Asiantuntija: Näin suojaudut identiteettivarkaudelta

Tietotekniikka-asiantuntija ja tietokirjailija Petteri Järvinen alkoi seurata pyramidihuijauksena tunnetun WinCapitan perustajaa Hannu Kailajärveä Twitterissä vuonna 2011 – tai niin hän luuli.

Miehellä oli hyvin uskottava profiili, satoja seuraajia ja jopa oma blogi, johon Twitter-profiilista ohjattiin. Mutta kun Järvinen lokakuussa 2012 tapasi Kailajärven Helsingin hovioikeuden käytävällä ja kysyi tämän muutaman päivän takaisesta twiitistä, hän sai tyrmäävän vastauksen. Kailajärvi kertoi, että Twitterissä ei ollut hän vaan joku hänen identiteettinsä varastanut. Asiasta oli jo tehty rikosilmoitus.

”Varoitettuani vuosien ajan muita siitä, etteivät netissä kirjoittavat ihmiset välttämättä ole aitoja, olin itse mennyt halpaan”, Järvinen kirjoitti tuolloin blogiinsa.

Identiteettivarkaudet eivät ole mitenkään harvinaisia: 100 000 suomalaista on jo joutunut sellaisen uhriksi ja kymmenen prosenttia aikuisväestöstä tuntee jonkun uhriksi joutuneen.

– Laskisin Kailajärven tapauksen ensimmäisen tason identiteettivarkaudeksi. Toisen tason identiteettivarkaus voisi olla, kun suhteen päättymisen jälkeen ex-puoliso kiusaa tekemällä tilauksia uhrin puolesta ja jättämällä hänen nimissään vaikka treffi-ilmoituksia. Kolmas ja vakavin taso on, että aiheutetaan vahinkoa siirtämällä rahaa tai tekemällä taloudellisia petoksia, Järvinen sanoo.

Tiedetään myös tapauksia, Suomessakin, joissa netissä väärällä tai keksityllä henkilöllisyydellä esiintynyt ihminen on huijannut toisen rakastumaan itseensä. Huijattu osapuoli on saattanut luulla olevansa suhteessa muualla asuvan henkilön kanssa useamman vuoden ajan.

– Eli vaikka taloudellista hyötymistarkoitusta ei olisikaan, nämä voivat olla ihmiselle ihan inhimillisellä tasolla raskaita tapahtumia.

Älä kerro itsestäsi liikaa

Omaa henkilöllisyyttään voi suojata pidättäytymällä kertomasta itsestään liikaa.

– Se on tietysti esimerkiksi sosiaalisessa mediassa vaikeaa, koska sosiaalinen media perustuu tietojen kertomiseen. Siellä ei oikein voi olla valetiedoilla, koska silloin huijaa itse muita. Joitakin tietoja joutuu joka tapauksessa ilmoittamaan, Järvinen sanoo.

Henkilötunnus on kuitenkin sellainen tieto, jota ei pitäisi internetissä tai vaikka kaupassa turhaan ilmoittaa.

– Minua ovat aina ihmetyttäneet esimerkiksi hotellien rekisteröitymispaperit. Miksi niissä kysytään hetua? Mitä sillä tiedolla kukaan tekee? Tosin ainakin toistaiseksi hotelliin kyllä varmaan pääsee, vaikkei kertoisikaan hetua tai laittaisi väärät tiedot. 

Sen sijaan esimerkiksi osamaksusopimusta ei saa ilman henkilötunnusta. Niin ikään puhelimitse asioidessa henkilötunnus pitää usein ilmoittaa.

– Puhelimessa ei oikein ole muuta keinoa varmistua henkilöllisyydestä. Siinä mielessä asiointi netissä on jopa turvallisempaa, että siellä henkilöllisyyden voi todistaa myös verkkopankkitunnuksilla.

Googlaa itsesi

Järvinen kehottaa ottamaan käyttöön kaksivaiheisen tunnistuksen verkkopalveluiden kirjautumissivuilla.

– Silloin kirjautuminen tunnuksella ja salasanalla ei vielä riitä, vaan palvelulla on tiedossa puhelinnumerosi, johon lähetetään kirjautumislomakkeeseen lisättävä koodi. Henkilöllisyyden todistaminen siis sidotaan ulkopuoliseen apuvälineeseen, kuten kännykkään, joka kulkee luultavasti aina mukana. Se on erittäin hyvä keino lisätä tietoturvaa.

Kannattaa myös googlata omat tietonsa säännöllisesti.

– Useimmat osaavat googlata nimensä etunimi-sukunimi-muodossa, mutta voi kokeilla myös sukunimi-etunimi-muotoa ja kaikkia taivutuksia. Ja tietysti kannattaa katsoa, millaisia tuloksia oma kotiosoite, puhelinnumero tai henkilötunnus antaa.

– Omat tiedot kannattaa ehkä googlata mieluiten vieraalta koneelta, koska saattaa olla jonkinlainen riski, että Google osaa jatkossa yhdistää muut hakutiedot yksilöllisiin henkilötietoihin, Järvinen huomauttaa.

Facebookista ja Twitteristä voi etsiä omia nimikaimoja.

Yrityksetkin uhreja

Myös yritys voi joutua identiteettivarkauden kohteeksi.

– Niin on käynyt ainakin Unicefille ja VR:lle. Eräs mies puolestaan lähetteli Twitterissä hauskoja tiedotteita liikkuvan poliisin nimissä, vaikka hänellä ei oikeasti ollut mitään tekemistä poliisin kanssa, Petteri Järvinen sanoo.

– Joskus valeidentiteeteillä saatetaan tehdä myös teollisuusvakoilua. Erään suomalaisenkin tietoturvayhtiön nimissä on perustettu LinkedIniin olemattomia henkilöitä, tavoitteena päästä kaveriksi ja näin saada alan oikeista ihmisistä verkosto ja urkittua tietoa.

– Ovatko ne oikeasti kaimoja vai jotakin muuta? Omaa valokuvaa voi puolestaan etsiä TinEye-palvelulla. Se paljastaa, onko joku esimerkiksi ottanut profiilikuvasi Facebookista ja laittanut sen muuhun käyttöön, Järvinen sanoo.

Muista tietoturva kotona

Netin ulkopuolella on tärkeää pitää huolta omasta lompakosta. Erityisesti ajo- ja Kela-kortti ovat kriittisiä, koska niissä näkyy henkilötunnus.

Lukottomaan postilaatikkoon liittyvää riskiä moni ei välttämättä ole tullut ajatelleeksi.

– Jossain kadun varrella sijaitseviin postilaatikkoihin jätetään papereita, jotka joku toinen voi käydä sieltä kaivamassa. Minullekin tuli postissa uusi Mastercard-kortti, ja saatteessa vielä luki: kortti heti käyttövalmis, lisää vain allekirjoitus.

– Asiakkaana ihminen tietysti haluaa mukavuutta, mutta kyllähän tässä olisi hyvä jokin pankkivarmistus olla. Kortti voitaisiin vaikka käydä kuittaamassa verkkopankissa omilla tunnuksilla ennen käyttöä.

Järvinen muistuttaa myös silppuamaan paperit.

– Laskuissa, tiliotteissa, palkkanauhoissa ja lääkeresepteissä on kaikissa tietoja, joita roskiksia dyykkaavat identiteettivarkaat voivat käyttää. Paperisilppureita saa kaupasta muutamalla kympillä.

Kieltoja kehiin

Omaehtoisen luottokiellon hankkiminen on yksi keino estää identiteettivarasta toteuttamasta suunnitelmiaan.

– Jos henkilö menee sinun nimissäsi tekemään osamaksusopimusta tai ostaa jonkin luotollisen palvelun netistä, niin havaitaan, että nimi on luottokieltolistalla eikä tuotetta myydä. Valitettavasti eräät isot verkkokaupat ovat tosin vieneet ostamisen helppouden niin pitkälle, etteivät ne tarkista mitään kieltolistoja.

Omaehtoisen luottokiellon lisäksi voi asettaa tietojen luovutuskiellon. Se on helppo tehdä netissä.

– Esimerkiksi Trafin sivuilla voi kieltää kotiosoitteensa luovutuksen auton rekisterinumeron perusteella. Väestörekisterikeskuksen sivuilla voi kieltää tietojensa luovutuksen markkinointiin.

Konttorissa tai pelkillä papereilla asioidessa ihmisen henkilöllisyyttä ei tarkisteta.

– Identiteettivaras voikin esimerkiksi tilata tuotteita nimissäsi, mutta vaihtaa kotiosoitteesi muualle. Silloin et saa ilmoituksia ja karhukirjeitä ennen kuin on liian myöhäistä. Tämän takia aina pitäisi tarkistaa, onko ihminen oikeasti tekemässä omaa vai jonkun toisen ilmoitusta. Esimerkiksi kaupparekisterissä pitäisi ehdottomasti tarkistaa, onko henkilöllä oikeus lisätä joku henkilö yrityksen vastuuhenkilöiden joukkoon, Järvinen sanoo.