Mobiiliin tietoturvaan erikoistunut Pointsec Mobile Technologies teki pistokokeen ostamalla viidellä punnalla nettihuutokauppa eBaysta kiintolevyn, joka sisälsi aktiiviset käyttäjätunnukset ja salasanat yhden Euroopan suurimman rahoitusalan yhtymän intranettiin.
Kiintolevy oli yksi sadasta kiintolevystä ja kannettavasta tietokoneesta, jotka Pointsec osti osana tutkimustaan internetin varaosien ja käytettyjen laitteiden huutokauppasivuilta.
Pointsec selvitti, kuinka helppoa 2000-luvun huijareiden on päästä käsiksi arvokkaisiin yritystietoihin, jotka sijaitsevat käytetyillä kiintolevyillä ja kadonneissa kannettavissa.
Yritys pystyi lukemaan huutokaupoista hankituista kiintolevyistä tietoja oletetusta tyhjentämisestä tai uudelleen alustamisesta huolimatta. Seitsemän kiintolevyä kymmenestä sisälsi luettavaa tietoa.
Suuryrityksen tiedot olivat tallessa
Yhdellä eBaysta ostetulla kiintolevyllä oli erään Euroopan suurimman rahoitusalan yhtymän erittäin arkaluontoisia tietoja, kuten eläkesuunnitelmia, taloudellisia tietoja, palkkatietoja sekä käyttäjätunnuksia ja salasanoja intranet-sivuille.
Levyllä oli 77 Excel-tiedostoa, jotka sisälsivät luottamuksellisia tietoja kuten asiakkaiden syntymäaikoja ja yhteystietoja töihin ja kotiin. Julkisuuteen päästessään ne aiheuttaisivat yritykselle paitsi asiakkaiden luottamuksen ja pörssikurssin romahtamisen myös vakavia laillisia seuraamuksia.
"Tutkimuksemme osoittaa, kuinka helppoa on ostaa käytettyjä tai kadotettuja kannettavia julkisista huutokaupoista ja kiintolevyjä Internetistä ja kuinka vaivattomasti niiden sisältämiin tietoihin pääsee käsiksi. Vaikka yritykset ja yksityiset henkilöt uskovat tyhjentäneensä kiintolevyn, nämä tiedot voidaan helposti palauttaa sekä laitteen elinaikana että sen jälkeen", Pointsecin toimitusjohtaja Peter Larsson sanoo.
"Suomessa meillä ei ole tiedossa tapauksia, joissa kannettavilta laitteilta löytyneitä tietoja olisi käytetty väärin. Ei kuitenkaan ole syytä uskoa, etteikö Suomessakin laitteita katoaisi ja varastettaisi ja tietoihin päästäisi käsiksi", sanoo keskusrikospoliisin rikosylikomisario Veli-Pekka Loikala.
"Tuntumamme mukaan useimpien kannettavien tiedot ovat helposti avattavissa, ja koneista löytyy hyvinkin arkaluontoista tietoa. Yrityksien on ehdottoman tärkeää luoda tietoturvapolitiikka ja -käytäntö, jossa määritellään tietoturva-asiat ja laitteiden käyttö toimipaikan ulkopuolella. Salaus kuten muutkin suojauskeinot ovat välttämättömiä, jotta tietoja ei vaaranneta", Loikala jatkaa.
Pointsec ilmoittaa tuhoavansa kaikki tutkimukseen ostetut 100 kiintolevyä ja kannettavaa tietokonetta.
