.com</li><li>digitalocean.com</li><li>patreon.com</li><li>bitpay.com</li><li>news.ycombinator.com</li><li>producthunt.com</li><li>medium.com</li><li>reddit.com</li><li>4chan.org</li><li>yelp.com</li><li>okcupid.com</li><li>zendesk.com</li><li>uber.com</li><li>namecheap.com</li><li>poloniex.com</li><li>localbitcoins.com</li><li>kraken.com</li><li>23andme.com</li><li>curse.com</li><li>counsyl.com</li></ul><p>Päivittyvä lista on nähtävillä osoitteessa <a href="https://github.com/pirate/sites-using-cloudflare" title="https://github.com/pirate/sites-using-cloudflare">https://github.com/pirate/sites-using-cloudflare</a> .</p><p>Janne Paalijärvi - <a href="http://paalijarvi.fi/" target="_blank" title="http://paalijarvi.fi/">http://paalijarvi.fi/</a></p><p>Facebook: <a href="https://www.facebook.com/paalijarvi" target="_blank" title="https://www.facebook.com/paalijarvi">https://www.facebook.com/paalijarvi</a></p><p>Twitter: <a href="https://twitter.com/paalijarvi" target="_blank" title="https://twitter.com/paalijarvi">https://twitter.com/paalijarvi</a></p><p>&nbsp;</p><div class="field field-type-number-integer field-field-first-published"> <div class="field-items"> <div class="field-item odd"> 0 </div> </div> </div> Muunmuassa välimuisti- ja kuormantasauspalveluistaan tunnettu Cloudflare on kertonut palveluistaan löytyneestä tietoturvaongelmasta. Bugi mahdollisti monen tunnetun verkkopalvelun salasanojen ja muiden tietojen vuotamisen Internettiin hakukoneiden armoille.

Cloudflaren ja hakukonepalveluiden tietoturvatiimit ovat tehneet parhaansa ongelman korjaamiseksi, mutta täyttä varmuutta bugin hyväksikäytön laajuudesta ei ole. Siksi onkin tärkeää, että Cloudflare-vetoisten webbisaittien käyttäjät vaihtavat salasanansa (ja API-avaimensa) niin pian kuin mahdollista. Alla joitakin saitteja, jotka ovat mahdollisesti vaarantuneet:

  • authy.com
  • coinbase.com
  • betterment.com
  • transferwise.com
  • prosper.com
  • digitalocean.com
  • patreon.com
  • bitpay.com
  • news.ycombinator.com
  • producthunt.com
  • medium.com
  • reddit.com
  • 4chan.org
  • yelp.com
  • okcupid.com
  • zendesk.com
  • uber.com
  • namecheap.com
  • poloniex.com
  • localbitcoins.com
  • kraken.com
  • 23andme.com
  • curse.com
  • counsyl.com

Päivittyvä lista on nähtävillä osoitteessa https://github.com/pirate/sites-using-cloudflare .

Janne Paalijärvi - http://paalijarvi.fi/

Facebook: https://www.facebook.com/paalijarvi

Twitter: https://twitter.com/paalijarvi

 

]]>
8 http://usvi.puheenvuoro.uusisuomi.fi/232083-cloudflare-bugi-altisti-monta-saittia-vaihda-ainakin-reddit-salasanasi#comments Kotimaa Cloudflare Tietoturva Fri, 24 Feb 2017 07:23:39 +0000 Janne Paalijärvi http://usvi.puheenvuoro.uusisuomi.fi/232083-cloudflare-bugi-altisti-monta-saittia-vaihda-ainakin-reddit-salasanasi