Identiteettivarkauksista puhuttaessa tekoja ajatellaan usein yksilön kannalta. Yleisesti termillä tarkoitetaan sitä, että erehdyttääkseen kolmatta osapuolta joku käyttää oikeudettomasti toisen henkilö- tai yhteystietoja, maksukortin tietoja, verkkopankkitunnuksia, ajokorttia, jäsenkortteja, pin-koodeja, sähköpostia, käyttäjätilejä ja virtuaalisia identiteettejä eli esimerkiksi sosiaalisen median profiileja.

– Jotta rikoksen tunnusmerkistö täyttyy, tekijän täytyy myös aiheuttaa uhrille taloudellista haittaa tai vähäistä suurempaa haittaa. Sea voi olla esimerkiksi haittaa henkilön maineelle, kyberrikollisuuden torjuntaan erikoistunut poliisitarkastaja Kimmo Ulkuniemi selventää.

Suomessa tehdyissä identiteettivarkauksissa tilaillaan esimerkiksi verkosta tuotteita toisen henkilön nimiin. Varastettujen henkilötietojen ja tekaistun identiteetin avulla voidaan myös pyrkiä hakemaan luottoa tai hankkimaan arvokkaitakin ostoksia, kuten autoja, Ulkuniemi kertoo.

Identiteettivarkauksien ennaltaehkäisyssä korostetaan usein yksittäisten ihmisten vastuuta ja huolellisuutta henkilötietojen käytössä. Ulkuniemi on kuitenkin sitä mieltä, että avainasemassa ovat verkossa tuotteitaan ja palveluitaan kauppaavat yritykset.

– Yritysten pitäisi huolehtia paremmin siitä, että heidän verkkokaupassaan tunnistautuminen tehdään turvallisesti esimerkiksi verkkopankkitunnuksilla, ei vain nimellä ja henkilötunnuksella. Tällä hetkellä henkilötietojen varastaminen tehdään monella alustalla aivan liian helpoksi tekijälle, hän toteaa.

Myös kyberturvapalveluita tarjoavan Nixun Tuotetietoturvan johtaja Matti Suominen on työssään nähnyt, kuinka merkittävässä roolissa yritysten tietoturva on identiteettivarkauksissa.

– Teknologia muuttaa nopeasti pelikenttää sen suhteen, millaisia riskejä yritykseen itseensä kohdistuu. Mutta toinen kulma on se, mikä on yritysten vastuu heidän asiakkaidensa ja yksittäisten ihmisten tietojen suhteen. Yritys voi myös – usein tahattomasti – aiheuttaa sen, että jonkun identiteetti varastetaan.

Suuret tietomassat uhkana

Poliisille ilmoitettujen identiteettivarkauksien perusteella ilmiö näyttäisi olevan lievässä nousussa: vuonna 2016 niitä raportoitiin 3354, vuonna 2017 3940. Vuonna 2018 identiteettivarkauksia tuli poliisin tietoon 3555 kappaletta, ja vuonna 2019 niitä on ilmoitettu jo useampi sata.

Verkossa toimivien yritysten ja palveluiden vastuu identiteettivarkauksissa korostuu, sillä ne keräävät yleensä suuria määriä tietoa asiakkaistaan. Samaan aikaan isoja tietomurtoja tehdään jatkuvasti enemmän.

– Niitä tuntuu tulevan ilmi lähes viikoittain. Ja juuri isot massat tietoa, jotka pyörivät tuolla, ovat se suuri uhka, Suominen sanoo.

Myös niin kutsuttuja toimitusjohtajahuijauksia tapahtuu jatkuvasti.

– Niissä pyörii ammattimaisia tekijöitä ja paljon rahaa, Suominen toteaa.

Toimitusjohtajahuijaukset kohdistuvat yritysten maksuliikennettä käsitteleviin henkilöihin, ja niissä vaaditaan yleensä pikaista tilisiirtoa yrityksen johdon nimissä.

Rahalliset sanktiot mahdollisia

Uhrille identiteettivarkaus selviää usein vasta siinä vaiheessa, kun hänelle saapuu outo lasku ostosta, jota ei muista tehneensä. Silloin kannattaa ottaa ensimmäiseksi yhteyttä laskuttajaan, joka kehottaa usein tekemään asiasta rikosilmoituksen.

– Tuotteen myyjästä riippuu, miten toimitaan perityn maksun osalta. Edellyttävätkö he, että poliisi aloittaa asian tutkinnan tai pitääkö uhrin todistaa, ettei hän ole ostosta tehnyt? Vaikka taloudelliset menetykset eivät olisikaan mittavia, laskun mitätöinnissä ja muussa selvittelyssä voi vierähtää tovi.

Yrityksille identiteettivarkaudet tai niiden mahdollistaminen saattavat aiheuttaa mittavia lommoja maineeseen ja karkottavat tehokkaasti asiakkaita. Yhä useammin kömmähdyksestä voi seurata myös rahallisia sanktioita, kun EU:n laajuinen, aiempaa tarkempi yksityisyydensuojalaki on astunut voimaan.

– Esimerkiksi Google on jo joutunut maksamaan tuntuvia sakkoja. Lisäksi tilanteesta tiedottaminen ja puutteiden korjaaminen ovat sellaisia prosesseja, joissa palaa yritykseltä helposti paljon rahaa.

Jos yrityksen tietoturvatilanne mietityttää, yksityisyydensuojalakiin tutustuminen on Suomisen mielestä hyvä paikka aloittaa tilanteen kartoittaminen ja parantaminen. Yrityksien pitäisi myös miettiä kuinka toimitaan, jos jotain sattuu.

Positiivista on Suomisen mukaan se, että tietomurtojen kasvaneeseen riskiin on selvästi viime vuosina herätty. Vielä muutama vuosi sitten käytännöt olivat hyvin vaihtelevia.

– Pienemmillä toimijoilla oma osaaminen ja budjetti voivat tietenkin tulla nopeasti vastaan. On kuitenkin tärkeää, että aiheesta keskustellaan, jotta yleinen tietous kasvaa.