keskiviikko 6. joulukuuta 2017

Nordnet tietoturva

Taustaa


Nordnet tietoturva
Jo useampi blogini lukijoista on kertonut olevansa huolissaan Nordnetin tietoturvasta. Tämä on ymmärrettävää - kun puhutaan vuosien, tai jopa vuosikymmenien aikaisista säästöistä, kannattaa toki varmistaa että tiedot ovat luotettavassa paikassa.

Itse en ole ollut lainkaan huolissani asiasta, mutta päätin tutustua asiaan tarkemmin.

Kysyin asiasta Nordnetiltä


Asiat selviää helpoiten kysymällä, joten laitoin sähköpostia Nordnetin markkinointiin. Sain vastauksen 20 minuutissa. Tämä muuten vahvisti aikaisempaa näkemystäni siitä, että Nordnetin asiakaspalvelu toimii erinomaisen hyvin.

Tällä hetkellä Nordnetin IT osasto työskentelee MiFID -nimisen sääntelyhankkeen parissa. Pankkimaailmaa työn kautta jonkun verran tuntevana täytyy muuten sanoa, että sääntelyyn ja lainsäädäntöön liittyvät pakolliset hankkeet maksaa pankeille mansikoita.

Hyvä uutinen on se, että Nordnetin markkinoinnin mukaan kaksivaiheinen tunnistautuminen on tulossa ja se on seuraavana roadmapissa. Itse en ole kovin ihastunut verkkopankkitunnuslistoihin, mutta esimerkiksi tekstiviestillä toimiva lisävarmenne olisi mielestäni erinomaisen hyvä.

Nordnetin kotisivut


Seuraavaksi kävin katsomassa, mitä Nordnetin kotisivut kertovat tietoturvasta.

Nordnetin kautta tehdyille sijoituksille on voimassa talletustakuu ja sijoittajansuoja. Talletustakuu tarkoittaa sitä, että jos sinulla on käteistä Nordnetissä ja pankki olisi maksukyvytön (esimerkiksi konkurssitilanteessa) Ruotsin valtio takaa käteisen 100 000 euron rajaan saakka. Sijoittajansuoja puolestaan tarkoittaa sitä, että asiakkaiden osakeomistukset pidetään erillään pankin omista varoista, jolloin konkurssitilanteessa ne säilyvät asiakkaalla. Lisäksi Ruotsin valtio antaa erillisen takuun 250 000 kruunun rajaan saakka.

Tiedot omistuksista tallennetaan Euroclear Finlandin arvo-osuusrekisteriin, eikä tieto ole pelkästään pankin omien tietojärjestelmien varassa. Tämä on itseasiassa tärkeä asia. Degiro ja muut halpisvaihtoehdot toimivat hallintarekisterin kautta ja pankki pitää itse kirjaa asiakkaiden omistuksista. En tiedä kuinka hyvin varojen erottelu toimii tällaisessa tilanteessa.

Henkilökohtainen tietoturva on kaiken A ja O:
  • Älä koskaan luovuta käyttäjätunnusta tai salasanaa muille.
  • Käytä riittävän pitkää ja monimutkaista salasanaa (erikoismerkit, capsit, numerot).
  • Vaihda salasana riittävän usein.
  • Kommunikoi asiakaspalvelun kanssa vain puhelimitse, tai verkkopalvelun kautta. Ei sähköpostitse.
  • Selain liikennöi palvelun kanssa suojatulla yhteydellä (HTTPS).
  • Päivitä tietokoneesi käyttöjärjestelmä säännöllisesti on aja ohjelmistojen tietoturvapäivitykset riittävän usein.

Suurin osa tietoturvaongelmista ei muuten ole teknisiä, vaan inhimillisiä. Omalla käyttäytymiselläsi on suurin vaikutus tietoturvaan. Esimerkiksi erääseen ydinvoimalaan saatiin vaarallinen virus hyvin yksinkertaisella tavalla - voimalan parkkipaikalle pudotettiin USB -tikku, jossa oli virus. Joku työntekijöistä löysi sen, eikä malttanut olla katsomatta mitä sieltä löytyy. Yksinkertaisella, inhimilliseen uteliaisuuteen perustuvalla, kikalla ohitetiin miljoonien eurojen suojajärjestelmät.

Pohjoismaalaisuus


Minulle on tärkeää palvelun pohjoismaalaisuus. Palvelut kuuluu tutun lainsäädännön piiriin ja jos jotain väärinkäytöksiä tulisi, viranomaisilla on realistiset mahdollisuudet asiaa selvitää.

Tietomurrot yleisesti


Julkisuuteen ei ole tietääkseni tullut yhtä ainutta Nordnet pankissa tapahtunutta varkautta. Kivijalkapankkien osalta taas erilaisista huijauskampanjoista uutisoidaan säännöllisesti. Ne ovat valitettavan yleisiä ja myös ilmeisen onnistuneita. Sadoista tuhansista ihmisistä aina joku menee halpaan.

Myös luottokorttien avulla erilaisia varkauksia ja huijauksia tapahtuu paljon. Niistä uutisoidaan vähän, koska pankkien ja luottokorttiyhtiöiden intresseissä ei ole tuoda niitä julkisuuteen. Luottokorttiyhtiöt ottavat mielummin muutamien tuhansien eurojen varkauksia omalle kontolleen kuin riskeeraavat oman brändinsä. Esimerkiksi Visa on sen verran arvokas brändi, että sen ylläpitämiseksi kannattaa maksaa melkoisia korvauksia väärinkäytösten peittämiseksi.

Yhteenveto


Tämä oli itsellenikin hyvä muistutus henkilökohtaisen tietoturvan merkityksestä. Tämän selvityksen jälkeen olen oikeastaan vielä vähemmän huolissani Nordnetin tietoturvasta kuin aikaisemmin. Tietoturva-asiat on mielestäni otettu hyvin huomioon ja niitä kehitetään edelleen. Kaksivaiheinen kirjautuminen on hyvä lisävarmenne.


7 kommenttia:

  1. Kaksivaiheisen tunnistautumisen piti tulla jo tänä vuonna, mutta se siirtyi sitten eteenpäin kaiken maailman turhien EU-direktiivien takia. Kuka tietää milloin tuo parannus olisi valmis.

    Kuten jo tuossa aikaisemmassa kommentissani sanoin, niin tunkeutuminen Nordnetin tilille ei ole vaikeaa. Se ei tapahdu fyysisesti tunnaria ja salasanaa varastamalla vaan _elektronisesti_. Tuossa esimerkki:
    https://addons.mozilla.org/en-US/firefox/addon/kl/

    Jos varkaus tapahtuisi haittaohjelman takia niin kun kysyin Nordnetilta kantaa miten korvaus menee tällaisessa tapauksessa. He sanoivat vain seuraavaa:
    "Älä luovuta tunnuksia kenellekään, pidä ne siis turvassa."
    "Varkauksia ei ole (vielä) tapahtunut. Jos sattuisi tapahtumaan niin ne katsotaan tapauskohtaisesti."
    "Jos olet huolissasi tietoturvasta niin seuraa salkkuasi päivittäin."

    He eivät tunnu ottavan huomioon ollenkaan elektronisia varkauksia. Ei muuten paljoa lämmitä kun 7 vuoden säästöt haihtuvat ilmaan ja Nordnet syyttää sinua huolimattomuudesta. Sanoisin, että Nordea muuten melko todennäköisesti korvaisi menetyksesi.

    VastaaPoista
    Vastaukset
    1. Jep, EU -lainsäädännöt kuormittaa vakuutusyhtiötä ja pankkeja kohtuuttomasti. Niihin liittyy niin rankat sanktiot, että ne on pakko toteuttaa. Nämä GDPR ym asiat ovat käytännössä täyttä hölynpölyä. Edes IT -toimittajat eivät näistä turhista hankkeista mitään hyödy, koska investoinnit ovat pois pankkien muista hankkeista.

      Jos kysyt mistä tahansa pankista, mikään niistä ei taatusti lupaa korvata vahinkoa, joka aiheutuu siitä, että asiakkaan koneella on haittaohjelma. Käytännössä voi kuitenkin olla että pankit näitä korvaavat - maineensa takia.

      Kaksivaiheinen tunnistautuminen on hyvä suoja tällaisia vastaan - toivottavasti se saadaan pian käyttöön.

      Poista
  2. Minuakin kyllä aluksi hirvitti Nordnetin yksinkertainen tunnistautuminen. Toki se on näppärä ja siihen on tottunut, mutta ei varmaan uskaltaisi olemassaolevaa ~100 ke salkkua sinne siirtää. Nyt kun on pikkuhiljaa karttunut, niin jotenkin se ei tunnu niin pahalta :)

    Kumman vähän kuitenkin ollut väärinkäytöksiä.. kun ajattelee, että aika paljon kiusaa voisi tehdä tuolla, vaikkei vorot saisivatkaan mitään etua itselleen. Aion kyllä ottaa vahvemman tunnistautumisen käyttöön heti kun mahdollista.

    VastaaPoista
    Vastaukset
    1. Kyllä näitä asioita on hyvä aina välillä pohtia. Kiusanteko kun ei rajoitu finninaamojen harrastuksiin, vaan myös valtiot tekevät sitä ihan organisoidusti.

      Kovin helppoa se ei kuitenkaan ole. Hakkerin pitäisi jotain kautta tunnistaa henkilöitä, jotka ovat Nordnetin asiakkaita, ottaa haltuunsa näiden koneet ja saada sinne vaikka tuo edellä mainittu Firefox add-on asennettua.

      Täydellistä suojautumista ei ole olemassa. Sama kuin reaalimaailmassakin. En voi käytännössä mitenkään suojautua jos joku päättäisi vaikka ampua minut. Elämä on vaarallista.

      Täytyykin käydä muuten vaihtamassa Nordnetin salasana :) Se on ollut mulla jo aika pitkään sama.

      Poista
  3. Tuli vielä yksi asia mieleen.

    Eräässä tapahtumassa OP:n edustaja kertoi heidän verkkopankin suunnittelusta. Desiginissa ei keskitytä varsinaisen tietoturvaan (se on eri porukan vastuulla) vaan turvallisuudentunteeseen. Monet asiat toimivat verkkopankissa juuri tietyllä tavalla, koska se luo käyttäjälle turvallisuudentunnetta.

    VastaaPoista
  4. Itse laitoin samaisesta asiasta viestiä Nordnetin asiakaspalveluun reilu vuosi sitten. Vastaukseksi sain, että se tullaan implementoimaan pian. Sitä odotellessa. Kaksivaiheinen tunnistus olisi mielestäni must, koska keyloggerit (kerää kirjautumistiedot) ovat yleisiä.

    VastaaPoista
    Vastaukset
    1. Joo, ilmeisesti lakisääteiset hankkeet ovat ajaneet tämän yli. EU säätely on kyl hanurista - ne vie vain panostukset oikeasti tärkeistä asioista ihan älyttömiin juttuihin.

      Poista

Related Posts Plugin for WordPress, Blogger...