Lauantaina 5.11.2011 tapahtui se, mitä pitkään on tietoturvapiiireissä jo pitkään pelätty: Suomi sai ensimmäisen merkittävän kansalaisten henkilötunnuksia koskevan tietovuodon.
Verrattuna edeltäviin vastaavanlaisiin tietovuotoihin, joissa on vuotanut lähinnä palveluiden käyttäjätunnuksia ja salasanoja, tässä Hetu16K-tapauksessa nettiin on päätynyt esimerkiksi henkilötunnus, henkilön nimi, lähiosoite, sähköpostiosoite, puhelinnumero sekä osalla käyttäjistä tietoja oppilaitoksista, joissa ovat opiskelleet tai opiskelemassa.
Aiheesta lisää
Suomen historian suurin tietovuoto - näin saat selville, jouduitko uhriksi
Blogiväite: Työtehoseura on suomen suurimman henkilötietovuodon lähde
Nettiin vuotaneilla henkilötiedoilla mahdollisesti yhdistävä tekijä
Ei syytä paniikkiin! Kaikki muut tiedot henkilötunnusta lukuun ottamatta ovat tietoja, joiden leviämistä osa jopa tietoisesti edistää sosiaalisen median palveluiden ja muiden www-palveluiden ja arvontasivustojen kautta.
Miten tällainen on mahdollista?
Tätä kirjoitettaessa ei ole varmuutta siitä, miten lista on tuotettu, mutta on varsin todennäköistä, että lista on luotu useamman tietojärjestelmän tietoja yhdistelemällä.
Kyseisiin tietojärjestelmiin on murtauduttu todennäköisesti käyttäen jotain tunnettua tietoturvahaavoittuvuutta, joka on mahdollistanut pääsyn järjestelmään ja sinne tallennettujen tietojen lataamisen verkkorikollisen käyttöön.
Käytännössä tällaisen murretun tietojärjestelmän osalta sen luottamuksellisuus on pettänyt eli se on paljastanut sinne tallennettuja tietoja ulkopuoliselle taholle, jolla ei ole oikeutta niitä saada käyttöönsä. Usein tällainen haavoittuvuus mahdollistaa myös tietojen muuttamisen, jolloin myös tietojen eheys saattaa olla vaarassa.
Välillisesti tällä on merkitystä myös tietojen saatavuuteen, koska murtautujalla on myös mahdollisesti ollut keino muuttamisen ohella poistaa järjestelmään tallennettuja tietoja heikentäen sen organisaation toimintaa, joka tätä murrettua tietojärjestelmää on toiminnassaan käyttänyt.
Mitä tällainen tietovuoto mahdollistaa?
Se, mikä tämän tietovuodon tekee poikkeukselliseksi, on henkilötunnuksen, puhelinnumeron ja osoitetietojen samanaikainen paljastuminen. Näiden tietojen avulla voidaan yrittää useita erilaisia identiteettivarkauksia esiintymällä toisena henkilönä. Vahinko voi olla kiusantekoa tai taloudellisen edun saavuttamista.
Sähköpostiosoitteen paljastuminen sinällään ei ole ongelma, mutta listalla olijat voivat varautua jopa suunnattuun sähköpostimarkkinointiin ja ainakin lisääntyvään roskapostitulvaan.
Mikäli itse olisin listalla, miettisin ainakin vapaa-ajan sähköpostiosoitteeseen tulevien viestien tarkempaa seurantaa. Sama koskee vapaa-ajan matkapuhelinnumeroa. Mikäli näihin suuntautuu jatkossa selvästi aikaisempaa enemmän mielenkiintoa (roskapostia, kalastelua, mahdollista häirintää), vaihtaisin tällöin osoitetta ja numeroa.
Älä syötä henkilötietoasi tarkistuspalveluun!
Netissä on toiminnassa jo useita palveluita, jotka tarjoavat mahdollisuuden tarkistaa omalla nimellä, henkilötunnuksella tai vastaavalla tiedolla sen, ovatko omat tiedot tällä listalla.
En suosittele käyttämään tällaisia palveluita, koska niiden avulla voidaan luoda uusia vaarallisia, osin mahdollisesti laittomia henkilötietorekistereitä!
Sen sijaan suuntaa antavaa tietoa löydät HPGuru-sivuston listalta, jossa on kerrottu listalla olevia etunimiä ja syntymäaikoja. Huomaa, samana päivänä kuin sinä on voinut syntyä toinen henkilö, joka saa saman etunimen!
Mediassa on todettu, että viranomaiset ottavat yhteyttä listalla oleviin henkilöihin tai tiedottavat toimintaohjeista tarkemmin alkuviikolla. Tämän ohella voisin kuvitella ja toivoa, että ne henkilöt jotka ovat listan saaneet käyttöönsä, ilmoittavat hyvin tuntemilleen listalta löytyville henkilöille tietojen olemassa olosta luotettavalla tavalla, esimerkiksi puhelimella.
Onko listan lataaminen laitonta?
Henkilötietolaissa (HetiL) 523/1999 todetaan sen 8 § henkilötietojen käsittelyn yleisiä edellytyksiä ja on selvää, että netistä itselleen ladattu tiedosto ei mielestäni sellaisenaan tällaiseen oikeuta, mutta vastaavasti lain alussa 2§ soveltamisalassa todetaan, että ”Tämä laki ei koske henkilötietojen käsittelyä, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiinsa.”
Tulkinta voisi olla, että listan katsominen netissä on ok, mutta omalle koneelle tallentaminen ei. Tämän perusteella en suosittele lataamaan tai missään tapauksessa edelleen lähettämään varsinaista listaa muille henkilöille ennen kuin tästä saadaan virallinen lainoppineiden tulkinta.
Miten käyttäjä voi tällaiselta varautua?
Jos joku pysäyttää sinut kadulla ja kysyy henkilötietojasi tai -tunnusta, todennäköisesti et niitä anna, ellei henkilöllä ole perustetta sille, esimerkiksi poliisin virkapukua ja virkamerkkiä.
Sama koskee nettipalveluita.
Aina kun sinulta kysytään henkilötunnus, pyri varmistamaan, mitä tarkoitusta varten se kerätään. Jos kyseessä on viranomaisen tuottama asiointipalvelu, on sen kysymiseen yleensä selkeä peruste, mutta esimerkiksi puhtaasti vapaa-ajan toimintaan, nettikauppaan tai muuhun yritystoiminnassa liittyvään toimintaan ei nettipalveluissa henkilötunnuksia tarvitse kysyä.
Valitettavasti osa verkkopalveluista on suunniteltu virheellisesti siten, että ne kysyvät henkilötunnusta palveluun liittyvään käyttäjän tunnistamiseen, koska se on varmasti ainutkertainen, käyttäjän yksilöivä tieto. Jos tällainen ”tunnistaminen” on ainoa syy kysyä henkilötietoa, pitää järjestelmä tältä osin korjata ja rakentaa tarkoituksenmukaisempi tunnistautumistapa.
Jos palvelussa kysytään henkilötietoja, pitää palvelun ylläpitäjällä olla lakisääteinen rekisteriseloste, joka on pidettävä yleisesti saatavilla esimerkiksi verkkopalvelussa. Sieltä selviää, mihin ja miten organisaatio henkilötietojasi käsittelee ja turvaa sekä mahdollisesti edelleenluovuttaa. Hyvä yleisohje voisi olla klassinen ”Älä hölmöile – edes netissä”.
Miten organisaation tulisi suojata järjestelmänsä?
Tapahtunut tietovuoto osoittaa sen, kuinka tärkeätä on huolehtia palveluiden teknisen tietoturvallisuuden toteutumisesta.
Useimmissa tapauksissa tietovuodon taustalta löytyy jokin paikkaamaton tietoturva-aukko, jota tietoverkkorikollinen on käyttänyt hyödykseen järjestelmään murtautuessaan.
Tietosuojavaltuutetulla useita hyviä ohjeita
Tietosuojavaltuutetun toimisto ylläpitää ja tuottaa useita hyviä ohjeistuksia koskien henkilötietojen käsittelyä.
Mitä kriittisemmästä ja arkaluonteisempia henkilötietoja sisältävästä tietojärjestelmästä on kyse, sitä tärkeämpää on kiinnittää huomiota tekniseen toteutukseen ja myös hallinnollisiin prosesseihin, joilla tietoja käsitellään.
Maksukorttien puolella on oma standardi PCI DSS, jonka avulla suojellaan korttien tili- ja tapahtumatietojen käsittelyä. Valitettavasti henkilötietojen, erityisesti henkilötunnusten käsittelystä ei ole olemassa kaikkia toimijoita velvoittavaa, yhtä kattavaa ja yksityiskohtaista standardia tai teknistä ohjeistusta ei ole olemassa!
Henkilötietolaki ja valtionhallinnon viranomaisia koskeva tietoturvallisuusasetus ovat tässä keskeisessä roolissa, mutta ne eivät anna kaikkia tahoja koskevia yksityiskohtaisia, velvoittavia teknisiä ohjeita, kuten esimerkiksi PCI.
Yleensä tällaiset tietomurrot tapahtuvat internetin kautta, jolloin palvelun suojaaminen netin kautta tapahtuvilta väärinkäytöksiltä on ensisijainen tehtävä. Kun organisaatio kilpailuttaa tai itse koodaa sovellusta, huolehtimalla edes seuraavista perusteista käytettävissä palveluissa vähennetään riskiä merkittävästi:
Voisin veikata, että tämä ja useat tätä seuraavat tapaukset olisi voitu välttää noudattamalla edellisten listojen ohjeita sekä huolehtimalla siitä, että palveluissa käytettävissä käyttöjärjestelmissä sekä sovelluspalvelimissa on ajettu säännöllisesti suositusten mukaiset tietoturvapäivitykset.
Kriittinen (vakava) tietoturvahaavoittuvuus tarkoittaa sitä, että tietojärjestelmä ei ole enää pelkästään sen omistajan ja ylläpitäjän hallinnassa vaan siihen on mahdollista murtautua. Valitettavasti maailmasta löytyy tahoja, joilla on tarvittava osaaminen, aikaa ja tarvittaessa taloudellisia resursseja hyökätä myös sellaisia tahoja vastaan, joilla periaatteessa edellämainitut asiat ovat kaikki kunnossa.
Henkilötunnus – etsivä löytää
Valitettavasti henkilötunnus ei ole niin hyvin suojattu ja salassa pidetty tieto, mitä monet henkilöt kuvittelevat.
Jo 2000-luvun alkupuolella arvioitiin, että henkilötietomme löytyvät sadoista eri tietojärjestelmistä. Palveluiden sähköistymisen myötä luku on moni(kymmen)kertaistunut, mutta tämä koskee lähinnä osoite- ja yhteystietoja.
Useissa nettikeskusteluissa on viitattu siihen, kuinka yritys- ja yhteisötoiminnassa mukana olevien henkilöiden tiedot kuten henkilötunnus ja osoitetiedot ovat vapaasti kaikkien saatavilla, joka myös helpottaa mahdollista identiteetti- tai muun varkauden suunnittelua. Yksinkertaisella haulla tai maksutta onneksi tällaista ei pysty tekemään, mutta pienellä vaivalla ja kustannuksella ne on mahdollista selvittää.
Kun tietosi, tässä tapauksessa Hetu16K-lista, on päätynyt nettiin, ei se sieltä tule koskaan poistumaan.
Mikäli sinulla on harvinaisempi nimi, suosittelen säännöllisesti googlaamista omalla nimellä, jotta näet missä kaikissa aiheyhteyksissä nimeäsi käytetään.
Entäs googlaus omalla hetulla tyyliin ”010101-0101” – voi tietysti kokeilla, mutta tällöin henkilötunnuksesi jää kaikkiin niihin palvelinten ja yhdyskäytävien lokitietoihin ja työasemaan, joiden kautta tietoliikenne kulkee!
Verrattuna toki siihen, että löydät sen avulla jonkin paikan, jossa henkilötunnuksesi on päätynyt laittomasti verkkoon, riski on pieni . Muista toki poistaa selaimelta historiatiedot muutenkin säännöllisenä varotoimenpiteenä.
Kirjoittaja on toiminut sivutoimisena tietokirjailijana ja esiintyjänä vuodesta 1985 alkaen. Päätoimenaan hän kehittää tietoturvallisuutta valtionhallinnossa. Yllä mainitut mielipiteet eivät edusta hänen työnantajansa kantaa, vaan ovat hänen henkilökohtaisia mielipiteitään.
t: viimeinkin! :)
Lisäksi jos joku nettipalvelu tarvitsee henkilötietoja pitäisi sen tapahtua suojatus (HTTPS) yhteyden kautta. Muutoin sivullisten on helppoa kaapata lähetettyjä tietoja.
Monissa nettikaupoissa onkin turvauduttu pankin todennuspalveluihin jolloin tietoturva on hoidettu pankin puolesta ja tapahtuu suojatusti (HTTPS). Jos maksaa nettipankin kautta.
Kiinalaisiet ovat pahimmasta päästä pirattien tekemisessä ja tunketumisessa yritysten verkoille.
Meillä on nyt taas kerran tästä kokemusta.
suomalaisen mobiilipefirman uusin viikko sitten julkaistu peli on jo kaapattu.
KOLUMNI
Kim Viljanen, MikroPC, 5.3.2012 9:36Internetin voima ja logiikka
Elämme digitaalisten löytöretkien aikakautta, jossa menestyvät rohkeimmat ja itsepäisimmät. »
KOMMENTTI
Antti Isokangas, MikroPC, 28.3.2012 10:26Suunniteltu Kaliforniassa, valmistettu helvetissä
Eikö jo olisi aika ruveta kysymään myös luomu-Lumioita ja onnellisen kiinalaisen iPadeja? »
KOMMENTTI
Antti Oksanen, Tietoviikko, 14.2.2012 21:40Digitarina jatkuu tv:ssä
Verkko-tv-markkinan räjäyttää se, joka tekee telkkarista taas helppokäyttöisen. »
KOMMENTTI
Kari Ahokas, 27.1.2012 15:26Sovelluskaupan lähtölaskenta alkoi
Mobiilit sovelluskaupat ovat välivaiheen ratkaisu, joka ei voi kestää kauan. »
Tämän tapauksen pitäisi osoittaa se, että henkilötunnusta ei voida käyttää minkäänlaisena salasanana vaan tilalle täytyisi kehittää jokin muu järjestely. Siis henkilötunnusta pitäisi käyttää vain siihen mihin se alunperin tehtiinkin: erottamaan samannimiset ihmiset toisistaan.
Ilmoituksesi käsitellään seuraavan työpäivän kuluessa.