Itse asiassa pankit ovat huonontaneet palvelujaan, sen sijaan että olisivat tarjonneet asiakkailleen uusia mahdollisuuksia. Esim. Nordea lopetti taannoin mahdollisuuden saada tilitiedot Excel-muodossa ja tarjoaa nyt mahdollisuutta tiedot PDF:nä. Hyöty on olennaisesti pienempi.

Balancionin paras vaikutus voikin olla, että se pakottaa pysähtyneet pankit miettimään uudelleen palvelujaan.

Hei!
Olemme muutaman päivän aikana saaneet korjata erästä keskeistä virhettä viimeaikaisessa viestinvälityksessä koskien Balancionia. Aloitetaan tällä: emme kerää yksityisasiakkaiden pankkitunnuksia tai salasanoja palveluumme. Tästä lisää myöhemmin tässä kirjoituksessani.

Ymmärrämme hyvin sen, että OP:lla on yleinen huoli siitä, että verkkopankkitunnuksia käytetään ”leväperäisesti” sovelluksissa, joista ei ole varmuutta. Olemme samalla puolella pöytää. Siksi ymmärrämme myös sen, että vie oman aikansa rakentaa luottamus – riippumatta siitä kuinka oikein ja hyvin asiat on täällä päässä hoidettu. Perusteettomien ja hakuammunnalla esitettyjen harhaanjohtavien väitteiden on kuitenkin nyt meihin kohdallamme vähitellen loputtava ja uskallan sanoa, että se on tässä vaiheessa oikeus ja kohtuus Ehkä huominen (4.2.2010) tapaaminen OP:lla tuottaa hyvän lopputuloksen, kuten itse uskon. Tämän uskon siksikin, että emme pyri markkinahäiriköksi, vaan tavoittelemme itsenäistä ja riippumatonta asemaa, joka toimii alan täydentäjänä.

Tämä edellisessä kappaleessa mainittu riippumaton asema myös vaaditaan – yksittäinen finanssialan toimija ei yksinkertaisesti pysty rakentamaan vastaavaa palvelua eikä se ole pankin liiketoiminnan keskiössä (tästä toinen perustajista kirjoitti gradunsa Helsingin kauppakorkeakoulussa 2004). Suomessa tilitoimistot tekevät hyvää yhteistyötä pankkien kanssa, samoin lukuisat kirjanpito-ohjelmistot, jotka toimivat samoin yritysten talouden hallinnan puolella. Haluamme saada saman mahdolliseksi yksityisasiakkaillemme.
Asiaan: miten datahaku on oikeasti toteuttu? Kerron nyt miten asian laita on, ilman piikikkäitä sarvia tai teräviä torahampaita.

Balancionin käyttäjä pystyy siis hakemaan omat tilitapahtumansa omasta verkkopankistaan, omilla tunnuksillaan. Mahdollistamme siis usean eri pankin käyttäjälle (näitä on paljon) mahdollisuuden datahakuun kaikista suomalaisista pankeista (pl. Sofia ja Nordnet ja Dinersin kortti toistaiseksi). Kirjautuminen tapahtuu käyttäjän omalla selaimella ja suoraan pankin järjestelmään. Balancion ei ole siinä välissä emmekä kirjaa / tallenna näitä tietoja missään vaiheessa palvelussamme tai sen kautta. Tilannetta voi hyvin verrata Internet Exploreriin, Mozillaan tai Google Chromeen: eiväthän nämäkään tallenna kirjautumistietoja, miksi me sen tekisimme?
Käyttäjän omien henkilökohtaisten tietojen haku suomalaisista pankeista (olemme tässä jäljessä todella monia maita) on edelleen siis Suomessa (ennen Balancionia) mahdollista tehdä vain siten, että kirjautuu omaan verkkopankkiin ja “leikkaa/liimaa” ne koneelleen tai kuten jotkut pankit mahdollistavat, hakemalla saman datan esim. xls-tiedostona, jonka käyttäjä voi tallentaa omalle koneelleen. Tässä on paljon pankkikohtaista vaihtelua ja meiltä Suomesta puuttuu siis vielä tuo ”hienostuneempi” tapa hakea tapahtumat kolmansien osapuolten “yksityisiin kirjanpito-ohjelmistoihin” XML-muodossa. Tällaisen suhteen USA on meitä huomattavasti edellä, mikä on mahdollistanut vaikkapa Mint.comin, Wesabe.comin, Geezeo.comin jne. menestyksen USA:ssa. Monissa maissa on siis se “hieno tapa”, mistä blogaaja tässä ansioituneesti mainitsikin, meillä edelleen leikataan ja liimataan ja leikataan ja liimataan, noin keskimäärin.

Jatketaan: Balancionin java-sovellus, siis tekee tuon ”leikkauksen ja liimauksen” automaattisesti, jotta käyttäjän ei tarvitse selata kymmeniä eri sivuja ja etsiä tuota dataa kissojen ja koirien kanssa kuukausi kuukauden perään mahdollisesti jopa vuosia taakse päin. Autamme tässä siksi, että emme koe itsekään manuaalista käsityötä näin simppeliin asiaan mielekkääksi tavaksi palvella asiakkaitamme.
Puhutaan hetki vielä itse palvelusta ja historiastamme. Itse idean sai palvelustamme toinen meistä perustajista jo 2002, joten on ollut jännää seurata, miten vastaavat palvelut ovat myöhemmin sitten yleistyneet. Tähän excel-touhuun me perustajat lopullisesti kyllästyimme vuoden 2007 alussa. Meitä oman talouden hallinnan käsityöläisiä on täällä Suomessa yllättäen joitakin kymmeniä tuhansia ja kokonaismarkkina on joitakin satoja tuhansia (IRO Research 2009), joten emme ole tarpeidemme kanssa onneksi yksin. Siksi suunnittelimme vuosia ja rakennamme nyt palvelua, joka mahdollistaa (1) automaattisen datahaun; tarjoaa (2) kirkkaan ja kattavan kokonaiskuvan omasta taloudesta; vastaa (3) kysymykseen ”mihin se kaikki raha menee”. Lisäksi tiedon jalostuksessa on paljon automatiikkaa: palvelu siirtää esim. bensakulut automaattisesti oikeaan lokeroon (Balancion on ”patent pending” –tilassa tällä yhteisöoppivalla kategorisointimallillaan). Mitä muuta teemme? Tarjoamme (4) helppokäyttöisen työkalun mm. talouden suunnitteluun (ns. automaattinen budjetointi), omien (5) tavoitteiden asettamiseen ja niiden toteutumisen seurantaan, työkalun (6) säästökohteiden automaattiseen tunnistamiseen jne.

Asiakkaitamme ovat palvelun käyttäjät itse, joten riippumattomuuden nimissä ainoa soveltuva tapa ylläpitää luottamusta on mielestämme valintamme: se, että a) käyttäjä on oman datansa herra datan hausta omien tietojen poistamiseen, b) palvelu ei esim. mainosrahoitteisesti tyrkytä täsmämainontaa tai saa muuten sponsorieuroja kolmansilta osapuolilta, c) käyttäjä on ainoa jolla pääsy omiin tietoihinsa, jotka ovat tietokannassamme huolellisesti kryptattu ja useiden salausavainten takana.

Näistä lähtökohdista asiassa seuraavaan: tietoturvaarkkitehtuurin suunnittelua on toteutettu jo ennen ohjelmoinnin aloitusta ja jatkuvan auditoinnin prosessia toteutetaan yhdessä Suomen suurimman tietoturvayhtiön, Nixu Oy:n kanssa. Siksi heidän työnsä laatua aliarvioi aika rankasti väite siitä, että jotain kohtaa tässä prosessissa olisi tietoturvateknisesti perusteltua epäillä. Olisiko aika siis miettiä, onko näille ”tietoturvakortin” väittämille relevanttia perustaa?

Pääsemme melko pian palvelun varsinaiseen lanseerausvaiheeseen, jolloin mm. pian avautuvien kotisivujemme kautta kaikilla käyttäjillä ja asiasta kiinnostuneilla on mahdollisuus tutustua paremmin tietoturvasertifiointiimme, tietosuojasertifiointiimme, palvelumissioomme – ja itse palveluun perusteellisemmin.

Sanottakoon vielä loppuun, että olemme olleet iloisia siitä, että palveluamme on käsitelty niin monipuolisesti blogeissa, Twitterissä , Facebookissa ja muilla sosiaalisen median alustoilla. Samoin olemme positiivisen yllättyneitä siitä, että niin moni käyttäjä ilman omien PR-, viestintä- ja markkinointitoimenpiteidemme alkua on jo löytänyt palvelun, osallistunut sen kehittämiseen ja innostanut mukaan monia muita. Oman käyttäjäkyselymme mukaan 93% jo suosittelee palvelua kavereilleen ja uskon, että kun koko kattaus on tuossa ennen kesää meitä excelistejäkin tyydyttävällä tasolla, niin tuo lukema ei ainakaan tuosta heikkene.

Vastaan mielellään myös blogaajille ja muille asiasta kiinnostuneille tarkentaviin kysymyksiin täällä ja minuun voi myös ottaa yhteyttä suoraan (alla yhteystiedot). Tehkäämme samoin kaikkemme, jotta Suomeenkin saadaan tuo XML-pohjainen datansiirtomalli (sama mitä siis yritystileillä jo on) koskettamaan yksityistilejä, tämä mahdollistaa entistä paremman käyttökokemuksen meille kaikille.

Äidinkielen opettajani ei olisi ylpeä suorituksestani, editointia voisi tehdä paljon. Antakaa se tässä kohtaa anteeksi, fair play?

Ystävällisin terveisin,

Jussi Muurikainen
perustaja/toimitusjohtaja
Balancion Oy
050-567 3100
jussi.muurikainen@balancion.com

“Mutta on mahdoton ajatus, että pankki kontrolloisi myös sitä, miten asiakas saa itse käyttää omia tietojaan. Jokaisella on oikeus vapaasti ladata tilihistoriansa Balancioniin tai Exceliin tai mihin tahansa haluamaansa sovellukseen.”

Ei kai tällaisesta kontrollista ole puhettakaan ollut. Mistä sen keksit?

Kyse on siitä, että _pankkitunnuksia_ ei saisi antaa ulkopuolisille. Jos joku on niin idiootti, että tällaista vapaaehtoisesti tekee, niin omasta mielestäni tosin ansaitseekin tulla huijatuksi.

@Jussi Muurikainen:

“emme kerää yksityisasiakkaiden pankkitunnuksia tai salasanoja palveluumme.”

Ja tähän käyttäjä voi vain sokeasti luottaa, ei varmistua asiasta millään tavalla. Luottamukseni nousikin heti hurjasti. Jos tunnukset kiertävät palvelunne kautta, on ne mahdollista poimia talteen. Ei tarvita kuin yksi epärehellinen työntekijä sopivassa asemassa. Suomalaiset pankkitunnukset taitavat olla mustassa pörssissä ihan arvossaan.

Mietitäänpä seuraavaa:

“Tilannetta voi hyvin verrata Internet Exploreriin, Mozillaan tai Google Chromeen: eiväthän nämäkään tallenna kirjautumistietoja, miksi me sen tekisimme?”

1. Jokainen näistä selaimista mahdollistaa tunnuksien/salasanojen tallentamisen.

2. Kaikki nämä ohjelmat pyörivät lokaalisti omalla koneella ja niiden toimintaa voidaan seurata.

3. Chrome ja Firefox ovat avointa lähdekoodia ja niiden turvallisesta toiminnasta voidaan varmistua.

4. Miksi te niin tekisitte? Tuskin yrityksenä niin tekisittekään, mutta entä epärehelliset työntekijät tai toistaiseksi tuntemattomat tietoturvahaavoittuvuudet?

Koska käytät vertauksena selaimia, ymmärrän siis edelleen, että tunnukset kiertävät (en puhu nyt tallentamisesta) teidän palvelunne kautta, aivan kuten tunnukset kiertävät selaimen kautta. Mikäli tämä myös oikeasti on näin, on osa tekstistäsi hyvin harhaanjohtavaa vaikka pituutta onkin ja tarkoituksena on ollut selventää asiaa.

“se, että a) käyttäjä on oman datansa herra datan hausta omien tietojen poistamiseen,”

Tästäkään ei käyttäjä tosin voi mitenkään varmistua, ellei pääse konesaliin levyjä tutkimaan. Ainoa tapa olla oman datansa herra, on säilyttää oma data lokaalisti. Tämä ei ole mitenkään erityisesti _teidän_ järjestelmänne heikkous, vaan koskee pilvipalveluja yleisesti.

Hei Joker_

Koko viestini tärkein osa ei ilmeisesti ole tullut riittävän selvästi esille: emme kerää noita käyttäjätunnuksia ja salasanoja. Pahoittelen, jos tämä “hyvästä yrityksestäni” huolimatta ei tullut riittävän selvästi esille

Muihin sinua askarruttaviin asioihin: soita minulle 050-567 3100 ja kerron lisää.

t. Jussi Muurikainen, Balancion
050-567 3100

ainoa tapa *oikeasti* varmistua softan luotettavuudesta, on sen lähdekoodin täydellinen avoimuus.

noudattaako Blancion oss-kehitystl? mistä voin imuroida softanne (erit sen javaappletin) sorsat?

Hei,

Sain kommentin tästä jutusta ja siksi vielä pieni tarkennus kohtaan “Minun henkilökohtaiset tiliotetietoni lillumassa tuntemattoman yrityksen datapilvessä?”.

Balancionin konesalipalvelut tarjoaa Nebula (http://www.nebula.fi/nebula.php) , jonka palvelimilla asiakkaamme tiedot ovat. Nebulan palveluja käyttää 12 000 yritysasiakasta eri puolilla maailmaa. Kovin tuntemattomasta yrityksestä ei voida tässä yhteydessä siis puhua.

Ystävällisin terveisin,

Jussi Muurikainen
perustaja/toimitusjohtaja
Balancion Oy

@Joker: “Ei kai tällaisesta kontrollista ole puhettakaan ollut. Mistä sen keksit?”

Tämän blogiartikkelin otsikosta. Myönnettäköön, että Ossin artikkelit ovat usein niin epämääräistä vihjailua ja FUDia selkeiden argumenttien sijaan, että joskus on vaikea päätellä, mikä niiden sanoma oikeastaan on.

@Ossi: “Balancionin tai Mintin kaltainen kuluanalysaattoriohjelma jos mikä kuuluisi ehdottomasti ajettavaksi vain paikallisella työasemalla.”

Pitkään alalla olleena olet varmasti kuullut myös työasemalle asennetuissa ohjelmissa tavatuista tietosuoja- ja turvallisuusongelmista. Uskon sinun myls havainneen että keskimäärin käyttäjän on merkittävästi vaikeampaa ylläpitää kaikista itse asentamistaan ohjelmista viimeisintä, toivottavasti turvallisinta versiota kuin ohjelmiston kehittäjän ja ylläpitäjän laadunvalvomasta webissä pyörivästä versiosta. Olet varmasti myös samaa mieltä kanssani siitä että on todennäköisempää että sovellusta ammattimaisesti operoiva (ja mahdollisesti sen omistava) taho on asiantuntemukseltaan paremmassa asemassa valvomaan sovelluksen turvallisuutta kuin sen keskimääräinen käyttäjä.

Näiden seikkojen vuoksi päädyt mielestäni melko perustelematta yllä lainaamaani väitteeseesi.

“Koko viestini tärkein osa ei ilmeisesti ole tullut riittävän selvästi esille: emme kerää noita käyttäjätunnuksia ja salasanoja.”

Sanalla “kerää” tarkoitettaneen, että tunnuksia ei _tallenneta_ mihinkään. Olennaista kuitenkin on se, minkälaista reittiä tunnukset kiertävät pankille. Itseäni siis kiinnostaisi jonkinlainen verkkoyhteyskaavio järjestelmän toiminnasta, jotta voisin ymmärtää, miten eri data kulkee eri pisteiden välillä. Pisteitä on siis käyttäjän oma kone, pankin palvelimet ja Balancionin palvelimet.

Uskoisin, että moni muukin teknisesti orientoitunut henkilö mielellään tutkisi tällaista kaaviota, jotta uskaltaisi sen toimintaan luottaa.

@Joker_: “Uskoisin, että moni muukin teknisesti orientoitunut henkilö mielellään tutkisi tällaista kaaviota, jotta uskaltaisi sen toimintaan luottaa.”

Juuri näin – lisäksi vaikka apletti välittäisikin juuri nyt salasanat vain käyttäjän ja pankin välillä jättäen Balancionin palvelimet pois välistä takaako mikään että näin ei tehdä tulevaisuudessa kun vaikkapa palveluun halutaan jokin uusi ominaisuus käyttöä helpottamaan?

Toinen iso asia on luottamus – Suomessakin on tehty nyt toistuvasti phishing-hyökkäyksiä joissa pankkitunnuksia on saatu onnistuneesti kerättyä – ainoa oikea neuvo (joka ei edes auta silloin kun haittaohjelma on fiksu kuten edellinen Nordean tapaus osoittaa) on se, että pankkitunnuksia ei ikinä, koskaan, pidä antaa kenellekään varmistumatta että ollaan pankin sivulla ja käytetään pankin ohjelmistoa.

Samaa mieltä olen tuosta read-only api:ta, sillä tämä asia korjaantuisi mutta Balancionin – joskin hyvin älykäs – rautalankakiertotie on vain yksinkertaisesti täysin väärä periaatteellisella tasolla.

Ossi Mäntylahti: “Balancionin tai Mintin kaltainen kuluanalysaattoriohjelma jos mikä kuuluisi ehdottomasti ajettavaksi vain paikallisella työasemalla.”

Siitä vain KMyMoney tai Skrooge kaltainen sovellusohjelma käyttöön.

Kari Haakana: “Itse asiassa pankit ovat huonontaneet palvelujaan, sen sijaan että olisivat tarjonneet asiakkailleen uusia mahdollisuuksia. Esim. Nordea lopetti taannoin mahdollisuuden saada tilitiedot Excel-muodossa ja tarjoaa nyt mahdollisuutta tiedot PDF:nä. Hyöty on olennaisesti pienempi.”

Se ei ole huonompi palvelu vaan se on yhteiskunnan etu. Nimittäin PDF:n avulla voidaan tilitietoja jakaa muille viranomaisille sähköpostin kautta koska voidaan varmentaa että se on aito tilituloste eikä käyttäjä ole välissä käpälöinyt sitä. Laskentataulukkoa ei voida käyttää viranomaisten välisessä komminikoinnissa esim KELA:n kanssa. Ja muutenkin sen tilitiedon sieltä voi kopioida itse haluamiin muihin tiedostoihin. Joten kaikki voittaa ja peruskäyttäjä pystyy asioimaan elektronisesti eikä enää kävelemällä pankkiin maksamalla pari euroa tilitiedoista jotka saa vain n. 2-3kk taaksepäin ja kiikuttamalla niitä sitten viranomaisille.

Minä haluaisin kuulla Balancionin mielipiteen mitä he itse pitävät suurimpina tietoturvahaasteina loppukäyttäjää ajatellen.

Tarkoitan mahdollisia ongelmakohtia esim. salaustekniikoissa, sovellusarkkitehtuurissa, konesalin fyysisessä tietoturvassa, kolmannen osapuolen tuottamissa sovelluksissa (mm. Java, nettiselaimet, käyttöjärjestelmät..).

Jos listaisitte esim. 5 kohtaa mitkä ovat teidän mielestä ongelmallisimpia, niin saataisiin hieman kuvaa minkälainen näkemys teillä on tietoturvasuunnittelusta. Tämän kuuleminen helpottaisi omaa lähtökohtaista suhtautumistani kyseiseen projektiin, missä tietoturva näyttelee erityisen kriittistä osaa (verrattuna esim. Youtuben kaltaisin palveluihin).

Asiassa on ilmennyt uusia käänteitä. Balancion selvittää saamaansa ilmoitusta mahdollisesta tietoturvariskistä. Palvelu on toistaiseksi pois käytöstä:

http://www.tietokone.fi/uutiset/kohuttu_balancion_kiinni_tietoturvariskin_takia

1. Käsittääkseni kaikissa suomalaisissa verkkopankeissa on käytössä kertakäyttösalasanat.

2. Niissä suomalaisissa verkkopankeissa, joita minä olen käyttänyt, tarvitaan erikseen vahvistustunnus maksuoperaatioiden vahvistamiseen. Epäilen että tällainen on kaikilla käytössä.

Mäntylahti voisi ottaa seuraavan kvasi-analyysinsa aiheeksi miten Balancion vaarantaa käyttäjien rahat ja tekee temppuja omia aikojaan huomoiden yo. faktat.

1. Käsittääkseni kaikissa suomalaisissa verkkopankeissa on käytössä kertakäyttösalasanat.

2. Niissä suomalaisissa verkkopankeissa, joita minä olen käyttänyt, tarvitaan erikseen vahvistustunnus maksuoperaatioiden vahvistamiseen. Epäilen että tällainen on kaikilla käytössä.
————-

Olkoon kuinka kertakäyttöisiä tahansa ja vaatikoon vaikka kuinka kertakäyttöisiä tarkistuksia, niin en luovuttaisi kennelekään ulkopuoliselle edes käyttäjätunnustani ilman salasanoja ja kertakäyttöisiä avainkoodeja.

Pete: “Olkoon kuinka kertakäyttöisiä tahansa ja vaatikoon vaikka kuinka kertakäyttöisiä tarkistuksia, niin en luovuttaisi kennelekään ulkopuoliselle edes käyttäjätunnustani ilman salasanoja ja kertakäyttöisiä avainkoodeja.”

Etenkään kun eivät kyseiset tunnukset käsittele vain pankkia vaan koko henkilön tietoja viranomaisten parissa. Onhan se kiva kun samalla voitaisiin vetästä vaikka vakuutusyhtiölle sairaskertomukset ym.

Aivan liikaa riskejä ja vaikka ei olisikaan tässä tapauksessa väärinkäytöksiä. AIVAN liian suuri riski kun markkinoille voi tulla huijausyrityksiä joihin ihmiset luotavat jälleen kerran helpommin ja helpommin ja ongelma paisuu samaan tilanteeseen kuin Windowsin tietoturvan osalta… Että ei ole mitään turvallista.

Jaa että tietoturvariskin takia jo kiinni – ja taas kerran notain koneeseen pukattavia java-vimpaimia.

Danske-Sampon vimpaimista on jo ehtinyt tulla mitta kunnolla täyteen, nyt tarjotaan samanlaista roskaa jo rahasta pankkisalaisuutta vuotamaan. Ei kannattaisi muita syyttää, jos sellaisen palvelun käytön jälkeen tulee ongelmia…

Hei!

Tässä aika hyvä ja monin tavoin asiallista tietoa sisältävä tuore juttu tästä tietoturvauhasta. Löysimme siis haavoittuvuuden, joka on yleinen, mutta jonka silti itse korjaamme viikonlopun aikana.

Eli ylireagoimme, mutta se lienee näissä tietoturva-asioissa parempi tie kuin asioiden peitteleminen.

http://www.digitoday.fi/tietoturva/2010/02/05/java-korjaus-pitaa-balancionin-kiinni-viikonlopun/20101864/66?rss=6

Hyvää viikonloppua!

t. Jussi Muurikainen
perustaja/toimitusjohtaja
Balancion Oy
jussi.muurikainen@balancion.com
050-567 3100

Hei!

Heikki Ni: tietoturva on aihealue, jolla liiallinen avoimuus on itsessään tietoturvauhka.

Voisimme kuitenkin järjestää tapaamisen eli jos haluat käydä kanssamme asioita läpi, sovitaan treffit -> jussi.muurikainen@balancion.com

Tietoturvaa suunnitellaan jatkuvassa yhteistyössä kahden eri tietoturvayhtiön kanssa. Voin koota joukon esittelyyn. Julkisesti näitä asioita ei voi käsitellä, vaikka muuten olemmekin hyvin avoimia, kuten olet varmasti jo huomannut.

t. Jussi Muurikainen
perustaja/toimitusjohtaja
Balancion Oy

@Jussi Muurikainen:

Mielenkiintoista että Balancion on siis ilmeisesti uutisen perusteella löytänyt JRE:tä 0day -haavoittuvuuden josta Sun ei ole tiedottanut ja joka voidaan kiertää teidän ohjelmaanne muokkaamalla…

Hienoa jos näin on, toivottavasti tämä haavoittuvuus on raportoitu myös Sun:lle jotta muutkin voivat tästä hyötyä. Kuitenkin niin kauan kun tiedotus on tekniseltä luonteeltaan tällaista (samaa kun sanoisi lihakaupassa että onhan tuossa tuota eläintä ja joku oli pilaantunutta ja se on vedetty pois myynnistä, emme kerro mitä ja mistä ja miksi) niin ei tämä vahvalta vaikuta.

Tietoturvassa liiallinen avoimuus on tietoturvauhka vain tietyillä rajatuilla aloilla – mm. sovelluksen yleinen toimintaperiaate ja miten se kommunikoi eri osapuolten välillä ei ole julkisena tietona uhka ellei asiaa ole hoidettu puolivillaisesti.

Kari Asikainen: “Tietoturvassa liiallinen avoimuus on tietoturvauhka vain tietyillä rajatuilla aloilla – mm. sovelluksen yleinen toimintaperiaate ja miten se kommunikoi eri osapuolten välillä ei ole julkisena tietona uhka ellei asiaa ole hoidettu puolivillaisesti.”

Ei ole olemassa liiallista avoimuutta tietoturvan suhteen. Tuokin on mantra jota toistetaan että ihan kuin koodin sulkeminen olisi jotenkin tietoturvaa parantava.

@raips: “Ei ole olemassa liiallista avoimuutta tietoturvan suhteen. Tuokin on mantra jota toistetaan että ihan kuin koodin sulkeminen olisi jotenkin tietoturvaa parantava.”

Tuosta ei oikein ota selvää mitä haluat sanoa, mutta oletan että kritisoit sanomaani “Tietoturvassa liiallinen avoimuus on tietoturvauhka vain tietyillä rajatuilla aloilla”.

Haluaisin tähän tarkentaa että tarkoitin sitä, että Balancion tai jonkin muun sovelluksen tapauksessa tietoturvan osalta liiallista avoimuutta on esimerkiksi julkisesti kertoa miten haavoittuvuuksia tai väärinkäytöksiä etsitään. Eivät tietoturvayhtiökään kerro julkisesti miten he etsivät botnettejä tai seuraavat rikollisten viestintää.

Eli tässä suhteessa liiallista avoimuutta voi mielestäni olla. Sensijaan en ole vakuuttunut että tämä Balancion tapaus kuuluu tähän kategoriaan (ellei nyt oikeasti ole kyse jostain Java-haavoittuvuudesta jonka he ovat löytäneet) – todennäköisin selitys on että ovat tajunneet itse mokanneensa ja koodanneensa itselleen vian; toki annan tässä armon käydä oikeudessa ja hienoa jos tässä on löytynyt geneerinen reikä Javassa. Ja näin alan miehenä minua ei vielä vakuuta se että kerrotaan että palvelinkeskus on Nebulalla ja vakuuttelu että ei me ihan oikeasti mitään tallenneta, enemmän vakuuttaisi vaikka ihan jo se kaavio miten liikenne kulkee ja luotettavan kolmannen osapuolen auditointi softasta. Vielä parempaa olisi clientpään julkaiseminen avoimena lähdekoodina jolloin asian voisi varmistaa kuka vain – Balancio voisi silti pitää serveripään varsinaiset analyysinsä liikesalaisuuksinaan.

Olisin toivonut julkista keskustelua ainakin jollain tasolla tuosta aiemmin esittämästäni kysymyksestä. Tuossahan ei voida puhua riskin minimoinnista jos julkisesti asiasta ei puhuta, mutta kysymyksiin oltaisiin kuitenkin valmiita vastaamaan yksityishenkilölle.

Ja kuten sanottua, tietoturvallisuudessa ei voiteta piilottelulla. Avoimempi linja tietoturvan osalta ja jopa asiakaspään ohjelman (java-softa) avaus veisi luottamuksen uudelle tasolle. Java-softan avaus toisi myös toisen merkittävän edun: nopeamman client-softan kehityksen jne.

Tuo että käytätteä kahta eri tietoturvakonsulttia on ehdottomasti oikea ja hyvä valinta (onneksi tämä on suomessa mahdollista, mm. Nixussa on osaavaa porukkaa), mutta ihmisiä me kaikki olemme, tai ainakin ihmisten kirjoittamaa koodia, joten tässäkään ei saa sokeasti luottaa siihen että asiat ovat kunnossa vain “koska käytämme tietoturvakonsultteja”. En missään nimessä tarkoita että he tekisivät työnsä huonosti, mutta tämä vain näin yleisenä suhtautumisena tietoturvakriittisiin asioihin.

“3. Chrome ja Firefox ovat avointa lähdekoodia ja niiden turvallisesta toiminnasta voidaan varmistua.”

Koskas olet viimeksi lukassut käytössäsi olevan OS softan sorsat?

“Koskas olet viimeksi lukassut käytössäsi olevan OS softan sorsat?” Ei varmaan olekaan. Kuitekin se on _mahdollista_ ja asiaan vihkiytyneet ovatkin.

Sama juttu kuin kaikessa muussakin tieteessä. En tietenkään ole lukenut julkaisuja mannerlaattateoriasta, vaan luotan alan tutkijoihin, jotka ovat tutkineet aihetta ja konsensus on teorian takana.

Tilitietojen panttaaminen on pankille mahtava keino sitouttaa asiakkaat.

Harva enää saa paperilla tiliotteita, verkosta on kätevämpi tsekata jos tarvii. Harvemmin niitä myöskään tulee printtailtua. Kuitenkin esimerkiksi verottaja saattaa lätkäistä kouraan vaatimuksen jostain 5v vanhojen raha-asioiden selvittämisestä – mistäs muualta niitä kaivelet kuin pankista.

Tiliotteiden pitäisi ilman muuta olla saatavilla XML formaatissa ja niiden pitäisi myös liikkua sujuvasti pankkien välillä. Niinkauan kun näin ei ole, tässä on este asiakkaiden siirtymiselle pankkien välillä. Ja tämmöiset kilpailun esteet pitää purkaa.

Hei,

Raportoimme Cert.fi -palvelun kautta Viestintävirastolle löytämästämme haavoittuvuudesta koskien Sun Microsystemsin Javan komponenttia, jota olememe käyttäneet. Olemme samoin jo kiertäneet ko. Javaan liittyvän ongelman heti sen löytämisen jälkeen.

Siksi kukin voi tämän jälkeen tehdä omat johtopäätöksensä siitä olimmeko liian avoimia vai emme. Itse haluaisin sellaisenaan edustaa tätä “ei voi olla liian avoin tietoturva-asioissa” -linjaa, mutta samoin haluan kuunnella tietoturvaspesialisteja ennen kuin julistan asioita avoimemmin.

Peace & Love,

Jussi Muurikainen
perustaja/toimitusjohtaja
Balancion Oy

jussi.muurikainen@balancion.com
gsm 050-567 3100

Hei,

Koska täälläkin oli keskustelua tietoturvastamme, informoitakoon kaikille hyville keskustelijoille, että saimme 5.3.2009 Nixun myöntämän tietoturvasertifikaatin. Jatkuva auditointia Nixun kanssa toki jatkuu edelleen, koska palvelu kehittyy nopeasti.

Lisätietoa saat klikkaamalla http://www.balancion.com -sivultamme löytyvää Nixun logoa (alamarginaalissa).

Hyvää viikkoa kaikille!

t. Jussi Muurikainen
perustaja/toimitusjohtaja
Balancion Oy
jussi.muurikainen@balancion.com
050-567 3100

Hei,

Hyvä lisä keskusteluumme: http://www.tieke.fi/julkaisut/tiedosta-lehti/?ARTICLE_NUM=39204&SINGLE_EMBED=12811

Jussi Muurikainen
perustaja/toimitusjohtaja
Balancion Oy
jussi.muurikainen@balancion.com
050-567 3100