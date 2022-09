Asiantuntija ymmärtää kansalaisten huolen, mutta huomauttaa vaihtoehtojen olevan paljon kurjempia.

Asiantuntijan mielestä vahva tunnistautuminen on yhä vahvaa.

S-Pankin järjestelmiin hyökänneet espoolaismiehet onnistuivat jopa varastamaan rahaa useilta pankin asiakkailta. Hyökkäys iski äärimmäisen arkaan paikkaan: niin sanottuun vahvaan sähköiseen tunnistautumiseen ja sen ylivoimaisesti yleisimpään muotoon eli verkkopankkitunnuksiin.

Lue lisää: S-Pankkiin liittyvistä petoksista epäillään 16- ja 23-vuotiaita espoolaisia – rahat makeaan elämään

Lue lisää: Tämä S-Pankin tilanteesta tiedetään nyt: 150 tieto­murtoa, 53 petosta, miljoona­saalis, asialla kaveri­porukka

IS Digitoday kysyi tietoturvayhtiö Truesecin tutkimusjohtajalta Sami Laiholta tunnistuksen nykytilasta.

Onko S-Pankin vahinko romahduttanut luottamuksen pankkitunnusten avulla tehtävään tunnistukseen yleisemminkin?

– On luonnollista, että tällainen herättää epäluottamusta. On kuitenkin tärkeää muistaa, että vahva tunnistautuminen, kuten pankkitunnusten käyttö, on monin verroin turvallisempaa kuin pelkkien tunnusten ja salasanojen.

– Ei pidä vetää tästä johtopäätöstä, että vahva tunnistautuminen ei olisi vahvaa. Vikoja löytyy vanhemmilla tavoilla varustetuista järjestelmistä moninkertainen määrä.

” Vikoja löytyy vanhemmilla tavoilla varustetuista järjestelmistä moninkertainen määrä.

Millaisia keinoja S-Pankilla on palauttaa luottamus?

– Avoimuus. Tietoturvaloukkauksia tapahtuu kaikille. Kun ne ovat vakavia, suurin ongelma on niiden peittely tai vähättely.

Miten todennäköistä on, että vastaavia koodipommeja muhii jossain muualla? Onko tällaisia pommeja purettu suurelta yleisöltä piilossa ennen kuin niitä on ehditty väärinkäyttää?

– Niin kauan kuin ihmiset tekevät koodia, bugeja löytyy aina. Koodissa olevia virheitä korjataan koko ajan taustalla. Onko niissä pommeja? Olisi hölmöä vastata, että ei varmasti ole. Mutta ilman koodia tämä yhteiskunta ei enää toimi.

Yhteiskunta nojaa koodiin, joka on ihmisten kirjoittamaa ja sisältää siksi väistämättä virheitä.

” Ilman koodia tämä yhteiskunta ei enää toimi.

– Toivotaan, että yritykset panostavat mahdollisimman paljon koodin testaamiseen, erilaisiin löytöpalkkiopohjaisiin bug bounty -ohjelmiin ja ulkoisiin auditointeihin.

Edelliseen liittyen: voiko tunnistautumisen auditointeihin eli koodin tarkistamiseen luottaa, missä määrin ne ovat vedenpitäviä?

– Vedenpitävää auditointia ei ole olemassa niin kauan kuin niitäkin tekevät ihmiset ja ihmisten käyttämät/kehittämät sovellukset. Moni osaa ajaa autoakin ilman ajokorttia, mutta pidän viisaana edelleen varmistaa se ulkoisen toimijan taholta.

Ovatko tunnistautumisen toimitusketjut luotettavia? Alihankinnan alihankinnan alihankintaa toisella puolella maailmaa työskentelevillä koodareilla?

– Yritysten ei tulisi käyttää tällaisessa yhteydessä koodia, jonka lähdekoodia he eivät pysty auditoimaan.

Sami Laihon mukaan on turha toivoa yhtä ainoaa todennustapaa.

Vahvalla sähköisellä tunnistamisella tarkoitetaan henkilöllisyyden todentamista sähköisessä asioinnissa.

Suomessa on kehitteillä useampi uusi tapa vahvaan sähköiseen tunnistautumiseen. Tällaisia ovat esimerkiksi Suomen omaksi ”Google-tunnistautumiseksi” kutsuttu Sinuna, eurooppalainen lompakkosovellus ja puhelimessa toimiva digitaalinen lompakkosovellus.

Truesecin Sami Laiho ei näe lähitulevaisuudessa mahdollisuuksia yhteen ainoaan ratkaisuun.

– Se, että pääsisimme pian yhteen todennustapaan, lienee hallusinaatio. Eli päällekkäisyyksiä on ja tulee olemaan varmasti.

Laihon mukaan toteutustavat poikkeavat toisistaan kooditasolla paljonkin, mutta myös sen suhteen, miten kansalainen lopulta tunnistetaan. Vaihtoehtoja ovat esimerkiksi pin-koodi, biometrinen tunnistus ja tunnistussovellus.

Eroa on myös siinä, mitä tietokantaa vastaan tietoja verrataan, kuten kaupallinen, valtiollinen, EU tai globaali.

Mutta miksi valtionkaan kehittämät uudet ratkaisut olisivat yhtään parempia? Nekin perustuvat softaan, johon jää väkisinkin virheitä. Laihon mukaan eivät ne sitä olekaan. Esimerkiksi jo olemassa olevat sähköinen henkilökortti tai mobiilivarmenne voivat näyttää vähemmän reikäisiltä kuin pankkitunnukset, mutta totuus on toinen.

– Se johtuu tasan siitä, että niiden käyttö on minimaalista verrattuna pankkitunnusten käyttöön.