Torstai 21.6.2018

Tivi testasi suomalaispankkien verkkoliikenteen salauksen: Turvallisuudesta huolehtiminen on myös käyttäjän vastuulla

Jaa artikkeli:
Luotu: 
17.2.2018 12:14
  • Kuva: Nordea
    Kuva
    Suomalaispankkien suurimmaksi esteeksi parhaan arvosanan eli A+:n saamiseksi nousi hsts-säännön puute.
|

Suomalaispankkien nettipalveluissa liikenteen salaus on toteutettu yleisesti hyvin, Tivin tekemä selvitys paljastaa.

Testatuista yhdestätoista suomalaispankista seitsemän saa vähintään arvosanan A asteikolla A+:sta F:ään. Loput neljä saavat arvosanan C muutamien havaittujen puutteiden vuoksi. Testauksessa käytettiin tietoturvayhtiö Qualysin toteuttaman SSLLabs-sivuston palvelintestiä.

A+-arvosanaan ylsivät Nordea, Danske ja Ålandsbanken. C-arvosanan saivat POP-Pankit, Nooa Säästöpankki, Oma Säästöpankki ja Handelsbanken.

Qualysin palvelintesti testaa https-yhteyksissä käytetyn ssl/tls-salauksen toteutusta sertifikaattien, käytettyjen salausalgoritmien ja protokollan ominaisuuksien osalta

Tivin selvitys rajattiin koskemaan Suomessa toimivia talletuspankkeja, joilla oli enemmän kuin yksi konttori vuonna 2016. Testasimme pankkien verkkopalveluiden etusivujen sekä palveluiden sisäänkirjautumissivujen osoitteet, mikäli ne erosivat etusivusta.

Suurimmaksi esteeksi parhaan arvosanan eli A+:n saamiseksi nousi hsts-säännön puute.

Hsts:n tarkoituksena on estää niin sanottu väliintulohyökkäys, man-in-the-middle. Siinä ulkopuolinen tunkeutuu luvattomasti kahden osapuolen viestinnän väliin ja voi esimerkiksi kaapata viestejä. Hsts toimii kertomalla selaimelle, että palveluun voidaan yhdistää vain suojattua yhteyttä eli https-protokollaa käyttäen.

Moni palvelu vastaa myös salaamattomiin http-yhteyksiin. Nettiselaimet turvautuvat niihin oletusarvoisesti, jos käyttäjä ei ole kirjoittanut selaimen osoitekenttään https-etuliitettä. Yleensä käyttäjä uudelleenohjataan välittömästi https-suojattuun yhteyteen, mutta ensimmäistä suojaamatonta yhteyttä kuunteleva hyökkääjä voi asettua osapuolten väliin ja estää yhteyden päivittämisen https-salatuksi.

Jos hsts-sääntö on voimassa, seuraavilla kerroilla ensimmäinen salaamaton yhteys jää kokonaan pois, mikä vähentää väliintulohyökkäysten riskiä.

SSLLabsin tuloksia arvioi Tivin pyynnöstä Viestintäviraston Kyberturvallisuuskeskuksen tietoturva-asiantuntija Juha Tretjakov. Hänen mukaansa testien tulokset eivät anna syytä huoleen.

–Hsts:n lisäksi on usein käytössä muita tekniikoita ja tapoja, joilla voidaan estää man-in-the-middle-hyökkäykset. Hsts on vain yksi tapa pitää yhteydet päästä päähän salattuina.

Esimerkiksi Aktialla hsts on käytössä tällä hetkellä pankin suljetulla puolella, vaikka sitä ei käytetä palvelun etusivulla tai kirjautumissivulla.

A:ta heikompiin arvosanoihin oli kaksi yleistä syytä. SSLLabs rajaa arvosanan tasolle C, jos palvelu tukee 64-bittistä lohkosalausta (3des) yhdistettynä moderneihin protokolliin. Niihin liittyvän haavoittuvuuden avulla voi joissain tapauksissa olla mahdollista paljastaa osia selväkielisestä sisällöstä.

Oletusarvoisesti nyt testatut palvelut tarjoavatkin vahvempaa salausta. Mahdollisesti heikompaan salaukseen turvaudutaan vain silloin, jos käyttäjän oma laitteisto eli selain ja käyttöjärjestelmä ovat niin vanhoja, että modernit ja turvallisemmat menetelmät eivät toimi. Turvallisuudesta huolehtiminen on siis osin myös käyttäjän vastuulla.

Suomessa pankkien tietoturvaa valvoo Finanssivalvonta. Pankit käyvät Finanssivalvonnan kanssa läpi esimerkiksi uudet maksamiseen liittyvät palvelunsa. Pankkitoimijoilta edellytetään tietoturvariskien jatkuvaa arviointia ja säännöllisiä tietoturvan auditointeja.

Finanssivalvonta kuitenkin jättää käytännön toteutukset pankkien itsensä vastuulle.

Lue koko artikkeli Tivistä.

 

Jaa artikkeli: