29. helmikuuta 2012

23. helmikuuta 2012

Vastaehdotuksia Kela-korvauksen poistamiselle yksityisestä terveydenhuollosta

Peruspalveluministeri Maria Guzenina-Richardson haluaa kovasti poistaa Kela-korvauksen yksityisistä terveyspalveluista. Hänen Sekoomuslaiset toverinsa tyrmäävät tuon ajatuksen kyllä hienosti, mutta minulla on hieman järeämpiä tyrmäystippoja tarjolla omasta takaa. Esitän vaihtoehtoja tuolle esitykselle ja ylipäätään koko terveydenhuoltosysteemillemme. Jälleen kerran, tällä kertaa ratakiskoa vääntäen.


Vaihtoehto numero yksi:
Lakkautetaan kokonaan Kela-korvaukset lääkärikäynneistä, mutta pidetään ne ennallaan lääkkeiden osalta. Kelalta voidaan samalla potkia pihalle runsaasti byrokraatteja ja säästää rahaa. Tällöin sen enempää terveyskeskuksen kuin lääkäriasemankaan käyttäjä ei saa Kelalta eli veronmaksajilta suoraa tukea sairastelulleen. Kunnat voivat sitten halutessaan nostaa omaa julkisen terveydenhuollon tukemistaan ja sitä kautta (muka) "taata" terveyspalvelut myös vähävaraisille kansalaisille, eli pitää asiakkaan käynnistään maksaman summan samana kuin ennenkin. Tämä edellyttää sitten tietysti kunnalta veroäyrin tuntuvaa korottamista ja/tai merkittävää lisävelkaantumista, mutta hyvä niin, ainakin kuntalaiset tajuavat, kuinka järkyttävän paljon heidän julkisesti tuotettu terveydenhuolto ihan oikeasti kokonaisuudessaan maksaa. Huono puoli on, että lääkäriasemien käyttäjät joutuvat maksamaan terveydenhoidostaan kahteen kertaan: Sekä veroina julkiselle puolelle että lompakostaan vielä sitten ne yksityisten lääkäriasemien käynnitkin. Ei hyvä, eikä oikeudenmukainen, ei todellakaan. Eikä valinnanvapauskaan kasva vähävaraisilla, he joutuvat yhä tukeutumaan julkiseen terveydenhuoltoon.


Vaihtoehto numero kaksi:
Lakkautetaan kokonaan Kela-korvaukset lääkärikäynneistä, mutta pidetään ne ennallaan lääkkeiden osalta. Määrätään kunta julkaisemaan vuosittain hinnastonsa, josta käy ilmi peruskäyntien ja tutkimusten jne. ei-asiakkaalta perittävät hinnat (siis ne, jotka terveyskeskus veloittaa kunnalta, eivät ne, jotka potilaat itse maksavat suoraan) ja hyvitetään vastaava summa vastaavista käynneistä yksityisillä lääkäriasemilla. Näin ollen kunta subventoi ja köyhtyy jokaisesta samankaltaisesta lääkärikäynnistä ja/tai tutkimuksesta eurolleen saman verran, käy asiakas sitten yksityisellä tai julkisella puolella itseään hoidattamassa. Kukaan ei voi ruikuttaa, miten väärin ja kamalaa se on antaa rahaa ihmisen hoitoon yksityiseen terveyspalveluun: Tällöin eurolleen sama summa verovaroja kuluu joka tapauksessa ko. ihmisen ko. lääkärikäyntiin! Köyhilläkin olisi parempi mahdollisuus käyttää yksityisiä terveyspalveluita ja valinnanvapautta. Toisaalta, rikkaillakin olisi valinnanvapaus, eivätkä he silti joutuisi maksamaan tuplana palveluistaan.

Terveyskeskuksen tuottamana 15 minuutin lääkäriaika yleislääkärin vastaanotolla voipi maksaa esimerkiksi 80 euroa kunnalle ja 10 euroa käyntimaksuna Matti Meikäläiselle, eli yhteensä 90 euroa. Kun Matti sitten meneekin Tohtoritaloon 15 minuutin mittaiselle yleislääkärin vastaanotolle, niin se maksaisi sen 80 euroa kunnalle ja vaikkapa 30 euroa käyntimaksuna Matille, eli yhteensä 110 euroa. Matti joutuisi maksamaan omasta pussistaan 30 euroa, eli parikymppiä enemmän kuin terveyskeskuksessa käydessään (jossa käyntimaksuksi tuli 10 euroa). Matti voi nyt valita ja maksaa vain valinnasta koituvan EROTUKSEN, eikä joudu maksamaan tuplana terveyspalveluistaan. Eikö tämä olisi hieno juttu!?!

Mikäli terveyskeskus alkaisi hilaamaan maksujaan ylöspäin, sillä olisi suora ja välitön vaikutus myös hyvitykseen, jonka asiakkaat saisivat yksityiseltä lääkäriasemalta. Eli turhan takia ei kannattaisi hilata maksuja ylös ja veronmaksajien maksettavaksi. Mikäli terveyskeskus alkaa nostamaan käyntimaksuja asiakkailtaan, se joutuu ehkä poliitikkojen hampaisiin tai karkoittaa asiakkaat yksityisiin lääkäritaloihin. Mukava peukaloruuvi, eikös vaan?

No, mutta jokin yksityinenhän voisi tarjota jotain lääkäripalvelua edullisemmin kuin mitä kunta tarjoaa. Sosialistien mielestä tämä ei tietenkään voi olla mahdollista (yksityinen on ahne, paha, hinnoittelee riistohinnat jne.blahblahblah paskaa). Asiahan kävisi hyvin nopeasti selville, eikä siinä auta sitten selittelyt mitään. Tohtoritalon aika voisikin kuitenkin maksaa yhteensä vain 70 euroa, koska Tohtoritalo toimii fiksusti ja tehokkaasti, toisin kuin julkinen terveyskeskus toimii. Kunta hyvittäisi nyt sitten Matti Meikäläiselle 80 euroa tuosta käynnistä. Eli Matti tienaisi kympin riihikuivaa rahaa (sen sijaan, että joutuisi maksamaan 10 euroa käyntimaksua terveyskeskuksessa)! Tohtoritalokin tienaisi Matin käynnistä hieman. Kunta ja veronmaksajat eivät kuitenkaan häviäisi euroakaan (koska tuon 80 euron edestä kuluja olisi tullut, jos Matti olisi mennyt terveyskeskukseen). Huppista keikkaa! Mitenkäs tuo on mahdollista?!? Mistä tuo ylimääräinen hyöty sitten tulee, miten voi olla, että kukaan ei häviä vaan kaikki voittavat?!? Siitä, että tehokkuus on parempi. Silloin kaikki hyötyvät.

Käytännössä kävisi kyllä niin, että terveyskeskus laskisi äkkiä kunnilta periämiään hintoja sen kympin verran, jos ei muuten, niin poliitikkojen painostuksesta. Terveyskeskuksen pitäisi kuitenkin siirtää se kymppi sitten käyntimaksuihinsa, jolloin terveyskeskukseen tuleva asiakas joutuisi maksamaan 20 euroa käyntimaksua kun taas Tohtoritalossa asioivat saisivat ilmaiset lääkärikäynnit. Tuskin tuotakaan kauaa jatkettaisiin, luulisi sitten jo olevan selvää, että yksityinen tekee paremmin ja kunnan terveyskeskus ajettaisiin alas - mikäli umpisokeat ja kuurot pahoinvointivaltion kannattajat eivät sitä estäisi.


Vaihtoehto numero kolme:
Lakkautetaan kokonaan Kela-korvaukset lääkärikäynneistä, mutta pidetään ne ennallaan lääkkeiden osalta.  Jokainen henkilö sopii kalenterivuosittain tai toistaiseksi, että hän käyttää tai ei käytä lainkaan julkisia terveyspalveluita. Mikäli Matti päättää käyttää julkisia terveyspalveluita, hän maksaa sen veroissaan. Mikäli Matti päättää olla käyttämättä julkisia terveyspalveluita, hän saa sen täysimääräisenä veronalennuksena hyvitettäväksi hänelle. Hätätapaukset kuten ea-käynnit voidaan rahoittaa aina verovaroista ja niiden maksuun Mattikin voidaan laittaa osallistumaan veroissaan (ähäkutti, nyt minun ei tarvitse väitellä teidän kanssa tästä "ongelmasta"). Kunnan julkisesta terveydenhuollosta siis voitaisiin erota tai siihen liittyä kuten kirkosta tai ammattiyhdistyksestä.

Systeemi olisi varsin oikeudenmukainen. Kukaan ei joutuisi maksamaan tuplana terveyspalveluiden käytöstään. Jokainen voisi valita, haluaako Arvauskeskuksen vaiko Tohtoritalon palveluita. Ongelmana toki olisi, että tällöin nuoret ja terveet irtisanoutuisivat julkisista terveyspalveluista ja vanhat ja sairaat sitoutuisivat niihin - loisimaan niissä siis. Toisaalta, voi perustellusti kysyä, että ovatko kirkot ja ammattiyhdistykset sitten nykyään täynnä loisia, jotka elelevät muiden (keiden se sitten voisi olla?) rahoilla yhdistyksen palveluita käyttäen? Jos eivät, niin miksi olisi oletettavaa, että terveyspalvelut sitten tuolloin olisivat?


Vaihtoehto numero neljä:
Nostetaan Kela-korvauksia vaikkapa 90%:iin lääkäri- ja lääkekuluista. Lakkautetaan kokonaan julkinen terveydenhuolto ja tietysti sen tuet. Viimeistä terveyskeskusta ja neuvolaa myöden. Kaikki alas ja pois. Pelkästään yksityinen terveyssektori toimii. Mitä tapahtuisi?

No, korkeat Kela-korvaukset takaisivat, että ihmisillä olisi varaa sairastaa. Toimeentulotuki ja vammaisavustus jne. auttaisivat loppuja. Ihmisillä olisi myöskin 100% valinnanvapaus sen suhteen, missä käyvät itseään hoidattamassa. Koska 10% omavastuu kuitenkin olisi, ei kannata turhia lääkärissäkäyntejä kuitenkaan tehdä, eikä missä tahansa ja mihin hintaan tahansa. Valinnanvapaus tarkoittaisi myöskin runsasta ja tervettä kilpailua eri lääkäripalveluiden välillä ja toiminnan optimoitumista ja tehostumista. Miltä kuulostaisi?


Vaihtoehto numero viisi:
Kunta ottaa kollektiivisen, kaikkia kuntalaisia yhtäläisesti koskevan sairas- tapaturma- ja hoivapalvelukulu vakuutuksen vapailta markkinoilta kilpailuttamalla - määräajaksi (Vuosi? Viisi vuotta?) kerrallaan. Vakuutusehdot ovat kaikille kuntalaisille samat. Ne korvaavat kunnan haluamalla tavalla terveyspalveluiden kustannuksia kuntalaisille itselleen. Kuntalaiset hoidattavat itseään missä heitä huvittaa ja/tai miten vakuutussopimuksen rajoissa voivat hoidattaa. Vakuutussopimuksen ulkopuolellakin he voivat toki itseään vapaasti hoidattaa, omalla kustannuksellaan.

Ihmisillä olisi valinnanvapaus. He voisivat valita sopimusehtojen puitteissa missä ja miten käyvät itseään hoidattamassa. Vakuutussopimuksia kilpailutetaan joka vuosi (tai 5. vuosi tms.), joten kilpailu suurten vakuutusyhtiöiden välillä on kovaa ja hinnat painuvat alas. Vakuutussopimuksen sisältö optimoituu ajan myötä ja kansalaisten toiveet tulevat siinäkin huomioiduksi poliitikkojen kautta. Kuitenkin koko julkinen sektori on siivottu pois sotkemasta ja tuhlaamasta resursseja tältä osa-alueelta, kaikki palvelut vakuutusta myöden tuotetaan yksityisellä sektorilla.


Vaihtoehto numero kuusi:
Kielletään, estetään, häiritään, säädellään tai tehdään taloudellisesti kannattamattomaksi kaikenlainen yksityinen terveydenhuolto. Kaikille sama palvelu ja kaikki maksavat veroissa kaikesta. Terveyskeskukset ruuhkautuvat tukkoon eikä rahaa löydy kaikkien hoitamiseen tehokkailla tavoilla. Malli Kuuba tai Kiina. Onko hyvä?


Tämmöiset tulivat mieleeni ihan suoraan kirjoittaen vaan. Enempiä vaihtoehtojakin varmasti löytyisi pienen pohdinnan jälkeen. Ei siis kannata uskoa, että nykysysteemi on hyvä tai että siinä ei olisi paljonkin parannettavaa. Ei myöskään kannata kuvitella, että sosialistisesti tuotettu terveydenhuolto olisi yhtään sen parempi kuin mikään muukaan sosialisesti tuotettu (eli ripauksen verran paskaa parempi). Yksityisestä terveydenhoidosta on jo nykyään paljon hyviä kokemuksia, vaikka sitäkin sektoria säädellään ja manipuloidaan valtion ja kuntien toimesta mielipuolisen paljon...jolloin "vapaat markkinat" eivät todellakaan pääse toimimaan. Ei, älkää alkako jauhaa jostain kunnan kilpailutuksista tms. tekopyhästä roskasta, jolla ei ole oikeasti yhtään mitään tekemistä vapaiden markkinoiden tai vapaan kilpailun kanssa. Lukekaa, pohtikaa ja uskaltakaa hyväksyä radikaaleiltakin tuntuvat ehdotukset tarpeen vaatiessa.

Lisälukemista aiheen tiimoilta on vaikkapa näissä linkeissä:
http://markusjansson.net/terveydenhuolto.html
http://www.markusjansson.net/usaterveys.html
http://markusjansson.blogspot.com/2007/10/terveysalan-tietoturvassa-ongelmia.html
http://markusjansson.blogspot.com/2008/06/tietotekniikan-hydyt-ja-haitat.html
http://markusjansson.blogspot.com/2009/09/rankka-kutsumus.html
http://markusjansson.blogspot.com/2009/11/jos-julkinen-terveydenhuolto.html
http://markusjansson.blogspot.com/2010/03/terveydenhuollon-ulkoistaminen-lisaa.html


PS. Mikään ei estä useissa näissä esittämistäni vaihtoehdoista Teitä, arvoisaa lukijaani, perustamasta SDP-OsuuskuntaTM nimistä terveyspalveluyritystä. SDP-OsuuskuntaTM voisi kopioida toimintamallinsa, henkilökuntansa, tilansa, hallintonsa jne. suoraan lähikunnan terveyskeskukselta tai sairaanhoitopiiriltä. Mikäli te uskotte kunnan/valtion palvelun olevan jostain syystä (se on voittoa tavoittelematon, se ei riistä ketään, se on demokraattinen, jne. tms) "parempi" ja "tehokkaampi" kuin inhan kapitalistisen palvelun, niin silloinhan teidän SDP-OsuuskuntaTM terveyspalveluyrityksenne tulee menestymään loistavasti. Itse asiassa, sehän tulee valtaamaan kaikki markkinat inhakapitalistisilta riistopalvelu- ja rahastusyrityksiltä. Niin ja teistä tulee rikas - tai no, jos ja kun se SDP-OsuuskuntaTM on voittoa tavoittelematon jne. niin teistä ei tule rikas, mutta ainakin kaikki saavat nykyisenlaista terveyskeskuspalvelua ja hoitoa samalla rahalla kuin mitä nykyään. Ette siis voi missään näissä esittämissäni skenaarioissa hävitä mitään. Paitsi, jos olette surkeasti väärässä (kuten olette, sori, pilasin hupinne), silloin kävisi niin, että nuo oikeasti tehokkaat yksityiset puljut ajaisivat teidän konkurssiin hetkessä. Koska ne toimivat tehokkaammin kuin sosialistinen terveydenhuolto toimii.

16. helmikuuta 2012

RSA-avaimissa hämäriä vikoja ja yhtäläisyyksiä

Infoworld kirjoittaa mielenkiintoisesta löydöksistä liittyen netissä(kin) käytössä oleviin RSA-avaimiin. Tietoturva-asiantuntijat keräsivät netistä miljoonia RSA-avaimia ja huomasivat, että vastoin kaikkia tilastollisia todennäköisyyksiä, kymmenissä tuhansissa niistä olikin identtinen salainen avain jonkun toisen avaimen kanssa. Lisäksi löytyi joitain avaimia, joista oli jopa tuhansia kappaleita identtisiä salaisia avaimia. Lisäksi löytyi yli 10000 RSA-avainta, joiden salaiset avaimet ovat näiden tutkimustietojen lomassa täysin turvattomia.

Tärkeää tietoahan tuollainen löydös on, mutta mikä siinä sitten on niin outoa tai hämärää?

Outoa ja epäilyttävää on se, että satunnaislukugeneraattorit ja/tai noiden avainten luontiin tarkoitetut ohjelmat eivät muka kykene tuottamaan satunnaisia, uniikkeja avaimia. Ikäänkuin niissä olisi jotain vikaa tai piilotettuja rajoitteita, jotka saavat niiden tuottamat avaimet ja luvut vaikuttamaan satunnaisilta, vaikka tosiasiassa ne eivät ole satunnaisia. Nopeasti tarkasteltuna vaikuttaa, että kaikki on hyvin ja luvut ja avaimet ovat satunnaisia, mutta, kun tarkastellaankin miljoonia ja miljoonia avaimia, alkaakin paljastumaan totuus.

On totta, että tietokoneilla on vaikeata luoda oikeasti satunnaista tietoa, jota satunnaisten avainten luomiseksi tarvitaan. Se ei silti riitä selittämään identtisten avainten noin massiivisen suurta määrää. Puhumme kuitenkin avaimista, joiden pituus on luokkaa 2^1024 tai 2^2048. Siis aivan julmetun suurista luvuista. Vaikka niitä olisi miljardeja ja miljardeja, siltikin todennäköisyys, että edes kaksi niistä ovat identtisiä, on mitättömän pieni. Nyt on kyse vain miljoonista avaimista ja kas kummaa, kymmeniä tuhansia niistä onkin identtisiä. Hämärää.

Olen pitkään kuulunut niiden epäilijöiden joukkoon, jotka arvelevat, että tiedusteluorganisaatioilla on ollut sormensa pelissä salausjärjestelmien rukkaamiseksi tietoturvattomiksi tämänkaltaista menetelmää käyttäen. Salausalgoritmien peukaloiminen tai murtaminen on vaikeaa, eivätkä välttämättä tiedustelupalveluiden ujuttamat omat algoritmit tule koskaan laajempaan käyttöön. Sen sijaan, jos ja kun keskitytäänkin vain manipuloimaan tai rajoittamaan satunnaislukugeneraattoreita, seurauksena on, että KAIKKI niillä tehtävät salausmenetelmät ovat erittäin vaikeasti havaittavalla tavalla turmeltuja. Vaikka jokin taho ottaisi käyttöön uuden salausohjelmiston ja uudet salausalgoritmit, niiden murtaminen ei ole sen vaikeampaa kuin minkään aikaisemmankaan, jos ja kun nekin käyttävät peukaloituja tai tietoturvattomia satunnaislukuja salauksissaan. Mikäli tiedusteluorganisaatio tietää, millä tapaa satunnaislukugeneraattoria on peukaloitu tai millä tapaa se on viallinen, tiedusteluorganisaatio voi keskittyä salauksen murtamisessa kaikkien avainvaihtoehtojen kokeilemisen sijaan kokeilemaan vain kaikki mahdolliset avainvaihtoehdot. Ero on eksponentiaalinen. Samalla kuitenkaan kukaan, joka ei tiedä näitä mahdollisia avainvaihtoehtoja, ei voi mitenkään arvella tietyn avaimen olevan turvaton, koska avainvaihtoehtoja on kuitenkin näennäisesti niin valtavasti, ettei toista samanlaista avainta löydy...ellei ryhdytä tutkimaan miljoonia avaimia, kuten tässä tapauksessa on käynyt.

Miten satunnaislukugeneraattoreita tai ohjelmistoja sitten voitaisiin manipuloida tai tuntea ne niin tarkasti, että satunnaisuus häviää ja tilalle tuleekin jonkinlainen "rajoitettu satunnaisuus"?

Esimerkkejä löytyy historiasta valtavasti. Vaikkapa Windows 2000, Windows XP ja Windows Vista ja niiden haavoittuvat ja ilmeisesti takaportitetut satunnaislukugeneraattorit. Niin ja sitten on se Crypto AG:n tapaus. Näissä tapauksissa systeemin on arveltu tuottavan "riittävän" satunnaista dataa salausavaimia varten, mutta, joko virheen tai tietoisen manipuloinnin ansiosta, ne eivät ole tuottaneet kuin "välttävän" satunnaista dataa salausavaimia varten. Riittävästi laskentakapasiteettia omaavat tahot ovat sitten voineet, tietäen mitä hakea, käydä läpi tämän rajoitetun satunnaisuuden ja löytää sieltä sopivat avaimet. Yksinkertaista. Pirullista.

On myös mahdollista, että itse ohjelmia, jotka luovat noita salausavaimia, on peukaloitu. Ohjelmia on toki kasapäin ja erilaisia palvelimia ja käyttöjärjestelmiäkin on lukematon määrä. Mutta, peukaloimalla vain muutamia peruspilareita, kuten OpenSSL toteutusta, voidaan saada huomattavan laaja-alaisia vaikutuksia aikaan. Mikään ei estä tiedustelupalvelun palkkalistoilla olevaa hakkeria lyöttäytymästä "kehittämään" jotain avoimen lähdekoodin projektia, kuten vaikkapa juurikin OpenSSL:ää. Jälleen kerran, pienikin, sopivaan kohtaan ujutettu "virhe" miljoonien koodirivien joukossa voi saada aikaan merkittävän lopputuloksen.

Ratkaisuvaihtoehtoja ongelmaan on - tai sitten ei ole olemassa, riippuu, miten pahana ongelmaa pitää. Tehokkaiden, käyttöjärjestelmän ytimestä poikkeavien satunnaislukugeneraattoreiden käyttäminen avainten tekoon on ilmeisin vaihtoehto. Myöskin RSA-avainten käytöstä pois siirtyminen auttaa tietysti, joskaan ei ole vielä voitu osoittaa, että muissa avainvaihtoehdoissa vastaavia ongelmia ei tulisi vastaan. Parasta lienee nyt seurata, mihin nämä uudet löydökset johtavat ja noudattaa näistä seuraavia ohjeistuksia orjallisen tarkasti.

10. helmikuuta 2012

Viranomaiset eivät osaa tehdä turvallisia nettipalveluita

Miksi näin? Eikö Suomen viranomaisten tietotaito riitä? Eikö Suomen viranomaisilla ja virkamiehillä ole kiinnostusta huolehtia tietoturvasta?

Näihin tahoihin meidän pitäisi sitten luottaa kaikissa omissa asioissamme ja niiden hoitamisissa. Näiden tahojen pitäisi pystyä pitämään meidän henkilökohtaiset tiedot varmassa tallessa. Nämä tahot kilpaa rummuttavat omien nettipalveluidensa laajentamista ja omien (ja ilmeisesti myöskin muidenkin ihmisten) tietojen avaamista kansalaisille internettiin.

Ei hyvää päivää.









Vertailun vuoksi eräitä ei-Suomen-viranomaisten ylläpitämiä palveluita. Palveluita, joihin kenenkään meistä ei ole pakko itseään änkeä ja joissa meistä ei ole mitään tietoja, jos emme niitä sinne nimenomaisesti halua tunkea. Huomaatteko mitään eroa?




6. helmikuuta 2012

Kriminaalit kiittävät: Langattomat maksukortit tulevat nyt

Olen aikaisemminkin kirjoittanut blogissani langattomien maksukorttien tietoturvaongelmista. Nyt tuli vastaan pikku-uutinen, jonka mukaan nyt ollaan ottamassa käyttöön langattomat (NFC) Plussa-kortit. Seuraavaksi siirrytään etäluettavien pankki- ja luottokortteihin, niihin soveltuvia maksupäätteitä ovat tarkkasilmäiset jo voineet bongata kaupoissa. On se vaan hienoa, kun kehitys laukkaa eteenpäin. Vai onko?

Kuluttajat varmasti nauttivat suuresti, kun sen sijaan, että sirukortti pitäisi työntää sen vaatimaan aukkoon, korttia voikin vain vilauttaa maksupäätteen lähellä ja maksu hoituu sillä...tai vähintäänkin maksuun tarvittavat tiedot siirtyvät sitä kautta päätteelle, jossa asiakas hyväksyy ne pin-koodillaan. Pieni ongelma: Kun vaatimus kortin sirun laittamisesta maksupäätteeseen poistuu, poistuu myös kaikki fyysinen turvallisuus, mikä tuohon toimenpiteeseen on liittynyt. Langattomaan korttiin pääsee käsiksi, vaikkei siihen pääsisikään fyysisesti käsiksi, eli vaikka kriminaali ei saisikaan sitä konkreettisesti näppeihinsä. Hurraa!

Mistä näin idioottimainen ajatus on sitten tullut, sitä ei voi kuin ihmetellä.

Yleensä on ajateltu, että turvallisuus ja tunnistaminen voi luottaa kolmeen eri asiaan: 1) Johonkin, jota sinulla on hallussasi, kuten luottokortti 2) Johonkin, jonka sinä tiedät, kuten kortin pin-tunnus 3) Johonkin, jota sinä olet, kuten biometrinen tunniste.

Luottokorttiyhtiöt ovat ahneuksissaan siirtymässä tietoturvasta tietämättömiä ja väliinpitämättömiä kansalaisia miellyttääkseen yksinkertaiseen turvallisuuteen ja tunnistamiseen, eli systeemiin, jossa turvallisuus pohjimmiltaan nojaa vain johonkin, jonka sinä tiedät, kuten kortin pin-tunnus. Kun sitten pin-koodi on menetetty, kaikki on menetetty. Kaikki muut tiedot voidaan huomaamatta varastaa radiotaajuuksilta ihan missä tahansa ikinä kuljetkin. Niin ja sivuhuomautuksena mainittakoot, että näissä systeemeissä ei pin-tunnuksen kaappaaminenkaan ole vaikeaa eikä aina edes lainkaan välttämätöntä, joten se oikeastaan se siitäkin turvallisuusominaisuudesta...kauppa ja sitä kautta myös kuka tahansa hakkeri voi veloittaa alle 20 euron ostoksia ilman mitään pin-koodilla tapahtuvaa hyväksyntää...miten monta tahansa peräkkäin, jos niikseen tulee...ajatelkaas sitä!

NFC-systeemit ovat tietoturvattomia, piste ja aamen.

NFC-systeemit voisivat teoriassa olla turvallisia, jos ne eivät olisi noin simppeleitä, vaan ne liittyisivät vaikka yhtenä osa älypuhelimien kanssa tehtävään maksutapahtumaan. NFC on hyvä tapa siirtää tietoa nopeasti pieniä matkoja, mutta pirun huono tapa, mikäli tuon tiedonsiirron pitäisi pysyä salaisena. Kuten aikaisemmassa blogikirjoituksessani kuvailin, olisi parasta olla luottamatta pätkän vertaa langattoman tiedonsiirron tietosuojaan, sekä sen lisäksi olisi parasta olla luottamatta pätkän vertaa kauppiaan tms. lukulaitteen tietoturvaan. Maksusysteemi, joka toimisi näin, olisi myös käytännössä mahdollista tehdä ja vieläpä varsin pienillä kustannuksilla. Sen jälkeen näitä kortteja kopioivat tai muulla tavoin väärinkäyttävät kriminaalit jäisivät varmuudella nuolemaan näppejään.

Ilmeisesti maksu- ja luottokortteja tehtailevat yritykset mieluummin hyssyttelevät ja kärsivät nahoissaan pienet väärinkäytökset, kuin puuttuvat ongelmiin. Tai maksattavat väärinkäytökset uhreilla, väittäen vain, että asiakas on itse tehnyt jonkun virheen tai ollut huolimaton. Kun kyseessä on uusi tekniikka, josta kukaan ei oikeasti tunnu tietävän mitään ja korttifirma vain hokee mantraansa "asiakkaan vika, systeemimme on turvallinen", niin asiakashan siinä maksumieheksi päätyy. Niin, asiakas päätyy muuten maksumieheksi silloinkin, kun korttifirma myöntää virheen tai väärinkäytöksen: Nämähän rahoitetaan asiakkailta perittyjen maksujen muodossa joka tapauksessa.

Muistelkaapa vain, miten pankkikorttien kopiointien tai nettipankkien hakkerointien kanssa on käynyt. Pankit ovat aina väittäneet, että ongelmia ja vikaa ei ole, kunnes lopulta koko touhu on räjähtänyt käsiin ja pankin on ollut pakko myöntää, että kortteja on kopioitu ja nettipankkeja hakkeroitu. Sen jälkeen pankit ovat pistäneet laskut kaikkien asiakkaidensa maksettaviksi ja korvanneet kärsineille rahat jos nämä ovat osanneet niitä vaatia.

Neuvoni kaikille lukijoilleni:
Älkää suostuko ottamaan käyttöön langattomia kortteja ja kertokaa syyksi juurikin tietoturvattomuus. Mikäli firma yrittää pakottaa teidät käyttämään ko. kortteja, vaihtakaa suosiolla puljua ja kertokaa siitä paitsi ko. firmaan, niin myöskin ystävillenne ja tuttavillenne. Teitä on varoitettu, vastuu on nyt teillä itsellänne.