TTY / Tietoturvallisuuden jatkokurssi / Harjoitustyö 2012 / Luonnosvaihe

Tuomo Niemi

Sähköisen asioinnin ja verkkokaupan ero

Johdanto

Kirjoituksen tarkoitus on tutkia sähköistä asiointia sekä verkkokauppa toimintaa. Tarkoitus on ensin kuvailla mitä sähköinen asiointi ja verkkokauppa ovat ja kuinka yleisiä ne ovat. Esittelen myös miten sähköistä asiointia käytetään tällä hetkellä ja miten sitä voitaisiin hyödyntää tulevaisuudessa. Tekstissä esitellään myös näissä verkkoasioinneissa käytettäviä tietoturvaratkaisuja. Esittelen myös yleisiä tietoturvaongelmia joita on tapahtunut sekä verkkokaupoissa että sähköisissä asioinneissa.

Sähköinen asiointi

Sähköisellä asioinnilla tarkoitetaan erilaisia viranomaisten tai muiden yhteiskunnallisten yhteisöjen tarjoamia palveluita kuten Kelan erilaiset tukihakemukset, veroilmoitukset tai yleiset pankkipalvelut kuten laskujen maksaminen ja sijoitusten hallinta. Suomessa on vuonna 2003 hyväksytty laki, joka vastaa sähköisen asioinnin ehdoista viranomaistoiminnassa sekä tietoturvallisuuden että asioinnin sujuvuuden osalta [1]. Lain avulla pyritään luomaan vaatimustaso, jota noudattamalla luodaan turvallinen ratkaisu sähköiseen asiointiin. Laissa on määritelty että sähköinen asiointi on, jossa informaatiota kuten lomaketta tai sähköpostia siirretään joko langattomasti tai kaapelia pitkin, kuitenkin puhelua ei lasketa sähköiseksi asioinniksi [1].

Tässä laissa ei käsitelty riittävästi sähköisen asioinnin tunnistautumisen menetelmiä ja vastuuta, niin vuonna 2009 hyväksyttiin laki jossa määritellään kuinka vahvasti ja luotettavasti sähköisissä asioinneissa henkilön tunnistautuminen pitää hoitaa. Laissa määritellään, että vahva tunnistautumismenetelmä vaatii vähintään kaksi seuraavista ratkaisuista, salasana minkä henkilö tietää, sirukortti tai vastaava mikä henkilöllä on hallussaan tai sormenjälki tai muu henkilön yksilöivä menetelmä.[2]

Tunnistus.fi on esimerkki tällaisesta sähköiseen asiointiin tunnistautumista tarjoavista palveluista. Tunnistus.fi tarjoaa sähköisen tunnistautumisen muun muassa Kelan ja verohallinnon tarjoamiin palveluihin. Tunnistus palveluun kirjaudutaan joko omalla henkilökohtaisella pankkitunnuksella tai sirullisella henkilökortilla. Pankkitunnuksilla kirjautuessa pankin tarjoamapalvelu varmentaa, että kyseessä on oikea henkilö.

Esimerkiksi Sampo Pankki käyttää kirjautumisessa tietoliikenneyhteyden turvaamiseksi SSL-protokollaa, sekä hyödyntää Java-teknologiaa ohjelmistotasolla. Tunnistautumisessa Sampo Pankki käyttää kolmea eri tunnusta, kahdeksannumeroista käyttäjätunnusta, neljänumeroista salasanaa sekä vaihtuvaa avain-/turvalukuparia, jossa itse turvaluku on kuusinumeroinen.[4]

Väestönrekisterikeskus tarjoaa Suomen kansalaisille HST-korttia (Henkilön sähköinen tunnistaminen). HST-kortti sisältää sirun, mistä löytyy muun muassa henkilön etu- ja sukunimet sekä sähköinen asiointitunnus (SATU). Sähköinen asiointitunnus on henkilötunnukseen verrattava tapa varmistaa henkilöllisyys. SATU on tietojoukko, joka on muodostunut numeroista ja tarkastusmerkeistä.[5]

Korttia pystytään käyttämään myös kirjautuessa erilaisiin sähköisiin palveluihin. Sitä varten kortille on luotu PIN1 koodi, mikä on 4-8 merkkiä pitkä. Kortilla voidaan myös sähköisesti allekirjoittaa erilaisia dokumentteja, hyödyntäen kortille luotua toista PIN2 koodia. Tämä allekirjoitus on juridisesti yhtä sitova kuin fyysinen allekirjoitus. Nämä kirjautumis- ja allekirjoituspalvelut toteutetaan julkisen avaimen menetelmällä. Allekirjoitukseen käytetään 2048-bittisiä RSA-avaimia ja kirjautumispalveluissa käytetään yleisesti 1024-bittistä RSA-avainta, mutta voidaan myös nykyään käyttää 2048-bittistä.

Verkkokauppa

Verkkokaupalla tarkoitan tässä kaupankäyntiä, jossa kaupankäynti toteutetaan sähköisesti mutta itse tuote tai palvelu tarjotaan asiakkaalle fyysisesti. Toisaalta verkkokauppa on alkanut siirtymään tapaan, missä myös tarjottava palvelu ja tuote myös annetaan asiakkaalle bitteinä. Verkkokauppa toimintaa toteutetaan sekä organisaatioiden välisessä myynnissä että organisaation ja asiakkaan välillä. Painotan tässä tekstissä enemmän organisaation ja asiakkaan väliseen verkkokauppa toimintaan, B2C? business-to-consumer.

B2C? verkkokauppa toiminnalle tärkeitä ensimmäisiä askeleita oli SSL salausprotokollan kehitteleminen vuonna 1994. Samana vuonna Pizza Hut alkoi vastaanottaa pizzatilauksia verkon yli. Seuraavina vuosina syntyi nykyäänkin suuria verkkokauppoja kuten Amazon ja eBay.[3]

Verkkokaupan yleisempiä tietoturva ratkaisuja ovat jo edellä mainittu SSL salausprotokolla tietoliikenneyhteyksien turvaamiseen. Verkkokaupat tarvitsevat ostajista monipuolisia tietoja, kuten nimeä, osoitetta, sähköpostiosoitetta ja joskus jopa henkilötunnusta. Nämä tiedot halutaan säilyttää helpottaakseen markkinointia asiakkaalle. Verkkokaupat säilyttävät nämä tiedot yleensä palvelimillaan sekä salattuina että kryptattuina parantaakseen niiden turvaa.

Verkkokauppa toiminnassa, kun käsitellään rahaa, on maksukorttien tietoturva myös erittäin tärkeässä roolissa. Jotkut verkkokaupat helpottavat maksukorttien tietojen turvaamisen sillä, että eivät tallenna tietoja ollenkaan omiin tietokantoihin esimerkiksi Verkkokauppa.com. Toiset sivustot, esimerkiksi edellä mainittu Amazon tai Sonyn Playstation Network, tallentaa maksukorttien tiedot omiin tietokantoihin helpottaakseen asiakkaan toimintaa, jottei heidän tarvitsisi joka ostoskerralla syöttää niitä uudestaan. Yleensä kortista tallennetaan serverille vain neljä viimeistä numeroa sekä luodaan maksukorttia tarjoavan yrityksen kanssa turvakoodi, millä jatkossa varmennetaan että mikä kortti on kyseessä. Tämä turvakoodi toimii vain tietylle kortille tietyssä verkkokaupassa. Verkkokaupat joutuvat entistä enemmän panostamaan säilytettävien tietojen turvaan, koska monilla maksukorteilla on nykyään ilmainen omavastuu luvattomissa ostoksissa [7].

Riskit ja ongelmat

Tietoturva on tärkeää sekä verkkokauppaa tarjoavalle organisaatiolle että asiakkaalle joka ostaa verkkokaupasta. Verkkokaupan tietoturvaongelmat vaarantavat sekä asiakkaiden henkilökohtaisia tietoja että luovat verkkokaupalle huonon maineen, mikä voi johtaa yrityksen asiakkaiden katoon [6]. Verkkokauppojen suurimmat tietoturvariskit- ja ongelmat kohdistuvat useimmiten käyttäjien antamiin henkilökohtaisiin tietoihin joita he säilyttävät palvelimillaan. Nämä tiedot sijaitsevat palvelimilla salatuissa ja kryptatuissa tiedostoissa. Kuitenkin joissain suurissakin verkkokaupoissa nämä tiedostot ovat palvelimilla kryptaamattomina, mikä tietoturvan kannalta johtaa siihen, että jos organisaation palvelimille päästään käsiksi voidaan ne melko helposti saada sieltä ulos. Koska luottokorttien numeroita ei tarvitse kokonaisuudessaan tallentaa palvelimille, niiden tiedot ovat usein melko hyvässä turvassa.

Asiakkaiden kannalta erilaiset tietojenkalastelu eli ”phishing” yritykset. Näillä pyritään saamaan asiakkaalta tietoja kuten salasanoja, sähköpostiosoitteita ja maksukorttien numeroita. Nämä tietojenkalastelut toteuttaa organisaatioiden ulkopuolinen tekijä, mutta niissä usein käytetään usein organisaation nimeä sähköpostiosoitteessa ja viestissä. Välttääkseen näitä verkkokaupat ja muutkin organisaatiot ilmoittavat usein että eivät kysele mitään luottamuksellista tietoa sähköpostin välityksellä. Tietojen kalastelu on ongelma niin verkkokaupoille kuin sähköistä asiointia tarjoaville palveluntarjoajille.

Sähköinen asiointi on melko turvallista tietoturvan näkökulmasta niin kauan kun käyttäjä ei luovuta tai kadota omia kirjautumismenetelmiin vaadittavia tietoja. Käyttäjän hukatessa esimerkiksi oman sekä HST-korttinsa että kortin PIN tunnuksensa, on käyttäjä itse vastuussa kortilla tehdyistä tapahtumista. Tällaisen tapauksen välttämiseksi, Väestörekisterikeskus suositteleekin että korttia sekä sen PIN tunnuksia säilytetään eri paikoissa.[8]

Vertailu

Sähköistä asiointia ja verkkokauppaa käytetään tällä hetkellä erikseen, vaikka joitain niiden tarjoamia palveluja voitaisiin yhdistää lisätäkseen käyttäjien tietoturvaa. Tällä hetkellä joudutaan luomaan erilaisiin verkkokauppoihin omia tilejä joihin kaikkiin täytyy syöttää samoja tietoja ja siten jakaa omia yksityisiä tietoja monille eri palvelun tarjoajille. Jos verkkokaupat pystyisivät hyödyntämään paremmin esimerkiksi HST-korttien tai pankkien tarjoamia tunnistautumispalveluja, pystyttäisiin vähentämään erilaisten tietokantojen määrää joihin käyttäjien pitää antaa omia tietojaan. Suomen pankit ovat myös luoneet Tupas-tunnistuspalvelun, jonka avulla voidaan tunnistaa käyttäjä pankkitunnusten avulla erilaisiin muihin palveluihin esimerkiksi TTY:llä voi unohtuneen salasanan vaihtaa kirjautumalla TTY:n verkkoon Tupasin avulla.

Sekä sähköisessä asioinnissa että verkkokauppa toiminnassa on monia tietoturvariskejä, mutta suurimmat riskit alkaa olla käyttäjän toiminnassa. Tietoturvakäytännöt alkavat olla näitä palveluja tarjoavissa yrityksissä jo niin hyvät että ne harvemmin johtavat enää ongelmiin. Mutta erilaiset tietojenkalastelut käyttäjiltä, samojen salasanojen käyttö useissa paikoissa tai salasanojen kadottaminen ovat suurimpia syitä yksittäisten henkilöiden tietoturvaongelmiin sekä sähköisessä asioinnissa että verkkokaupoissa.

Päätelmät / yhteenveto

Sähköinen asiointi ja verkkokauppa toiminta ovat yleistymässä kovaa vauhtia ja niiden tietoturva on nousemassa entistä suurempaan rooliin. Yksittäisen henkilön toimintaa vaikeuttaa monet erilaisia käytäntöjä käyttävät näiden palvelujen tarjoajat. Yleisimmät yksittäiseen käyttäjään kohdistuvat tietoturvaongelmat pystyttäisiin melko usein välttämään käyttäjien opettamisella. Tällä hetkellä tarjotaan vielä monia eri palveluja, näitä yhdistelemällä voitaisiin helpottaa käyttäjien toimintaa sekä vähentää tietoturvariskejä.

Lähteet

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Valmisteilla
Tyyppi Ydin
Luokitus Uhkat
Mitä Luottamuksellisuus
Miltä Ihmisetön uhka
Missä Organisaatio
Kuka Titu-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r4 < r3 < r2 < r1 | 
Topic revision: r4 - 09 Dec 2012 - 20:58:03 - TuomoNiemi
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback