Tulostusversio

1/2011

NFC: Vain hipaisu riittää?

Teksti: Tuomo Tuikka

Lähiluku- eli NFC-teknologiaa hyödyntävien palvelujen luvataan helpottavan elämää, mutta riskittömiä ne eivät ole.

Maailmalla puhaltaa NFC-tuuli. Viimeisen puolen vuoden aikana useimmat matkapuhelinvalmistajat ovat ilmoittaneet uusien laitteidensa tukevan NFC-teknologiaa tavalla tai toisella.

Yleisesti ottaen NFC:llä (Near Field Communication) tarkoitetaan lähilukutekniikkaa, jonka luvataan helpottavan palveluiden käyttämistä: Koskettamalla kännykällä lukijaa voisimme maksaa bussilipun tai hipaisemalla tunnistetta kuitata lapsen päiväkodista.

Kyse on kuitenkin kolmitasoisesta toiminnallisuudesta: Laite voi lukea ja kirjoittaa NFC-tunnistetta. Se on tarra, jossa on radioaaltoja välittävä antenni ja mikropiiri. Toisaalta kaksi laitetta voivat myös olla yhteydessä keskenään. Kolmanneksi, NFC-laite voi myös korvata älykortin.

Jokaisella toiminnallisuudella on omat tietoturva- ja tietosuojahaasteensa. Lisäksi jokainen toiminnallisuus voi liittyä laitteessa olevan ohjelmistoon sekä mahdollisesti taustalla olevaan tietojärjestelmään.

Näin ajateltuna lähilukuteknologiasta tulee moniulotteinen tietoturvallisuuspulma, joskin onneksi useimpiin riskeihin on jo varauduttu. Ongelmana kuitenkin on, että ’mitä jos’-tilanteita on paljon: Entäpä jos kännykkä varastetaan, joku lukee tietojani tai jopa vie rahani puhelimestani?

Huomattava on sekin, että käyttäjän lisäksi myös palvelun tuottajan on syytä turvata oma sovelluksensa tai omat tietonsa.

Riskit riippuvat sovelluksesta

Eräs tapa lähestyä tietoturvariskejä on sen selvittäminen, millaiset palvelut hyötyvät lähilukuteknologiasta ja millaisia riskejä niihin voisi liittyä. Tätä pohditaan esimerkiksi lähilukuteknologian sovelluksia kaupunkikäyttöön kehittävässä Smart Urban Spaces -hankkeessa. Suomesta mukana ovat Oulun ja Helsingin kaupungit.

Hankkeessa on kehitetty sovelluksia etenkin työn organisointiin liittyviin ratkaisuihin, matkailijoille ja kaupunkikortteihin.

Tietosuojaan ja tietoturvaan liittyvät riskit ovat jokaisessa palvelussa hieman erilaiset.

Esimerkiksi etätyön organisointiin tarkoitetut sovellukset ovat käytössä suljetuissa järjestelmissä. Niissä tietoturvakysymykset liittyvät pitkälti tietojärjestelmään: Kenellä on pääsy sinne, ja kuinka se on suojattu hyökkäyksiltä.

Lisäturvaa SIM-korttiin

Esimerkiksi muunlaisista uhkista käy hankkeessa matkailijoita varten kehitetty palvelu, jossa nähtävyydestä saa lisää tietoa hipaisemalla kännykällä tunnistetta.

Riskinä voisi olla, että tunniste tekee jotakin yllättävää ja ei-toivottua, jopa käynnistää hyökkäävän sovelluksen lataamisen kännykkään käyttäjän huomaamatta. Tietoturvaa parantaisi tunnisteen allekirjoittaminen siten, että tunnisteesta saatava tieto on luotettavaa ja toimii vain sitä käyttävän ohjelman kanssa.

NFC-sovellusten riskejä vähennetään myös matkapuhelimen SIM-korttiin tai jonnekin muualle laitteeseen liitettävillä turvaominaisuuksilla. Nämä pitävät esimerkiksi maksamisen ja arvoon liittyvät sovellukset tai tärkeän tiedon suojassa uteliailta monitasoisella turvaratkaisulla.

Matkailijoille tarkoitetun palvelun suojaaminen on myös kansainvälinen haaste. Jos matkailijan puhelimessa täytyy käyttää turvaominaisuuksia, palvelun tarjoamiseen tarvitaan vielä suomalaisen ja ulkomaisen operaattorin yhteistoimintaan liittyviä järjestelyitä. Tässä tarvitaan useita toimijoita ja standardia teknologiaa, jota hankkeessa mukanaolevat yritykset nyt määrittelevät.

Useimmat matkapuhelinvalmistajat eivät ole vielä kovin aktiivisesti julkistaneet suunnitelmiaan SIM-korttiin liitettävistä turvaominaisuuksista. Tämä onkin mitä ilmeisimmin tarkimmin varjeltu sovellusalue, kun yritykset pyrkivät toden teolla toteuttamaan kännykällä maksamiseen soveltuvia turvaratkaisuja.

Tietojen yhdistely suurin riski?

Useimmat NFC:n sovellusalueet tulevat olemaan osa laajempaa tietojärjestelmää, kuten edellä mainitut sovellukset tai vaikka kauppojen kanta-asiakaskortit. Tietojärjestelmien tietoihin murtautumalla ja tietoja yhdistelemällä henkilöstä voidaan luoda hyvinkin tarkkoja profiileja hänen tietämättään. Tämä saattaa olla myös NFC-sovellusten vakavin turvallisuusriski.

Toteutustapa ratkaisee, kuinka helppoa hakkereiden on murtautua NFC-sovelluksiin. Tulevissa ratkaisuissa on tietysti pyrittävä turvallisuuteen. Käyttäjien henkilötietoja voidaan − myös laein ja määräyksin − suojella siten, että toteutus on vähintään yhtä turvallinen kuin nykyisissä korttiratkaisuissa.

----

[KIRJOITTAJA]

Tuomo Tuikka on erikoistutkija VTT:llä.

Lue myös

NFC: Lähilukuteknologian käyttöönotto edistyy »
NFC: "Älä kirjoita mun tägiin" »
NFC: Tarhapäivä alkaa tunnisteesta »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.