Rekisteröidy

Online kasino ja pelaajan henkilöllisyys

Puhelimella tehtävä kaksivaiheinen todentamismenetelmä on osoittautunut heikoksi.Lähde: Norwood Themes

Kyberturvallisuus on keskeinen ja ratkaiseva tärkeä tekijä online kasinon toiminnassa. Onneksi kuitenkin online kasino-operaattorit ovat tietoisia identiteettivarkauksiin liittyvistä turvallisuusriskeistä ja huolehtivat siitä, että kyberturvallisuus kasinolla on riittävällä tasolla muun muassa sivuston palvelimen ja kävijän selaimen välille muodostuvan SSL-salauksen avulla. Myös kasinosääntely velvoittaa online kasino-operaattorit huolehtimaan tietoturvan asianmukaisesta tasosta. Esimerkiksi Maltan peliviranomaisen myöntämää lisenssiä ei ole mahdollista saada, jos kasinon tietoturva ei täytä kasinosääntelyn vaatimuksia.

Henkilöllisyyden todentamismenetelmät ovat olleet suuri tietoturvariski ja identiteettivarkauksille potentiaalinen paikka. Todentamismenetelmissä on jouduttu ottamaan kehitysaskelia, kun kyberrikolliset ovat onnistuneet iskemään aiemmin käytettyjen tunnistautumismenetelmien heikkoihin kohtiin. Yksi asia on varma: kilpajuoksu kyberrikollisia vastaan kiihtyy tulevaisuudessa nyky-yhteiskunnan toimiessa lähes kaikilta osin verkossa. Henkilöllisyyden todentaminen on välttämätöntä lähestulkoon kaikissa palveluissa, joita nykyihminen verkossa käyttää. Kun palveluun liittyy rahojen käsittelyä, on kriittisen tärkeää estää ulkopuolisen toimijan ujuttautuminen väliin.

Online kasinoille on äärimmäisen tärkeää säilyttää asiakkaiden luottamus toimintaansa tietoturvallisten prosessien avulla. PwC:n äskettäin tekemässä tutkimuksessa todettiin, että vain 25 prosenttia kuluttajista uskoo, että yritykset käsittelevät henkilökohtaisia ​​tietojaan vastuullisesti ja 87 prosenttia kuluttajista siirtyy käyttämään kilpailevaa yritystä, jos he eivät luota yritykseen käsitellä tietoja vastuullisesti. Tutkimuksen tulosten valossa onkin syytä muistaa, että jatkuva tietoturvallisuuden kehittäminen ja sen mukana aiempaa vahvempien henkilöllisyyden todentamismenetelmien kehittäminen on alan elinehto.  

Aiemmin monet pelaajat saattoivat säikähtää henkilöllisyyden varmentamiseen liittyviä toimenpiteitä. Nykyisin pelaajat ymmärtävät, että se on heidän omaksi parhaakseen. Jos kasinolla ei ole henkilöllisyyden varmentamiseen liittyvää prosessia, useimmat asiakkaat päätyvät vaihtamaan sellaisen kilpailijan sivustolle, jolla asia on kunnossa. Tämän tyyppisen asiakkaan turvallisuuden kannalta täysin keskeisen asian puuttuminen kielii kasinon luotettavuudesta.

Kaikilla verkossa toimivilla yrityksillä ja siten myös online kasinoilla on kaksi tavoitetta: pitää asiakkaiden tiedot turvassa ja luoda yksinkertainen todentamisprosessi, joka päästää todelliset asiakkaat sisälle ja pitää hakkerit poissa samalla kyeten tarjoamaan saumaton ja sujuva asiakaskokemus.

Tässä artikkelissa pohdimme mihin suuntaan henkilöllisyyden todentamismenetelmät kehittyvät, jotta kyberrikollisten toiminta saadaan pysymään aisoissa ja millaisia heikkouksia nyt jo vanhentuvissa henkilöllisyyden todentamismenetelmissä ja –tekniikoissa on.

Vanhojen todentamismenetelmien heikkoudet

Milloin viimeksi kirjoitit äitisi tyttönimen tai kenties ensimmäisen lemmikkisi nimen todentaaksesi henkilöllisyytesi johonkin verkossa olevaan palveluun päästäksesi? Todennäköisesti siitä ei ole kovinkaan kauaa aikaa. Tämän tyyppinen henkilöllisyyden todentaminen on niin kutsuttu tietoon perustuva todennus (KBA = Knowledge Based Authentication). KBA-tunnistauminen on ollut käytössä jo pitkään, mutta sitä ei voi pitää enää millään tavoin luotettavana keinona. Jo vuonna 2015 uutisoitiin tapauksesta, jossa Yhdysvaltain veroviranomaisen IRS:n veronpalautuksia huijattiin tuhansia dollareita vieraille tileille KBA-tunnistaumisen heikkouksien vuoksi.  KBA-tunnistaumisessa käytettäviin kysymyksiin kun on lähes lapsellisen helppoa löytää vastaukset varomattoman yksilön käyttämistä sosiaalisen median sovelluksista.

Edellä mainittua ongelmaa ei lainkaan helpota massiiviset tietovuodot, joita tapahtuu lähes päivittäin. Tietovuotoja on tapahtunut monenlaisille yrityksille, niin isoille kuin pienillekin alaan katsomatta. Alkuvuodesta uutisoitiin Suomen Terveystalon joutuneen tietomurron kohteeksi ja joukon asiakkaita sisäänkirjautumistietojen joutuneen hakkereiden käsiin. Jo yhden tietomurron tai tahattoman tietovuodon myötä verkkoon pääsee tuhansien ihmisten käyttäjätietoja, joista käy ilmi käyttäjänimi, salasana, syntymäaika tai sosiaaliturvatunnus, puhelinnumero ja hyvin usein myös ne turvakysymysten vastauksetkin. Jos jopa Microsoftin kaltaiselle yritykseltä voi karata satojen miljoonien asiakkaiden tiedot, on se täysin mahdollista pienemmillekin palveluiden tarjoajille. On siis selvää, että kun tällaista materiaalia on verkko pullollaan, hakkereiden tehtävä esiintyä jonakin muuna henkilönä on hyvin helppo.

Toinen paljon käytetty todentamismenetelmä on tekstiviestinä lähetettävä neli- tai kuusinumeroinen koodi. Tätä kutsutaan myös kaksivaiheisesta henkilöllisyyden todentamiseksi. Käyttäjä kirjautuu palveluun ja saa tekstiviestinä numerosarjan, jonka naputeltuaan hän pääsee tekemään haluamansa asian. Tämä todentamismenetelmä on käytössä monessa palvelussa, mutta siinäkin on havaittu selviä heikkouksia.  Koodi on nimittäin helppo siepata, mikäli puhelimen sim-kortti on kaapattu aiemmin esimerkiksi puhelimeen saapuvan tekstiviestin avulla. Tekstiviesti on asentanut puhelimeen haittaohjelman, jonka avulla hakkeri saa puhelimen sim-kortin ja sitä myöten laitteeseen tallennetut tiedot. Kun puhelimen käyttäjä yrittää kirjautua johonkin kaksivaiheisen henkilöllisyyden todentamisen vaativaan palveluun, saa puhelimen haltuunsa ottanut hakkerikin tietoonsa saapuneet tiedot. Pahimmassa tapauksessa hakkeri voi jopa käydä vaihtamassa puhelimen käyttäjän palveluiden salasanat, eikä oikea henkilö pääse enää itse sisään palveluihin.

Kyberrikollisuus on kehittynyt niin ovelaksi ja taidokkaaksi, että aiemmin nämä hyvin toimivat henkilöllisyyden todentamismenetelmät eivät riitä varmistamaan luotettavasti sitä, että verkon palveluun kirjautuva henkilö on tilin oikea omistaja. 

Uuden polven todentamismenetelmät

Koska tällä GDPR:n aikakaudellakin tietomurtoja ja -vuotoja tapahtuu, on tärkeää löytää aiempaa vahvempia todentamismenetelmiä. Suomalaisille tuttu mobiilivarmenne on yksi tällainen vahva, vaikkakaan ei enää mikään aivan uusi todentamismenetelmä. Suomessa 2010-luvun alkupuolella mobiilivarmenteen käyttäminen alkoi yleistyä ja nykyisin se onkin käytössä monessa eri tyyppisessä palvelussa. Mobiilivarmenne on kännykän sim-korttiin liitettävä palvelu, jota suomalaiset mobiilioperaattorit tarjoavat asiakkailleen. Tällä palvelulla voi todistaa henkilöllisyytensä, hyväksyä ostoksia ja allekirjoittaa sopimuksia. Mobiilivarmenteen turvallisuudesta sanotaan, että vastaa pankkitunnuksia. Sen käyttäminen ilman tunnuslukua ei ole mahdollista.  Mobiilivarmenteen tarjoamasta tietoturvasta ja yleistymisestä huolimatta sen on ottanut käyttöönsä odotettua pienempi määrä kuluttajia.

Mielenkiintoinen nouseva todentamismenetelmä on kasvotunnistus. Kasvotunnista on toki ollut jo tovin käytössä ja esimerkiksi pankkikorttimaksamisen vahvistamisen metodina kasvotunnistus on jo pilottikäytössä useissa Euroopan maissa. Kasvotunnistusmenetelmä perustuu kasvojen biometristen ominaisuuksien tunnistamiseen. Biometristen tietojen käyttäminen ei välttämättä kuitenkaan ole vielä riittävän tehokas pitämään kyberrikollisia aisoissa. Kekseliäät huijarit osaavat nykyisin jo ottaa käyttöönsä sellaisia menetelmiä, joilla kyetään ohittamaan biometriset suojaukset. Esimerkiksi pelkkä video ei enää riitä, kun biometriset ominaisuudet ovat todennusmenetelmänä. Nykyisin on alettu puhua niin kutsutuista Deep fake –huijauksista, joissa käytetään videoita. Deep fake -videossa esiintyy henkilöitä, jotka eivät oikeasti ole esiintyneet videossa. Käytännössä tämä tarkoittaa sitä, että staattisen henkilön kasvokuvia käytetään toisen ihmisen kasvojen liikkeiden tai vartalon kanssa. Periaatteessa kuka tahansa, kenestä löytyy tarpeeksi kuva- ja äänimateriaalia, voidaan laittaa sanomaan tai tekemään asioita, joissa vain mielikuvitus on rajana. Hyvästä syystä tietoturva-asiantuntijat ovat huolissaan siitä, mitä näillä koostetuilla deep fake- videoilla on mahdollista tehdä.

Jotta kasvotunnistus olisi pommin varmaa, sen pitäisi kasvojen biometristen ominaisuuksien tunnistamisen lisäksi havainnoida esimerkiksi silmien liikkeitä, lämpötilaa tai muita pieniä muutoksia, jotka osoittavat tunnistautumista tekevän henkilön olevan läsnä tapahtuman aikana. Edellä mainitussa korttimaksamisen vahvistamiseen käytetyssä kasvojen tunnistamisessa käytetty 3D-monikamera tunnistaa 2D-kasvojen biometriikan lisäksi liikettä, lämpötilaa ja syvyyttä, joten kameran harhauttamisen sanotaan olevan hyvin vaikeaa.  Kuinka sitten vastaava saadaan aikaan myös verkon palveluissa?

Verkossa tapahtuva henkilöllisyyden todentaminen voidaan koostaa kahdesta osasta: henkilön täytyy lähettää kuvankaappaus voimassaolevasta henkilöllisyystodistuksesta ja sen jälkeen henkilö lähettää itsestään valokuva, josta käy ilmi se, että kuva on otettu todentamishetkellä. Näiden kahden kuvan avulla varmistetaan, että henkilötodistuksessa oleva henkilö ja omakuvan ottaja ovat yksi ja sama henkilö. Tällainen todentamismenetelmä on jo käytössä monessa verkkopalvelussa, muun  muassa  AirBnB-palvelussa.  Aiemmin tällainen menettely olisi saanut monet tietoturva-asiantuntijat irvistämään, mutta tänä päivänä asia on täysin päinvastoin. Muistiläksynä kuitenkin on sanottava, että verkossa kannattaa aina olla varuillaan. Kannattaa siis miettiä, vaikuttaako palvelu kaikin puolin luotettavalta tai ylipäätään sellaiselta, että sen käyttäminen on tarpeellista.

Verkkopalveluiden käyttäminen miltä tahansa laitteelta vaatii vahvan henkilötietojen todentamisen.Lähde: Elise Bouet

Innovatiivisten henkilöllisyyden varmentamisen ja todentamisen tarjoajat voivat saada aikaan suuren muutoksen, jonka avulla palveluista saadaan entistä tietoturvallisempia. Esimerkiksi online kasinon pelitilin käyttäjän henkilöllisyyden todentaminen voidaan ehkä jo lähitulevaisuudessa tehdä huipputeknisellä tekoäly- ja video-selfie-tekniikalla, jossa kasinon asiakas yhdistetään tilille kasvojen biometristen ominaisuuksien, liikkeen ja vaikkapa syvyyden tunnistuksen avulla. Kehittyvissä henkilöllisyyden todentamismenetelmissä hyödynnetään innovatiivisia tekniikoita. Biometriikan ja tekoälyn lisäksi muun muassa koneoppiminen ja konenäkö ovat mukana muodostamassa tulevaisuuden todentamismenetelmiä.

Tietoturvan parantaminen vahvempien henkilöllisyyden todentamismenetelmien avulla on tärkeä tehtävä. Vahvempien henkilöllisyyden todentamismenetelmien tarve on suuri terveydenhuollossa sekä rahoitus-, matkailu-, viihde- ja pelialalla. Nykyaikaiset yritykset ymmärtävät, että kyberrikollisuuden, pimeän verkon ja verkkopetoksien globaalin luonteen vuoksi niiden on luovuttava perinteisistä, epävarmoista ja epäluotettavista todentamismenetelmistä ja otettava käyttöön biometristen ominaisuuksien tunnistamista ja huipputeknologiaa yhdisteleviä hybridimentelmiä.


Kultainen peli: 7 rikkainta ... Hauskat ketjureaktiolaitteet ...