Identiteettivarkaus - SecMeter

Sisältöön

Identiteettivarkaus

Yritysturvallisuus > Kyberturvallisuus
Suuret tietomurrot henkilörekistereihin johtavat myös muihin rikoksiin. Henkilörekisteritietojen joutuminen vääriin käsiin näkyy erityisesti identiteettivarkauksien kohdalla.

Vuonna 2013 identiteettivarkauksiin perustuvia petosrikoksia poliisi kirjasi noin 9 400. Vuonna 2014 syyskuuhun mennessä poliisi oli kirjannut vastaavia rikoksia jo yli 8 000.

Identiteettivarkaus säädettiin perjantaista 4.9.2015 alkaen rikoslaissa (38 luku 9 a §) rangaistavaksi teoksi. Tämän jälkeen vuoden 2016 toukokuun loppuun mennessä identiteettivarkauksista oli tehty jo 1 657 rikosilmoitusta, eli noin 50 rikosilmoitusta viikossa. Tapauksista 300 oli lähtenyt syyteharkintaan ja yli 700 oli edelleen tutkinnassa.

Poliisin mukaan identiteettivarkaudessa on kyse hankalasti selvitettävästä rikoksesta. Tekijää on vaikea saada selville. Usein tutkinta joudutaan keskeyttämään teon vähäisyyden tai tutkintaresurssien vähäisyyden johdosta. Lähteet: (ksml.fi 8.6.2016, mtv.fi 8.6.2016)

Sisäministeriön vetämä työryhmä laati jo vuonna 2010 raportin, jossa se päätyi tietoverkossa tehdyn identiteettivarkauden kriminalisoimisen kannalle. Vuonna 2013 oikeusministeriön työryhmä antoi mietinnön tietoverkkorikosiin liittyen ja siinä ehdotetaan identiteettivarkauksien kriminalisoimista. Muutoksen on tarkoitus tulla voimaan eduskunnan hyväksymisen jälkeen syksyllä 2015.

Identiteettivarkaus on asianomistajarikos eli syyttäjä nostaa syytteen identiteettivarkaudesta vain, jos asianomistaja ilmoittaa rikoksen syytteeseen pantavaksi.

"Joka erehdyttääkseen kolmatta osapuolta oikeudettomasti käyttää toisen henkilötietoja, välitystietoja tai muuta vastaavaa yksilöivää tietoa ja siten aiheuttaa taloudellista vahinkoa tai vähäistä suurempaa haittaa sille, jota tieto koskee, on tuomittava identiteettivarkaudesta sakkoon."

Rikoksen toteutukseen liittyy tyypillisesti seuraavat kolme vaihetta:

1. Toiselle kuuluvan identiteetin rakentaminen
Identiteettivarkautta edeltää toiselle kuuluvien henkilötietojen kerääminen ja identiteetin rakentaminen (henkilöprofiilin luominen). Henkilötietojen kerääminen ja toiselle kuuluvan identiteetin rakentaminen voi siten olla identiteettivarkauden valmistelua.

Yksittäiseen henkilöön liittyvien tietojen kerääminen ja identiteetin rakentaminen eivät ole rikoksia, ellei tietoja kerätä jonkin rikoslakirikoksen tunnusmerkistön täyttävällä tavalla esimerkiksi murtautumalla henkilörekisteriin. Tietojen kerääminen esimerkiksi roskakoria penkomalla tai papereita lukemalla ei ole rikos.

2. Identiteettivarkaus
Identiteettivarkauden tulee aiheuttaa taloudellista vahinkoa tai vähäistä suurempaa haittaa sille, jonka identiteettiä on luvattomasti käytetty. Näin ollen identiteettivarkauden tunnusmerkistö voi täyttyä konkreettisesti vain toiselle kuuluvan identiteetin käytön yhteydessä.

3. Rikoshyödyn tavoittelu
Toiselle kuuluvan identiteetin käyttäminen hyötymistarkoituksessa täyttää pääsääntöisesti myös jonkin muun rikoslakirikoksen tunnusmerkistön, kuten esimerkiksi petoksen ja/tai asiakirjaväärennöksen tunnusmerkistön.

Henkilörekistereiden suojaamisvelvoite
Henkilötietolain 32 §:n nojalla rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä.

Rekisterinpitäjän vastuu
Henkilötietolain 32 §:n nojalla rekisterinpitäjä on velvollinen korvaamaan sen taloudellisen ja muun vahingon, joka on aiheutunut rekisteröidylle tai muulle henkilölle tämän lain vastaisesta henkilötietojen käsittelystä. Rekisterinpitäjän vahingonkorvausvelvollisuus ei ulotu välillisiin vahinkoihin (esim. asianajokulut).

Identiteettivarkauteen perustuvan rikoksen jalostamiseen liittyviä tietoja voi koota mm. seuraavista lähteistä:

  • tietomurrot henkilörekistereihin (vakoiluohjelmat ja troijalaiset.
  • netissä julkistetut henkilötiedot esim. ansioluettelot, jäsenrekisterit, pöytäkirjat jne.
  • julkiset rekisterit (tietokannat)
  • luettelot ja matrikkelit
  • roskalaatikot
  • kuitit ja lipukkeet esim. pankkiautomaateilla ja kassoilla
  • social engineering–tekniikan hyödyntäminen (petkutus, höynäytys).

Tyypillisiä väärinkäytöksissä hyödynnettyjä tietoja ovat:

  • henkilön nimitiedot
  • postiosoite
  • puhelinnumero
  • pankkitili ja siihen liittyvät tunnukset
  • luottokortin numero
  • luottotiedot
  • henkilötunnus
  • auton rekisteritunnus.

Mikä on henkilörekisterinpitäjälle riittävä tietoturvataso?
Riittävää tietoturvatasoa ei ole määritelty lain tasolla eikä oikeustapausten perusteella. Lähtökohtaisesti henkilörekisterinpitäjän tulee itse arvioida tietoturvatason riittävyys, ottaen huomioon rekisterinpidon laajuuden ja tietojen arkaluonteisuuden.

Suuret identiteettivarkaudet ovat lisääntymässä. Henkilörekisterinpitäjien on suhtauduttava vakavasti henkilötietolain asettamiin tietoturvavaatimuksiin. Henkilötietoja kaupataan internetissä. Kaupan on mm. henkilötunnuksia, luottokorttinumeroita, käyttäjätunnuksia ja salasanoja, PIN-koodeja, sähköpostiosoitteita, työnhakijoiden CV-tietoja ja kaikkea mitä internetiin liitettyihin tietojärjestelmiin on tallennettu.

Miten "sähköiseltä ryöstöltä" voi suojautua

  • Älä klikkaa sähköpostiviestiin liitettyä hyperlinkkiä tai kopioi sitä selainohjelmaasi, ellet ole täysin varma linkin alkuperästä.
  • Käytä roskapostin suodatusohjelmaa.
  • Käytä haittaohjelmien torjuntaohjelmia.
  • Käytä henkilökohtaista palomuuria.
  • Pidä ohjelmistopäivitykset ajan tasalla (käyttöjärjestelmä, sähköposti- ja selainohjelmat).
  • Varmista, että URL osoite on "https:// " -alkuinen ja lukonkuva on selainohjelman näytöllä ennen kuin annat henkilökohtaisia tietoja julkiseen verkkoon.
  • Pidä tietokone puhtaana vakoiluohjelmista (Spyware).
  • Perehdy Internetin turvallisiin käyttötapoihin.
  • Tarkista aina luottokorttilaskusi tapahtumat ja reklamoi heti aiheettomista tapahtumista.
  • Vältä lankeamasta ”vastustamattomien tarjousten” houkutuksiin.

Esimerkki vuoden 2008 suurestahenkilötietokaappauksista
Britannian poliisi oli saanut tutkittavakseen tapauksen, jossa 600 000 ihmisen henkilötiedot joutivat vääriin käsiin. Poliisin mukaan laivaston virkailijan kannettava tietokone oli varastettu autosta, joka oli pysäköity Edgbastonin alueelle Birminghamissa. Varastetun tietokoneen tiedot sisälsivät mm. laivaston (Royal Navy, Royal Marines) ja ilmavoimien (RAF) henkilökunnan passien numeroita, vakuutus- ja pankkitilitietoja. Lähde: (BBC News 19.1.2008)

Esimerkkejä vuoden 2007 suurista henkilötietokaappauksista

  • Eräältä vaatekonsernin alihankkijalta varastettiin kannettava tietokone, jossa oli 800 000 työnhakijan henkilötiedot. Tietokoneen tiedostot olivat salaamatta.
  • Verkko-osakevälittäjä kertoi joutuneensa tietomurron kohteeksi. Murtautujat kaappasivat tietokannasta noin 6,3 miljoonan asiakkaan tiedot.
  • Tavarataloketjun kannettava tietokone varastettiin. Tietokoneessa oli mm. 26 000 työntekijän henkilötiedot.
  • Kalifornialaisen yliopiston tietomurrossa oli 800 000 ihmisen henkilötiedot hakkerin saatavana yli vuoden ajan.
  • Yhdysvaltain liikenneministeriön kannettava tietokone varastettiin. Tietokoneessa oli 133 000 työntekijän henkilötiedot.
  • Amerikkalainen vakuutusyhtiö Nationwide Health Plans kertoi kadottaneensa 28 279 asiakkaansa tiedot lokakuussa 2006 tehdyssä tietomurrossa. Yhtiö kertoi asiasta vasta vuoden 2007 puolella.

MIESTEN EPÄILTIIN PENKONEEN HENKILÖTIETOJA ROSKALAATIKOISTA
Kolme nuorta miestä kalasteli henkilötietoja penkomalla roskalaatikoita ja tunkeutumalla verkkopalveluihin. Väärien identiteettien avulla miehet tekivät noin kolmisenkymmentä verkko-ostosta. Kertaostosten arvo oli noin 1•000 euron luokkaa.

Verkkokaupat toimittivat tilatut tuotteet noutopisteisiin. Noutopisteistä tuotteet haettiin väärennettyjen valtakirjojen avulla. Hankitut tuotteet myytiin pääosin eteenpäin. Petoksen kohteeksi joutuneet henkilöt havahtuvat saamiinsa laskuihin.

Kanta-Hämeen käräjäoikeus vangitsi miehet 5.9.2012 petoksista epäiltyinä. Heidän kerrottiin tilanneen verkkokaupoista mm. elektroniikkaa yli 20 000 euron arvosta. Lähteet: (ees.fi 5.9.2012, hameensanomat.fi 5.9.2012)

HAKKERI VARASTI 130 MILJOONAN MAKSUKORTIN TIEDOT
Hakkeri onnistui varastamaan 130 miljoonan maksukortin tiedot yli 250 yrityksen tietojärjestelmistä. Kyseessä oli Yhdysvaltain historian tähän asti laajin identiteettivarkaus. Hakkerilla oli aikaisempia tuomioita vastaavista rikoksista. Hakkeria avusti todennäköisesti kaksi venäläistä apuria, joita ei onnistuttu tavoittamaan. 28-vuotiaalla hakkerilla oli edessään jopa 25 vuoden vankeustuomio. Lähde: (kauppalehti.fi 30.12.2009)

PANKKITILILLÄ LUVATON SUORAVELOITUS
Tunnettu brittiläinen autotoimittaja Jeremy Clarkson ei uskonut, että pankkitiliä on mahdollista ryöstää pelkkien identiteettitietojen perusteella. Toimittaja päätti julkaista Barclays pankin tilinumeronsa, pankin ja konttorin ilmaisevan ns. sort coden, sekä antoi joitakin lisätietoja mm. omasta autostaan The Sun sanomalehdessä.

Pian hän joutui toteamaan olleensa väärässä, kun hänen tililleen oli ilmestynyt "tyhjästä" määräajoin toistuva suoraveloitus erään diabetes -järjestön tilille. Kokeilussa toimittaja ehti menettää 500 puntaa. Lähde: (BBC NEWS 7.1.2008)

KUNINKAALLINEN VERO- JA TULLIVIRASTO HUKKASI 25 MILJOONAN KANSALAISEN TIEDOT
Kuninkaallinen vero- ja tullivirasto kadotti Britanniassa kaksi cd-levyä, joihin oli tallennettu 25 miljoonan kansalaisen henkilötietoja. Levyt sisälsivät tietoja mm. alle 16-vuotiaista lapsista, heidän vanhemmistaan, sosiaaliturvatunnukset, osoitteet, syntymäajat ja pankkiyhteystiedot. Tietojen joutuminen vääriin käsiin mahdollistaa esimerkiksi identiteettivarkaudet. Tapahtuman johdosta pankkien palvelunumerot ruuhkautuivat hätääntyneiden asiakkaiden soitoista.

Vero- ja tulliviraston virkamies oli lähettänyt cd-levyt kirjaamattomana postipakettina virastolle, joka valvoo julkisia menoja. Paketti ei saapunut koskaan perille, eikä pakettia etsinnöistä huolimatta myöhemmin löydetty. Kuriiriyhtiö TNT:n edustajat totesivat, ettei pakettia oltu kirjattu ja siksi ei ollut myöskään näyttöä, että kuriiriyhtiö olisi sen hukannut.

Levyllä olevat tiedot oli suojattu salasanalla. Tiedot oli tallennettu levyille selväkielisessä muodossa salakirjoittamattomina. Britannian valtiovarainministeri kuvaili tapahtumaa katastrofaaliseksi, ennenkuulumattomaksi ja anteeksiantamattomaksi. Vero- ja tullivirasto pääjohtaja Paul Gray joutui eroamaan tehtävästään tietosuojaskandaalin vuoksi.

Kiistatonta näyttöä tietojen joutumisesta vääriin käsiin ei saatu. FBI:n petosasiantuntija oli varma, että kyseessä ei ollut vahinko. Petosasiantuntija kertoi mielipiteenään, että uskoi jonkun maksaneen tietojen varastamisesta ja että vastaavaa tapahtuu kaiken aikaa. Lähteet: (Anssi Miettinen, Helsingin Sanomat 20.11.2007, 21.11.2007, Digitoday 21.11.2007, 4.1.2008)

AJONEUVOREKISTERI KATOSI
Britannian ei tarvinnut odottaa pitkään toista tietosuojaskandaaliaan. Kuljetuksen aikana katosi jälleen kaksi cd-levyä, jotka sisälsivät lähes 8000 ajoneuvon ja 6000 omistajan tiedot. Tiedostot olivat levyillä salaamattomina. Pohjois-Irlannin ympäristöministeri totesi, että tietoja tuskin enää löytyy. Lähde: (Digitoday, Marko Mannila 13.12.2007)

VÄÄRENNETTY HENKILÖLLISYYSTODISTUS
Väärennetyllä henkilöllisyystodistuksella (eduskunnan varapuhemies Markku Koskisen identiteetti) huijari sai haltuunsa Herttoniemen Vehosta 80 000 euron arvoisen Mercedes-Benzin ja Laakkosen autoliikkeestä suunnilleen yhtä kalliin BMW:n. Lähde: (Iltalehti 31.3.2005)

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön