Pankkisalaisuuden hinta versus kyberrikollisten työrauha

Kunnollisella tietoturvakäytäntöjen konsultoinnilla, eli kuinka toteutetaan turvallinen tiedostonjakoetäyhteys pankkijärjestelmään, olisi säästytty miljardiluokan vahingoilta. Yritysten kannattaakin tilata sellainen ihan vaikka vain varmuuden vuoksi.

Seuraavaksi kerron jotain, joka ei ole välttämättä sovi heikkohermoisille.

Pankkilaitosten erilaissa kyberrikoksissa kärsimistä taloudellisista vahingoista on liikkunut sisäpiiritietoja runsaan 20 vuoden ajan. Asiaa Suomessa luotsasi muun muassa parikin asiantuntevaa kynäilijää Tietokonelehden kolumnipalstoilla. Tämä ilmiö, jossa rahaa häviää, on ollut läsnä siitä alkaen, kun nettimaksamisessa ja etäyhteyksien käytössä päästiin vauhtiin.

Se, että tapahtuneet vahingot on liputettu pankkisalaisuuden piiriin, on osin yhteydessä kyberajan pankkiryöstökulttuurin kasvuun. Se sai rauhassa kehittyä 20 vuoden ajan.
Rikosliigat ovat kuitenkin nyt ahtaalla kansainvälisen poliisiyhteistyön iskiessä niin sanottuihin isoihin kaloihin. Ratsaus alkoi näyttävällä iskulla Espanjassa.

Korkonimillä Cobalt tai Carbanak tunnetun legendaarisen krakkerin mukaan nimetty kyberrikollisliiga vei rikoksella saatuna hyötynä maailman pankeilta arviolta 1,5 miljardia euroa noin 40 maassa, raportoi Euroopan pankkiliitto EBF.

Tämä on vain yhden kyberkoplan saalis ja sellaisen vajaan neljän vuoden aikana krakkeroitu rikoksella saatu hyöty.

Miljardiin euroon kohovasta saaliista on todisteet. Sen päälle ynnätään viitteet rikoksista, joita ei aivan voida näyttää toteen tässä vaiheessa. Liigan globaali verkosto ulottui kaikkialle Aasiaan ja läntiseen maailmaan. Rötöstehtailun maaleiksi päätyi ainakin sata rahoitusalan instituutiota.

Pankeilla on hyvä syy yhä vaieta. Uutistoimisto Reutersin mukaan pankkien toimihenkilöiden tietokoneiden ja sähköpostien saastuttaminen rootkiteillä on ollut pääasiallinen tapa kävellä sisään pankkiin sen virtuaalisista ovista.

Kaapatuin pääkäyttäjäoikeuksin myös pankkijärjestelmiä voi säätää kuin avointa kirjaa.
Tällä espanjalaisliigalla meni homma röyhkeydessään niin pitkälle, että se sai vikasietotilan korjaustoimintokäskyllä pankkiautomaatteja suoltamaan setelinsä ulos koneesta. Liiga toimi myös perinteisemmällä tyylillä. Tilisaldoja manipuloitiin suoraan järjestelmässä ja samalla muulit nostivat rahaa seinästä. Muuleja liigalle toimittavat muun muassa Venäjän ja Moldovan mafiat.

Myös rikoksella hankitun saaliin rahanpesu oli laajamittaista. Kassakaappi liigan päämajassa oli täynnä jalokiviä ja kultaa. Yhdysvaltain liittovaltion poliisin FBI:n Romanian, Valko-Venäjän ja Taiwanin poliisien yhteispeli johti keväänkorvalla yllätysiskuun liigan lymyilypaikkaan Espanjan Alicantessa.

Miten tämä kaikki oli mahdollista?

Ongelmista yksi on säännöstelty salailu. Pankkien tiukka salauslinja saattaa horjua kenties silloin, jos uutisnälkäiselle medialle on antaa joku hyvä sankaritarina pankissa torpatusta kyberrikoksesta.
Tämä taas vääristää uutisointia ja on jokseenkin sama asia kuin suomalaisten NHL-jääkiekkoilijoiden urheilumenestyksen uutisointi kotomaassa. Näin syntyy väärä, nurkkakuntainen kuva ja näyttää, että koko NHL pyörisi muutaman suomalaistähden ympärillä. Kokonaiskuva vääristyy pahoin (esimerkiksi Ruotsin NHL-tilasto on Suomea komeampi).

Samoin, jos pankit kertovat kuinka tämä tai tuo vahinko estettiin, niiden tietoturva-asioiden uskotaan olevan paremmassa kunnossa kuin mitä on totuus. Seinien sisässä tapahtuneet vahingot ja petokset maisemoidaan vähän äänin. Mutta eritoten ilmi tulleet virkailijoiden ääliömäiset töppäykset etäyhteyksiensä kanssa pidetään visusti omana tietona.

Toisaalta toki tiedetään, että pohjoismaiset pankit ovat olleet kova pala raskaan sarjan ammattirikollisille.
Vuonna 2013 kyberhyökkäyksessä yritettiin nostaa yhteensä 5,7 miljoonan kruunun eli yli 664 000 euron saalista Nordean tileiltä. Pankin oman selvityksen mukaan vain yksi 27 000 kruunun eli noin 3 100 euron, arvoinen tilisiirto onnistui. Sen sijaa Computer Sweden kertoo, että rikollisten käsiin päätyi pankin asiakkaiden arkaluontoisia tietoja, kuten tilitietoja ja salasanoja: yli 400 tiedostoa, jotka täsmäsivät Nordean tietoihin.

Tekninen dataturva, vaikka se olisi kunnossa, ei mitenkään korvaa henkilöstökoulutusta ja dataturvakäytäntöjen trimmausta huipputasolle. Tekninen dataturva ja yleinen knowhow yhdessä varmistavat parhaan saavutettavissa olevan tuloksen.

Reijo Holopainen

VIIMEISIN ARTIKKELI

PiKa Puhtaus – oppeja digimarkkinoinnista ja helpotusta arkeen 

25.03.2024 |

PiKa Puhtaus Oy on vuonna 2011 perustettu siivouspalveluja tarjoava yritys. PiKa Puhtaus tarjoaa koti-, toimitila- … LUE LISÄÄ…

Miten voin hyödyntää Microsoft Copilottia – työkaverina tekoäly

21.03.2024 |

Microsoft Copilot on tekoälyavustaja, joka voi auttaa säästämään aikaa ja tehostamaan työtä. Se on digitaalinen … LUE LISÄÄ…

Kadonneen datan arvet – Varmuuskopioinnilla vältyt katastrofilta

15.03.2024 |

Varmuuskopiotko tarpeelllisia? Turhaa ajan haaskausta, lisää kustannuksia, ohjelmien asennusta, vaivannäköä, ei meille kuitenkaan mitään satu … LUE LISÄÄ…

PK-yrityksen tuet ja rahoitus vuonna 2024

02.02.2024 |

Kaupallinen yhteistyö Sortter Oy Vuonna 2024 yrityksille on tarjolla useita eri rahoituskanavia ja tukimuotoja. Yritystuella … LUE LISÄÄ…

Sähköpostimarkkinointi ohjelma yrityksille – ActiveCampaign

28.12.2023 |

Yrityksille suunnatut sähköpostimarkkinointi ohjelmat tarjoavat monipuolisia työkaluja kampanjoiden suunnitteluun, toteuttamiseen ja seurantaan. Tässä kirjoituksessa tarkastelemme … LUE LISÄÄ…

Kesäharjoittelijana

07.07.2023 |

Hei vaan! Olen Laura, opiskelen Ingmanedu Kulttuurialan ammattiopistossa Media-alan ja kuvallisen ilmaisun perustutkintoa. Etsin itselleni … LUE LISÄÄ…

Verkkokaupan saavutettavuus mahdollistaa shoppailun kaikille asiakasryhmille

31.05.2023 |

Verkkokaupan saavutettavuus tarkoittaa, että verkkokauppa on suunniteltu niin, että kaikki käyttäjät voivat käyttää sitä yhtä … LUE LISÄÄ…

Saavutettavuus verkkoympäristössä

15.05.2023 |

Kaikilla on varmasti ollut hetkiä, jolloin on tarvinnut apuvälineitä tai muiden ihmisten apua pärjätäkseen päivittäisissä … LUE LISÄÄ…