Verkon tietoturvassa on moniakin asioita mitä pitäisi vielä parantaa, sillä moni asia on hyvin epäintuitiivinen mikäli ei oikeasti tiedä yllättävänkin paljon IT-puolesta, web-kehityksestä nyt esimerkiksi. Muutamia esimerkkejä:
- Pankit sallii verkkopankin tunnistautumisen integroinnin iframeen, ja kolmannen osapuolen verkkopankkitunnistukset ja toimeksiannot. Tämä tarkoittaa sitä, että vanha ohje “tarkista lukeeko osoitepalkissa pankin oikea osoite, ennen kuin syötät mitään tietoja” ei toimi. Esimerkiksi Säästöpankin tai S-Pankin tunnistautumiseen sut voidaan ohjata Nordean tai OP:n kautta, tai ihan mikä tahansa muu vastaava yhdistelmä. Luottokorttimaksujen varmennuksen hoitaa usein toinen osapuoli, esimerkiksi Säästöpankilla osoitepalkissa voi lukea luottokunta tai samlink, ja molemmat on oikeita osoitteita. Mistä sitten tietää mikä on turvallista? Jos verkkopankki on iframessa, tarkistetaan sen sisällön lähde, vaihtoehtoisesti jos osoite ei täsmää, hyvällä tuurilla verkkopankki kertoo itse vaihtoehtoiset tunnistautumisosoitteet tai käytössä olevat yhteistyökumppanit. Mitenkään aina näin ei ole, ja joskus on pitänyt mennä selailemaan esim. whois-tietokantoja. Pankkitunnusten upottaminen muihin sivuihin tai ulkoistus organisaation ulkopuolelle tulisi kieltää EU-tasolla, tai siirtyä kansalliseen tunnistautumiseen – kuluttajan ei voi olettaa olevan näistä perillä tai käyttävän riittävää huolellisuutta.
- EU vaatii luottokorttiyhtiöitä varmentamaan kortit vain EU:n sisäisissä ostoksissa, tai ellei vaadi, ei ainakaan valvo sitä riittävän tehokkaasti. Tällä hetkellä monet ulkomaiset verkkokaupat (esim. Aliexpress) sallii EU-alueella myönnetyn luottokortin käytön ilman erillistä vahvaa tunnistautumista. EU-alueen luottokorteissa pitäisi olla oletuksena ominaisuus, jossa luottokortin voi sallia maailmanlaajuisesti, mutta vain vahvan tunnistautumisen kautta.
- Pankkien kitinästä huolimatta kansalaisvarmenne pitäisi vihdoinkin saada käyttöön. Omaisuudensuoja ja kilpailulainsäädäntö sikseen, vahva tunnistautuminen on osa yhteiskunnan välttämätöntä infrastruktuuria nykyään, ja jos siihen on olemassa yksityisen tahon valmis ratkaisu niin voi voi. Suomi.fi -tunnistus tulisi tehdä välttämättömäksi jokaiseen vahvaa tunnistautumista vaativaan palveluun, jotta päästään eroon rinnakkaisista järjestelmistä – kokemattomalle on huomattavasti helpompi selittää, että jos palvelun kirjautumisen osoitepalkissa ei lue täsmälleen oikea tunnistautumisosoite, sinne ei yksinkertaisesti silloin kirjauduta.
- Puhelujen ja tekstiviestien käyttö osana vahvaa tunnistautumista tulee kieltää. Ne on toki helppoja, mutta kumpikaan ei ole luotettava tapa tunnistaa käyttäjää, sillä niiden kiertäminen on kohtuuttoman yksinkertaista muihin tapoihin verrattuna. 2FA tulee toteuttaa jollain muulla tavalla, mikäli yksi tunnistustavoista on puhelinnumero, niitä tapoja tarvitaan vähintään kolme.
Kaikkea huijaamista netistä ei saa pois, mutta rahan siirtämisestä voi pyrkiä tekemään riittävän vaikeaa, että vähän hitaammallakin kaverilla pitäisi alkaa hälytyskellot soimaan. Sitä on tässä hiljattain yritettykin, mutta yritykset haraa vastaan ja pilaa järjestelmän – kunnollinen tunnistautuminen vaatii keskitetyn järjestelmän, eikä toimi markkinaehtoisesti. Markkinaehtoinen on käyttäjille liian kankea ja monimutkainen.
Suurin osa verkkohuijauksien kohteista on ihmisiä, joilla ei ole riittäviä taitoja tunnistaa niita huijauksia alkuunkaan. Siksi tuohon käyttäjän omaan ymmärrykseen ei voi oikein luottaa – mikään määrä valistusta ja koulutusta ei auta ongelmaan, ellei se saavuta niitä käyttäjiä, joilla sille on suurin tarve. Toki sille helpoimmalle huijaukselle, jossa vaan kusetetaan ihmistä jossain linkedinin pikaviesteissä, ei mielestäni oikein voi, eikä pidäkään tehdä mitään. Sen sijaan kehittyneempiä huijauksia kyllä pitäisi pyrkiä estämään paremmin.
No niin no, tämä voi olla epäsuosittu mielipide, mutta kerronpa nyt kuitenkin. Suomessa on oikeasti toimiva operaattorien kilpailu, jonka ansiosta meillä on todella kattava mobiiliverkko matalalla väestöntiheydellä, kilpailukykyiset liittymien hinnat ja useampi rinnakkainen mobiiliverkko, jotka mahdollistaa ihan todellisen kilpailun operaattorien välillä.
30 € / kk liittymästä, jossa on rajattomat puhelut ja netti, 20-30 gt EU-dataa jne., on järjettömän kilpailukykyinen diili. Niin kilpailukykyinen, että suomalaiset teleoperaattorit joutui hakemaan EU:lta poikkeusluvan laittaa asiakkailleen datakatot EU-alueen sisällä, koska vastaavaa diiliä ei ollut saatavilla missään muualla. Jos reissaan vaikkapa Saksaan, mulla on omassa Elisan liittymässä enemmän dataa käytettävissä, kuin muilla paikallisilla ympärillä, vaikka ne maksaa liittymästään enemmän.
Tämä palveluntaso yksinkertaisesti vaatii sen, että keskimääräisen asiakkaan lasku jää siihen 20-30 € korville, ja mikäli tuo ei onnistu on keksittävä muita paikkoja mistä ne tulot pääsee hankkimaan. Muuten ei jää rahaa, millä kuolettaa investoinnit, maksaa palkat, ja mitä muuta nyt yritysken kannattava pyörittäminen vaatii.
Suomessa liittymät ei ole riistohintaisia, vaan oikeasti kilpailtu lähes niin alas kuin ne pystyy saamaan. Se hinta on sama kaikilla ei kartellin vuoksi, vaan koska toimintaan liittyy välttämättömiä kuluja, jotka on pakko repiä jostain. Väittäisin, että jokainen 10-15 € kuukausimaksuinen liittymä tekee operaattorille tappiota, sillä infran ylläpito ei ole halpaa. Jos vertailee hintoja muuhun Eurooppaan, meillä on todella halvat hinnat verrattuna siihen, mitä sillä rahalla saa – eikä yhtä hyviä liittymiä ole saatavilla oikein missään, kaikkialla on jonkinlaiset datakatot olemassa.