Myymalat pieni

1.2.2011

Yritysten käyttämät pankkiyhteysohjelmat tietoturvauhka

Kategoria: Tietoturva — Timo Haapavuori @ 20.18

Julkisuudessa on keskusteltu varsin paljon lähinnä kuluttajien käytössä olevista verkkopankeista, ja niihin liittyvistä tietoturvaongelmista. Totta onkin, että näistä verkkopankeista on välillä löytynyt huolestuttavia piirteitä. Tosin varsin usein verkkopankkeihin liittyvät ongelmat ovat olleet enemmän käyttäjien ymmärtämättömyydestä johtuvia kuin verkkopankkien taustalla olevaan tekniikkaan liittyviä. Vaikka verkkopankkeja onkin arvosteltu varsin laajasti, ja väärinkäytöksiäkin on tapahtunut, niin tästä huolimatta verkkopankkien tietoturva on keskimääräisesti kohtuullisen hyvällä tasolla. Verkkopankeissa on vakiintunut jo niiden alkuajoilta lähtien käytäntö, jossa jokaisella käyttäjällä on vaihtuva avainlukulista. Vaihtuva avainlukulista tarkoittaa sitä, että jokaisella kerralla verkkopankkiin kirjautumisen yhteydessä käytetään eri tunnuslukua. Tämä puolestaan tarkoittaa sitä, että vaikka yksittäinen tunnusluku pääsisikin vääriin käsiin, niin pääsääntöisesti kyseinen avainluku on tässä vaiheessa jo käytetty, eikä avainluvusta ole enää hyötyä.

Yritysten käyttämiä pankkiyhteysohjelmia tarkasteltaessa huomataan hyvin nopeasti, että kehittyneimmätkin näistä ohjelmista, ovat tietoturvan näkökulmasta kivikaudella jos ohjelmia verrataan kuluttajien käyttämiin verkkopankkeihin. Työssäni olen ollut asentamassa ja konfiguroimassa varmasti lähes kaikkia yritysten käytössä Suomessa olevia pankkiyhteysohjelmia. Yhteinen piirre näille kaikille ohjelmille on ollut salasanat, joita ei tyypillisesti tarvitse vaihtaa koskaan ja joilla ei ole mitään minimivaatimuksia. Kun tähän yhdistää keskiverto käyttäjän joka asettaa omaksi salasanakseen oman kissansa nimen ja säilyttää salasanaansa varmuuden vuoksi keltaisella muistilapulla näppäimistön alla, niin jo pelkästään tämä tilanne kuulostaa kohtuulliselta tietoturvauhalta.

Pankkiyhteysohjelmien käyttämien salasanojen säilyttäminen ohjelman sisällä vaihtelee suuresti ja vahva salaus ei välttämättä ole itsestäänselvyys. Viimeaikoina ohjelmien jakaminen ASP- tai SAAS-tyyliin on yleistynyt merkittävästi. Tällöin varsin usein kyse on siitä, että samaa ohjelmaa käytetään useiden täysin toisistaan tietämättömien yritysten pankkiasioiden hoitoon. Tällöin olisi ensiarvoisen tärkeää varmistua siitä, että yritys A ei voi missään olosuhteissa nähdä yrityksen B tietoja. Markkinoilla on useiden eri valmistajien toteutuksia, ja ikäväkseni on todettava, että kaikissa tapauksissa tämä itsestään selvyydeltä vaikuttava seikka ei tarkemmin tarkasteltuna olekaan aina kovin selvää.

Yrityskulttuurit ovat myös usein varsin kypsymättömiä tietoturvaan ja sen merkitykseen. Aikaisemmin jo viittasin tilanteisiin, joissa muutenkin varsin yksinkertaista salasanaa säilytetään esimerkiksi näppäimistön alla. Kovin harvassa ovat ainakin pienemmissä yrityksissä ne, joissa käyttöoikeuksia on mitenkään rajattu. Esimerkiksi pienelläkin tilitoimistolla saattaa olla helposti useiden kymmenien yritysten pankkitilit käytettävissään. Eikä ole mitenkään poikkeuksellista, että kaikilla yrityksen työntekijöillä on näihin tileihin pääsy ja tilien käyttöön ei liity minkäänlaisia rajoituksia. Tilannetta hankaloittaa vielä entisestään tietotekniikkaan usein liittyvät ongelmat, joissa yritykset käyttävät IT-alan yrityksiä apunaan. Asentajalle, jota yrityksessä kukaan ei välttämättä ole koskaan nähnytkään, annetaan tyypillisesti ensimmäisenä pankkiyhteysohjelman pääkäyttäjän salasanat, jotta hän pääsee ongelman selvityksen kimppuun. Ja koska näitä salasanoja ei yleensä muuteta, niin tämä paperinkulmaan kirjoitettu tunnus saattaa hyvin kulkeutua asentajan taskussa yrityksestä ulos ja antaa asentajalle mahdollisuuden käyttää salasanaansa hyödyksi vielä vuosien kuluttua. Ja kuinka moni meistä pankkiyhteysohjelmien kanssa työskennelleistä on koskaan tullut asiaa edes ajatelleeksi.

Yritysten käyttämien pankkiyhteysohjelmien käyttöön, sekä taustalla olevaan tekniikkaan, liittyy tietoturvauhkia huomattavasti enemmän kuin kuluttajien käyttämiin verkkopankkeihin. Samaan aikaan yritysten kautta liikkuvat rahasummat ovat tyypillisesti huomattavasti suurempia kuin kuluttajien tileillään liikuttelemat summat. Olen keskustellut asiasta jo useiden vuosien ajan sekä pankkiyhteysohjelmia valmistavien ohjelmistotalojen, että pankkiyhteysohjelmia käyttävien yritysten kanssa. Tyypillistä näille keskusteluille on ollut ongelman vähättely tai kiistäminen. Mitään ongelmiahan ei ole tyypillisesti ole ollut ennenkään, joten eihän niitä odoteta tulevan jatkossakaan. Pelkään, että tähän epäkohtaan puututaan todenteolla vasta sitten, kun riittävän suuri vahinko on tapahtunut ja asia on saanut riittävästi julkisuutta. Jos näin joskus tapahtuisi, niin näen jo nyt sielujeni silmillä kuinka sekä yrityksessä olevat käyttäjät, että ohjelmistotalon edustajat kertovat, kuinka kaikki mahdolliset asiat tietoturvan eteen oli tehty ja tapahtunut tuli kaikille suurena yllätyksenä. Nyt kun suuremmilta ongelmilta on vielä toistaiseksi vältytty, niin nyt jos koskaan olisi aika paneutua tähän asiaan niin yrityksissä kuin ohjelmistotaloissakin, ja tehdä tarvittavat korjaukset. Jostain syystä olen kovin skeptinen tähän oma-aloitteiseen asioiden kuntoon laittamiseen, ja uskon tämänkin asian tulevan kuntoon vasta ensimmäisen suuren kriisin kautta.

Tulevissa kirjoituksissani tulen pitämään tietoturva-aspektin mukana. Pyrin nostamaan jatkossakin esille käytännön kokemuksiani niin hyvässä kuin pahassa. Tietoturva on nykyisin erottamaton osa lähes meidän kaikkien arkipäivää, ja sen vuoksi yritän tuoda tietoturvanäkökulmaa esille myös niissä asioissa, joihin sitä ei välttämättä perinteisesti ole osattu liittää.