Verkon tietoturvassa on moniakin asioita mitä pitäisi vielä parantaa, sillä moni asia on hyvin epäintuitiivinen mikäli ei oikeasti tiedä yllättävänkin paljon IT-puolesta, web-kehityksestä nyt esimerkiksi. Muutamia esimerkkejä:
- Pankit sallii verkkopankin tunnistautumisen integroinnin iframeen, ja kolmannen osapuolen verkkopankkitunnistukset ja toimeksiannot. Tämä tarkoittaa sitä, että vanha ohje “tarkista lukeeko osoitepalkissa pankin oikea osoite, ennen kuin syötät mitään tietoja” ei toimi. Esimerkiksi Säästöpankin tai S-Pankin tunnistautumiseen sut voidaan ohjata Nordean tai OP:n kautta, tai ihan mikä tahansa muu vastaava yhdistelmä. Luottokorttimaksujen varmennuksen hoitaa usein toinen osapuoli, esimerkiksi Säästöpankilla osoitepalkissa voi lukea luottokunta tai samlink, ja molemmat on oikeita osoitteita. Mistä sitten tietää mikä on turvallista? Jos verkkopankki on iframessa, tarkistetaan sen sisällön lähde, vaihtoehtoisesti jos osoite ei täsmää, hyvällä tuurilla verkkopankki kertoo itse vaihtoehtoiset tunnistautumisosoitteet tai käytössä olevat yhteistyökumppanit. Mitenkään aina näin ei ole, ja joskus on pitänyt mennä selailemaan esim. whois-tietokantoja. Pankkitunnusten upottaminen muihin sivuihin tai ulkoistus organisaation ulkopuolelle tulisi kieltää EU-tasolla, tai siirtyä kansalliseen tunnistautumiseen – kuluttajan ei voi olettaa olevan näistä perillä tai käyttävän riittävää huolellisuutta.
- EU vaatii luottokorttiyhtiöitä varmentamaan kortit vain EU:n sisäisissä ostoksissa, tai ellei vaadi, ei ainakaan valvo sitä riittävän tehokkaasti. Tällä hetkellä monet ulkomaiset verkkokaupat (esim. Aliexpress) sallii EU-alueella myönnetyn luottokortin käytön ilman erillistä vahvaa tunnistautumista. EU-alueen luottokorteissa pitäisi olla oletuksena ominaisuus, jossa luottokortin voi sallia maailmanlaajuisesti, mutta vain vahvan tunnistautumisen kautta.
- Pankkien kitinästä huolimatta kansalaisvarmenne pitäisi vihdoinkin saada käyttöön. Omaisuudensuoja ja kilpailulainsäädäntö sikseen, vahva tunnistautuminen on osa yhteiskunnan välttämätöntä infrastruktuuria nykyään, ja jos siihen on olemassa yksityisen tahon valmis ratkaisu niin voi voi. Suomi.fi -tunnistus tulisi tehdä välttämättömäksi jokaiseen vahvaa tunnistautumista vaativaan palveluun, jotta päästään eroon rinnakkaisista järjestelmistä – kokemattomalle on huomattavasti helpompi selittää, että jos palvelun kirjautumisen osoitepalkissa ei lue täsmälleen oikea tunnistautumisosoite, sinne ei yksinkertaisesti silloin kirjauduta.
- Puhelujen ja tekstiviestien käyttö osana vahvaa tunnistautumista tulee kieltää. Ne on toki helppoja, mutta kumpikaan ei ole luotettava tapa tunnistaa käyttäjää, sillä niiden kiertäminen on kohtuuttoman yksinkertaista muihin tapoihin verrattuna. 2FA tulee toteuttaa jollain muulla tavalla, mikäli yksi tunnistustavoista on puhelinnumero, niitä tapoja tarvitaan vähintään kolme.
Kaikkea huijaamista netistä ei saa pois, mutta rahan siirtämisestä voi pyrkiä tekemään riittävän vaikeaa, että vähän hitaammallakin kaverilla pitäisi alkaa hälytyskellot soimaan. Sitä on tässä hiljattain yritettykin, mutta yritykset haraa vastaan ja pilaa järjestelmän – kunnollinen tunnistautuminen vaatii keskitetyn järjestelmän, eikä toimi markkinaehtoisesti. Markkinaehtoinen on käyttäjille liian kankea ja monimutkainen.
Suurin osa verkkohuijauksien kohteista on ihmisiä, joilla ei ole riittäviä taitoja tunnistaa niita huijauksia alkuunkaan. Siksi tuohon käyttäjän omaan ymmärrykseen ei voi oikein luottaa – mikään määrä valistusta ja koulutusta ei auta ongelmaan, ellei se saavuta niitä käyttäjiä, joilla sille on suurin tarve. Toki sille helpoimmalle huijaukselle, jossa vaan kusetetaan ihmistä jossain linkedinin pikaviesteissä, ei mielestäni oikein voi, eikä pidäkään tehdä mitään. Sen sijaan kehittyneempiä huijauksia kyllä pitäisi pyrkiä estämään paremmin.