sunnuntai, kesäkuuta 01, 2008

"Tämä on aika mitätön asia"

Viikonlopun yksi hämmästyttävimmistä uutisista liittyy tietoturvaan. Kelan parin viikon takainen nettisivujen turvallisuusongelma, johtuu Aamulehden mukaan pankkien TUPAS-tunnistaumispalveluun liittyvästä ongelmasta.

Tapahtumasarjassa käyttäjä tunnistautuu Kelan sairauskorvaustietopalvelua varten Nordean verkkopalvelussa Sampo Pankin tunnuksilla. Hän saa Kelan palvelussa toisen henkilön luottamukselliset tiedot. Hän olisi voinut kirjautua samoilla tunnuksilla myös toisen asiakkaan pankkitietoihin.

Kenties hämmästyttävintä asiassa on se, että sekä asiaa tutkinut Helsingin rikospoliisi että pankit ovat vaienneet koko asiasta. Hämmästys kasvaa omaan sfääriinsä Nordean riskienhallintajohtajan lausunnosta: "Tässä täytyy kylmästi katsoa kokonaisuutta. Tämä on aika mitätön asia."

Tämä ei ole ollenkaan mitätön asia.

Kyse on siitä, että monissa luottamuksellista tietoa sisältävien verkkopalveluiden tunnistautumisessa käytettävä TUPAS-palvelu ei ole aukoton. Se siis ominaisuuksiensa puolesta saattaa päästää täysin vieraiden tietoihin käsiksi ja palvelun avulla saattaa kyetä tunnistautumaan joksikin toiseksi henkilöksi. Nykyään ei ole ollenkaan yhdentekevää miten luotettavasti voit tunnistautua verkkopalveluihin.

Kyse on ihan samasta kuin esimerkiksi pankin tiskillä voisi asioida esittämällä jonkun vieraan henkilön henkilökortin, passin tai ajokortin. Tai antaa poliisille ratsiassa naapurin ajokortin sakkojen kirjoittamista varten ilman, että siitä yskittäisiin ensinkään.

Pankkien tunnistautumisjärjestelmän muuttaminen ei ole pikkujuttu eikä siihen pikaista korjausta ole olemassa. Voidaan vain arvella, onko tämä syy siihen, että asia halutaan vähätellä tai siitä ei ole julkisesti kerrottu aikaisemmin. Vähättely ei kuitenkaan ole mitenkään perusteltua, sillä meillä tavallisilla käyttäjillä on oltava tieto näihin palveluihin liittyvistä riskeistä.

Nyt pankit tekisivät palveluksen, mikäli kertoisivat oikeasti miten isosta riskistä tässä on kyse. Missä määrin voi luottaa siihen, että esimerkiksi verkkopankeissa omat tiedot ovat turvassa? Ei tästä tapahtumasta ehkä provosoitua tarvitse, koska hötkyilemällä tulee vain lisää vahinkoja. Mutta se vaan ei riitä, että asiaa pidetään mitättömänä. Nyt tarvitaan vastauksia.

Tunnistautumisen muuttaminen luotettavaksi on välttämätöntä, koska nyt kerrottu tapahtumasarja voi tapahtua missä tahansa uudestaan. Keinojakin siihen on olemassa.

Operaattorit, pankit ja ministeriöt voisivat nyt vihdoin pistää vauhtia mobiilivarmenteiden käytön mahdollistamiseksi oikeasti siten, että suuret käyttäjäryhmät voivat ottaa olemassa olevan teknologian laajassa mitassa käyttöön. Nyt vauhtia siellä sisäasiainministeriössä!

Nähtäväksi jää, tekikö Kelan palveluun väärää tietä pitkin tunnistautunut henkilö lopulta ison palveluksen tietoyhteiskunnalle.

(Kuvassa tulevaisuuden henkilökortti. Kuvan lähde: Wikimedia commons)

Ei kommentteja: