Tietomurto on harvoin julkisuudessa eikä riipu yrityksen koosta

Sony
Teksti
Laura Koljonen
Julkaistu yli kolme vuotta sitten

Tietomurrossa viedyt luottokorttitiedot ovat arvokkaita vasta, kun voro saa käsiinsä todentamisnumeronkin.

Sonyn Playstation-palvelusta varastettiin valtavasti tietoja. Yhtiön johtajistoon kuuluvat Shiro Kambe (vas.), Kazuo Hirai ja Shinji Hasejima pahoittelivat ihmisten tietojen päätymistä vääriin käsiin. Kuva Toru Yamanaka / AFP / Lehtikuva.

Elektroniikkajätti Sony joutui huhtikuun lopussa ja toukokuun alussa kahden suuren tietomurron kohteeksi. Yhtiön mukaan murrossa varastettiin 25 miljoonan peliasiakkaan henkilötietoja. Vain viikkoa aikaisemmin yhtiö kertoi, että yli 77 miljoonan pelikonsoli Playstationin verkkopalvelua käyttävän ihmisen henkilökohtaisia tietoja päätyi hakkereille. Niistä 330 000 kappaletta oli suomalaisten henkilötietoja.

Mikäli Sonyn julkisuuteen antamat luvut pitävät paikkaansa, kyseessä on kaikkien aikojen suurin suomalaisia koskeva korttivarkaus. Luottokunnan mukaan suomalaisten kortteja ei kuitenkaan ole suljettu, sillä ei ole varmaa tietoa väärinkäytöstä tai siitä, saivatko varkaat tietoja haltuunsa.

Luottokunnan korttien liikkeellelaskusta vastaava johtaja Jukka Ruotsalainen sanoo, että etäkauppaan tarvitaan sekä luottokortin numero että kolminumeroinen todentamisnumero.

“Sonyltä näitä todentamisnumeroita ei ole välttämättä viety”, hän sanoo.

Useimmat verkkokaupat vaativat ostoksia tehdessä kolminumeroisen luvun. Poikkeuksiakin on.

Esimerkiksi iso amerikkalainen verkkokauppa Amazon ei niitä kysele. Jos Amazon siis joutuu tietomurron kohteeksi, sieltä on saatavissa vain luottokorttinumerot, joilla ei useimmissa verkkokaupoissa vielä tee mitään.

Luottokunnan Jukka Ruotsalaisen mukaan luottokorttien väärinkäyttö on Suomessakin kasvussa mutta ulkomaihin verrattuna vähäistä, sillä poliisin ja pankkien toimivan yhteistyön takia teosta jää helposti kiinni. Noin 90 prosenttia varastetuilla korteilla tehdyistä tapahtumista jää korttiyhtiön haaviin.

Luottokunta sulkee joka vuosi “joistakin sadoista tuhansiin” korttia. Suurin syy on verkkokaupan tietojärjestelmään murtautuminen.

“Perinteinen tapa on ollut asentaa pankkiautomaatille jokin lukulaite, joka onkii kortin salasanan. Se, mitä niistä saa, on aika vähäistä. Tietomurroissa menee aina kerralla suuri määrä luottotietoja.”

Ei velvoitetta kertoa

Sonyn tapauksessa on epäilty, että tietomurto tehtiin näyttämismielessä.

Viestintäviraston tietoturva-asiantuntija Erika Suortti-Myyry kertoo, että yleensä varkaat koettavat saada tietomurron yhteydessä rahanarvoista tietoa.

“Nykyään enää harvoin tehdään tietomurtoja vain näyttämisen halusta tehtyjä.”

Motiivit tietomurron tekemisen vaihtelevat. Suortti-Myyry sanoo, että yleensä isketään johonkin isoon yritykseen, jos halutaan ihmisten maksutietoja. Toinen motiivi voi olla yrityksen toimintaan liittyvän tiedon eli yrityssalaisuuksien onkiminen.

“Tietomurto ei niinkään riipu yrityksen koosta, vaan siitä, onko yrityksellä jotakin rahanarvoista”, Suortti-Myyry sanoo.

Tietomurron tekemiseen on erilaisia tekniikoita. Yleensä hakkeri pyrkii löytämään yrityksestä jonkin heikon kohdan. Yksi tekniikka on lähettää työntekijöille kohdennettuja sähköposteja, jotka sisältävät haittaohjelman. Kun työntekijä avaa sähköpostin, hyökkääjä pääsee tarttuneen haittaohjelman avulla käsiksi yrityksen järjestelmiin tai siirtämään tietoja omalle palvelimelleen.

Toinen yleinen tapa on etsiä verkkosivuilta huonosti toteutettuja palveluita, joiden kautta pääsee käsiksi esimerkiksi salasanoihin.

“Joskus huonon syötteentarkistuksen takia pelkästään www-osoitekentän osaksi syötettyjen komentojen avulla pääsee käsiksi tietokantaan. Julkaisujärjestelmät voivat olla myös haavoittuvaisia, ja sen takia ohjelmistojen pitäisi olla päivitettyjä.”

Suortti-Myyryn mukaan useimmat tietomurrot eivät tule julkisuuteen, sillä on yritykselle aina huonoa näkyvyyttä, jos asiakkaan tai yrityksen tietoja on viety. Esimerkiksi suomalaisiin firmoihin tehtyjä isojen profiilien tietomurtoja ei ole tullut julkisuuteen. Se ei Suortti-Myyryn mukaan tarkoita sitä, etteikö niitä olisi ollut.

“Yrityksillä ei ole lakisääteistä velvoitetta ilmoittaa, jos on tapahtunut tietomurto. Sen takia niiden tilastoiminen on myös mahdotonta.”