Pankkisalaisuuden hinta versus kyberrikollisten työrauha

Kunnollisella tietoturvakäytäntöjen konsultoinnilla, eli kuinka toteutetaan turvallinen tiedostonjakoetäyhteys pankkijärjestelmään, olisi säästytty miljardiluokan vahingoilta. Yritysten kannattaakin tilata sellainen ihan vaikka vain varmuuden vuoksi.

Seuraavaksi kerron jotain, joka ei ole välttämättä sovi heikkohermoisille.

Pankkilaitosten erilaissa kyberrikoksissa kärsimistä taloudellisista vahingoista on liikkunut sisäpiiritietoja runsaan 20 vuoden ajan. Asiaa Suomessa luotsasi muun muassa parikin asiantuntevaa kynäilijää Tietokonelehden kolumnipalstoilla. Tämä ilmiö, jossa rahaa häviää, on ollut läsnä siitä alkaen, kun nettimaksamisessa ja etäyhteyksien käytössä päästiin vauhtiin.

Se, että tapahtuneet vahingot on liputettu pankkisalaisuuden piiriin, on osin yhteydessä kyberajan pankkiryöstökulttuurin kasvuun. Se sai rauhassa kehittyä 20 vuoden ajan.
Rikosliigat ovat kuitenkin nyt ahtaalla kansainvälisen poliisiyhteistyön iskiessä niin sanottuihin isoihin kaloihin. Ratsaus alkoi näyttävällä iskulla Espanjassa.

Korkonimillä Cobalt tai Carbanak tunnetun legendaarisen krakkerin mukaan nimetty kyberrikollisliiga vei rikoksella saatuna hyötynä maailman pankeilta arviolta 1,5 miljardia euroa noin 40 maassa, raportoi Euroopan pankkiliitto EBF.

Tämä on vain yhden kyberkoplan saalis ja sellaisen vajaan neljän vuoden aikana krakkeroitu rikoksella saatu hyöty.

Miljardiin euroon kohovasta saaliista on todisteet. Sen päälle ynnätään viitteet rikoksista, joita ei aivan voida näyttää toteen tässä vaiheessa. Liigan globaali verkosto ulottui kaikkialle Aasiaan ja läntiseen maailmaan. Rötöstehtailun maaleiksi päätyi ainakin sata rahoitusalan instituutiota.

Pankeilla on hyvä syy yhä vaieta. Uutistoimisto Reutersin mukaan pankkien toimihenkilöiden tietokoneiden ja sähköpostien saastuttaminen rootkiteillä on ollut pääasiallinen tapa kävellä sisään pankkiin sen virtuaalisista ovista.

Kaapatuin pääkäyttäjäoikeuksin myös pankkijärjestelmiä voi säätää kuin avointa kirjaa.
Tällä espanjalaisliigalla meni homma röyhkeydessään niin pitkälle, että se sai vikasietotilan korjaustoimintokäskyllä pankkiautomaatteja suoltamaan setelinsä ulos koneesta. Liiga toimi myös perinteisemmällä tyylillä. Tilisaldoja manipuloitiin suoraan järjestelmässä ja samalla muulit nostivat rahaa seinästä. Muuleja liigalle toimittavat muun muassa Venäjän ja Moldovan mafiat.

Myös rikoksella hankitun saaliin rahanpesu oli laajamittaista. Kassakaappi liigan päämajassa oli täynnä jalokiviä ja kultaa. Yhdysvaltain liittovaltion poliisin FBI:n Romanian, Valko-Venäjän ja Taiwanin poliisien yhteispeli johti keväänkorvalla yllätysiskuun liigan lymyilypaikkaan Espanjan Alicantessa.

Miten tämä kaikki oli mahdollista?

Ongelmista yksi on säännöstelty salailu. Pankkien tiukka salauslinja saattaa horjua kenties silloin, jos uutisnälkäiselle medialle on antaa joku hyvä sankaritarina pankissa torpatusta kyberrikoksesta.
Tämä taas vääristää uutisointia ja on jokseenkin sama asia kuin suomalaisten NHL-jääkiekkoilijoiden urheilumenestyksen uutisointi kotomaassa. Näin syntyy väärä, nurkkakuntainen kuva ja näyttää, että koko NHL pyörisi muutaman suomalaistähden ympärillä. Kokonaiskuva vääristyy pahoin (esimerkiksi Ruotsin NHL-tilasto on Suomea komeampi).

Samoin, jos pankit kertovat kuinka tämä tai tuo vahinko estettiin, niiden tietoturva-asioiden uskotaan olevan paremmassa kunnossa kuin mitä on totuus. Seinien sisässä tapahtuneet vahingot ja petokset maisemoidaan vähän äänin. Mutta eritoten ilmi tulleet virkailijoiden ääliömäiset töppäykset etäyhteyksiensä kanssa pidetään visusti omana tietona.

Toisaalta toki tiedetään, että pohjoismaiset pankit ovat olleet kova pala raskaan sarjan ammattirikollisille.
Vuonna 2013 kyberhyökkäyksessä yritettiin nostaa yhteensä 5,7 miljoonan kruunun eli yli 664 000 euron saalista Nordean tileiltä. Pankin oman selvityksen mukaan vain yksi 27 000 kruunun eli noin 3 100 euron, arvoinen tilisiirto onnistui. Sen sijaa Computer Sweden kertoo, että rikollisten käsiin päätyi pankin asiakkaiden arkaluontoisia tietoja, kuten tilitietoja ja salasanoja: yli 400 tiedostoa, jotka täsmäsivät Nordean tietoihin.

Tekninen dataturva, vaikka se olisi kunnossa, ei mitenkään korvaa henkilöstökoulutusta ja dataturvakäytäntöjen trimmausta huipputasolle. Tekninen dataturva ja yleinen knowhow yhdessä varmistavat parhaan saavutettavissa olevan tuloksen.

Reijo Holopainen

VIIMEISIN ARTIKKELI

Asiakastarina: Lemmikkihoitola Moppe ja Miiru Oy

29.01.2025 |

”Lemmikit ovat ihmisen parhaita ystäviä ja perheenjäseniä.Tiedämme miten tärkeitä tunnesiteitä lemmikin ja omistajan välille syntyy.” … LUE LISÄÄ…

Miksi sähköposti ei lähde – Yleisimmät ongelmat ja SMTP-asetukset

17.01.2025 |

Sähköposti on olennainen osa yritysviestintää. Jos sähköpostit eivät lähde omalta koneelta, on tilanne usein hyvin … LUE LISÄÄ…

Katsaus Sollertiksen vuoteen 2024

10.01.2025 |

Vuosi on vaihtunut ja kaikki ovat palanneet työn ääreen. Halusin tehdä pienen katsauksen vuoteen 2024 … LUE LISÄÄ…

Hakukoneoptimointi – avain asiakkaiden löytämiseen digitaalisessa ostopolussa

03.01.2025 |

Tiesitkö, että tutkimuksien mukaan asiakkaan digitaalinen ostopolku alkaa useimmiten Googlettamalla? Kyllähän sinä sen varmasti tiesit, … LUE LISÄÄ…

Olemme ulkoistaneet laskutuksemme

27.11.2024 |

Olemme ulkoistaneet laskutuksen hoitamisen BRANG Oy:lle 02.12.2024 alkaen. Huomioithan, että laskulla oleva tilinumero on muuttunut ja suoritukset tulee … LUE LISÄÄ…

3 tapaa tehostaa sesongin markkinointia

22.11.2024 |

Tärkeimpiin sesonkeihin on hyvä valmistautua hyvissä ajoin. Ensimmäinen askel on päivittää markkinoinnin vuosikello. Merkitse vuosikelloon … LUE LISÄÄ…

Woocommerce ohje: Arvonlisäveron asettaminen tai muuttaminen

22.08.2024 |

Alv-prosentin muuttuessa tulee verokanta päivittää verkkokauppoihin. Tässä ohjeessa neuvon askel askeleelta, kuinka asetat tai vaihdat … LUE LISÄÄ…

WordPress-ohje: Opas verkkosivuston päivittämiseen ja hallintaan

23.07.2024 |

WordPress on helppokäyttöinen, monipuolinen ja tehokas julkaisujärjestelmä, joka tarjoaa kaiken tarvitsemasi verkkosivustosi luomiseen, hallintaan ja päivittämiseen. Toteutamme Sollertiksella … LUE LISÄÄ…