TIETOTURVALLISUUS JA MAKSUTEKNOLOGIA



Samankaltaiset tiedostot
Yrityksiin kohdistuvan ja niitä hyödyntävän rikollisuuden tilannekuva

Siru ja tunnusluku. Elokuu 2007

Yrityksiin kohdistuvat rikosuhkat Erikoistutkija Tuija Hietaniemi, Keskusrikospoliisi

Kohdistettujen hyökkäysten torjunta lisää tervettä järkeä!

tilannekuva ja ajankohtaiset

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Yrityksiin kohdistuva tietoverkkorikollisuus

Tietoverkot ja käyttäjät hallitseeko tietoturvaa enää kukaan?

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

TIETOTURVALLISUUDESTA

Sirulliset maksukortit ja niiden käyttö potilaan monipalvelupäätteessä

Tietoverkkorikos, teenkö. rikosilmoituksen? rikosylikomisario Tero Muurman Keskusrikospoliisi, Kyberrikostorjuntakeskus

TIETOTURVAKATSAUS 1/

Pilvipalveluiden arvioinnin haasteet

YHTENÄINEN EUROMAKSUALUE. Yrityksien siirtyminen yhtenäiseen euromaksualueeseen

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Maksaminen tulevaisuudessa Turvallisesti kohti murrosta. Talous- ja Palkkahallintopäivät Danske Bank

Missä Suomen kyberturvallisuudessa mennään -Kyberturvallisuuskeskuksen näkökulma

Forte Netservices Oy. Forte Client Security Services

Diplomityöseminaari Teknillinen Korkeakoulu

Vaivattomasti parasta tietoturvaa

Yhteisöllinen tapa työskennellä

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

9665/15 vp/sj/jk 1 DGD 1C

Varmaa ja vaivatonta viestintää

5.2 Kavallus- ja petosrikokset Reino Sirén

TIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?

Tietoturvapalvelut huoltovarmuuskriittisille toimijoille

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Ajankohtaista tietoturvallisuudesta. Juha Pietarinen Kimmo Rousku

YRITTÄJÄKYSELY 2017 TUTKIMUSRAPORTTI: TIETOTURVA

TALOUSVALIOKUNTA KANSALLISILLE PANKEILLE TASAPUOLISET TOIMINTAEDELLYTYKSET SIIRTOHINNAT SÄILYTTÄMÄLLÄ

Monipalveluverkot Tietoturvauhkia ja ratkaisuja. Technical Manager Erkki Mustonen, F-Secure Oyj

Rakenna muuri verkkorosvolle. Antti Nuopponen, Nixu Oy

TEEMME KYBERTURVASTA TOTTA

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

Abuse-toiminnan ajankohtaiset ilmiöt

Ajankohtaista kyberturvallisuudesta. Johtaja Jarkko Saarimäki

TIETOTURVAKATSAUS 3/2009

Tietoturvan haasteet grideille

TIETOTURVA. Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen

Selvitys toimijoiden välisten maksurajapintojen kehittämistarpeesta

TEEMME KYBERTURVASTA TOTTA

Sisäasiainministeriö E-KIRJELMÄ SM

Suomen Pankin Maksufoorumi

KYBERTURVAMARKKINA KASVAA TEEMME KYBERTURVASTA TOTTA

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Onko verkkokaupoista ostaminen turvallista?

Ohje tietoturvaloukkaustilanteisiin varautumisesta

Miksi verkoissakin pitää tiedustella? Vanajanlinna, Poliisijohtaja Petri Knape

Yrityksiin kohdistuvan ja niitä hyödyntävän rikollisuuden tilannekuva

Julkishallinnon tietoturvatoimittaja

Verkostoautomaatiojärjestelmien tietoturva

DNSSec. Turvallisen internetin puolesta

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Kymenlaakson Kyläportaali

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

YHTEENVETORAPORTTI TEOLLIS- JA TEKIJÄNOIKEUSRIKKOMUKSISTA Tiivistelmä

Hyvä tietää. Guatemala. Matkoja Ajatuksella ja Sydämellä

LEHDISTÖTIEDOTE. Ilmainen palvelu, jota hyödyntävät helposti sekä käyttäjät että järjestöt

PSD2. Keskeiset muutokset maksupalvelulainsäädäntöön Sanna Atrila. Finanssivalvonta Finansinspektionen Financial Supervisory Authority

TEEMME KYBERTURVASTA TOTTA

TAPAHTUMIEN SEURANTA KEHITYSEHDOTUSTEN KIRJAUS POIKKEAMIEN HALLINTA

Ohje luottamuksellista tietoa sisältävien sähköpostiviestien lähettämiseen ja vastaanottamiseen

Venäläisten matkailu Suomeen

SUOMEN PANKIN AJANKOHTAISIA ARTIKKELEITA TALOUDESTA

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

DPI (DEEP PACKET INSPECTION) By Sami Lehtinen

Tietoliikenteen, tietokoneiden, tietojärjestelmien sekä näihin kytkettyjen oheislaitteiden ja

Elinkeino-ohjelman painoalat

Opiskelijana Suomessa tai maailmalla

Venäjänverkkokaupan trendit FLYING LYNX Oy Myyntikanavaratkaisut yritysten kansainvälisiin myynteihin

TIETOPAKETTI EI -KYBERIHMISILLE

Pentti Mäkinen

Yrityksiin kohdistuvan ja niitä hyödyntävän rikollisuuden tilannekatsaus

Suomen turvallisuuskehityksestä ja sen vaikutuksista matkailuun. Keskiyön Savotta Kansliapäällikkö Ritva Viljanen Sisäasiainministeriö

FI Moninaisuudessaan yhtenäinen FI. Tarkistus. Lorenzo Fontana ENF-ryhmän puolesta

Ruplan heikkeneminen kesän alussa jarrutti positiivista kehitystä

Tilastotietoja pankkien maksujärjestelmistä Suomessa

Merikarvian matkailu ry tietosuojaseloste

Tuntematon uhka Mikä se on ja miten siltä suojaudutaan

Digitalisoituminen ja elinkeinorakenteiden muutos. Vihdin visiopäivä Matti Lehti

Tietosuojaseloste. Trimedia Oy

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

MARA-ALAN LIIKETOIMINNAN TIETOTURVALLISUUSUHAT

KASVAVAN KYBERTURVAMARKKINAN PELINTEKIJÄ

Kvalitatiivinen analyysi. Henri Huovinen, analyytikko Osakesäästäjien Keskusliitto ry

OmniCom Media Group Finland Miten ohjelmallinen ostaminen muuttaa median ja mainonnan liiketoimintaa (Mainonnan ostajan näkökulmasta).

Osallistumisaika alkaa ja päättyy Päättymisajan jälkeen vastaanotettuja vastauksia ei oteta huomioon.

Hyvä maksukokemus lisää myyntiä. Tee yhteistyösopimus johtavan maksuratkaisujen toimittajan kanssa.

SUOJAA JA HALLINNOI MOBIILILAITTEITASI. Freedome for Business

Piilotettu osaaminen. tunnistammeko kansainväliset osaajat

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

EK-SYL Kansainväliset koulutusmarkkinat, uhkia ja mahdollisuuksia Seminaari Helsinki. Kansainväliset koulutusmarkkinat

HARMAAN TALOUDEN JA TALOUSRIKOLLISUUDEN YHTEISKUNNALLISET VAIKUTUKSET. Kuntaliitto Rikoskomisario Kaj Björkqvist / KRP

Tietoturvan nykytila tietoturvaloukkausten näkökulmasta. Jussi Eronen Erityisasiantuntija CERT-FI

Verkkokauppa Pohjoismaissa Vuoden 2014 kolmas neljännes TEEMA:JOULUN VERKKOKAUPPA

Transkriptio:

KESKUSRIKOSPOLIISI TEEMATILANNEKUVA 1 (16) 3.4.2009 RTP 164/213/09 YRITYKSIIN KOHDISTUVAN RIKOLLISUUDEN TILANNEKUVA: TIETOTURVALLISUUS JA MAKSUTEKNOLOGIA Tiivistelmä...1 1. Teemakatsauksen tavoitteet ja sisältö...3 2. Europolin OCTA 2008: tietoverkko- ja maksurikollisuus vahvistuvia uhkia...3 3. Yritysten tietopääomaan kohdistuva uhka...4 4. Rikollisryhmien toimintamallit...6 5. Maksukorttirikollisuuden tila...7 5.1. Maksukorttirikollisuuden tekotavat ja toimijat...8 5.2. Maksukorttirikollisuudesta aiheutuvat menetykset...10 6. Lähitulevaisuuden uhkia...12 7. Keskeistä turvallisuuden kehittämiseksi...14 8. Lähdetahot ja lähteet...16 Tiivistelmä Euroopan unionin poliisivirasto Europol on todennut kansainvälisen järjestäytyneen maksukorttirikollisuuden, erityisesti tietoverkossa toimivan maksukorttirikollisuuden yhdeksi merkittävimmäksi ja vahvistuvaksi petosrikollisuuden uhaksi. Maksukorttirikollisuus on korkealuokkaista teknologiaa tehokkaasti hyödyntävää kansainvälistä järjestäytynyttä rikollisuutta. Vastaavasti tämän nopealiikkeisen kansainvälisen rikollisuuden torjumiseen on käytettävissä usein vain kansallisia tai alan rikollisuuteen nähden liian hitaita ja kankeita kansainvälisiä keinoja. Suomeen saapuneiden kansainvälisten maksukorttirikollisten toimintaa on viime aikoina torjuttu onnistuneesti ja heidän aiheuttamansa tappiot ovat jääneet vähäisiksi. Suomalaisten riski joutua maksukorttirikoksen uhriksi on suurin kun he matkailevat vanhempaa tekniikkaa käyttävissä maissa tai tekevät ostoksia Internetissä. Maksuväline- ja tietorikollisuuden toteuttamisessa hyödynnetään edelleen myös perinteisiä tekotapoja, kuten tietoa sisältävien/käsittelevien laitteiden anastamista, laitteiden heikkotasoista fyysistä suojausta sekä huoltoprosessien heikkoa valvontaa. Viime aikoina Suomessa toimineet ulkomaalaiset rikollisryhmät ovat asentaneet teknisesti poikkeuksellisen korkeatasoisia skimmauslaitteita pankkiautomaatteihin ja miehittämättömien huoltoasemien maksuautomaatteihin, ja ovat kopioineet maksukortteja. Sähköisessä muodossa olevan tiedon fyysiseen suojaamiseen, tiedon syöttämisen suojaamiseen, laitteiden ja tiedon käsittelyoikeuksiin sekä haavoittuvuuksien nopeaan korjaamiseen tulee kiinnittää erityistä huomiota. Lähes koko Euroopan kattavaan yhtenäiseen euromaksualueeseen eli SEPA-alueeseen (Single Euro Payments Area) siirtyminen muuttaa riskien luonnetta, kun kansalliset maksujärjestelmät poistuvat, ja niiden sijalle tulee SEPA-yhteensopiva järjestelmä, jolloin suomalainen korttidata toimii koko SEPAalueella. Suomesta tulee tällöin muiden Euroopan maiden tavoin houkutteleva maa korttirikollisten näkökulmasta. Toisaalta siirtyminen turvallisempaan siruteknologiaan pienentää maksukorttirikollisuuden mahdollisuuksia.

2 (16) Nopeasti etenevän maksukorttirikollisuuden torjunnan tehostamiseksi tulisi pikimmiten perustaa uusien poliisilaitosten vastuuhenkilöiden yhteistyöverkosto. Näin myös tutkintavastuut tulisivat selkeästi määritellyiksi. Yhteistyöstä ja tiedonvaihdosta myös elinkeinoelämän kanssa voidaan suurempien poliisilaitosten parempien erikoistumismahdollisuuksien ansiosta huolehtia entistä tehokkaammin myös paikallisesti. Maksukorttirikollisuuden torjunnassa tarvitaan jatkuvaa päivittäistä yhteistyötä finanssialan, kaupan ja eri maiden poliisiviranomaisten kesken. Sähköisten kassajärjestelmien korttitietojen suojaamiseen tulee kiinnittää erityistä huomiota. Haavoittuvimpien maksuteknologioiden käytöstä tulee luopua mahdollisimman nopeasti. Yksityistä turvallisuuspalvelutoimintaa koskevaa lainsäädäntöä valmisteltaessa tulee kiinnittää huomiota myös tieto- ja tietoverkkoturvallisuuden vaatimuksiin. Tämän hetkinen tietoturvallisuusmalli ei tue kohdistetuilta hyökkäyksiltä suojautumista. Huomio keskitetään helposti havaittaviin ja helposti torjuttaviin uhkiin, jolloin yrityksen tietopääoman kannalta todellista vahinkoa aiheuttava verkon avulla toteutettu yritysvakoilu jää usein havaitsematta. Yrityksissä on syytä hahmottaa, että tietoverkkouhat tulevat sekä yrityksen ulko- että sisäpuolelta. Kohdistetuilta hyökkäyksiltä suojautumisessa keskeistä on informaation kulun hallinta. Yrityksen tulee tuntea järjestelmiensä ja tiedonkäsittelykulttuurin todellinen tilanne, joka tulisi auditoida säännöllisesti. Yritysten tulisi investoida riittävästi muun muassa IT-infrastruktuuriin, tietoliikenteen ja sovelluskehityksen turvallisuuteen ja teknisiin tietoturvallisuuden auditointeihin, jotta tietojen turvallisuus pystyttäisiin takamaan. Yrityksille palvelunestohyökkäykset voivat aiheuttaa taloudellisia tappioita, vaikka palvelunestohyökkäys ei uhkaisikaan kohdeorganisaation tietopääoman luottamuksellisuutta. Siksi palvelut tulee entistä paremmin erottaa yrityksen muusta verkosta, jotta niiden lamauttaminen ei pysäytä kaikkea yrityksen toimintaa. Palvelujen ylläpitäjien tulee tulevaisuudessa varautua nykyistä paremmin ylikuormitustilanteisiin, jos palvelujen toiminnan jatkuvuus halutaan taata. Tahallisia tietoriskejä ehkäistään parhaiten arvioimalla työntekijöiden luotettavuus. Henkilöstön kouluttaminen ja riskeistä tiedottaminen vahvistavat tiedonkäsittelyn toimintatapojen turvallisuutta. Yrityksen tietoturvallisuutta koskevaa tilannetietoisuutta, tietoturvallisuusmenettelyjen käytännön toteutusta ja tietoturvallisuuskoulutusta tukevaa ohjeistusta ja aineistoa on syytä kehittää. Silti niin kauan kuin tietojärjestelmiä ei kehitetä turvallisiksi ja ihmiselle soveltuviksi, ihmisen mahdollisuus estää tietopääoman kaappaamista on väistämättä rajallinen. Uudet mobiilikäyttöympäristöt mahdollistavat erilaisia maksamismenettelyjä. Mobiiliympäristö muodostaa uudenlaisen riskin, jonka torjuntaan on syytä varautua huolellisesti. Koska monien mobiililaitteiden päivitettävyys ei ole muiden tietokoneiden tasolla, niissä ilmenevä haavoittuvuus saattaa mahdollistaa myös mobiilimaksamisen väärinkäytön. Viranomaisten toimintavaltuuksissa on puutteita, jotka hankaloittavat verkossa toteutettujen laajojen maksuvälineisiin ja muihin identiteetteihin kohdistuneiden rikosten tutkintaa. Usein vasta kaapatun tiedon väärinkäyttäminen täyttää sellaiset rikostunnusmerkistöt, jotka mahdollistavat teknisten tiedonhankintamenetelmien käytön. Esitutkintaviranomaiset eivät saa tietoonsa rikoksia tiedon keruuvaiheessa, jolloin tietotekninen jälki olisi vielä olemassa.

3 (16) 1. Teemakatsauksen tavoitteet ja sisältö Kevään 2009 tilannekuvan teemana on tietoturvallisuus ja maksuteknologia. Katsaukseen on koottu keskeisiä havaintoja tietoturvallisuuden ja nopeasti kehittyvän maksuteknologian vaikutuksista yritysten rikosturvallisuuteen. Sekä yritysten tietopääoman käsittely että maksuliikenne on siirtynyt sähköiseksi, vaikka käsittelyyn käytettävät järjestelmät eivät kaikilta osin tarjoa tiedolle riittävää suojaa. Ohjelmistoihin liittyvä tietoturvaongelma ei suoranaisesti johdu pelkästään ohjelmistoteollisuudesta: ohjelmistovalmistajilla ja palveluntarjoajilla ei ole kannustinta tuottaa parempaa ohjelmistolaatua ennen kuin asiakasyritykset todella tunnistavat ongelman, vaativat parempaa laatua ja ovat myös valmiita maksamaan siitä. Teemakatsauksen yhtenä tavoitteena on nostaa tämä ongelma esille. Teemakatsauksen lähteinä on käytetty lainvalvontaviranomaisilta saatuja tietoja sekä muun muassa keskusrikospoliisin Rikollisuuskatsaus- ja Rajat ylittävän rikollisuuden PTR-tilannekatsaus -raportteja. Lisäksi aineistoa on koottu yrityksiin kohdistuvan rikollisuuden tilannekuvatyötä varten muodostetun verkoston jäseniltä, jotka kokosivat aihepiiriin liittyvää tietoa sekä yleisesti että kysymysrungon pohjalta. Katsauksen tekstissä ei käytetä lähdeviitteitä, koska esiin tulleet asiat ovat yhteisiä monilla aloilla eivätkä yksilöidyt tietolähteet ole aineistoista riittävän yhdenmukaisesti tunnistettavissa. 2. Europolin OCTA 2008: tietoverkko- ja maksurikollisuus vahvistuvia uhkia Tietoverkossa ja sähköisessä maksukorttiliikenteessä toimivassa rajat ylittävässä järjestäytyneessä rikollisuudessa on ollut jo muutaman vuoden ajan käynnissä murrosvaihe. Merkittävänä tekijänä tässä ovat kiinnijäämisriskiä olennaisesti vähentävät uudet globaalit kommunikaatioväylät, jotka mahdollistavat rikoksen eri vaiheisiin erikoistuneiden rikollisten anonyymin kohtaamisen ja tuottavan yhteistyön. Euroopan unionin poliisivirasto Europol on järjestäytyneen rikollisuuden uhka-arviossaan OCTA 2008:ssa (Organised Crime Threat Assessment 2008) 1 todennut kansainvälisen järjestäytyneen maksukorttirikollisuuden, erityisesti tietoverkossa toimivan maksukorttirikollisuuden yhdeksi merkittävimmäksi ja vahvistuvaksi petosrikollisuuden uhaksi. Europolin OCTA 2008:ssa todetaan, että tätä nykyä maksukorttirikollisuus on korkealuokkaista teknologiaa tehokkaasti hyödyntävää kansainvälistä järjestäytynyttä rikollisuutta. Vastaavasti tämän nopealiikkeisen kansainvälisen rikollisuuden torjumiseen on käytettävissä usein vain kansallisia tai alan rikollisuuteen nähden liian hitaita ja kankeita kansainvälisiä keinoja. Erityisen vaarallisena uhkana OCTA 2008:ssa pidetään järjestäytyneen maksukorttirikollisuuden kykyä hyödyntää rikollisryhmien ulkopuolista ja korkealuokkaista teknistä asiantuntemusta esimerkiksi uusien ja entistä tehokkaampien haittaohjelmien tekemiseksi ja levittämiseksi. Haittaohjelmilla tehtävien tietorikoskokonaisuuksien toteuttamiseksi tarvitaan monenlaista kehittynyttä ja ammattitaitoista osaamista rikoksen eri vaiheissa. Tiedon kaappaamiseen käytettävien korkealuokkaisten työkalujen valmistamiseen tarvitaan syvällistä, usein ulkopuolista tietotekniikan asiantuntemusta, mutta varastetun tiedon, kuten esimerkiksi maksukorttien sisältämän datan käsittelyyn pystyvät perinteiset maksuvälinerikolliset, joilla on osaamista ja suhdeverkostot tietojen rahaksi muuttamiseksi. Internetissä levitettävien haittaohjelmien avulla maksukorttirikolliset voivat anastaa suuria määriä rahaksi muutettavia luottokorttitietoja ja verkkopankkitunnuksia vähäisellä kiinnijäämisriskillä. Europolin uhka-arviossa todetaan, että erityisesti Romanian ja Bulgarian järjestäytynyt rikollisuus on erikoistunut suurimittaiseen ja korkealuokkaista teknologiaa hyödyntävään kansainväliseen maksukorttirikollisuuteen. Kaapattua korttidataa hankitaan yhä yleisemmin alamaailman kauppapaikoista, joissa erikoistuneet rikolliset niitä myyvät. 1 http://www.europol.europa.eu/publications/european_organised_crime_threat_assessment_(octa)/octa2008.pdf

4 (16) 3. Yritysten tietopääomaan kohdistuva uhka Tieto on tänä päivänä suurelle osalle yrityksistä tärkein pääoma ja kilpailukykytekijä. Niinpä siitä ovat kiinnostuneet myös kilpailijat sekä tietoverkossa toimivat palkkiometsästäjät. Verkossa rikoksen toteuttamisen kynnys on usein alhainen, kiinnijäämisriski on pieni ja toteutus on usein helppoa ja halpaa. Yrityksissä tulisi tuntea tietoturvallisuusriskit ja -tilanne nykyistä paremmin. Jos tietopääomaan kohdistuvaa uhkaa ei ymmärretä konkreettisesti, suojautuminenkaan ei ole tehokasta. Nykyinen tietoturvallisuusmalli ei tue tahallisilta tietorikoksilta suojautumista. Vaikka yritysten palvelimet olisi rakennettu huolella turvallisiksi, tietoa käsitellään toimistoympäristöissä, jotka ovat aivan liian haavoittuvia. Koska nykyisten käytäntöjen mukaisesti toteutettu ympäristö ei itsessään tarjoa riittävää suojaa yrityksen tietopääomalle, tilannetta yritetään paikata erilaisilla hätäratkaisuilla. Yleensä hyvät ylläpitotavat kannustavat havaitsemaan tietoturvallisuuspoikkeamia automaattisilla seurantajärjestelmillä. Kohdistettua tietokaappausta ei kuitenkaan tehdä tunnetulla hyökkäyssormenjäljellä, vaan normaalia käyttöä mukaillen. Niinpä seurantajärjestelmät eivät lähtökohtaisesti kykene tunnistamaan kohdistettua tietokaappausta. Ympäristön haavoittuvuutta paikataan myös käyttäjille asetetuilla vaatimuksilla ja ohjeilla. Niidenkin tehokkuus on kyseenalainen. Yrityksestä rikollisryhmän palvelukseen värvätty työntekijä tuskin jättää tietokaappauksen toteuttamatta ohjeistuksen takia. Sen sijaan ohjeet voivat vähentää yleistä työn tuottavuutta yrityksessä, jos ne asettavat työntekijöille vaatimuksia, jotka ovat ristiriidassa ihmisen luontaisen käyttäytymisen kanssa. Lopputuloksena voi olla turvaton käyttöympäristö, joka vähentää yrityksen toiminnan tuloksellisuutta. Toimintaympäristön haavoittuvuuteen pitäisikin kiinnittää enemmän huomiota yrityksissä. Operatiivisessa tietoturvallisuustyössä huomio kohdistetaan yleensä helposti havaittaviin ja helposti torjuttaviin hyökkäyksiin. Tällöin yrityksen tietopääomaa uhkaavat kohdistetut hyökkäykset jäävät käytännössä havaitsematta. Tilanne tulee esiin vuonna 2008 Keskuskauppakamarin ja Helsingin seudun kauppakamarin tekemässä selvityksessä: selvitykseen vastanneista 1 286 yrityksestä lähes joka kymmenes (9 %) oli joutunut yritysvakoilun kohteeksi, yleensä pienet useammin kuin suuret. Joka seitsemännessä yrityksessä (14 %) ei osattu sanoa, oliko yritykseen kohdistunut luvatonta urkintaa tai vakoilua. Noin neljänneksessä yrityksiä oli havaittu, että ulkopuolinen oli luvattomasti yrittänyt päästä yrityksen tietoverkkoon; suurista yhtiöistä lähes joka toisessa oli havaittu tällainen yritys. 2 Edellä esitettyjä vastauksia tarkasteltaessa on huomattava, että epätietoisuus ei tässä ilman muuta merkitse huonoa turvallisuusprosessia. Se voi merkitä myös varsin realistista lähestymistapaa. Vain pienellä osalla yrityksistä on aidosti edellytyksiä havaita verkon kautta tehtävää ammattimaista kohdennettua hyökkäystä. Tietoturvallisuuden huomattaviin haasteisiin kuuluu tiedonkopioinnin ehkäiseminen työsuhteen päättyessä. Kymmenesosassa edellä mainittuun kyselyyn vastanneista yrityksistä oli poislähtevä työntekijä kopioinut luvatta tietoja. Ongelma on yleisempi suurissa yrityksissä. Luvaton tietojen kopiointi ei välttämättä tule yritysten tietoon, ja yrityksistä viidenneksessä oltiin epätietoisia tietojen luvattomasta kopioinnista. 3 Tietotekniikkarikosten määrän kehityksestä ei ole saatavissa ajankohtaista rikostilastotietoa, koska rikostilastot tehdään rikosnimikkeittäin. Useat monikansalliset yritykset keräävät ja kokoavat pääasiassa kyselytutkimuksiin perustuvia arvioita rikosvahingoista. Arvioituihin loppusummiin on syytä suhtautua varauksellisesti, elleivät keruuprosessi ja vastaajien intressit ole tarkasti tiedossa. 2 Yritysten rikosturvallisuus 2008: Riskit ja niiden hallinta. 2008. Keskuskauppakamari ja Helsingin seudun kauppakamari. 3 Sama.

5 (16) Suuret alan konsulttiyritykset ja tietoturvallisuusteollisuus julkaisevat vuosittain arvioita yritysvakoilun määrästä. Kaikki arviot perustuvat kuitenkin joko haastattelututkimuksiin tai automaattisesti tunnistettujen vakoilutyökalujen lukumäärään. Arvioita ei voida pitää edes suuntaa-antavina, koska ne mittaavat vain havaittuja yritysvakoilutapauksia. Suomessakin vain pienellä osalla yrityksiä tai julkishallinnon organisaatioita on edes jonkinlaisia edellytyksiä havaita verkon kautta tehtävää ammattimaista kohdennettua hyökkäystä. Ilmiötasolla voidaan kuitenkin nähdä selviä trendejä. Muutamia vuosia sitten alkoi entistä suuremmassa mitassa tulla ilmi kohdistettuja tietoverkkohyökkäyksiä, jotka tehdään jonkin tietyn yrityksen hallitseman tiedon kaappaamiseksi. Uutta ei ole ilmiön olemassaolo, vaan sen muuttuminen näkyväksi. Kohdistettuja hyökkäyksiä koskevien havaintojen lisääntymisen taustalla on todennäköisesti sekä tunnistusmetodologian ja ilmoitusaktiivisuuden kehitys että tapausten määrän voimakas kasvu. Tietojenkäsittelytieteellinen tutkimus ja tietoturvallisuusteollisuuden kehitystyö on viime aikoina parantanut edellytyksiä havaita potentiaalisia hyökkäystyökaluja niiden aiheuttaman verkkoliikenteen tai muun käyttäytymisen perusteella, eikä ainoastaan ohjelmasta lasketun tarkistussumman avulla. Toisaalta tapaukset ovat myös merkittävästi lisääntyneet, koska alamaailman verkottuminen on yhdistänyt hyökkäystyökalujen valmistajat sekä niistä kiinnostuneet käyttäjät. Henkilötietojen kaappaus satunnaisilta kotikoneilta on edellyttänyt huomattavaa hyökkäysohjelmistojen kehitystyötä. Samat työkalut on nyt pienin muutoksin voitu ottaa käyttöön myös yritysvakoilun kaltaisten tiettyyn uhriin kohdistettujen rikosten toteuttamisessa. Tietokaappauksesta onkin tullut osin sarjatuotantoa. Aikaisemmin kohdistetut hyökkäykset edellyttivät varsin suurta teknistä taitoa sekä ennakkotiedustelun että varsinaisen iskun toteuttamiseksi. Nykyisin tietokaappaukseen tarvittavan teknologian rikolliset voivat vuokrata palveluna. Kohdistetut hyökkäykset tehdään pääsääntöisesti lähettämällä kohdeorganisaatioon haittaohjelma, jonka joku organisaation työntekijöistä käynnistää omilla oikeuksillaan ja haavoittuvalla, päivittämättömällä toimisto-ohjelmistolla. Haittaohjelma kykenee keräämään rikollisten haltuun kaiken sellaisen tiedon, jota koneen käyttäjä käsittelee koneella tai johon pääsee käyttäjän käyttöoikeuksilla. Kohdistetun hyökkäyksen tekijän tavoitteena on 1. viedä haittaohjelma kohdeorganisaatioon kenenkään havaitsematta 2. saada joku aktivoimaan haittaohjelma, jotta se pystyy keräämään halutun tiedon, sekä 3. saada kerätty tieto ulos kohdeorganisaatiosta kenenkään havaitsematta. Kohdan 1 toteuttaminen ei ole erityisen vaikeaa. Palomuurien ohi pääsee esimerkiksi lähettämällä sähköpostia tai houkuttelemalla jokin yrityksen työntekijöistä www-sivulle, jolla haittaohjelma sijaitsee. Torjunnan ongelmana on se, että palomuuri ei saa häiritä liiketoimintaa seulomalla liian voimakkaasti sähköposti- ja www-liikennettä. Virustorjunnastakaan ei ole juuri apua. Virustorjuntaohjelmistot kykenevät tuoreen mittaustuloksen mukaan tunnistamaan ja torjumaan vain 25 30% liikenteessä olevista uusista haittaohjelmista. Havaituissa hyökkäyksissä on käytetty säännönmukaisesti PDF-dokumenttien lukuohjelmien tai Microsoft Office (Word, Excel, PowerPoint) -ohjelmien haavoittuvuuksia, sillä toimistodokumenttien voi aina olettaa menevän perille ja vastaanottajan voi olettaa avaavan ne. Jos vastaanottajan käyttämä toimisto-ohjelmisto on päivittämätön ja haavoittuva, pelkkä dokumentin avaaminen riittää aktivoimaan haittaohjelman. Rikollisilla on melko realistinen käsitys yritysten ohjelmistoylläpidon laadusta ja ajantasaisuudesta.

6 (16) Vaikein vaihe on tiedon saaminen ulos organisaatiosta kenenkään havaitsematta, eikä sekään ole tällä hetkellä erityisen vaikeaa. Nykyinen organisaatioiden ylläpitokäytäntö on niin keskittynyt torjumaan ulkoa sisälle tulevia uhkia, ettei kiinnitä riittävästi huomiota sisältä ulos kulkevaan tietopääomaan. Kohdistetuille hyökkäyksille on ominaista, että rikosta edeltää huolellinen tiedustelutyö kohdeorganisaatiossa. Viestejä ei lähetetä massoittain, kuten satunnaisesti suunnattavia haittaohjelmia, vaan muutamalle avainhenkilölle, jotta mikään automaattinen työkalu ei havaitsisi poikkeamaa. Työntekijän houkutteluun taas käytetään järkevältä ja aidolta kuulostavia peitetarinoita, jotka lähetetään esimerkiksi merkittävän asiakkaan nimissä. Siten organisaation työntekijöille annettu tietoturvallisuusohje olla avaamatta epämääräisten viestien liitteitä ei auta tässä. Kohdistettuja tietokaappauksia ei enää tehdä epämääräisillä viesteillä. Varsinaisten tietokaappausten lisäksi myös palvelunestohyökkäykset voivat aiheuttaa kohdeyritykselle taloudellisia tappioita, vaikka palvelunestohyökkäys ei uhkaakaan kohdeorganisaation tietopääoman luottamuksellisuutta. Siksi palvelut tulee entistä paremmin erottaa yrityksen muusta verkosta, jotta niiden lamauttaminen ei vaikuttaisi yrityksen muun toiminnan jatkuvuuteen. Palvelujen ylläpitäjien tulee tulevaisuudessa myös varautua nykyistä paremmin ylikuormitustilanteisiin, jos palvelujen toiminnan jatkuvuus halutaan taata. 4. Rikollisryhmien toimintamallit Systemaattisen ja järjestäytyneen verkkorikollisuuden tavoittelema kohde on mikä tahansa verkon koneilta saatava tieto, jota voidaan tunnistaa ja kerätä automaattisesti ja jolla voidaan ennen kaikkea ansaita runsaasti pienellä riskillä. Määrällisesti ylivoimaisesti suurin tietoverkossa toimivia rikollisia kiinnostava kohde on maksuvälineisiin tai henkilöllisyyksiin liittyvä tieto. Aiemmin kohteena olivat lähinnä luottokorttinumerot, joita saattoi kaapata jopa miljoonia kerrallaan puutteellisesti ylläpidettyjen verkkokauppojen tietokannoista siitä huolimatta, ettei luottokorttinumeroita olisi edes luottokorttisopimusten puitteissa saanut säilyttää. Tietoverkkorikollisuudessa tietojen kaappaustavat ovat muuttuneet suuresti. Aiemmin tietoa varastettiin joko huonosti suojatuista verkkokaupan luottokorttitietokannoista tai kysyttiin uhrilta phishing - menetelmäksi eli tietojen kalasteluksi kutsutuilla huijauksilla. Koska rahanarvoista tietoa sisältävien tietokantojen suojaukset ovat PCI-standardin (Payment Card Industry) myötä parantuneet olennaisesti ja valistus huijauksista on alkanut tehota, entisten keinojen käyttökelpoisuus on merkittävästi vähentynyt. Kehitys näyttäisi kulkevan siihen suuntaan, että tieto kaapataan haavoittuvasta asiakaspäästä käyttäjän verkkoasioinnin yhteydessä haittaohjelmalla. Nyt potentiaalinen uhri on mikä tahansa suojaamaton, päivittämätön ja haavoittuva kotitietokone. Samalla kerättävän tiedon laatu on moninaistunut suuresti. Verkossa asioivan kotikäyttäjän kotikoneelta voidaan kaapata mitä tahansa tietoa, jota työaseman käyttäjä tietokoneellaan käsittelee. Tyypillisiä kohteita ovat luottokorttinumeroiden lisäksi henkilötiedot, kuten nimi- ja osoitetiedot. Tiedon keräämisen lisäksi uudet haittaohjelmat tukevat yhteyksien kaappaamista, jolloin rikollinen voi syöttää verkkoasioinnin yhteydessä asiakkaan maksettavaksi ylimääräisen laskun ilman, että käyttäjällä on mitään edellytyksiä sitä havaita. Tällä hetkellä verkon tietorikosten rahavirrat kulkevat merkittävissä määrin muun muassa muutamiin entisen Neuvostoliiton alueen maihin, joissa vastaanottajan selvittäminen on osoittautunut hyvin hankalaksi.

7 (16) Kansainvälisesti tunnistetuilla tieto- ja maksuvälinerikoksiin erikoistuneilla ryhmillä on sekä tiukan hierarkkisia että hyvin löyhiä organisaatiomalleja. Hierarkkisesti järjestäytyneissä ryhmissä vallitsee selvä työnjako ja käskyketju. Löyhän mallin verkostoissa taas erilaisia rikoksen toteuttamiseen tarvittavia asiantuntijapalveluita ostetaan alihankkijoilta ja kaapattu tieto myydään edelleen seuraavalle käsittelijärenkaalle. Tekoon osallistuvat rikolliset kohtaavat usein vain verkossa ja valuuttana käytetään maksuvälineitä, joita ei voi liittää transaktion osapuoliin. Tyypillinen valuutta onkin joukko varastettuja luottokorttinumeroita, jotka ovat itsessään verkon alamaailman maksuväline. Anonyymi verkostoituminen on mahdollista, sillä verkossa on alamaailman omia verkkokauppoja, joilla eri alojen toimijat voivat myydä ja vaihtaa myyntiartikkeleitaan varastettua tietoa tai palveluitaan. Rikostutkintaan päätyneissä tapauksissa verkkokaupassa on ollut myytävänä sähköisten maksuvälineiden lisäksi myös sähköisiä henkilötietoja tai henkilötietojen nimiin väärennettyjä fyysisiä matkustusasiakirjoja: yhtälailla passeja kuin matkalippujakin. Yhdysvaltojen ja Kanadan osavaltioiden väärennettyjä ajokortteja sekä suuryritysten kulkulupia on myös ollut laajalti kaupan. Alamaailman verkkokaupoissa myytävä tieto on aitoa. Tieto on kaapattu uhrien työasemilta joko uhrien verkkoasioinnin yhteydessä tai petollisesti kysymällä itse uhrilta. Varastetuilla luottokorttinumeroilla tilattavia lentolippuja myydään edelleen myös alamaailman muille toimijoille halvalla, esimerkiksi ihmissalakuljetusta harjoittaville rikollisryhmille. Markkinointiin käytetään roskapostitusta, jota varten alamaailman verkkokaupoista rikolliset voivat edullisesti vuokrata käyttöönsä bot-verkon. Bot-verkko ( robottiverkko, botnet ) on sadoista, jopa tuhansista kaapatuista kotitietokoneista muodostettu rikollisen etäohjaama verkko, jota voi käyttää rikosten toteuttamiseen verkossa anonyymisti ja rikollisen näkökulmasta ilmaiseksi. Aivan uusi ilmiö on haittaohjelmien tarjoaminen palveluna samankaltaisella mallilla, jota käytetään yritysten välisestä ohjelmistovuokrauksesta ja räätälöityjen ohjelmistojen tuotannossa. Eräät haittaohjelmatuotantoon erikoistuneet rikollisryhmät tarjoavat haittaohjelmapalvelua, joka toimii ennalta sovitun ajan vuokraajan haluamilla määrittelyillä. Rikollisryhmät voivat korvausta vastaan hoitaa myös haittaohjelman levityksen ja bot-verkon hallinnan. 5. Maksukorttirikollisuuden tila Maksukorttirikollisuus on osoittautunut rikollisille erittäin houkuttelevaksi alaksi, jonka on arvioitu lisääntyvän lähitulevaisuudessa tuntuvasti. Alhaisen kiinnijäämisriskin ja onnistuttaessa huomattavien hyötymismahdollisuuksien vuoksi maksukorttirikollisuuden toimijat kuuluvat lähes poikkeuksetta organisoituihin rikollisryhmiin. Maksukorttirikollisuus on maksuvälinerikollisuuden vakavin ja laajin ilmiökokonaisuus. Maksukorteiksi luetaan luottokortit, maksuaikakortit, pankkikortit, käteisautomaattikortit ja debit-kortit. Rikollisia kiinnostavat nimenomaan maksukorttien sisältämät tiedot. Korttidataa rikolliset hankkivat muun muassa Internetissä levitettävillä räätälöidyillä haittaohjelmilla tai maksukorttiautomaatteja manipuloimalla. Saamalla haltuun maksukorttidataa tai korttinumeroita rikolliset voivat valmistaa väärennettyjä luottokortteja, joilla voidaan tehdä ostoksia tai käteisnostoja. Pelkkää korttinumeroa voidaan hyväksikäyttää esimerkiksi Internetin verkkokaupoissa tai online-pelisivustoilla. Maksukorttirikollisuudessa hyötymismekanismina on maksukorteilla olevan maksuliikennettä ja korttien identiteettiä yksilöivän datan hankkiminen ja väärinkäyttö. Maksukortithan ovat maksuvälineitä, jotka perustuvat siihen, että jokainen kortti voidaan yksilöidä sähköisen maksamisen välineenä kortin yksilöllisen korttinumeron avulla. Korttinumero on usein painettu maksukortin etupuolelle, mutta oleellista maksutapahtuman kannalta on, että se on luettavassa muodossa myös kortin magneettinauhalla tai sirulla. Kortilla tehdyt ostokset tai käteisnostot velottavat joko korttiin liitettyä pankki- tai luottotiliä.

8 (16) Järjestäytyneen maksukorttirikollisuuden ymmärtämisessä, analysoimisessa ja torjunnassa on tärkeätä ottaa huomioon ilmiön kansainvälinen, rajat ylittävä luonne. Luottokortit ovat kansainvälisiä maksuvälineitä, jotka on kehitetty sitä varten, että korttien haltijat voisivat käyttää niitä maksuvälineinä lähes missä tahansa. Usein luottokorttia käytetään pääasiallisena maksuvälineenä esimerkiksi ulkomaille suuntautuvilla matkoilla. Tällöin jokaiseen korttiostokseen liittyvä korttidata kulkee usean valtionrajan yli. Maksukorttirikolliset käyttävät hyväkseen kansallisen viranomaistoiminnan hitautta ja lainsäädäntöjen eroja: maksukorttidata kiertää maapallon muutamassa sekunnissa, mutta jälkikäteen ilmitulleen maksukorttirikoksen kansallisessa tutkinnassa tarvittavat tiedot ovat usein pankkisalaisuuden piirissä, ja niiden saaminen toisesta maasta edellyttää usein vähintäänkin oikeusapupyyntöä. 5.1. Maksukorttirikollisuuden tekotavat ja toimijat Kansainvälistä maksukorttirikollisuutta harjoitetaan lähinnä kortteja kopioimalla ja haittaohjelmia käyttämällä. Maksukorttirikollisuus voi hyödyntää kaikkia kolmea maksutietojen välittämisessä nykyisin käytettävää järjestelmää: 1) korttiin kohokirjaimin painettua maksukortin numeroa ja käyttäjän nimeä, 2) magneettiraitaa, joka sisältää ostotapahtumaa välittävän korttidatan ja 3) luottokorttien mikrosirua. Jos rikollisilla on käytössään ainoastaan maksukortin numero, he voivat käyttää sitä lähinnä ostosten tekemiseen Internetissä. Kortin numeroa hyödyntävän järjestelmällisen rikollisuuden jäljet johtavat usein Länsi-Afrikkaan. Korttinumeroita kalastellaan haittaohjelmilla, ja haltuun saadut numerot myydään esimerkiksi korttirikollisten käyttämillä Usenet -keskustelupalstoilla. Huijarit ostavat varastettuja korttitietoja ja tilaavat niillä tavaraa etenkin yhdysvaltalaisista verkkokaupoista. Ostetut tavarat tilataan yleensä bulvaanin osoitteeseen, ja bulvaani lähettää tilatut tavarat edelleen toimeksiantajalle. Maailmassa on maita, joissa haittaohjelmien kirjoittaminen on laillista tai muista syistä yleistä. Haittaohjelmia voidaan välittää esimerkiksi sähköpostin liitetiedostoina, joita ihmiset avaavat ja tietämättään näin päästävät haittaohjelman tietokoneeseensa, jos koneessa on päivittämättömiä haavoittuvia ohjelmia. Haittaohjelma kerää koneesta tiedon minkä se on ohjelmoitu keräämään; esimerkiksi luottokortin numeron käyttäjän tehdessä ostoksia verkkokaupassa. Anastettuja luottokorttinumeroita tai muita rahaliikenteeseen käytettäviä luottamuksellisia tietoja kuten esimerkiksi verkkopankkitunnuksia jälleenmyydään laittomilla internetsivuilla. Kyse on suurimittaisesta rikollisesta toiminnasta. Syksyllä 2008 ilmestynyt tietoturvallisuusyhtiö Symantecin raportti alamaailman taloudesta (Symantec Report On The Underground Economy) kertoo, että Internetissä myynnissä olevan luottokorttidatan arvo (rikoshyötynä/haittana mitattuna) on varovaisestikin arvioiden noin 5,3 miljardia Yhdysvaltain dollaria. Lukuun ei ole laskettu esimerkiksi luottokorttien uusimisen tuottamia kustannuksia. Esimerkiksi sirullisen luottokortin jouduttua väärinkäytön kohteeksi sen uusiminen maksaa pankille noin 10 euroa kortilta. Tämän lisäksi pankille koituu kortin uusimisesta ja postittamisesta asiakkaalle muitakin juoksevia kuluja. Maksukortin magneettiraitaa voidaan käyttää rikollisesti joko ostosten tai käteisnostojen tekemiseen. Magneettinauhoilla olevaa korttidataa hankkiakseen korttirikoksiin erikoistuneet ryhmät asentavat pankkiautomaatteihin ja muihin maksukorttiautomaatteihin niin sanottuja skimmauslaitteita. Juuri tämänkaltaisia rikollisryhmiä on Suomessakin tavattu viime vuosina, viimeisimmät vuoden 2009 alussa. Skimmaus tulee englanninkielen sanasta skimming, joka viittaa luottokortin magneettinauhan kopioimiseen ja siihen, että kortinlukijan lukupää liukuu pitkin magneettinauhaa lukiessaan nauhalla ole-

9 (16) vaa korttidataa. Rikolliset asentavat skimmauslaitteita etenkin vilkkailla paikoilla oleviin käteisautomaatteihin tai miehittämättömien polttoainejakelupisteiden maksukorttiautomaatteihin. Skimmauslaitteilla rikolliset pyrkivät saamaan haltuun asiakkaiden luottokorttien magneettijuovatiedon ja tunnusluvun. Skimmauslaitteiden suunnittelu ja valmistus on ammattimaista ja lähes teollista toimintaa Itä- ja Kaakkois-Euroopassa. Etenkin Romanian ja Bulgarian järjestäytyneiden rikollisryhmien jäseniä tulee jatkuvasti esiin sarjamaisten korttikopiointirikosten tutkinnassa Euroopassa. Skimmauslaitteiden valmistaja on usein eri henkilö kuin se, joka laitteita käyttää. Laitteiden valmistajat ja käyttäjät eivät usein myöskään tunne toisiaan. Kiinnijäämisriskin pienentämiseksi korttirikollisten organisaatioissa onkin yleensä selkeä ennalta määrätty työnjako; skimmauslaitteiden valmistus, niiden käyttö ulkomailla ja rikoksella haltuun saadun korttidatan sähköinen lähettäminen ja siirtäminen väärennettyihin eli kloonikortteihin sekä edelleen kloonikorttien tekeminen, niiden käyttäminen käteisen rahan nostamisessa ja rahojen kuljettaminen maasta toiseen on jaettu eri ihmisten tehtäväksi. Laillisen yritystoiminnan piiristä opitut riskien hajauttamisen periaatteet toimivat myös rikollismaailmassa. Tarvittavat asiantuntijapalvelut ostetaan vapailta markkinoilta. Internetin, Usenetin ja IRCpalvelujen mahdollistama korttirikollisten maailmanlaajuinen verkostoituminen tekee korttirikollisuudesta kansallisvaltioiden rajat ylittävää ja tehokasta laitonta taloudellista toimintaa. Korttirikollisten välistä kauppatavaraa on nimenomaan korttidata. Esimerkiksi skimmausta harjoittavat rikollisryhmät lähettävät anastamansa korttidatan usein saman tien sähköpostilla tai tekstiviesteillä eteenpäin, ja sitä hyödynnetään ennen kuin luottolaitokset ehtivät deaktivoida kortit. Korttidatan haltuun saamiseen räätälöityjen haittaohjelmien ja skimmaustapausten määrä on viime vuosina kasvanut voimakkaasti. Tietoturvallisuusyritys McAfeen mukaan verkossa havaittujen haittaohjelmien määrä kymmenkertaistui vuosina 2006-08. Vuonna 2006 McAfee havaitsi noin 78 000 haittaohjelmahyökkäystä, ja vuoden 2008 määräksi ennustettiin 800 000. F-Secure Oyj puolestaan loi vuonna 2008 peräti miljoona uutta tunnistetta havaituille haittaohjelmille. Tällä haavaa mikrosirullista maksukorttia on vaikea väärinkäyttää. Käytännössä siru on pieni mikroprosessori, jota on lähes mahdotonta kopioida. On kuitenkin ennustettavissa, että kortti kerrallaan tapahtuvasta kopioinnista siirrytään sirumaksupäätteiden manipulointiin. Sirumaksamisen riskit liittyvätkin paljolti sirumaksupäätteisiin. Sirukortit noudattavat kansainvälisten luottoyhtiöiden (Europay, MasterCard ja Visa) kehittämää ja nimeämää EMV-standardia, joka on yleisesti käytössä Euroopan käteisautomaateissa ja määrittelee luottokorttien aitouden todentavat parametrit. Standardin vuoksi itse kortin sirua on vaikea käyttää väärin. Sirukorttien käyttöön tarkoitettuja sirumaksupäätteitä on kuitenkin erilaatuisia, tietynlaiset sirumaksupäätteet ovat osoittautuneet turvallisuutensa puolesta heikoiksi, toiset turvallisiksi. Länsi-Euroopassa on tullut ilmi tapauksia, joissa korttirikolliset ovat asentaneet yhteen tietyn tyyppiseen sirumaksupäätteeseen korttidatan tallentavia vakoilulaitteita. Sirumaksupäätteiden laitemalleja on jo Suomessakin sertifioitu useita kymmeniä. Suomessa sertifioidut mallit ovat pääosin turvallisia. Jotkut Euroopan maista ovat jo siirtyneet täysin siruaikaan (mm. Iso-Britannia), toiset vain osittain. Suomessa sirumaksuihin on siirrytty käteisautomaattien osalta, mutta vähittäiskauppa käyttää edelleen laajasti magneettinauhatekniikkaa ostotapahtuman välittämiseen. Monissa Euroopan maissa, esimerkiksi Romaniassa ja Italiassa käytetään edelleen lähes pelkästään vanhaa ja helposti kopioitavaa magneettinauhatekniikkaa. Kansainväliset luottolaitokset ovat myös luoneet niin kutsutun PCI-standardin (Payment Card Industry), jonka mukaan maksupäätteiden välillä kulkevan dataliikenteen tulee olla tietyin kriteerein kryptattua, eikä korttitietoja saa tallentaa välipalvelimelle. Kaupat joutuvat tallentamaan maksukorttidataa

10 (16) välipalvelimille muun muassa takuuehtojen vuoksi. Yhdellä ainoalla välipalvelimella saattaa olla kymmenien tuhansien asiakkaiden maksukorttitiedot. PCI-standardi on tärkeä etenkin välipalvelinvarkauksien vuoksi. Mikäli välipalvelimien varastoima maksukorttidata ei noudata PCI-stardardia, voi se aiheuttaa kaupalle erittäin suurimittaiset tappiot. PCI-standardi on parantanut merkittävästi maksukorttiasioinnin turvallisuutta luomalla kauppiaille aidon kannustimen parantaa järjestelmiensä turvallisuutta. Luottokorttiyhtiöiden käyttöehtojen mukaan tietorikoksesta aiheutuvat kustannukset ovat kauppiaan vastuulla, ellei kauppiaan järjestelmä täytä PCI:n vaatimuksia. PCI:täkin jouduttaneen lähitulevaisuudessa kehittämään. Vuoden 2008 lopussa rikolliset kaappasivat ilmeisesti jopa yli 100 miljoonan credit- ja debit-kortin korttidatan murtautumalla yhdysvaltalaisen maksuvälittäjän Heartland Payment Servicesin järjestelmiin. Tilanteen tekee kiintoisaksi se, että Heartland Payment Service oli PCI-auditointimenettelyn loppusuoralla. 5.2. Maksukorttirikollisuudesta aiheutuvat menetykset Maksukortit jakaantuvat kansallisiin ja kansainvälisiin kortteihin. Kansallisia maksukortteja voi käyttää vain kortin kotimaassa ja kansainvälisiä kortteja lähes kaikkialla. Kansallisia kortteja ovat Suomessa tyypillisimmin pankkikortit. Niitä ei voi käyttää - eikä siten myöskään väärinkäyttää - ulkomailla. Pankkien jakamat kansainväliset maksukortit toimivat useissa maissa, joten niitä voi myös väärinkäyttää ulkomailla. Näin ollen osa maksukortteihin kohdistuvista väärinkäytöstappioista aiheutetaan kotimaassa ja osa ulkomailla. Pankkien korteilla tuotetut väärinkäytöstappiot ovat viime vuosina kasvaneet. Tämä johtuu pääosin käteisellä maksamisen vähenemisestä, maksukorttien määrän merkittävästä noususta ja ulkomaanmatkailun vilkastumisesta. Suomessakin kansainvälisten maksukorttien määrä on voimakkaassa kasvussa myös täkäläisten vähittäiskauppaketjujen ryhdyttyä liittämään asiakaskortteihinsa Visa- tai MasterCard -ominaisuuksia. Ulkomailla matkaillessaan Suomen kansalaiset altistuvat muiden tavoin kansainväliselle ammattimaiselle maksukorttirikollisuudelle. Varovaisenkin arvion mukaan maksukorttirikollisuus aiheuttaa Euroopan unionin alueella yli miljardin euron tappiot vuosittain. EU-maiden kansalaisten ja rahoituslaitosten kokonaistappioita on vaikea tietää tarkasti, koska merkittävä osa maksukorttirikollisuudesta on piilorikollisuutta. Esimerkiksi käteisautomaatteja hallinnoivien tahojen perustama järjestö EAST (European ATM Security Team) ilmoittaa pelkästään käteisautomaatteihin kohdistuvan järjestäytyneen rikollisuuden aiheuttamiksi tappioiksi noin 425 miljoonaa euroa vuosittain. Sen lisäksi tappioita tulee muistakin korttirikollisuuden muodoista. Ilmiön kokoluokkaa kuvaa myös se, että Iso-Britanniassa myönnettyihin maksukortteihin liittyvät kokonaistappiot olivat vuonna 2007 yhteensä noin 535 miljoonaa puntaa (noin 590 milj. euroa). Maksukortteihin liittyvät rikosvahingot näyttävät koituvan yhä suuremmassa määrin korttien kotimaiden ulkopuolella tehdyistä transaktioista. Esimerkiksi Iso-Britannian korttiväärinkäytöstappiot kotimaassa kääntyivät vuosien 2004-2007 aikana laskuun; vuoden 2004 noin 412 miljoonasta punnasta vuoden 2007 327 miljoonaan puntaan. Samaan aikaan sikäläisillä korteilla aiheutetut väärinkäytöstappiot Iso-Britannian ulkopuolella nousivat 92 miljoonasta punnasta 207 miljoonaan puntaan. Tämä johtui lähinnä sirumaksujärjestelmän ottamisesta käyttöön Britanniassa. Magneettiraitakorttiin verrattuna sirukortilla maksaminen on turvallista ja sirukortin väärinkäyttö on vielä vaikeaa. Sirukorteissa on kuitenkin korttidata myös magneettiraidalla ulkomaista käyttöä varten. Tämän vuoksi väärinkäytösmahdollisuus ei ole poistunut mutta kylläkin siirtynyt Iso- Britannian ulkopuolelle.

11 (16) Suomessa on vielä säästytty maksukorttirikollisuuden aiheuttamilta merkittäviltä taloudellisilta tappioilta. Esimerkiksi vuonna 2008 käteisautomaatteihin kohdistuva järjestäytynyt rikollisuus ei aiheuttanut juuri tappiota Suomessa. Tämä johtui siitä, että poliisin onnistui saamaan Suomessa käteisautomaattien parissa operoineen ulkomaisen järjestäytyneen rikollisryhmän kiinni verekseltään. Tarkasteltaessa sekä ulkomailla tapahtuneita suomalaisten korttien väärinkäytöksiä että Suomessa tapahtuvan tavanomaisen maksukorttirikollisuuden tappioita, nähdään kuitenkin nouseva trendi. Tämä johtuu luottokorttien määrän sekä matkailun lisääntymisestä. Vielä tällä hetkellä väärinkäytöstappioita voitaneen pitää verraten vähäisinä verrattuna luottokorttien maksutapahtumien kokonaismäärään tai Suomessa toimivien pankkien liikevaihtoon. Suomalaisia luottokortteja käytetään kymmeniin miljooniin ostotapahtumiin vuosittain. Vuonna 2007 ilmoitettiin poliisille 3 784 maksuvälinepetosta eli noin 300 rikosta kuukaudessa. Vuonna 2008 poliisille tehtiin 3 835 ilmoitusta maksuvälinepetoksista, eli tilastollinen kasvu on vain yhden prosenttiyksikön luokkaa. Kun otetaan huomioon vielä tilaston todennäköinen virhemarginaali ±3 %, voidaan todeta maksuvälinerikollisuuden pysyneen lähes entisellään. On kuitenkin korostettava, että tällä rikollisuudenalalla piilorikollisuutta esiintynee suhteellisen paljon. Tarkasteltaessa vuosina 2007-2008 poliisille ilmoitettuja maksuvälinerikoksia on havaittavissa kuukausittaisia vaihteluita, joille on myös löydettävissä syitä. Poliisille ilmoitetut maksuvälinerikokset kuukausittain vuosina 2007-2008 450 400 350 300 250 200 150 N 2007 N 2008 100 50 0 Tam Hel Maa Huh Tou Kes Hei Elo Syys Lok Mar Jou N 2007 303 258 302 254 314 278 332 409 372 324 338 300 N 2008 345 282 304 318 323 306 324 344 325 340 322 302 Vuoden 2008 tammi-kesäkuun ilmoitusmäärät olivat aiempaa vuotta korkeammat. Alkuvuodesta kehitys näyttikin huolestuttavalta, ja huhtikuun 2008 kasvu edelliseen vuoteen oli jopa 25 %. Loppuvuodesta ilmoitusmäärät kuitenkin kääntyivät laskuun. Laskevia kuukausia edelliseen vuoteen verrattuna olivat heinä-, elo-, syys- ja marraskuu. Joulukuussakin oli vain kaksi tapausta enemmän kuin vuonna 2007. Vuoden 2008 alun nousuun ja loppuvuoden laskuun on selviä syitä. Alkuvuonna 2008 lukuisat suomalaiset tekivät ilmoituksia poliisille siitä, että heidän luottokorttejaan oli käytetty Australiassa vaikka asianomistajat itse eivät olleet siellä käyneet. Asiaa tutkittaessa ilmeni, että suuri osa asianomistajista oli

12 (16) käynyt joulun ja uudenvuoden 2007 aikana Thaimaan lomakohteissa tai muualla Kaakkois-Aasiassa. Tapaukset liittyivät laajempaan kansainväliseen luottokorttirikoskokonaisuuteen, jonka uhreina oli turisteja useista maista. Rikolliset onnistuivat saamaan haltuunsa korttidataa Thaimaasta ja valmistivat sen avulla korttiväärennöksiä, joita sittemmin käytettiin ostoksiin Australiassa. Vuoden 2008 loppupuolen laskun selityksenä on ainakin kaksi tekijää. Keskusrikospoliisi tehosti huhtikuussa 2008 yhteistoimintaansa finanssi- ja kauppasektorin kanssa korttirikosten torjunnassa. Tietoa alettiin vaihtaa jopa päivittäin, ja näin päästiin nopeammin kiinni alkaviin uhkaaviin ilmiöihin. Yhteistyön seurauksena saatiin muun muassa ehkäistyä kesällä 2007 ilmenneen korttirikosilmiön uusiutuminen; kesällä 2007 yksi ainoa ulkomaalainen järjestäytynyt rikollisryhmä tuotti yli 100 rikosilmoitusta poliisin tietojärjestelmiin sekä yli 600 000 euron tappiot pankeille. Vuonna 2008 vastaavanlainen rikollisryhmä saapui jälleen Suomeen, mutta tällä kertaa se onnistuttiin ottamaan kiinni ennen kuin sen jäsenet ehtivät tuottaa vahinkoja. Toinenkin laajaa maksukorttirikosta yrittänyt rikollisryhmä saapui Suomeen kesällä 2008, mutta viranomaisten ja yritysten laajan yhteistoiminnan ansiosta ryhmä ei onnistunut tuottaman tappioita. 6. Lähitulevaisuuden uhkia Rikolliset hyödyntävät eri maiden erilaisia käytäntöjä ja lainsäädäntöjä etenkin maksukorttirikollisuudessa ja tietoverkkoja hyödyntävässä nopeatempoisessa rikollisuudessa. Europolin OCTA 2008 pitää merkittävänä uhkana globaalisti toimivien virtuaalisten rikollisryhmien määrän kasvua. Tietoverkkorikollisuuden ajankohtaiset, osin jo konkretisoituneet merkittävät uhkat jakautuvat kahteen erilliseen osin toisiinsa liittyvään uhkatyyppiin. Ensinnäkin uhkana ovat haavoittuviin järjestelmiin Internetissä kohdistettavat satunnaiset hyökkäykset, joiden avulla rikolliset keräävät mitä tahansa rahaksi muutettavaa identiteettitietoa, kuten luottokorttinumeroita tai verkkokauppatunnuksia. Toiseksi uhkana ovat tarkasti ennalta valittuihin kohteisiin kohdistettavat hyökkäykset, joita hyödynnetään esimerkiksi yritysvakoilussa. Molemmissa ilmiöissä on yhteistä se, että rikolliset yrittävät löytää ja käyttää hyväkseen kohdejärjestelmiensä tietoturvallisuusprosessien haavoittuvuudet. Erilaiset mobiililaitteet muodostavat uuden tarkkaa seurantaa vaativan uhan, sillä niiden päivitettävyys on yleensä paljon huonompi kuin perinteisissä tietokoneissa. Laiton tiedonhankinta kohdistuu Suomessa ennen kaikkea korkean teknologian sektorilla toimiviin yrityksiin, korkean riskin toimialoja ovat muun muassa biotieteet ja lääketiede, energian tuotanto sekä uusien materiaalien kehittely ja tuotanto. Vuoden 2008 aikana suomalaisia puolustusteollisuuden yrityksiä on joutunut verkkovakoilun kohteeksi. Vakoilussa on käytetty kohdistettuja hyökkäyksiä, joissa yhdelle tai useammalle työntekijälle on lähetetty haittaohjelman sisältävä sähköposti. Haittaohjelman avulla on imuroitu netin kautta työntekijän saatavilla olevaa tietoa sekä saastuneelta tietokoneelta että kaikista niistä tietojärjestelmistä, joihin saastuneen työaseman käyttäjän käyttöoikeuksilla on päässyt. Verkkovakoilu on järjestäytynyttä ja usein hyvin rahoitettua kansainvälistä rikollisuutta. Tietorikollisuusuhkien seuraava kehitysvaihe tuo mukanaan uusia ja aikaisempaa tehokkaampia hyökkäystapoja. Erityisesti Euroopassa mutta myös Yhdysvalloissa verkkopalveluiden tarjoajien tietoturvallisuus on parantunut viime vuosina huimasti vastauksena kalliiksi käyneeseen verkkorikollisuuteen. Suomen näkökulmasta tämä ei ole vain myönteistä: kun Euroopassa ja Yhdysvalloissa verkkopalveluiden tarjoajat ovat alkaneet ottaa käyttöön Suomessa jo kauan käytettyjä ja turvallisiksi osoittautuneita tekniikoita ja menetelmiä, rikolliset ovat joutuneet kehittämään uusia menetelmiä, jotka toimivat myös Suomessa. Tämän seurauksena lähitulevaisuudessa on varmasti odotettavissa uusia hyökkäystapoja, jotka toimivat esimerkiksi Suomen verkkopankkijärjestelmässä. Yhteyden kaappaamista voidaan käyttää myös kohdistetuissa hyökkäyksissä, joissa haetaan jotakin tiettyä ja jonkin tietyn organisaation hallussa olevaa tietoa.

13 (16) Vaikka Suomi on vielä säästynyt huomattavaa vahinkoa aiheuttavilta verkkorikoksilta, verkkorikoksiin erikoistuneista rikollisryhmistä on tunnistettu myös suomalaisia jäseniä. Ajantasainen virustorjunta ei enää riitä torjumaan tietoverkkorikollisuuden uusimpia tekotapoja, sillä uudet hyökkäykset toteutetaan uusilla aiemmista muutetuilla haittaohjelmilla, joita virustorjunta ei edes voi tunnistaa. Rikolliset testaavat haittaohjelmavariantit kaikilla markkinoilla olevilla virustorjuntaohjelmilla ennen liikkeelle laskemista. Suomea on suojannut maksukorttirikollisuudelta viime aikoihin asti se, että noin neljännes suomalaisesta maksukorttidatasta on sellaista, jota kansainväliset rikolliset pystyvät väärinkäyttämään vain Suomessa. Esimerkiksi öljy-yhtiöiden miehittämättömillä polttoaineasemilla käytetään paljon pankkikortteja ja öljy-yhtiöiden omia polttoainekortteja. Kansalliset maksukortit korvautuvat Suomessa SEPA-siirtymäkauden (Single Euro Payments Area) aikana. Lähes koko Euroopan kattavaan yhtenäiseen euromaksualueeseen eli SEPA-alueeseen (Single Euro Payments Area) siirtyminen muuttaa riskien luonnetta, kun kansalliset maksujärjestelmät poistuvat, ja niiden sijalle tulee SEPA-yhteensopiva järjestelmä, jolloin suomalainen korttidata toimii koko SEPAalueella. Suomesta tulee tällöin muiden Euroopan maiden tavoin houkutteleva maa korttirikollisten näkökulmasta. Toisaalta siirtyminen turvallisempaan siruteknologiaan pienentää maksukorttirikollisuuden mahdollisuuksia. Matkailun lisääntyessä myös maksukortteja käytetään enemmän myös ulkomailla. Etenkin Kaakkois- Aasiaan suuntautuvan matkailun yleistyminen lisää suomalaisten riskiä joutua korttirikosten kohteiksi. Viime aikoina Suomessa toimineet ulkomaalaiset rikollisryhmät ovat asentaneet teknisesti poikkeuksellisen korkeatasoisia skimmauslaitteita pankkiautomaatteihin ja miehittämättömien huoltoasemien maksuautomaatteihin, ja ovat kopioineet maksukortteja. Järjestäytyneen maksukorttirikollisuuden ymmärtämisessä ja analysoimisessa on olennaista tietää, että rikokset tehdään siellä missä ne on helpointa toteuttaa. Korttirikollisuus vähenee niissä maissa, joissa sirumaksaminen on otettu laajasti käyttöön. Sen sijaan se lisääntyy maissa, joissa käytetään vielä laajasti vanhaa, esimerkiksi magneettijuovaan perustuvaa tekniikkaa. Suomessa sirumaksuihin on siirrytty jo käteisautomaattien osalta, mutta vähittäiskauppa on vasta siirtymässä sirumaksuteknologiaan. Uudet mobiilikäyttöympäristöt mahdollistavat erilaisia maksamismenettelyjä. Mobiiliympäristö muodostaa uudenlaisen riskin, jonka torjuntaan on syytä varautua huolellisesti. Koska monien mobiililaitteiden päivitettävyys ei ole muiden tietokoneiden tasolla, niissä ilmenevä haavoittuvuus saattaa mahdollistaa myös mobiilimaksamisen väärinkäytön. Maksukorttirikollisuus lisääntyy Internetissä. Suomalaisten riski joutua korttirikoksen uhriksi onkin suurin kun he matkailevat vanhempaa tekniikkaa käyttävissä maissa tai tekevät ostoksia Internetissä. Maksuväline- ja tietorikollisuuden toteuttamisessa hyödynnetään myös perinteisiä tekotapoja, kuten tietoa sisältävien/käsittelevien laitteiden anastamista, laitteiden heikkotasoista fyysistä suojausta sekä huoltoprosessien heikkoa valvontaa. Sähköisessä muodossa olevan tiedon fyysiseen suojaamiseen, tiedon syöttämisen suojaamiseen, laitteiden ja tiedon käsittelyoikeuksiin sekä haavoittuvuuksien nopeaan korjaamiseen tulee kiinnittää erityistä huomiota. Suomen viranomaisten toimintavaltuuksissa on havaittavissa puutteita, jotka hankaloittavat verkossa toteutettujen laajojen maksuvälineisiin ja muihin identiteetteihin kohdistuneiden rikosten tutkintaa. Usein vasta kaapatun tiedon väärinkäyttäminen täyttää sellaiset rikostunnusmerkistöt, jotka mahdollistavat teknisten tiedonhankintamenetelmien käytön. Niinpä esitutkintaviranomaiset eivät saa edes tietoonsa rikoksia tiedon keruuvaiheessa, jolloin tietotekninen jälki olisi vielä olemassa.

14 (16) Viestintäviraston CERT-FI:n arvion mukaan 4 järjestelmällinen haittaohjelmien levittäminen ja niiden käyttäminen rikolliseen toimintaan voi jatkossa kohdistua entistä useammin myös erityisesti suomalaisiin palveluihin. On todennäköistä, että haittaohjelmia levitetään erityisesti suomalaisille käyttäjille esimerkiksi suomalaisiin sähköpostiosoitteisiin lähetettyjen suomenkielisten roskapostiviestien tai www-sivustojen kautta. Todennäköisesti huijauksista tulee entistä uskottavampia ja hyökkäyksissä käytettävien haittaohjelmien ominaisuudet kehittyvät nykyisestä. 7. Keskeistä turvallisuuden kehittämiseksi Nopeasti etenevän maksukorttirikollisuuden torjunnan tehostamiseksi tulisi pikimmiten perustaa uusien poliisilaitosten vastuuhenkilöiden yhteistyöverkosto. Näin myös tutkintavastuut tulisivat selkeästi määritellyiksi. Yhteistyöstä ja tiedonvaihdosta myös elinkeinoelämän kanssa voidaan suurempien poliisilaitosten parempien erikoistumismahdollisuuksien ansiosta huolehtia entistä tehokkaammin myös paikallisesti. Maksukorttirikollisuuden torjunnassa tarvitaan jatkuvaa päivittäistä yhteistyötä finanssialan, kaupan ja eri maiden poliisiviranomaisten kesken. Sähköisten kassajärjestelmien korttitietojen suojaamiseen tulee kiinnittää erityistä huomiota. Haavoittuvimpien maksuteknologioiden käytöstä tulee luopua mahdollisimman nopeasti. Yksityistä turvallisuuspalvelutoimintaa koskevaa lainsäädäntöä valmisteltaessa tulee kiinnittää huomiota myös tieto- ja tietoverkkoturvallisuuden vaatimuksiin. Yritysten tulisi kiinnittää erityistä huomiota tietoturvallisuuteen varsinkin tieteellis-teknis-taloudellista laitonta tiedonhankintaa ja yritysvakoilua vastaan. Hyvin rahoitettujen ja ammattimaisesti toteutettujen hyökkäysten torjuminen edellyttää esimerkiksi tavanomaista virustorjuntaa korkeatasoisempia tietoturvallisuustoimenpiteitä. Tämän hetkinen tietoturvallisuusmalli ei tue kohdistetuilta hyökkäyksiltä suojautumista. Huomio keskitetään helposti havaittaviin ja helposti torjuttaviin uhkiin, jolloin yrityksen tietopääoman kannalta todellista vahinkoa aiheuttava verkon avulla toteutettu yritysvakoilu jää usein havaitsematta. Tavalliseen tapaan rakennetuissa toimistoympäristöissä turvallisuus on osoittautunut erittäin puutteelliseksi. Ohjelmistoteollisuuden taas ei kannata kehittää turvallisempia ohjelmistoja, koska käyttäjät eivät osaa niitä vaatia. Koska käyttöympäristö ei tarjoa tiedolle riittävää turvallisuutta, tilannetta yritetään paikata käyttäjille asetetuilla uusilla vaatimuksilla, jotka paitsi hankaloittavat tiedon käyttämistä myös kuluttavat usein aivan tarpeettomasti työntekijöiden resursseja. Lopputuloksena on turvaton ympäristö, joka voi osaltaan heikentää organisaation tuloksellisuutta. Yrityksille palvelunestohyökkäykset voivat aiheuttaa taloudellisia tappioita, vaikka palvelunestohyökkäys ei uhkaisikaan kohdeorganisaation tietopääoman luottamuksellisuutta. Siksi julkiset palvelut tulee entistä paremmin erottaa yrityksen muusta verkosta, jotta niiden lamauttaminen ei pysäytä kaikkea yrityksen toimintaa. Palvelujen ylläpitäjien tulee tulevaisuudessa varautua nykyistä paremmin ylikuormitustilanteisiin, jos palvelujen toiminnan jatkuvuus halutaan taata. Kohdistetuilta hyökkäyksiltä suojautumisessa keskeistä on informaation kulun hallinta. Tietoverkkorikoksen onnistuminen edellyttää haavoittuvuutta tiedon käsittelyprosessissa joko teknistä haavoittuvuutta ohjelmistoissa tai toimintakäytäntöjen haavoittuvuutta. Yrityksen on tunnettava järjestelmänsä normaalitila ja tiedettävä olennaisen tiedon sijainnit ja mahdolliset haavoittuvuudet. 4 http://www.cert.fi/katsaukset/tilastot.html

15 (16) Järkevä tietoriskien hallinta edellyttää oikeaa käsitystä uhkista ja realistisen uhka- ja vaikuttavuusarvion tekemistä. Yrityksissä on syytä hahmottaa, että tietoverkkouhat tulevat sekä yrityksen ulkoettä sisäpuolelta. Esimerkiksi salassapitosopimuksilla voidaan ehkäistä yrityssalaisuuksien paljastumista, ja onnistuneen henkilöstöpolitiikan ja työntekijöiden sitouttamisen avulla osapuolten keskinäinen lojaalisuus säilyy myös työsuhteen päättyessä. Tahallisia tietoriskejä ehkäistään myös arvioimalla työntekijöiden luotettavuus. 5 Rikollisen suorittaman transaktion erottaminen laillisesta toimenpiteestä vaikeutunee tulevaisuudessa. Uhkien kohteena ovat ennen kaikkea asiakkaiden hallussa olevat laitteet, joiden turvallisuustilanteeseen yritykset eivät olennaisesti voi vaikuttaa. Elinkeinoelämän ja viranomaistahojen jatkuva yhteistyö, riskeistä tiedottaminen ja toimintojen edelleen kehittäminen häiriöitä paremmin kestäviksi ovat keskeisiä keinoja turvallisuuden parantamiseksi. Yrityksen tulee tuntea järjestelmiensä ja tiedonkäsittelykulttuurin todellinen tilanne, joka tulisi auditoida säännöllisesti. Yritysten tulisi investoida riittävästi muun muassa IT-infrastruktuuriin, tietoliikenteen turvallisuuteen, sovelluskehityksen turvallisuuteen ja teknisiin tietoturvallisuuden auditointeihin, jotta tietojen turvallisuus pystyttäisiin takamaan. Ihmisten rooli on tietoturvallisuudessa tärkeä. Henkilöstön kouluttaminen ja riskeistä tiedottaminen vahvistavat tiedonkäsittelyn toimintatapojen turvallisuutta. Yrityksen tietoturvallisuutta koskevaa tilannetietoisuutta, tietoturvallisuusmenettelyjen käytännön toteutusta ja tietoturvallisuuskoulutusta tukevaa ohjeistusta ja aineistoa on syytä kehittää. Silti niin kauan kuin tietojärjestelmiä ei kehitetä turvallisiksi ja ihmiselle soveltuviksi, ihmisen mahdollisuus estää tietopääoman kaappaamista on väistämättä rajallinen. Lainsäädännön tulee mahdollistaa tietoturvallisuuden tehokas valvonta. Aiemmin on sähköisen viestinnän tietosuojalakia tulkittu niin, että yrityksillä ei ole oikeutta selvittää itse omiin viestintäverkkoihinsa kohdistuneita tai niiden avulla tapahtuneita väärinkäytöksiä, kuten sähköisen viestinnän avulla toteutettuja tietovuotoja. Muun muassa eräät viranomaiset ovat katsoneet, ettei laki ole sallinut asianomistaja-asemassa olevien yhteisöjen kerätä omista viestintäverkoistaan oikeudenkäynnin aloittamisen kannalta välttämätöntä näyttöä tunnistamistietoja käsittelemällä. Eduskunta hyväksyi maaliskuun alussa 2009 sähköisen viestinnän tietosuojalain muutoksen. Laki mahdollistaa yhteisöille tietyin ehdoin oikeuden käsitellä sähköpostien tunnistetietoja omissa järjestelmissään merkittävää vahinkoa tai haittaa aiheuttavan maksullisen tietoyhteiskunnan palvelun tai viestintäverkon luvattoman käytön taikka viestintäpalvelun ohjeen vastaisen käytön sekä elinkeinotoiminnan kannalta keskeisten yrityssalaisuuksien paljastamisen selvittämiseksi. Yritysten tulee kuitenkin edelleen ensisijaisesti suojata viestintäverkkonsa ja -palvelunsa sekä yrityssalaisuudet tietoturvallisuustoimenpitein sekä käyttäjille annettavilla ohjeilla ja koulutuksella. Tunnistetietojen käsittely on vasta viimesijainen keino. 5 Yritysten rikosturvallisuus 2008: Riskit ja niiden hallinta. 2008. Keskuskauppakamari ja Helsingin seudun kauppakamari. ja Avainhenkilöriskit. Ohjeita yritysten avainhenkilöriskien hallintaan 2006.

16 (16) 8. Lähdetahot ja lähteet Tilannekuvatyöhön osallistuneet yhteisöt ja niiden tuottamat lähteet Akava ry Elinkeinoelämän keskusliitto EK Finanssialan Keskusliitto Finnsecurity ry Helsingin kihlakunnan poliisilaitos Keskuskauppakamari - Yritysten rikosturvallisuus 2008. Riskit ja niiden hallinta. Keskuskauppakamari ja Helsingin seudun kauppakamari, huhtikuu 2008. - Avainhenkilöriskit. Ohjeita yritysten avainhenkilöriskien hallintaan, joulukuu 2006. Keskusrikospoliisi - Keskusrikospoliisin uhka-arviot Europolia, PTR-viranomaisia ja kotimaisia lainvalvontaviranomaisia varten aineistoineen. - Europol: Organised Crime Threat Assessment OCTA 2008. Oikeusministeriö/Oikeuspoliittinen tutkimuslaitos Rahoitustarkastus Sisäasiainministeriö/Pelastusosasto Suojelupoliisi Suomen Ammattiliittojen Keskusjärjestö SAK Suomen Kaupan Liitto Suomen Vartioliikkeitten Liitto ry Suomen Yrittäjät Tullihallitus Viranomaisyhteistyön kehittämisprojekti Virke

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute