Dekkarifestivaali
Henkilö tietokoneen ääressä hämärässä
Talousrikollisuus

Identiteettivarkaudet digiaikana

Identiteettivarkaus tarkoittaa toisen henkilön henkilötietojen väärinkäyttöä taloudellisen hyödyn saamiseksi tai muussa rikollisessa tarkoituksessa. Digitalisaation myötä identiteettivarkaudet ovat muuttuneet helpommiksi toteuttaa ja vaikeammiksi havaita.

Suomessa identiteettivarkaus kriminalisoitiin erillisenä rikoksena vuonna 2015. Tapauksia tulee poliisin tietoon tuhansia vuosittain, mutta todellinen määrä on todennäköisesti moninkertainen — moni tapaus jää ilmoittamatta tai huomaamatta.

Miten identiteettivarkaus tapahtuu

Yleisin tapa varastaa identiteetti on tietojenkalastelu eli phishing. Uhri saa sähköpostin tai tekstiviestin, joka näyttää tulevan luotetulta taholta — pankilta, verottajalta tai verkkokaupalta — ja jossa pyydetään kirjautumistietoja tai henkilötunnusta.

Tietomurrot ovat toinen merkittävä lähde. Kun yrityksen tai organisaation tietokanta murtautuu, vuotaneet henkilötiedot päätyvät usein myytäväksi pimeässä verkossa. Yksittäinen tietomurto voi paljastaa miljoonien ihmisten tiedot.

Fyysinen identiteettivarkaus ei ole kadonnut digitalisoitumisesta huolimatta. Varastetut lompakot, postilaatikosta napattavat kirjeet ja roskiksista kerätyt asiakirjat ovat edelleen käytettyjä menetelmiä.

Sosiaalinen manipulointi on edistynein muoto. Rikollinen kerää tietoja uhrista useista lähteistä — sosiaalisesta mediasta, julkisista rekistereistä, vuodetuista tietokannoista — ja rakentaa niistä uskottavan identiteetin, jolla voi asioida uhrin nimissä.

Mitä varastetuilla tiedoilla tehdään

Yleisin käyttötarkoitus on taloudellinen hyödyntäminen. Varastetuilla henkilötiedoilla voidaan avata pankkitilejä, hakea luottoja, tehdä verkko-ostoksia ja siirtää rahaa. Uhri saa tietää tapahtuneesta usein vasta kun perintäkirjeitä alkaa tulla.

Kyberturvallisuuskeskuksen mukaan identiteettivarkaudet liittyvät usein laajempiin rikoskokonaisuuksiin. Varastettu identiteetti voi toimia välineenä rahanpesussa, huumekaupassa tai terrorismin rahoittamisessa.

Identiteettiä voidaan käyttää myös ei-taloudellisiin tarkoituksiin: vainoamiseen, kunnianloukkaukseen tai sosiaalisessa mediassa toimimiseen uhrin nimissä.

Suojautuminen

Täydellistä suojaa identiteettivarkaudelta ei ole, mutta riskiä voi pienentää merkittävästi. Perusperiaatteet ovat yksinkertaisia: vahvat, uniikit salasanat jokaiseen palveluun, kaksivaiheinen tunnistautuminen kaikkialla missä mahdollista ja terve epäluuloisuus odottamattomia viestejä kohtaan.

Henkilötunnuksen jakamista kannattaa välttää. Suomalainen henkilötunnus on ongelmallinen, koska se toimii sekä tunnisteena että todentamisvälineenä. Monissa tilanteissa henkilötunnusta pyydetään turhaan.

Omien tietojen seuranta on tärkeää. Luottotietojen tarkistaminen säännöllisesti, pankkitilien tapahtumien seuranta ja tietovuotojen tarkistaminen esimerkiksi Have I Been Pwned -palvelusta auttavat havaitsemaan väärinkäytökset ajoissa.

Uhrin asema

Identiteettivarkauden uhriksi joutuminen on raskas kokemus. Taloudellisten menetysten lisäksi uhri joutuu käyttämään huomattavasti aikaa ja energiaa tilanteen selvittämiseen — yhteydenottoja pankkeihin, poliisiin, luottotietoyrityksiin ja velkojiin.

Suomen lainsäädäntö suojaa uhria kohtuullisesti. Uhri ei lähtökohtaisesti vastaa varastetulla identiteetillä tehdyistä veloista, mutta todistustaakka voi olla haastava. Asian selvittäminen voi kestää kuukausia.

Psykologinen vaikutus on usein aliarvioitu. Tunne siitä, että joku on tunkeutunut omaan identiteettiin, aiheuttaa ahdistusta ja turvattomuutta, joka voi jatkua pitkään taloudellisten asioiden selvittämisen jälkeenkin.

Tulevaisuuden haasteet

Tekoäly tuo identiteettivarkauksiin uuden ulottuvuuden. Syväväärennökset — väärennetyt ääni- ja videonäytteet — voivat tulevaisuudessa mahdollistaa identiteetin väärinkäytön tavoilla, joita on vaikea havaita.

Digitaalisen identiteetin turvaaminen on yksi tietoyhteiskunnan keskeisimmistä haasteista tulevina vuosina.

Lue myös