Identiteettivarkaus tarkoittaa toisen ihmisen henkilötietojen (esimerkiksi nimi ja henkilötunnus) hyväksikäyttöä, jonka tavoitteena on taloudellinen hyöty.
Suomessa rikollisuudenala on vielä lapsenkengissä, mutta Pohjois-Amerikassa verkon identiteettivarkaudet ovat nopeimmin kasvava rikollisuuden laji. Suurin tiedossa oleva tapaus paljastui neljä vuotta sitten, kun tietoteknikko Philip Cummings onnistui saamaan aikaiseksi yli 50 miljoonan dollarin vahingot. Cummings työskenteli yrityksessä, joka tarjosi pankeille tietokoneyhteyden luottotietorekistereihin.
Cummings keräsi yksityishenkilöiden tietoja (salasanoja ja tunnuksia luottotietojen lataamista varten) ja myi luottoraportit 30 dollarin kappalehintaan tuntemattomille rikollisille. Luottotiedostoja varastettiin kymmeniä tuhansia.
Yhdysvalloista löytyy myös tukuittain tapauksia, joissa varastettuja henkilötietoja on käytetty matkalippujen tilaamiseen tai jopa normaalin postin kääntämiseen vieraaseen osoitteeseen. Pahimmissa tapauksissa tuntemattomaksi jäänyt henkilö on viettänyt pitkään luottokortin siivittämää luksuselämää toisen ihmisen nimissä.
Yhdysvalloissa identiteettivarkaudet ovat saaneet paljon julkisuutta ja ne ovat nousseet suuren yleisön puheenaiheeksi.
Tällä hetkellä suurin pommi kytee kuitenkin Brittein saarilla, jossa viranomaiset hukkasivat kaksi cd-levyä, jotka sisältävät noin 25 miljoonan ihmisen henkilötiedot sekä miljoonien kansalaisten pankkitilien numerot.
Skandaali syntyi viime marraskuussa, kun levyt katosivat verohallituksen ja valtiontalouden tarkastusviraston postiliikenteessä. Britannian posti sai vielä lisää synkkää mainetta tänä vuonna, kun 6 000 kansalaisen ajokorttitiedot sisältävä cd-levy hukkui matkalla.
Taustalla järjestäytynyt rikollisuus
Kansainvälisesti katsottuna rikollisuudenalan kulttuurikehitys on ollut nopeaa. Aluksi verkossa operoivat nuoret hakkerit, joiden päämääränä tuntui olevan enemmänkin maineen kerääminen kuin taloudellisen hyödyn tavoittelu.
Hyvin pian hakkerit syrjäytti järjestäytynyt rikollisuus, joka haistoi identiteettivarkauksissa huikean bisnesmahdollisuuden. Erään arvion mukaan jo pari vuotta sitten verkon identiteettivarkaudet ja luottokorttipetokset pyörittivät noin kolmen miljardin dollarin liiketoimintaa.
– Rikollisuudenalan lähtökohtana on kerätä mahdollisimman paljon tietoa mahdollisimman vähillä kustannuksilla ja mahdollisimman automatisoidusti, toteaa Keskusrikospoliisin tietotekniikkayksikön ylitarkastaja Sari Kajantie.
Automatisoidun tietojenkeräämisen vuoksi rikollisuuden tuoton ja riskin suhde on huijareiden kannalta erittäin hyvä. Juuri tämä seikka nostaa yrittäjien määrää.
– Kiinnijäämisen riski on erittäin pieni. Samoin kustannukset ovat vain murto-osa siitä, mitä tiedon kerääminen maksaisi reaalimaailmassa. Rikolliset käyttävät yleensä tavallisia kotikoneita, jotka on kaapattu oikeiden käyttäjien tietämättä, Kajantie valottaa.
Suomalaiset pankit aikaansa edellä
Suomi on verkon identiteettivarkausten suhteen vielä lintukodon asemassa, sillä rikollisuus on pienimuotoista. Meillä saatiin ensimmäinen suurempi varoitus uudesta rikollisuuden alasta pari vuotta sitten, kun Nordean pankkiasiakkaat saivat sähköpostitse uteluja käyttäjätunnuksista ja tunnusluvuista. Identiteettivarkauksissa onkin kysymys määrämuotoisen tiedon muuttamisesta rahaksi.
Osasyy siihen, että verkon identiteettivarkaudet eivät ole suomalaisessa keskustelussa pinnalla, löytyy tilastoinnista. Suomalainen rikostilastointi on kansainvälistä huipputasoa, mutta verkon identiteettivarkaudelle ei ole vielä omaa rikosnimikettä.
– Suomessa tilanne on siinä mielessä ongelmallinen, että identiteettivarkautta ei ole sellaisenaan kriminalisoitu. Juridisesti tapauksiin liittyy vaihteleva joukko rikosnimikkeitä, toteaa Kajantie.
Identiteettivarkauksista tekee erittäin kiusallisia se tosiseikka, että ne huomataan yleensä vasta siinä vaiheessa, kun tulee maksun aika. Silloin uhrin pitää pystyä todistamaan syyttömyytensä. Tilanne ei kuitenkaan ole yleisesti ottaen niin karu kuin se kuulostaa.
– Pankit ja Luottokunta tekevät Suomessa hyvää työtä väärinkäytöksien havainnoinnissa, Kajantie arvioi.
Esimerkiksi Yhdysvalloissa ja Kanadassa on varsin helppoa ottaa toisen nimissä esimerkiksi pankista lainaa. Suomessa pankeilla on velvollisuus tunnistaa asiakkaansa, joten tällaisia rikoksia ei ole meillä juurikaan esiintynyt.
– Suomessa identiteettivarkaudet ovat olleet huomattavasti pienempi rikollisuudenlaji kuin muualla maailmassa juuri pankkien tehokkaiden turvajärjestelmien vuoksi, Kajantie jatkaa.
Kaveri voikin olla muukalainen
Kajantien mukaan verkon identiteettivarkaudet tulevat muuttamaan muotoaan jatkossa myös Suomessa.
– ”Phishing” eli tietojen kysyminen uhrilta ei ole erityisen suuri uhka Suomessa. Suomi on siihen kovin pieni kielialue. Sen sijaan tietojen kaappaaminen haavoittuvilta koneilta erilaisin tavoin ohjelmallisesti on Suomessakin aidosti uhkana, Kajantie sanoo.
Kajantie korostaakin, että tällä hetkellä tavallisten mattimeikäläisten suojautuminen on monesti puutteellista tietämättömyyden vuoksi.
– Kaikkeen tietoon voi päästä kiinni, jos sitä käsitellään haavoittuvalla työasemalla, Kajantie muistuttaa.
Kajantien mukaan Suomessa ei ole puhuttu riittävästi siitä, että asiakaslaitteen pitää olla kunnossa, jos esimerkiksi kotipäätteellä hoidetaan verkossa pankkiasioita. Avainasemaan nousee ohjelmistojen laatu.
– Meillä kyllä puhutaan paljon palomuureista ja virustorjunnasta, mutta ei juurikaan itse käyttöjärjestelmän haavoittuvaisuudesta. Olennaista ei ole, että meillä on tunnistuslaitteet, joilla huomaamme rosvon, vaan ennen kaikkea oven (käyttöjärjestelmä) pitää olla kunnossa, Kajantie sanoo.
Oma lukunsa identiteettivarkauksissa löytyy ”kaverisivustoilta”, kuten Facebook ja LinkedIn. Kajantien mukaan verkosta löytyvä vanha ystävä ei välttämättä olekaan se, mitä hän todellisuudessa on.
– Jokaisen verkkoon tietoja laittavan pitäisi tunnistaa, minkälaisen joukon käytettävissä tieto oikeasti on. Moni luulee keskustelevansa vain kaverinsa kanssa, vaikka tietoja pystyy lukemaan huomattavasti suurempi joukko, Kajantie korostaa.
Kaverisivustoja selatessa rikollinen voi hyötyä tiedoista muullakin tavalla kuin pelkästään suoran identiteettivarkauden kautta.
Jos esimerkiksi tunnettu pörssiyhtiön edustaja kertoo puolihuolimattomasti kaverilleen menevänsä Brasiliaan yritysostoksille, voi tiedon vaikutus olla osakemarkkinoilla käytettynä varsin erikoinen. Se mikä ei ole ongelma yksityishenkilölle, voi olla sitä hänen edustamalleen yritykselle.
– Facebook ja LinkedIn eivät kuitenkaan ole rikollisten päähuomion kohteena. Rikolliset ovat siellä, missä liikkuu oikeasti rahaa, Kajantie päättää.
Mitä tehdä, jos joudut identiteettivarkauden uhriksi?
1. Sulje tilit, joiden tiedot on varastettu
2. Vaihda kaikkien internet-käyttäjätilien salasanat
3. Lisää luottotiedotteisiin huijausvaroitus
4. Ota yhteyttä viranomaisiin
5. Säilytä kaikki asiapaperit
Lähde: www.microsoft.com