Tuulipuvun kasvava huoli Nordnetin tietoturvan tasosta

6
forum
|

Tuntematon käyttäjä (ei varmistettu)

-604
Liittynyt:
23.1.2023
Viestejä:
1399

Tervehdys!

Osakesäästämisen aloitusvuosinani huomioni keskittyi lähinnä osakemarkkinoiden ymmärtämisen ja yrityksen arvonmäärittelyn opiskeluun. Lisäksi sijoitustoiminnassa tavoittelin mahdollisimman alhaisia kustannuksia, jotta tuulipuvunkin viikkorahat saisivat edes jonkinlaista realituottoa. Säästöjen karttuessa ja sijoitusten kasvaessa vuosien varrella oma riskinsietokyky ei ole kuitenkaan juuri muuttunut. 

Saman sijoitussuunnitelman jatkaminen on alkanut tuntua riskisemmältä. Ei sen vuoksi, että sijoitukset sisältäisivät enemmän riskiä, vaan sen vuoksi, että pysyvätkö sijoitukset jatkossa tallessa. Omat kokemukseni sijoituspalveluista ovat rajautuneet Nordnettiin ja Nordeaan. Oon alkanut miettiä, kannattaisiko omistukset hajauttaa huomattavasti useamman osakevälittäjän kesken.

Tuijotan Nordnetin antamia vakuutteluja palvelun turvallisuudesta:

Turvallista Arvopaperikauppaa Verkossa

- Talletustakuu ja sijoittajansuoja

- Vaihda tunnukset säännöllisesti

- Päivitä käyttöjärjestelmääsi 

- Kun olet sisäänkirjautuneena, kaikki sivut ovat myös https-suojattuja. Nordnet käyttää salauskäytäntöä SSL 3.0 ja TLS 1.0

Eli käytännössä käyttäjätilin turvallisuus on sysätty lähes täysin asiakkaan vastuulle, sisäisten tietoturvajärjestelmien tasosta ei ole kerrottu sanaakaan. Asiakkaan varat ovat vakuutettuna sataan kiloon asti yrityksen hakeutuessa konkurssiin. Hakkeroinnilta se ei suojaa. 

 

"Nordnetissä sinulla ei ole mahdollisuutta siirtää salkussasi/tililläsi olevia arvopapereita tai käteisvaroja muille kuin etukäteen ilmoittamillesi vastatileille. Tästä syystä Nordnetin ei ole tarpeellista käyttää vaihtuvia salasanoja, jotka puolestaan ovat tarpeellisia sellaisten tilien yhteydessä, joista asiakas voi siirtää rahaa mille tahansa pankkitilille, toiselle henkilölle, maksaa laskuja tai suorittaa muita vastaavia toimenpiteitä."

En ole tietoturva-alan ekspertti, mutta mulla on sellainen fiilis, että jos joku hakkeri pääsee käyttäjien tileille, hän pystyy jollain tavoin kierrättämään tilin varat sijoitusinstrumenttien avulla itselleen lyhyessä ajassa. En tiedä, miten se käytännössä toimisi, mutta varmasti jollain tavoin mahdollista. Ilkivalta on tietty asia erikseen, voihan tilin varat survoa ilkeyttään pois ulkopuolinenkin ja samalla tavalla tilin omistaja kärsii.

Kun yritin etsiä Nordnetiltä hieman kattavampaa tietoturvaesittelyä tai sitä miten he itse ovat suojanneet tilit ja tunnukset, sellaista ei löytynyt. (https://www.nordnet.fi/mux/login/sakerhet.html) Tietoturva ensisilmäykseltä tuntuu hyvin hataralta: yhden käyttäjätunnuksen ja salasanan (jolle ei ole erityisiä vaatimuksia) takana on tuhansien tuulipukusijoittajien lifetime-säästöjä. Monet online-palvelut kuten Google ja Pokerstars ovat jo pitkään käyttäneet tuplavarmennetta henkilötunnistautumiseen (esim. pin-koodi, mobiili-koodit, security token jne.). Ne ovat olleet saatavilla, mikäli asiakas haluaa parantaa tietoturvaansa ja niitä kehotetaan käyttämään. En ymmärrä, miten Nordnetissä ei panosteta henkilövarmenne-suojaukseen enempää vaikka pelissä tuulipukujen säästöt ja kauluspaitojenkin merkittävät betsaukset. 

Lysähdän Ikeasta ostettuun tuoliini, kun ajattelen muutama viikko sitten esille tullutta AshleyMadison-pettämissivuston tietomurtoa (https://krebsonsecurity.com/2015/07/online-cheating-site-ashleymadison-hacked/), jossa hakkeriryhmä otti sivuston haltuun ja koko user database upattiin arkaluonteisene tietoineen utorrent-sivustolle aiheuttaen miljoonille ihmisille päänvaivaa. En pidä mahdottomana, etteikö tällainen ryhmä voisi murtautua myös osakevälityspalveluihin, kaapata käyttäjätilejä ja jopa hyötyä niistä rahallisesti. Tämäkin uutinen, varsin tuore, tuli mieleeni: http://www.telegraph.co.uk/news/uknews/crime/11414191/Hackers-steal-650-million-in-worlds-biggest-bank-raid.html Artikkelit eivät ainakaan helpota oloa, paranoijat iskevät pintaan ja vievät yöuneni. 

Osaisitteko kertoa muiden välittäjien suojauskäytännöistä? Esim. Lynx, otetaanko siellä asia vakavammin? Kuinka huolissaan hakkerointi-riskistä tulisi olla? Onko näihin tulossa kehitystä lähiaikoina? Pidetäänkö yrityksen sisäiset tietoturvamekanismit tarkoituksella yrityksen omana tietona, eikä niistä kerrota asiakkaille? 

21.8.2015 - 16:15

stempa

+3
Liittynyt:
9.3.2015
Viestejä:
14

Onhan tuosta keskustelua ollut ennenkin. Itse asiaan ei juuri kommenttia, mutta tuohon Ashley Madisoniin liittyen. Tulihan sieltä nimiä ja sähköposteja julki. (Jopa osia luottokorttinumeroista?), mutta kuitenkin itse salasanat olivat sentään salattuina eikä käyttäjätunnukset näin vaarantuneet. 

Lisäksi täytyy ihmetellä ihmisten tyhmyyttä. Kuka rekisteröityy tuollaisille sivuille mm työnantajan sähköpostiosoitteella. Ei riitä ymmärrys.

22.8.2015 - 12:12

Aki Pyysing

+13755
Liittynyt:
16.12.2013
Viestejä:
7058

Mie olen pohdiskellut arvopaperisalkkujen tietoturvaa aina kerran pari vuosikymmenessä. Salkkuun murtautuminen varmaan onnistuu näppärältä pojalta, ainakin jos joku hönö säilyttää käyttistä ja salasanaa avokonttorin pöydällä. Nykyisin olen kiristänyt tietoturvaani. Tunnareita ei ole enää missään paperilla, täytyy vaan pitää pää sen verran selvänä, että muistaa ne.

Mutta olen ollut melko huoleton, koska vaikka tilille pääsee, on varojen kavaltaminen silti melko työlästä ja kiinni jää käytännön varmasti. Pitää treidata salkku tyhjäksi oman vastapuolen kanssa (ei ole niin helppoa kuin kuulostaa) ja tuo vastapuoli löytyy aina jälkikäteen. Erikoisissa kaupoissa Fiva jopa voi viheltää pelin poikki ja kaupat jäädä totutumatta. Lisäksi kun on T+2 voimassa ja käy itse tileillään päivittäin, on aikaa vaatia kauppojen perumista.

Pelitilien suhteen olen ollut huolestuneempi, koska dumppaaminen helpompaa ja rahat siirtyy välittömästi. Kun rahat on jo Balkanilla, kun herää saldon pienuuteen, sinne män. Suojautunut olen lähinnä olemalla välillä pitämättä tileillä kovin isoja summia. Ihmeellistä, että yhtään tiliäni ei ole kaapattu tai hakkeroitu. Voin kertoa kaikille hakkereille, että nyt olette jo myöhässä, kamat on jo vedetty, eli tileillä on vain pikkusummia.

T. Nimim. salasanaani en vaihda.

22.8.2015 - 14:18

Juha

+1402
Liittynyt:
16.12.2013
Viestejä:
1508

Erittäin hyvä keskustelunavaus, on huolettanut itseäkin jossain määrin. Yksi salkuistani on myös Nordnetissa ja tiedustelin mielestäni vähäisen tietoturvan riittävyyttä jokin aika sitten mailitse, vastaus oli seuraava:

"Lähtökohta on se, että asiakas on aina henkilökohtaisesti vastuussa siitä, mitä salkussa tapahtuu ja salkussa tehdyistä toimenpiteistä. Jos kuitenkin käy ilmi, että asiakkuuteesi on hakkeroiduttu, niin kyse on aina lähtökohtaisesti rikosepäilytä ja tällöin on kyse poliisiasiasta. Tällöin asia siirtyy viranomaistutkintaan ja Nordnet tietysti tällöin parhaansa mukaan auttaa asian selvittämisestä."

"PS. Tulevaisuudessa sisäänkirjautumiskäytäntöjä tullaan kehittämään. Tällä hetkellä tietoturvasta vastaavat asiantuntijamme ovat päätyneet siihen ratkaisuun, että vapaasti muutettava käyttäjätunnus-/salasanayhdistelmä antaa riittävän kattavan käyttöturvallisuuden."


Akin postaus rauhoittanee pelkoja hieman.

22.8.2015 - 16:12

sijoituskilpikonna

+26
Liittynyt:
22.11.2014
Viestejä:
121

Tuo yhden salasanan politiikka on Nordnetillä minuakin kuumotellut. Jos en nyt täysin väärin muista tili siirtyi eQ:sta nordnettiin (tai sitten tein tilin, huono muisti) kun eQ lopetti välityksensä ainakin jollain tasolla.
eQ:llahan oli käytössä vaihtuva salasanalappu, joka oli mielestäni huomattavasti turvallisempi vaihtoehto.

22.8.2015 - 16:18

Markus_Bunders

+13
Liittynyt:
22.6.2015
Viestejä:
48

Suomessa nettipankeissa on ihan liioitellut turvakäytännöt. Esim. Itävallassa sisään mennään, kuten Nordnetissä, tosin rahansiirrot vaativat kännykkään tulevan koodin, mutta kyllähän sen kännykänkin kivasti pöllii.

Suoraveloituskin onnistuu pelkästään tilinumeron antamalla ilman mitään vahvistuksia. Joskus myöhemmin tulee sitten joku allekirjoitettava lappu postissa, jos tulee.

Nordnet on riittävän turvallinen. Ylipäätään ongelma ei ole järjestelmän päässä, vaan käyttäjän. Itsellä Spybot ja F-secure ja ajan niillä pitkät tarkistukset melkein joka päivä.

22.8.2015 - 20:04

JR

+5384
Liittynyt:
30.6.2014
Viestejä:
1621

Kaikenlaista jännää ehtii tapahtua kun vanhaksi elää. Voi esim lukea ATK-tietoturvakysymyksen, varautua henkisesti vastaamaan siihen, ja sitten huomata että Aki on jo vastannut täysin tyhjentävästi, ja joiltakin osin kattavammin kuin IT-nörtti itse olisi kyennyt.