Miksi henkilötiedot vuotavat?

sunnuntai, 12 syyskuun, 2010 12:31 | Kategoria(t): suomi, tietoturva, tietoyhteiskunta | 5 kommenttia
Avainsanat: ,

Tietosuojavaltuutettu Reijo Aarnio on huolissaan identiteettivarkauksista eli toisten ihmisten henkilötietojen anastamisesta ja  väärinkäyttämisestä. Huoli on aiheellinen. Tiedot vuotavat erilaisista rekistereistä kuin vesi seulasta.

Identiteettivarkautta ei ole edes Suomen laissa määritelty rikokseksi. Lainsäädännön uudistamista kuuluu pohdittaneen toistakymmentä vuotta. Mistä poliitikoille ja virkamiehille maksetaan palkkaa, jos suhtautuminen näin tärkeään asiaan on noinkin leväperäistä? Välinpitämättömyys maailman muuttumisen suhteen näyttää tosin olevan maan tapa: sähkövarkaudestakaan ei vuosikymmeniin voitu rangaista, koska rikoslain laatimisen aikaan kukaan ei osannut kuvitella, että sähköä voi varastaakin.

Sekä julkisoikeudellisissa että yksityisissä rekistereissä henkilöllisyyden avaimena on henkilötunnus. Tämä on itsessään loogista, koska mitään muutakaan uniikkia tunnistamisen metodia ei ole mahdollista saada toimimaan aukottomasti. Kuinkahan monta Matti Virtasta Helsingissä mahtaa asua?

Hyvinkin suojatut rekisterit tuppaavat ennemmin tai myöhemmin vuotamaan saati sitten sellaiset, joita ei ole osattu, ymmärretty tai välitetty suojata kunnolla. Jyväskylän yliopistosta valui nettiin opiskelijoiden henkilötunnuksia. Äärimmäisen ikävää, mutta näin vain joskus käy.

Tämäntapaisten vuotojen seuraukset voivat Suomessa olla katastrofaaliset. Tämä on täysin käsittämätöntä. Kun henkilötunnuksen vuotamisen todennäköisyys on sen käytön massiivisuudesta johtuen kohtalaisen suuri, ei pelkän henkilötunnuksen tietäminen saa missään tapauksessa olla autentisoimista mahdollistava avain!

Todellisuus on karmealla tavalla toisenlainen. Käytännössä mihin tahansa virastoon tai pankkiin voi soittaa ja ryhtyä asioimaan puhelimitse, jos osaa lukea oikean henkilötunnuksen. Puhelimessa kerrotaan salassa pidettäviä tai luottamuksellisia asiointitietoja ja joissakin tapauksissa jopa suoritetaan toimenpiteitä, joihin ryhtyminen edellyttäisi varmaa tietoa siitä, että niitä pyytävä henkilö on todella se, joka väittää olevansa. Netissäkin voi tehdä yhtä ja toista ilman luotettavaa tunnistautumista eli periaattessa kenen tahansa nimissä.

Virolainen henkiltunnukseni on 35708280119. Tämän voin rauhassa kertoa avoimesti, koska sillä tiedolla ei kukaan voi tehdä nimissäni oikeustoimia. Kaikessa etäasioinnissa vaaditaan vahvaa tunnistautumista ja lähiasioinnissa on esitettävä virallinen henkilöllisyystodistus.

Suomalaista henkilötunnustani en uskalla panna nettiin? Miksi?

5 kommenttia »

RSS feed for comments on this post. TrackBack URI

  1. Käytännössä mihin tahansa virastoon tai pankkiin voi soittaa ja ryhtyä asioimaan puhelimitse, jos osaa lukea oikean henkilötunnuksen. Puhelimessa kerrotaan salassa pidettäviä tai luottamuksellisia asiointitietoja ja joissakin tapauksissa jopa suoritetaan toimenpiteitä, joihin ryhtyminen edellyttäisi varmaa tietoa siitä, että niitä pyytävä henkilö on todella se, joka väittää olevansa.

    Eestissa oli tämä aiheena noin 6-7 vuotta sitten. http://www.lepe.ee/4374

    Comment by HillarP— sunnuntai, 12 syyskuun, 2010 #

    Vastaus

  2. Pohdin samaa asiaa usein. Joka kerran kun varaan hammaslääkäri- tai muuta lääkäriaikaa netissä kysytään ekaksi sotua. Kauhistuttavaahan se on, että se on annettava vaikka millaisiin ajanvarauskäsiin. Mutta ei maha mittää, pelkään. Jotain katastrofia voi hyvin seurata ennemmin tai myöhemmin.

    Comment by Helena— sunnuntai, 12 syyskuun, 2010 #

    Vastaus

  3. Jotenkin ne mattivirtaset on toisistaan erotettava. On maita, joissa kansalaisia ei oletusarvoisesti rekisteröidä lainkaan. Yksi sellainen on Iso Britannia, jossa väestörekisterin luomista vastustetaan sillä perusteella, että valtiolla ei ole oikeutta puuttua kansalaisten yksityisyyteen. Siellä sitten toisaalta aiheutuu syyttömille paljon suurempaa harmia, kun esimerkiksi velkoja peritään John Smithiltä ,joka sattuu asumaan samalla postinumeroalueella kui se John Smith, jolta velkaa pitäisi periä.

    Suomalaiset tuppaavat loukkaantumaan, kun heiltä esimerkiksi pankissa tai postissa kysytään henkilöllisyystodistusta. Minä loukkaantuisin, jos ei kysyttäisi. Ainakin olisin perustellusti huolissani. Henkkareiden esittäminen lähiasiointitilanteessa pitäisi olla itsestään selvää. Etäasioinnissa taas yhtään oikeustointa ei pitäisi voida suorittaa ilman vahvaa tunnistautumista (esim. sähköinen henkilökortti, digitaalinen allekirjoitus, pankkitunnukset jne.). Ja koska puhelimessa ei toistaiseksi voi luotettavasti tunnistautua, ei henkilö- ja asiakastietoja pidä kysyä eikä luovuttaa puhelimitse, puhumattakaan siitä, että suoritettaisiin juridisia toimenpiteitä.

    Comment by Larko— sunnuntai, 12 syyskuun, 2010 #

    Vastaus

  4. Suomalainen asioiminen on perustunut luottamukseen. Parhaimmillaan netti- tai puhelinasioiminen on jatketta sujuvaan fyysiseen asioimiseen.

    Suomi on paljolti pikkupaikkojen Suomi. Kyllä karjaalaiset tuntevat toisensa, sama pätee Paltamon ihmisiin, noin karkeasti. Ei ihmisten pidä sitä hävetä, jos he eivät tykkää henkilöllisyyden todistamisesta. Kyllä tämä tunne jostain kumpuaa.

    Asioiminen ei välttämättä ole sidottu aikaan tai paikkaan. Maantieteellisesti voimme liikkua ja asioida todella laajalla alueilla verrattuna menneisiin aikoihin. Sähköinen nettimaailma hävittää fyysisen- ja loogisen rajan. Kelan toimisto voi olla SecondLifessa. Miksi ei? Mutta aina asioiminen perustuu luottamukseen. Luottamus luodaan varmentamalla. Viro siirtyi nopeasti neuvostoajasta tietoyhteiskuntaan. Hyvin monet asiat ja toimintamallit voitiin luoda puhtaalle pöydälle, ilman menneisyyden rajoitteita, joten järjestelmät suunniteltiin lähtökohtaisesti verkkoympäristöön.

    Lopuksi tarina omasta väärinkäytöstä. 70-luvulla, kun oli pikku-kaveri, mielestäni meille tuli vähän lehtiä. No ainakin verrattuna naapuriin. Päätin parantaa tilanteen, otin lehdestä lehtien tilauslomakkeen ja tilasin parit sopivanoloiset lehdet isäni nimellä. Lehdet alkoivat tulla aikoinaan, samoin lasku. Isäni oli ihmetellyt tilannetta ja pyytänyt lehtitalolta valokopion heidän saamastaan tilauksesta. Lopun arvaaatte, jäin kiinni, käsiala paljasti. Sain nuhteet. En tiedä miten isäni hoiti asian, mutta toinen niistä lehdistä tuli pitempään. Opin ettei niin saa tehdä.

    Comment by Hannu Makarainen— keskiviikko, 22 syyskuun, 2010 #

    Vastaus

  5. Pienillä paikkakunnilla toki ihmiset tuntevat toisensa sekä nimeltä, ulkonäöltä että usein äänestäkin. Niissä oloissa on luontevaa, ettei postissa, pankissa tai kunnanvirastossa kysytä henkkareita. Puhelinasiointikin onnistuu, koska virkailijalla todennäköisesti on yhteystiedot ja hän voi soittaa takaisin, jos epäilyksenaiheita ilmenee.

    Ehkä se henkkarikammo kumpuaakin juuri tästä: suuri osa suomalaisista on kotoisin pieniltä paikkakunnilta. Kun sitten muutetaan kaupunkeihin, koetaan ympäristö kaikinpuolin vieraaksi. Ihmiset eivät tunne toisiaan ja pankissakin kysellään papereita. Suuremmalla paikkakunnalla tarvitaan varmennusta luottamuksen takeeksi useammin kuin vaikkapa Paltamossa.

    Se on totta, että Virolla ei ollut vanhaa painolastia tietoyhteiskuntaan siirryttäessä. Suomessa sitä sen sijaan on runsaasti ja siksi siellä ei asiasta tunnu tulevan mitään. Hyvin harvat ymmärtävät ja hallitsevat näitä kysymyksiä laajemmin kuin omasta kapeasta näkökulmastaan.

    Henkilötunnuksen tietämiseen perustuva ”tunnistautuminen” on asia, josta kaikesta painolastista huolimatta on pikaisesti päästävä eroon. Jos tämä yksi asia saataisiin menemään läpi kaikissa portaissa, olisi ensimmäinen askel nykyaikaisen tietoyhteiskunnan polulla astuttu.

    Comment by Larko— keskiviikko, 22 syyskuun, 2010 #

    Vastaus

Jätä kommentti Larko Peruuta vastaus

Pidä blogia WordPress.comissa.
Entries ja kommentit feeds.