Tuulipuvun kasvava huoli Nordnetin tietoturvan tasosta
Tervehdys!
Osakesäästämisen aloitusvuosinani huomioni keskittyi lähinnä osakemarkkinoiden ymmärtämisen ja yrityksen arvonmäärittelyn opiskeluun. Lisäksi sijoitustoiminnassa tavoittelin mahdollisimman alhaisia kustannuksia, jotta tuulipuvunkin viikkorahat saisivat edes jonkinlaista realituottoa. Säästöjen karttuessa ja sijoitusten kasvaessa vuosien varrella oma riskinsietokyky ei ole kuitenkaan juuri muuttunut.
Saman sijoitussuunnitelman jatkaminen on alkanut tuntua riskisemmältä. Ei sen vuoksi, että sijoitukset sisältäisivät enemmän riskiä, vaan sen vuoksi, että pysyvätkö sijoitukset jatkossa tallessa. Omat kokemukseni sijoituspalveluista ovat rajautuneet Nordnettiin ja Nordeaan. Oon alkanut miettiä, kannattaisiko omistukset hajauttaa huomattavasti useamman osakevälittäjän kesken.
Tuijotan Nordnetin antamia vakuutteluja palvelun turvallisuudesta:
Turvallista Arvopaperikauppaa Verkossa
- Talletustakuu ja sijoittajansuoja
- Vaihda tunnukset säännöllisesti
- Päivitä käyttöjärjestelmääsi
- Kun olet sisäänkirjautuneena, kaikki sivut ovat myös https-suojattuja. Nordnet käyttää salauskäytäntöä SSL 3.0 ja TLS 1.0
Eli käytännössä käyttäjätilin turvallisuus on sysätty lähes täysin asiakkaan vastuulle, sisäisten tietoturvajärjestelmien tasosta ei ole kerrottu sanaakaan. Asiakkaan varat ovat vakuutettuna sataan kiloon asti yrityksen hakeutuessa konkurssiin. Hakkeroinnilta se ei suojaa.
"Nordnetissä sinulla ei ole mahdollisuutta siirtää salkussasi/tililläsi olevia arvopapereita tai käteisvaroja muille kuin etukäteen ilmoittamillesi vastatileille. Tästä syystä Nordnetin ei ole tarpeellista käyttää vaihtuvia salasanoja, jotka puolestaan ovat tarpeellisia sellaisten tilien yhteydessä, joista asiakas voi siirtää rahaa mille tahansa pankkitilille, toiselle henkilölle, maksaa laskuja tai suorittaa muita vastaavia toimenpiteitä."
En ole tietoturva-alan ekspertti, mutta mulla on sellainen fiilis, että jos joku hakkeri pääsee käyttäjien tileille, hän pystyy jollain tavoin kierrättämään tilin varat sijoitusinstrumenttien avulla itselleen lyhyessä ajassa. En tiedä, miten se käytännössä toimisi, mutta varmasti jollain tavoin mahdollista. Ilkivalta on tietty asia erikseen, voihan tilin varat survoa ilkeyttään pois ulkopuolinenkin ja samalla tavalla tilin omistaja kärsii.
Kun yritin etsiä Nordnetiltä hieman kattavampaa tietoturvaesittelyä tai sitä miten he itse ovat suojanneet tilit ja tunnukset, sellaista ei löytynyt. (https://www.nordnet.fi/mux/login/sakerhet.html) Tietoturva ensisilmäykseltä tuntuu hyvin hataralta: yhden käyttäjätunnuksen ja salasanan (jolle ei ole erityisiä vaatimuksia) takana on tuhansien tuulipukusijoittajien lifetime-säästöjä. Monet online-palvelut kuten Google ja Pokerstars ovat jo pitkään käyttäneet tuplavarmennetta henkilötunnistautumiseen (esim. pin-koodi, mobiili-koodit, security token jne.). Ne ovat olleet saatavilla, mikäli asiakas haluaa parantaa tietoturvaansa ja niitä kehotetaan käyttämään. En ymmärrä, miten Nordnetissä ei panosteta henkilövarmenne-suojaukseen enempää vaikka pelissä tuulipukujen säästöt ja kauluspaitojenkin merkittävät betsaukset.
Lysähdän Ikeasta ostettuun tuoliini, kun ajattelen muutama viikko sitten esille tullutta AshleyMadison-pettämissivuston tietomurtoa (https://krebsonsecurity.com/2015/07/online-cheating-site-ashleymadison-hacked/), jossa hakkeriryhmä otti sivuston haltuun ja koko user database upattiin arkaluonteisene tietoineen utorrent-sivustolle aiheuttaen miljoonille ihmisille päänvaivaa. En pidä mahdottomana, etteikö tällainen ryhmä voisi murtautua myös osakevälityspalveluihin, kaapata käyttäjätilejä ja jopa hyötyä niistä rahallisesti. Tämäkin uutinen, varsin tuore, tuli mieleeni: http://www.telegraph.co.uk/news/uknews/crime/11414191/Hackers-steal-650-million-in-worlds-biggest-bank-raid.html Artikkelit eivät ainakaan helpota oloa, paranoijat iskevät pintaan ja vievät yöuneni.
Osaisitteko kertoa muiden välittäjien suojauskäytännöistä? Esim. Lynx, otetaanko siellä asia vakavammin? Kuinka huolissaan hakkerointi-riskistä tulisi olla? Onko näihin tulossa kehitystä lähiaikoina? Pidetäänkö yrityksen sisäiset tietoturvamekanismit tarkoituksella yrityksen omana tietona, eikä niistä kerrota asiakkaille?
