Utsinta räjähtää – valuvikaa tietosuojakäytännöissämme korjataan
Hyvin suunnitellulla tietojenkalastelusivustolla tiedetään ansaan menneen jopa 43% saitin käyttäjistä. He siis luovuttavat kyberrikollisille luottamuksellisia tietojaan. Pieni osa uhreista luovuttaa valmiiksi sekä tilitietonsa että transaktion varmentamista edellyttävät numerosarjat mutta sitäkin tavataan.
Suurin piirtein jokaisen tietovuodon yhteydessä – aiheellisesti – saadaan muistutus siitä, kuinka vääräoppisesti salasanoja käytetään. Puolittaiset tilitiedot korkatuista tietokannoista ovat kauppatavaraa.
Tilitietojen ostajina ”poliisit” sekä ”pankin tietoturva-asiantuntija”, jotka puhelimessa vakuuttavana esiintyen utsivat ihmisiltä itseltään transaktioihin tarvittavat avainlukusarjat. Monilla puhelimessa uhria lähestyvistä urkkijoista olisi varmasti esim. radioteatterissa ollut ihan hyvät menestymisen mahdollisuudet. Näistä nettipohjaisten huijausten tekijöistä muuten löytyy poliisin profiloinnit. Profiilien takaa paljastuu arkoja taustatietoja.
Entistä suurempi huomio kiinnittyy nyt siihen, että meillä on tietosuojalainsäädännön mukaan oikeus saada tietoomme tietokannoissa tapahtuneista asioista, nimenomaan tietojemme käsittelystä, onko se ollut lain ja standardien mukaista. Aina niin ei ole. Nyt valuvika on korjattu.
Avoimuus lokitiedoista lisääntyy paitsi rahalaitoksissa
Sijoitus-, luotto-, treidaus- ja rahalaitokset taas eivät ole kiinnostuneita lain määräämästä avoimuudesta, vaan herkästi vetoavat kaiken kattavaan pankkisalaisuuteen, vaikka kyseessä olisi tietomurto pankin järjestelmään (ennen pahan vahingon paljasti, pankin taholta tullut yllättävä salasanojen ja käyttäjätunnusten vaihto).
Sen sijaan osa terveydenhuollon toimijoista tekee asiakkaan lokitiedoista selvityksen automaattisesti viimeisen kahden vuoden ajalta, ellei hakemuksessa toisin pyydetä. Toiset terveydenhuollon toimijat puolestaan pyytävät määrittelemään tarkemmin ajanjakson, jolta lokitietoja halutaan nähtäväksi.
Tietosuojavaltuutettu Reijo Aarnio muistuttaa, että suurilla terveydenhuollon toimijoilla toimii tietosuojavastaava, jolta voi kysyä neuvoja lokitietojen pyytämiseen.
Mitä sitten anastetuilla yksityis- ja yritystiedoilla tehdään? Erityisesti lääke- ja teknologiafirmojen työntekijöiden käyttäjätunnukset, luottokorttitiedot ja salasanat ovat kauppatavaraa Tor-verkossa siinä missä perinteiset hittiartikkelit: doping- ja huumausaineet. Yritysten tietojärjestelmiin ovia avaavilla salasanoilla ja käyttäjätunnuksilla käydään kauppaa. Niitä halutaan erityisesti teknologia- ja tuotekehitysyrityksistä. Suomi on pitkälle digitalisoitunut maa. Passit taas ovat kysytyin yksittäinen tekaistu dokumentti hämärillä kauppapaikoilla. Sitä varten varastetaan identiteettejä. Suomessa näkee vielä hyvän määrän yliopistoväkeä, joka jakaa nettisivuillaan CV:nsä, jopa valmiin passikuvan kerran.
CV:t verkossa – sen kun ottaa
Suomi-passi on kovaa valuuttaa. Niitä tarvitsee etenkin järjestäytynyt rikollisuus jo sijaintinsa puolesta. Olemme kauttakulkumaa Venäjälle. Väärälle henkilöllisyydelle luodulla passilla voi avata tilejä. Venäjän tulli on tarkkana, mutta ei voi tilanteelle paljoa vanhentuneine valvontatyölakuineen.
Tor-verkko, ja sitä ennen mm. meidän privatizer.net, olivat ideana sananvapauden ja viestintäsalaisuuden turvaamisen ratkaisuja. Näin oli määrä turvata toisinajattelijoiden ja vähemmistöjen oikeuksia. Pianhan se selvisi nettikäyttäjän IP:n piilottavia Proxy palvelimia viritellessä (vuosituhannen alussa), että anonymiteettia tarvitsivat myös aivan muut ryhmät kuin toisinajattelijat ja vainotut vähemmistöt. Nykyinen tarjonta: https://websetnet.net/fi/parhaimmat-v%C3%A4lityspalvelinten-sivustot-luetellaan-27-proxy-palvelimia/
Rikolliset ovat mustanneet Tor-verkon maineen – näkyy olevan ihan okei kutsua Toria pimeäksi verkoksi tai kauppapaikaksi. Mutta nyt olemme helisemässä näiden ”kauppapaikkojen” kanssa. Edelleen, vaikka muuta saattaa kuulla, ainut tapa murtaa Tor-sipuli on pääsy päätelaitteelle – joko laitetakavarikosta tai muusta seikasta johtuen.
