Pankkisalaisuuden hinta versus kyberrikollisten työrauha
Kunnollisella tietoturvakäytäntöjen konsultoinnilla, eli kuinka toteutetaan turvallinen tiedostonjakoetäyhteys pankkijärjestelmään, olisi säästytty miljardiluokan vahingoilta. Yritysten kannattaakin tilata sellainen ihan vaikka vain varmuuden vuoksi.
Seuraavaksi kerron jotain, joka ei ole välttämättä sovi heikkohermoisille.
Pankkilaitosten erilaissa kyberrikoksissa kärsimistä taloudellisista vahingoista on liikkunut sisäpiiritietoja runsaan 20 vuoden ajan. Asiaa Suomessa luotsasi muun muassa parikin asiantuntevaa kynäilijää Tietokonelehden kolumnipalstoilla. Tämä ilmiö, jossa rahaa häviää, on ollut läsnä siitä alkaen, kun nettimaksamisessa ja etäyhteyksien käytössä päästiin vauhtiin.
Se, että tapahtuneet vahingot on liputettu pankkisalaisuuden piiriin, on osin yhteydessä kyberajan pankkiryöstökulttuurin kasvuun. Se sai rauhassa kehittyä 20 vuoden ajan.
Rikosliigat ovat kuitenkin nyt ahtaalla kansainvälisen poliisiyhteistyön iskiessä niin sanottuihin isoihin kaloihin. Ratsaus alkoi näyttävällä iskulla Espanjassa.
Korkonimillä Cobalt tai Carbanak tunnetun legendaarisen krakkerin mukaan nimetty kyberrikollisliiga vei rikoksella saatuna hyötynä maailman pankeilta arviolta 1,5 miljardia euroa noin 40 maassa, raportoi Euroopan pankkiliitto EBF.
Tämä on vain yhden kyberkoplan saalis ja sellaisen vajaan neljän vuoden aikana krakkeroitu rikoksella saatu hyöty.
Miljardiin euroon kohovasta saaliista on todisteet. Sen päälle ynnätään viitteet rikoksista, joita ei aivan voida näyttää toteen tässä vaiheessa. Liigan globaali verkosto ulottui kaikkialle Aasiaan ja läntiseen maailmaan. Rötöstehtailun maaleiksi päätyi ainakin sata rahoitusalan instituutiota.
Pankeilla on hyvä syy yhä vaieta. Uutistoimisto Reutersin mukaan pankkien toimihenkilöiden tietokoneiden ja sähköpostien saastuttaminen rootkiteillä on ollut pääasiallinen tapa kävellä sisään pankkiin sen virtuaalisista ovista.
Kaapatuin pääkäyttäjäoikeuksin myös pankkijärjestelmiä voi säätää kuin avointa kirjaa.
Tällä espanjalaisliigalla meni homma röyhkeydessään niin pitkälle, että se sai vikasietotilan korjaustoimintokäskyllä pankkiautomaatteja suoltamaan setelinsä ulos koneesta. Liiga toimi myös perinteisemmällä tyylillä. Tilisaldoja manipuloitiin suoraan järjestelmässä ja samalla muulit nostivat rahaa seinästä. Muuleja liigalle toimittavat muun muassa Venäjän ja Moldovan mafiat.
Myös rikoksella hankitun saaliin rahanpesu oli laajamittaista. Kassakaappi liigan päämajassa oli täynnä jalokiviä ja kultaa. Yhdysvaltain liittovaltion poliisin FBI:n Romanian, Valko-Venäjän ja Taiwanin poliisien yhteispeli johti keväänkorvalla yllätysiskuun liigan lymyilypaikkaan Espanjan Alicantessa.
Miten tämä kaikki oli mahdollista?
Ongelmista yksi on säännöstelty salailu. Pankkien tiukka salauslinja saattaa horjua kenties silloin, jos uutisnälkäiselle medialle on antaa joku hyvä sankaritarina pankissa torpatusta kyberrikoksesta.
Tämä taas vääristää uutisointia ja on jokseenkin sama asia kuin suomalaisten NHL-jääkiekkoilijoiden urheilumenestyksen uutisointi kotomaassa. Näin syntyy väärä, nurkkakuntainen kuva ja näyttää, että koko NHL pyörisi muutaman suomalaistähden ympärillä. Kokonaiskuva vääristyy pahoin (esimerkiksi Ruotsin NHL-tilasto on Suomea komeampi).
Samoin, jos pankit kertovat kuinka tämä tai tuo vahinko estettiin, niiden tietoturva-asioiden uskotaan olevan paremmassa kunnossa kuin mitä on totuus. Seinien sisässä tapahtuneet vahingot ja petokset maisemoidaan vähän äänin. Mutta eritoten ilmi tulleet virkailijoiden ääliömäiset töppäykset etäyhteyksiensä kanssa pidetään visusti omana tietona.
Toisaalta toki tiedetään, että pohjoismaiset pankit ovat olleet kova pala raskaan sarjan ammattirikollisille.
Vuonna 2013 kyberhyökkäyksessä yritettiin nostaa yhteensä 5,7 miljoonan kruunun eli yli 664 000 euron saalista Nordean tileiltä. Pankin oman selvityksen mukaan vain yksi 27 000 kruunun eli noin 3 100 euron, arvoinen tilisiirto onnistui. Sen sijaa Computer Sweden kertoo, että rikollisten käsiin päätyi pankin asiakkaiden arkaluontoisia tietoja, kuten tilitietoja ja salasanoja: yli 400 tiedostoa, jotka täsmäsivät Nordean tietoihin.
Tekninen dataturva, vaikka se olisi kunnossa, ei mitenkään korvaa henkilöstökoulutusta ja dataturvakäytäntöjen trimmausta huipputasolle. Tekninen dataturva ja yleinen knowhow yhdessä varmistavat parhaan saavutettavissa olevan tuloksen.
