IngmarForne

Pankkien vedätys??

Tunnuslukulistat jäävät historiaan: Verkkopankkiin kirjautuminen muuttuu pian Suomessa. uutisoi Uusi Suomi 29.5.2018 viitaten TiVi-lehden uutiseen 25.5.2018.

Onkohan kukaan asiasta kirjoittavista toimittajista vaivautunut lukemaan itse direktiiviä?

Suomenkielinen laitos on vain 93 sivua, joten siihen tutustuminen ei nyt pitäisi olla aivan mahdoton tehtävä kuitenkaan.

Maksupalveludirektiivi on  ladattavissa PDF-tiedostona suomeksi täältä. Ja sama teksti ruotsinkielisenä PDF-tiedostona täältä. Ja vielä englanniksi täältä

 

97 artikla

Tunnistaminen

“1. Jäsenvaltioiden on varmistettava, että maksupalveluntarjoaja soveltaa asiakkaan vahvaa tunnistamista, jos

a) maksaja käyttää maksutiliään verkon kautta;

b) maksaja käynnistää sähköisen maksutapahtuman;

c) maksaja toteuttaa etäkanavan kautta minkä tahansa toimen, joka voi johtaa maksupetokseen tai muunlaisen väärinkäytöksen riskiin.”

 

Artiklassa 4 vahvaa tunnistamista määritellään näin:

“’asiakkaan vahvalla tunnistamisella’ tunnistamista, jossa käytetään tunnistamistiedon luottamuksellisuuden suojaamiseksi menettelyä, joka perustuu kahteen tai useampaan tekijään, jotka kuuluvat toisistaan riippumattomiin ryhmiin, jotka ovat tieto (jotain, minkä vain käyttäjä tietää), hallussapito (jotain, mitä vain käyttäjällä on hallussaan) ja erityinen ominaisuus (jotain, mitä käyttäjä on) siten, että yhden rikkominen ei aseta kyseenalaiseksi muiden luotettavuutta;”

 

Ymmärtääkseni jo nyt käytössä olevat S-pankin, Osuuspankin ja Aktian koodikortit täyttävät yllä olevat vaatimukset. Jollei, niin joku paremmin tietävä selittäköön miksi näin ei ole.

Ensiksikin. Direktiivi itse väittää että jäsenvaltioiden on varmistettava. Siis jäsenvaltioiden. eikä EU. Kuten yllä olevasta lainauksesta näkyy.

Minkä takia siis viitatata EU-direktiiviin ollenkaan, kun direktiivi itse määrä että jäsenvaltioiden harteille tämä asettuu. Suomen kansallinen lainsäädäntö tulee siis määrääväksi. Ei direktiivi sinänsä.

Omassa jutussaan, jonka linkki on tuolla ylhäällä, Uusi Suomi haastattelee Danske Bankin kehityspäällikköä. Hän tyrkyttää ensiksikin erillistä pankkitunnusta tuottavaa laitetta.

Sellainen voidaan varastaa yhtä helposti kun paperinen tunnuslukulistaakin. Jos se laite on kovin pieni, ehkä jopa helpommin.

Lisäksi sellainen laite kuuluu melko varmasti jätelaissa mainitun tuottajavastuun piiriin. Se merkitsee että pankkien on järjestettävä jotenkin näiden käytöstä poistettujen tunnuslukulaitteiden jätehuoltoa. Onkohan herra kehityspäällikkö ollenkaan miettinyt tätä puolta asiasta? Tai joku pankissa ylipäätänsä?

Toiseksi vaihtoehdoksi kehityspäällikkö tyrkyttää mobiilisovellusta. Melko turvaton vaihtoehto.

3.12.2016 Yle haastatteli kansainvälisestikin tunnettua tietoturvaasiantuntijaa Harri Hurstia. Hän totesi haastattelussa että kännyköiden tietoturva on yleisesti ottaen retuperällä.

“Harri Hursti on huolissaan erityisesti matkapuhelinten tietoturvasta, koska ihmisten koko elämä on nykyään älykännykässä. Jälki on rumaa, jos rikollliset pääsevät hakkeroimaan puhelimen.”

Matkapuhelin on yleisvaarallinen laite, joka voi tuhota koko sinun elämäsi. Kun se tapahtuu sähköisesti, et edes tiedä, että olet uhri, hän sanoo.”

Ja tällaisia yleisvaarallisia laitteita pankin kehityspäällikkö siis haluaa että käytettäisiin, väittämällä että ne ovat turvallisempia kuin muut vaihtoehdot.

Välitetäänkö ylipäätänsä asiakkaiden tietoturvasta, kun tarjotaan tällaisia turvattomia vaihtoehtoja?

Minkälainen on näiden kehityspäälliköiden tietoturvaaosaaminen? Onko sitä?

Että mobiilisovellus olisi turvallisempi sen takia että se on jonkun pankin mobiilisovellus ei välttämättä päde sekään. Seuraava uutinen (englanniksi) julkaistiin 7.12.2017

These 8 banking apps left millions of users vulnerable to getting hacked.

Oli löytynyt kahdeksan turvatonta pankkisovellusta. Löydöksen teki Birminghamin Yliopisto Englannissa.

Entäs kaikki muut mobiilisovellukset jotka käyttäjä lataa kännykkäänsä?

Seuraava uutinen (englanniksi) julkaistiin 1.12.2017.

Over 75% of Android apps are secretly tracking users.

Android on ylivoimaisesti eniten käytetty kännyköiden käyttöjärjestelmä. Android-puhelimiiin ladatuista sovellutuksista yli 75% vakoilevat käyttäjää tavalla tai toisella. Tätä on todettu tutkimuksessa jonka on tehnyt Yhdysvaltalainen Yale yliopisto.

On olemassa suorastaan informaation ylitarjontaa kun on kyse uutisista siitä miten turvattomia kännykät ovat tietoturvan suhteen. Pankeilla on kuitenkin otsaa väittää että ne ovat turvallisia.

Kiitos, mutta pankkien väitteet eivät minua vakuuta.

Hallitus tulee epäilemättä tekemään asiassa sellaisen kansallisen lainsäädännön kun pankit haluavat. Kansalaisten tietoturvasta välittämättä. Hallituksen ministereiden tietoturvaosaaminen kun näyttää olevan sillä tasolla ettei tiedetä että 6 kuukautta ja puoli vuotta ovan yksi ja sama asia.

 

Piditkö tästä kirjoituksesta? Näytä se!

10Suosittele

10 käyttäjää suosittelee tätä kirjoitusta. - Näytä suosittelijat

NäytäPiilota kommentit (9 kommenttia)

Käyttäjän ingmarforne kuva
Ingmar Forne
Käyttäjän jgagarin56 kuva
Juha Kuikka

"Sellainen voidaan varastaa yhtä helposti kun paperinen tunnuslukulistaakin. Jos se laite on kovin pieni, ehkä jopa helpommin."

Joo, mutta se tarvitsee PIN-koodin ja tilin käyttäjätunnuksen.

Käyttäjän ingmarforne kuva
Ingmar Forne

Kyllä. Mutta niin tarvitsee nykyinen koodilappu myös, joten mikä olisi oleellinen parannus turvallisuuden suhteen, johon pankit viittaavaat. En näe sellaista.

Terveisin.

Ingmar

Käyttäjän jgagarin56 kuva
Juha Kuikka

Useimmissa verkkopankkien tunnuslukukorttisovelluksissa ei tarvitse kortin sisältämien PIN-koodilistojen lisäksi tietää kuin käyttäjätunnus, joten noissa mobiililaitteissa on silloin yksi porras enemmän. Nordealla esimerkiksi asia on näin. Sen sijaan S-Pankissa pitää tunnuslukukorttiakin käyttäessä ensin syöttää sekä käyttäjätunnus että henkilökohtainen PIN-koodi ennen kuin syöttää kortin kertakoodin.

Pohjimmiltaan olen kuitenkin myös sitä mieltä, ettei tällä uudistuksella oikeasti ole juurikaan tekemistä turvallisuuden kanssa, vaan kyse on jonkinlaisesta periaatteellisesta digitalisaation edesajamisesta kaikilla mahdollisilla elämän alueilla. Lisäksi tietysti stten säästetään paperia ja pankkien kustannuksia.

Käyttäjän ingmarforne kuva
Ingmar Forne Vastaus kommenttiin #4

"Pohjimmiltaan olen kuitenkin myös sitä mieltä, ettei tällä uudistuksella oikeasti ole juurikaan tekemistä turvallisuuden kanssa, vaan kyse on jonkinlaisesta periaatteellisesta digitalisaation edesajamisesta kaikilla mahdollisilla elämän alueilla. Lisäksi tietysti stten säästetään paperia ja pankkien kustannuksia."

Tästä minulla on ihan samanlaisia ajatuksia. Jotta olisi helpompaa vedotaan johonkin EU-direktiiviin. Toisaalta, sähköisen vempainen käyttö jätehuoltoineen voi kyllä käydä kalliiksi. Mutta ei hätää. Eräs tuttavani joka on Nordean asiakas oli saanut sellaisen tunnuslukuvempainen. Hän kertoi että Nordea oli ilmoittanut että seuraavasta vempaimesta sitten peritään hinta. Siihen sisältyy sitten varmaan myös jätehuoltokustannukset.

Käyttäjän juholaatu kuva
Juho Laatu

Aika turha hanke, ja paksuntaa todennäköissti lompakkoani melkoisesti. Elektroninen kortti voi olla aavistuksen tunnuslukulistaa turvallisempi siinä mielessä, että siinä voi olla oma pin. Mobiilisovellukset tuovat omia tunnettuja riskejään. Jotkut joilla tuollainen uusi elektroninen laite jo on, ovat manailleet sen toimintaa.

Luulen että useimmille tunnuslukulista olisi mukavampi ja riittävän turvallinen. Pitäisi kysyä pankeilta, kuika monta sellaista tapausta Suomessa on ollut, joissa kadonnut tunnuslukulista on johtanut väärinkäytöksiin.

Käyttäjän timonenonen kuva
Timo Nenonen

Jälleen kerran voidaan todeta se, ettei sellaista tarvitse korjata, mikä ei ole rikki.

Tunnuslukukortti on ollut ihan yes, no problem.

Taas ihan kahelia toimintaa, mikä sinänsä ei ole yllätys nyky-Euroopassa, umpihullujen maanosassa.

Käyttäjän ingmarforne kuva
Ingmar Forne

Koska direktiivi edellyttää että asiasta luodaan kansallista lainsäädäntöä, jonka pitää täyttää tietyt kriteerit, tulee olemaan mielenkiintoista nähdä minkälaiseksi sellainen luodaan. En yhtään epäile etteikö hallitus ja eduskunta muokkaa sen juuri sellaiseksi kun pankit sen haluavat.

Käyttäjän juholaatu kuva
Juho Laatu

Uudet direktiivit saattavat liittyä suunniteltuun pankkiunioniin, ja siihen, että Brysselin keskusjohto ottaa enemmän vastuita myös pankkien nurinmenoista. Ehkä Bryssel haluaa kontrolloida kaikkia yksityiskohtia välttääkseen riskejä (ja tietenkin hamutakseen valtaa).

Toimituksen poiminnat

Tämän blogin suosituimmat kirjoitukset