Tulostusversio

1/2008

Tietoturva: Ohjelma laittaa verkkorikokset kuriin

Teksti: Antti J. Lagus

Tietoverkkorikollisuus on organisoitunutta liiketoimintaa, jossa liikkuvat suuret rahat. Sisäisen turvallisuuden ohjelmassa etsitään keinoja tietoverkkorikosten torjumiseksi.

Suomessa pyritään siihen, etteivät kansalaiset joudu suuremmassa määrin tietoverkkorikollisuuden uhreiksi – joko tietämättään osaksi rikollisten koneiden verkkoa tai identiteetti- ja maksuvälinetietovarkauden kohteeksi.

Monien haittaohjelmien tulo käyttäjän koneelle perustuu siihen, että käyttäjä tulee tietämättömyyttään painaneeksi ohjelman aktivoivaa linkkiä. Viestintävirastossa toimivan kansallisen tietoturvaviranomaisen CERT-FI-yksikön päällikkö Erka Koivunen on realisti, joka ymmärtää, että kaikesta valistuksesta huolimatta tulee aina olemaan käyttäjiä, jotka klikkaavat kaikkea mahdollista. Tämän tietää myös verkkorikollisuus, joka tekee selvää rahaa etähallintaan kaappaamillaan koneilla.

”Kuukaudessa yhdellä kaapatulla koneella verkkorikolliset tekevät rahaa sadoista tuhansiin dollareihin. Jos saadaan vähennetyksi käytettävissä olevia koneita tai sitä aikaa, jolloin ne ovat käytettävissä, isketään suoraan verkkorikollisten arimpaan kohtaan eli heidän kykyynsä tehdä rahaa”, Koivunen sanoo.

Tietoverkkorikosten ehkäisyyn etsitään keinoja valtioneuvoston asettamassa sisäisen turvallisuuden ohjelmassa, jossa myös Erka Koivunen on mukana. Hän on verkkorikollisuuden torjuntaa selvittävän asiantuntijaryhmän puheenjohtaja.

Rikosepäilyistä kannattaa kertoa

Sisäisen turvallisuuden ohjelman järjestäytyneen rikollisuuden asiantuntijatyöryhmän puheenjohtaja, poliisiylitarkastaja Robin Lardot näkee, että jotta poliisiviranomaiset pystyvät toimimaan tehokkaasti ja selvittämään tietoverkkorikollisuutta, koulutukseen tulee panostaa ja asia pitäisi sisällyttää jo poliisien peruskoulutukseen.

Varsinaisia it-rikoksia, jotka kohdistuisivat tietoverkkoihin, ei Suomessa kovin paljon ole. Ennemminkin on kyse perinteisistä petoksista ja muista, joissa hyödynnetään verkkoa. Lardot huomauttaa, että tietoverkkoja ja -laitteita käytetään myös muuhun rikollisuuteen. Esimerkiksi henkirikosten selvittämisessä voi olla tärkeätä selvittää, milloin vaikkapa tietokoneella kirjoitettu tekaistu itsemurhaviesti on todella kirjoitettu.

”Jos jotain saa ehdottaa, tämänhetkinen ongelma on se, että poliisi ei välttämättä saa riittävästi tietoa tietoverkkoja hyväksi käyttävästä rikollisuudesta. Yksi syy voi olla, että ilmoitusten ja suoritettavan esitutkinnan pelätään jollain tavalla nakertavan yrityskuvaa”, Robin Lardot sanoo.

Tässä Lardot näkee tarvetta asennemuutokselle. Hänen mielestään on arvo sinänsä reagoida nopeasti silläkin uhalla, että se voi vaikuttaa yrityskuvaan. Reagointi voi vaikuttaa positiivisestikin, kun yritys ilmoittaa seuraavansa tietoliikenteen ja -verkkojen luotettavuutta.

Ilmoitushaluttomuutta on ihmetelty myös CERT-FIssä:

”Olemme miettineet sitä, miksei suomalainen elinkeinoelämä ilmoita rikoksia poliisille. Maineriskillä on spekuloitu, mutta en oikein usko siihen. Se, että yritys joutuu esimerkiksi palvelunestohyökkäyksen kohteeksi, ei merkitse, että yrityksen turvatoimissa olisi mitään vikaa”, Erka Koivunen sanoo.

Yrityksissä saatetaan myös olla sitä mieltä, että vaikka rötöstelijä jäisikin kiinni, vahinkoja ei kuitenkaan saada takaisin. Niinpä asiasta ei kannata ilmoittaakaan. Toisaalta, kun rötöstelijä jää kiinni, hän ei enää voi aiheuttaa vahinkoa muille.

Ilmoittamisen pitäisi olla helpompaa

CERT-FI saa kuulla monista tietoturvarikkomuksista, mutta kun sen asiantuntijat kysyvät, haluaako ilmoittaja kertoa havainnoistaan poliisille, ilmoittaja on usein yllättynyt siitä, että poliisille pitäisi ilmoittaa erikseen. Jotkut eivät Koivusen mukaan viitsi nähdä poliisille ilmoittamisen vaivaa.

”Ilmoittamisen poliisille pitäisi olla helpompaa. Pitäisi myös yhteistyössä luoda jonkinlaiset ohjeet rikoksen uhreille. Voitaisiin myös miettiä sitä, että CERT-viranomaisen organisaatiossa työskentelisi poliiseja. Esimerkiksi Yhdysvaltojen US-CERTin palveluksessa on liittovaltion poliisin FBI:n agentteja”, Koivunen sanoo.

Tällainen menettely ei kuitenkaan välttämättä sovellu suomalaiseen käytäntöön eikä sellaista olla Koivusen mukaan nyt aikeissa tuoda Suomeen.

Verkkorikostiedustelua tulee kehittää

Verkkorikollisuus ja henkilötietojen kalastelu ovat poliisiylitarkastaja Lardotin mukaan lisääntymään päin. Haasteellista näiden selvittämisessä on se, että viranomaisten toimivaltuudet on rajattu niiden toimimismaihin. Verkko sen sijaan on maailmanlaajuinen, ja todisteet liikkuvat siinä globaalisti. Näin rikollisuus siirtyy sinne, missä ei ole kiinnijäämisen vaaraa.

Rikoslain säätämiä rangaistusasteikkoja Lardot pitää riittävinä. Tietoverkkorikollisuuden haaste liittyy tuomioiden sijasta ennen muuta rikosten paljastamiseen ja toteennäyttämiseen. Lardot myöntää, että lainvalvontaviranomaisten työkaluissa voi olla päivittämisen varaa.

CERT-FIn Erka Koivunen pitää poliisin tehtävää jakomielisenä. Tehtävä on toisaalta rikosten ennaltaehkäisy, mutta toisaalta myös rikollisten kiinniottaminen. Jos ennaltaehkäisy tehdään hyvin, ei rikoksia tehdä niin paljon, mikä saattaa herättää kysymyksiä poliisin tarpeellisuudesta. Koivunen näkee, että poliisille pitäisi antaa mahdollisuudet nykyistä paremmin tekeytyä osaksi rikollista organisaatiota. Rikostiedustelun kehittäminen verkkopuolella johtaa siihen, että poliisi pystyy paremmin puuttumaan verkkorikollisuuden ilmiöihin jo ennen kuin perinteinen rikos tapahtuu. Esimerkiksi perinteiseksi luonnehdittavaa petosrikosta on saattanut edeltää mutkikaskin sähköisten identiteettien keräysoperaatio.

”Yksittäisen sysmäläisen korkattu kone ei välttämättä juuri kiinnosta poliisia, sillä se ei ylitä tutkintakynnystä. Pitäisi voida osoittaa, että tapaus liittyy johonkin isompaan asiaan. Poliisilla pitäisi olla mahdollisuus puuttua asiaan aikaisemmassa vaiheessa, jotta tietotekniikkarikoksia voitaisiin ehkäistä”, Koivunen pohtii.

Tällainen käytäntö ei kuitenkaan välttämättä sovi Suomeen eikä sen käyttöönotto ole meillä nyt suunnitteilla.

Järjestäytyneessä tietotekniikkarikollisuudessa on toimeksiantoketjuja, joissa on sisäänrakennettu puhumattomuuden kulttuuri. Toimijat eivät välttämättä tiedä toisista toimijoista muuta kuin nimimerkin ja sähköpostiosoitteen.

”Taidot on kyllä järjestetty organisaation käyttöön. Joku on esimerkiksi taitava laatimaan huijausviestejä, kun taas joku toinen on erikoistunut tekemään haittaohjelmia, jotka pysyvät piilossa. Joku kolmas puolestaan osaa verkon etähallinnan kuviot”, Koivunen kuvailee.

Rikollisten verkostotalous

Verkkorikolliset ovat jalostaneet taitojaan siinä määrin, että kun joku rikollinen ensin kirjoittaa muita koneita haltuunsa ottavan niin sanotun bottiverkon, hän vuokraa sitä erilaisten rikosten tekemiseen sovitulla tuntitaksalla.

Rikollisten häikäilemättömyyttä kuvaa se, että he mainostavat työkalujaan internetissä, jolloin myös poliisit voivat nähdä ilmoituksen, mutta poliisi ei kuitenkaan pääse kiinni tekijöihin.

Verkostotaloudesta on puhuttu paljon. Rikolliset ovat ottaneet verkostot käyttöönsä. Verkostoissa hyödynnetään osaajia ja anonymiteettia ja hyvin tehdystä työstä laskutetaan sen mukaan.

Kauppaa saatetaan käydä basaarin tavoin internet-sivuilla, joilla on tarjolla esimerkiksi tuhannen amerikkalaisen luottokortin tiedot – amerikkalaisen siksi, että niiden luottokelpoisuus on yleensä hyvä. Jos ostajaehdokas on kiinnostunut numeroista, hän voi saada kokeeksi muutaman numeron varmistaakseen, että numerot todella toimivat. Varsinaiset luottokorttipetokset tehdään sitten toisilla numeroilla kuin koe-erällä, jolla on saatettu esimerkiksi tehdä lahjoitus hyväntekeväisyysjärjestölle.

Lue myös

Tietoturva: Poikkihallinnollisuudesta tehoa »
Tietoturvauhat muutoksen kourissa »
Profiili: Poliisi »
Profiili: Verkkorikollisen jäljitys on hankalaa »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.