Kuinka helppoa on toisille osoitettujen pakettien noutaminen ja mitä tekemistä sillä on tietoturvan kanssa? Lue tositarinaa tapahtuneesta!
Henkilö A oli tilannut ulkomaalaisesta nettikaupasta tavaraa, mutta paikkakunnalta toiselle muutosta johtuen toimittajalla oli väärät yhteystiedot. Korjausyrityksistä huolimatta paketti ehti lähteä toiseen kaupunkiin vanhoilla osoitetiedoilla.
Henkilöt A ja B tekivät valtakirjan, jolla henkilö B saa noudettua tuon väärään osoitteeseen lähteneet sekä tietyllä seurantakoodilla varustetun paketin. Henkilö B meni noutamaan pakettia, niin noutopisteen työntekijä C kertoi, että mitään valtakirjoja ei tarvita. Riittää kun B kertoo henkilötunnuksensa loppuosan, joka sitten merkittiin kuittiin.
B antoi seurantakoodin ja sai paketin, joka oli jo maksettu. Hän ilmoitti suullisesti henkilötunnuksensa loppuosan. Outoa tässä oli se, että työntekijä C ei missään vaiheessa tarkistanut henkilön B henkilöllisyyttä eikä vaivautunut edes lukemaan tarjottua kahden tekstirivin valtakirjaa sen tarkemmin. Mitään allekirjoituksia noutamisesta ei myöskään pyydetty. Toisin sanoen paketin saamiseksi riitti se, että tiesi tarvittavan seurantanumeron.
Tietoturvanäkökulmat:
- Jos ei tiedä seurantakoodia, niin osapuoli C tuskin antaa pakettia eteenpäin. Tämä oli ainut hyvä asia koko tapauksessa!
- Työntekijä C vaaransi tietoturvaa ja todennäköisesti laiminlöi työtehtäviään kun ei pyytänyt allekirjoitusta (unohdus?) eikä tarkistanut henkilöllisyyttä (laiskuutta?)
- Työtenkijä C luotti sokeasti henkilön B kertomaan henkilötunnuksen loppuosaan, eikä tarkistanut sitä mistään.
- Työntekijälle C tarjottiin mahdollisuutta tarkistaa kahden tekstirivin valtakirja, mutta hän ei sitä tehnyt koska ”hän ei sitä tarvitse”.
- Jos valtakirjaa olisikin tarvittu, niin miten helppoa sellainen on väärentää? Periaatteessa tässä olisi riittänyt kahden eri allekirjoituksen väärentäminen.
Esimerkkitapaus liittyi tällä kertaa yksityishenkilöiden välisiin asioihin. Yrityselämässä kannattaa kuitenkin muistaa se, että vaikka oma yrityksesi olisikin tietoturvan suurlähettiläs (vrt henkilöt A ja B, valtakirja jne), niin alihankkijat (vrt työntekijä C) voivat touhuta ihan mitä sattuu. Heiltä on osattava vaatia tiettyä tietoturvan tasoa päivittäisissä asioissa. Tässäkin esimerkissä henkilön A tilaamat tavarat olisivat pahimmassa tapauksessa menneet jonnekin aivan muualle ja työntekijän C ansiosta asian selvittäminen/jäljittäminen oli tehty erittäin hankalaksi. Henkilön B piti tosiaan tietää tuo seurantakoodi, mutta sen jälkeen asiat menivät erittäin helposti eteenpäin.
Vastaa