Sisältöön

Identiteettivarkaus - SecMeter

Ohita valikko
Ohita valikko

Identiteettivarkaus

Yritysturvallisuus > Kyberturvallisuus
Ohita valikko
Identiteettivarkaus



Suuret tietomurrot henkilörekistereihin johtavat usein myös muihin rikoksiin. Kun henkilörekisteritietoja joutuu vääriin käsiin, seuraukset näkyvät erityisesti identiteettivarkauksien määränä.

Identiteettivarkaus säädettiin rikoslaissa (38 luku 9 a §) rangaistavaksi teoksi perjantaista 4.9.2015 alkaen. Tämän jälkeen, toukokuun 2016 loppuun mennessä, identiteettivarkauksista oli tehty jo 1 657 rikosilmoitusta eli keskimäärin noin 50 viikossa. Tapauksista 300 oli edennyt syyteharkintaan, ja yli 700 oli edelleen esitutkinnassa.
Asia Tapauksia
Poliisin mukaan identiteettivarkaudessa on kyse hankalasti selvitettävästä rikoksesta. Tekijää on vaikea saada selville. Usein tutkinta joudutaan keskeyttämään teon vähäisyyden tai tutkintaresurssien vähäisyyden johdosta. Lähteet: (ksml.fi 8.6.2016, mtv.fi 8.6.2016)

Sisäministeriön vetämä työryhmä laati jo vuonna 2010 raportin, jossa se päätyi tietoverkossa tehdyn identiteettivarkauden kriminalisoimisen kannalle. Vuonna 2013 oikeusministeriön työryhmä antoi mietinnön tietoverkkorikosiin liittyen ja siinä ehdotetaan identiteettivarkauksien kriminalisoimista. Muutoksen on tarkoitus tulla voimaan eduskunnan hyväksymisen jälkeen syksyllä 2015.

Identiteettivarkaus on asianomistajarikos eli syyttäjä nostaa syytteen identiteettivarkaudesta vain, jos asianomistaja ilmoittaa rikoksen syytteeseen pantavaksi.

"Joka erehdyttääkseen kolmatta osapuolta oikeudettomasti käyttää toisen henkilötietoja, välitystietoja tai muuta vastaavaa yksilöivää tietoa ja siten aiheuttaa taloudellista vahinkoa tai vähäistä suurempaa haittaa sille, jota tieto koskee, on tuomittava identiteettivarkaudesta sakkoon."

Rikoksen toteutukseen liittyy tyypillisesti seuraavat kolme vaihetta:

1. Toiselle kuuluvan identiteetin rakentaminen
Identiteettivarkautta edeltää toiselle kuuluvien henkilötietojen kerääminen ja identiteetin rakentaminen (henkilöprofiilin luominen). Henkilötietojen kerääminen ja toiselle kuuluvan identiteetin rakentaminen voi siten olla identiteettivarkauden valmistelua.

Yksittäiseen henkilöön liittyvien tietojen kerääminen ja identiteetin rakentaminen eivät ole rikoksia, ellei tietoja kerätä jonkin rikoslakirikoksen tunnusmerkistön täyttävällä tavalla esimerkiksi murtautumalla henkilörekisteriin. Tietojen kerääminen esimerkiksi roskakoria penkomalla tai papereita lukemalla ei ole rikos.

2. Identiteettivarkaus
Identiteettivarkauden tulee aiheuttaa taloudellista vahinkoa tai vähäistä suurempaa haittaa sille, jonka identiteettiä on luvattomasti käytetty. Näin ollen identiteettivarkauden tunnusmerkistö voi täyttyä konkreettisesti vain toiselle kuuluvan identiteetin käytön yhteydessä.

3. Rikoshyödyn tavoittelu
Toiselle kuuluvan identiteetin käyttäminen hyötymistarkoituksessa täyttää pääsääntöisesti myös jonkin muun rikoslakirikoksen tunnusmerkistön, kuten esimerkiksi petoksen ja/tai asiakirjaväärennöksen tunnusmerkistön.

Henkilörekistereiden suojaamisvelvoite
Henkilötietolain 32 §:n nojalla rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä.

Rekisterinpitäjän vastuu
Henkilötietolain 32 §:n nojalla rekisterinpitäjä on velvollinen korvaamaan sen taloudellisen ja muun vahingon, joka on aiheutunut rekisteröidylle tai muulle henkilölle tämän lain vastaisesta henkilötietojen käsittelystä. Rekisterinpitäjän vahingonkorvausvelvollisuus ei ulotu välillisiin vahinkoihin (esim. asianajokulut).

Identiteettivarkauteen perustuvan rikoksen jalostamiseen liittyviä tietoja voi koota mm. seuraavista lähteistä:

  • tietomurrot henkilörekistereihin (vakoiluohjelmat ja troijalaiset.
  • netissä julkistetut henkilötiedot esim. ansioluettelot, jäsenrekisterit, pöytäkirjat jne.
  • julkiset rekisterit (tietokannat)
  • luettelot ja matrikkelit
  • roskalaatikot
  • kuitit ja lipukkeet esim. pankkiautomaateilla ja kassoilla
  • social engineering–tekniikan hyödyntäminen (petkutus, höynäytys).

Tyypillisiä väärinkäytöksissä hyödynnettyjä tietoja ovat:

  • henkilön nimitiedot
  • postiosoite
  • puhelinnumero
  • pankkitili ja siihen liittyvät tunnukset
  • luottokortin numero
  • luottotiedot
  • henkilötunnus
  • auton rekisteritunnus.

Mikä on henkilörekisterinpitäjälle riittävä tietoturvataso?
Riittävää tietoturvatasoa ei ole määritelty lain tasolla eikä oikeustapausten perusteella. Lähtökohtaisesti henkilörekisterinpitäjän tulee itse arvioida tietoturvatason riittävyys, ottaen huomioon rekisterinpidon laajuuden ja tietojen arkaluonteisuuden.

Suuret identiteettivarkaudet ovat lisääntymässä. Henkilörekisterinpitäjien on suhtauduttava vakavasti henkilötietolain asettamiin tietoturvavaatimuksiin. Henkilötietoja kaupataan internetissä. Kaupan on mm. henkilötunnuksia, luottokorttinumeroita, käyttäjätunnuksia ja salasanoja, PIN-koodeja, sähköpostiosoitteita, työnhakijoiden CV-tietoja ja kaikkea mitä internetiin liitettyihin tietojärjestelmiin on tallennettu.

Miten "sähköiseltä ryöstöltä" voi suojautua

  • Älä klikkaa sähköpostiviestiin liitettyä hyperlinkkiä tai kopioi sitä selainohjelmaasi, ellet ole täysin varma linkin alkuperästä.
  • Käytä roskapostin suodatusohjelmaa.
  • Käytä haittaohjelmien torjuntaohjelmia.
  • Käytä henkilökohtaista palomuuria.
  • Pidä ohjelmistopäivitykset ajan tasalla (käyttöjärjestelmä, sähköposti- ja selainohjelmat).
  • Varmista, että URL osoite on "https:// " -alkuinen ja lukonkuva on selainohjelman näytöllä ennen kuin annat henkilökohtaisia tietoja julkiseen verkkoon.
  • Pidä tietokone puhtaana vakoiluohjelmista (Spyware).
  • Perehdy Internetin turvallisiin käyttötapoihin.
  • Tarkista aina luottokorttilaskusi tapahtumat ja reklamoi heti aiheettomista tapahtumista.
  • Vältä lankeamasta ”vastustamattomien tarjousten” houkutuksiin.

Esimerkki vuoden 2008 suuresta henkilötietokaappauksista
Britannian poliisi oli saanut tutkittavakseen tapauksen, jossa 600 000 ihmisen henkilötiedot joutivat vääriin käsiin. Poliisin mukaan laivaston virkailijan kannettava tietokone oli varastettu autosta, joka oli pysäköity Edgbastonin alueelle Birminghamissa. Varastetun tietokoneen tiedot sisälsivät mm. laivaston (Royal Navy, Royal Marines) ja ilmavoimien (RAF) henkilökunnan passien numeroita, vakuutus- ja pankkitilitietoja. Lähde: (BBC News 19.1.2008)

Esimerkkejä vuoden 2007 suurista henkilötietokaappauksista

  • Eräältä vaatekonsernin alihankkijalta varastettiin kannettava tietokone, jossa oli 800 000 työnhakijan henkilötiedot. Tietokoneen tiedostot olivat salaamatta.
  • Verkko-osakevälittäjä kertoi joutuneensa tietomurron kohteeksi. Murtautujat kaappasivat tietokannasta noin 6,3 miljoonan asiakkaan tiedot.
  • Tavarataloketjun kannettava tietokone varastettiin. Tietokoneessa oli mm. 26 000 työntekijän henkilötiedot.
  • Kalifornialaisen yliopiston tietomurrossa oli 800 000 ihmisen henkilötiedot hakkerin saatavana yli vuoden ajan.
  • Yhdysvaltain liikenneministeriön kannettava tietokone varastettiin. Tietokoneessa oli 133 000 työntekijän henkilötiedot.
  • Amerikkalainen vakuutusyhtiö Nationwide Health Plans kertoi kadottaneensa 28 279 asiakkaansa tiedot lokakuussa 2006 tehdyssä tietomurrossa. Yhtiö kertoi asiasta vasta vuoden 2007 puolella.
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön