Krp tutkii tietomurron yritystä

Osuuspankkikeskus torjui sinnikkään hakkerin

Mäkinen ei tiedosta säikähtänyt, vaan istui kokouksessa loppuun asti. Kokouksen jälkeen hän kokosi alaisensa ja alkoi ottaa selvää siitä, mitä oli tekeillä.

Pankin turvajärjestelmä oli hälyttänyt jo muutamaa minuuttia sen jälkeen, kun hakkeri oli alkanut pommittaa OP-keskuksen järjestelmää. Järjestelmä on säädetty varoittamaan, kun tietyn aikavälin sisällä tulee monta väärää yritystä.

Tiedossa ei ole vielä, oliko kyseessä yksi vai useampi henkilö.

Jotta viestien alkuperä saataisiin selville, hakkeroinnin annettiin jatkua rauhassa seuraavaan iltaan asti. Sen jälkeen hakkerointisanomat eliminoitiin verkosta, vaikkei hakkeri tai hakkeroijat sitä itse tiennytkään.

Osuuspankkikeskus ilmoitti asiasta kyseiselle teleoperaattorille ja poliisille, ja jatkoi tilanteen seuraamista.

Samainen hakkerointiyritys jatkui viikon ajan, mikä on Suomessa todella harvinaista. Yleensä hakkeroijat tekevät satunnaisia yrityksiä ja lopettavat, kun turvajärjestelmät eivät sorru ja mielenkiinto lopahtaa.

Tapaus on harvinainen myös siinä suhteessa, että se on ensimmäinen ja ainoa Keskusrikospoliisin tietotekniikkarikosryhmälle sen puolitoistavuotisena olemassaoloaikana ilmoitettu pankin järjestelmiin kohdistuva tietomurron yritys.

Yrityksiä paljon, tulos nolla

- Hakkerointia tapahtuu koko ajan, kertoo Mäkinen. Useimmat yritykset ovat kuitenkin harrastelijamaisia, eikä pankille koidu niistä mitään vahinkoa.

Mäkinen jakaa hämäräperäiset tapaukset kolmeen luokkaan. Suurin osa väärillä tunnuksilla yrittävistä on rehellisiä pankin asiakkaita, jotka ovat unohtaneet oman tunnuksensa, ja yrittävät silti päästä vaikkapa maksamaan laskujaan.

On vaikea vetää rajaa viattomien unohtelijoiden ja niin sanotun opiskelijatyypin välille. Opiskelijatyypiksi Mäkinen nimittää kokeilijoita, jotka kiertävät pankkeja ja muita yrityksiä, ja kokeilevat satunnaisilla isoilla otoksilla onneaan.

He laittavat tietokoneensa lähettämään numero- ja kirjainsarjoja rypäksinä ja toivovat, että oikea salasana osuisi kohdalle.

Kolmas ryhmä ovat maailmalla sattuneet tapaukset, joissa on massiivisilla epäloogisilla yrityksillä yritetty kaataa yrityksen palomuuri tai koko palvelin, jotta järjestelmään tulisi aukko.

Lähes jokainen hakkerointiyritys karsiutuu viimeistään palomuuriin. Se on suodatin, joka erottaa yrityksen sisäisen ja ulkoisen tietoverkon toisistaan.

Joskus hakkerien yritykset kaatuvat jo teleoperaattorien reitittimiin, eikä pankkien ja poliisin tietojen mukaan kukaan ole vielä onnistunut pääsemään millään tavalla pankkien tietojärjestelmiin sisälle.

Merita-Nordbankenin turvallisuusosaston johtaja Kari Oksanen kertoo, ettei pankki ole edes kokenut määrätietoisia hyökkäyksiä, puhumattakaan siitä, että joku olisi onnistunut.

- Olen nyt kymmenen vuotta ollut tässä työssä, enkä ole nähnyt yhtään tapausta, jossa joku olisi pääsyt pankin järjestelmään niin, että olisi voinut sieltä saada rahaa tai tietoa ulos, sanoo Oksanen.

Merita-Nordbankenilla on myös hälytysjärjestelmä, mutta ehkäpä sille on asetettu löysemmät rajat kuin Osuuspankissa, sillä Oksanen kiistää saaneensa yhtään hälytystä.

Yrityskin on aina rikos

Viimesyksyisestä tapauksesta Osuuspankkikeskus teki rikosilmoituksen, mikä on varsin harvinaista. Koska lähes kaikki yritykset ovat harmittomia, ne vain noteerataan ja pankissa seurataan, ettei hakkeroija edisty. Lisäksi ilmoitetaan yhdelle tai useammalle teleoperaattorille, jonka verkkoa rikollisen alku käyttää.

Sekä Osuuspankkikeskus että rikospoliisi ovat tapauksesta melko vähäsanaisia, sillä tekninen analyysi on vielä kesken.

Tietotekniikkarikososaston johtaja, rikosylikomisario Veli-Pekka Loikala kertoo tutkinnan sujuneen hyvin ja ennakoi tuloksia syksylle.

Suurin osa tietomurroista on asianomistajarikoksia, eikä niitä voida tutkia ilman asianomistajan vaatimusta, vaikka hämäräpuuhista tiedettäisiinkin.

Poliisissa epäillään, että tunnetut yritykset eivät imagosyiden takia halua aina ilmoittaa hakkerointia poliisille, koska poliisitutkinnasta tulee aina jossain vaiheessa julkista.

Pankeissa kuitenkin vakuutetaan, että vakavat tapaukset ilmoitetaan aina poliisille.
- Realistisesti katsoen on mahdoton välttyä siltä, että asiakkaat huomaavat. Yleensä ollaan asiakasjärjestelmien kanssa tekemisissä, ja asiakas reagoi jopa tekemällä itse poliisille ilmoituksen, Oksanen selittää.

Hakkerointi sinänsä on yleisnimitys, ja tekotapa määrittää sen, mistä rikosnimikkeestä on kyse. Jos yrittäjä vain käyttää prosessoriaikaa, hän syyllistyy luvattomaan käyttöönottoon. Muita mahdollisia nimikkeitä ovat tietomurto, yritysvakoilu ja kavallus, edellyttäen että joku pääsisi tarpeeksi pitkälle tehdäkseen jotakin.

Pelkkä luvattoman käytön yrityskin on rangaistava teko. Vaikka oikeudellinen seuraamus ei kovin suuri olisikaan, asianomistajan korvausvaatimukset saattavat tuhota hakkerin talouden loppuelämäksi.

- Jos yrityksessä on 50 konetta ja ne kaikki joudutaan rakentamaan uudestaan, kymmenen ihmistä tekee töitä kaksi viikkoa 350 markan tuntipalkalla. Siitä voidaan ruveta vaatimaan pojalta satoja tuhansia, laskee rikosylikonstaapeli Jukka Mäkynen.

Yrityksen kaikki salasanat on vaihdettava ja koneet putsattava, sillä ikinä ei voida olla varmoja siitä, mistä hakkeri on päässyt sisälle.

Tunnetuin esimerkki Suomessa lienee tällä hetkellä amerikkalainen Kevin Mitnick, joka murtautui viisi vuotta sitten Nokian tiedostoihin ja varasti sieltä muun muassa tekeillä olevan kännykkäjärjestelmän tiedot. Mitnickiltä vaaditaan nyt Yhdysvalloissa oikeudessa vahingonkorvauksina noin 750 miljoonaa markkaa.

STT-IA
18.6.1999