Tulostusversio

4/2009

Tietoturva: Ei vain identiteetin turvaksi

Teksti: Heikki Partanen

Muutaman vuoden takainen salasanamurto osoittaa, kuinka henkilötiedoiksi katsottavat tunnukset suojaavat yksityisyyden lisäksi myös liiketoimintaa. Pykälien soveltamisongelmia voi tulla, jos tietoja ei ole suojattu, ja murto on tehty vakoiluohjelmalla.

Identiteettivarkaudella tarkoitetaan yleisesti toisen henkilön tietojen luvatonta käyttämistä. Kun tällaisen ilmiön kriminalisointia on arvioitu, on todettu, että toisen henkilön tietojen väärinkäyttö on jo nyt rangaistavaa: se voidaan tuomita esimerkiksi petoksena tai väärennyksenä.

Toisen henkilön tietojen hankinnan ja hallussapidon kriminalisointia ei myös ole pidetty tarkoituksenmukaisena, koska näiden tietojen lailliseen hankkimiseen on laajat mahdollisuudet. Esimerkiksi kaupparekisteristä ja rajoitetummin väestötietojärjestelmästä voi hankkia muiden henkilötietoja.

Tässä mielessä henkilötiedot - etenkin nimi ja henkilötunnus - ovat pikemminkin yhteisiä hyödykkeitä kuin yksilön tai jonkun yhteisön yksinomaisessa määräysvallassa olevia tietoja. Myös näiden tunnisteiden myöntäminen on enemmänkin yhteisöllinen toimi kuin yksilöstä itsestään lähtevä, identiteetin rakentamiseen liittyvä teko.

Kuitenkin tietoyhteiskunnan kehitys ja erityisesti etäasiointiin liittyvä tunnistaminen on johtanut siihen, että jotkut henkilötiedot tulisi suojata kaikilta ulkopuolisilta. Tällaisia tietoja ovat esimerkiksi henkilökohtaiset käyttäjätunnukset ja salasanat.

Käyttäjätunnuksella henkilö yksilöidään ja salasanalla hänet todennetaan; toisin sanoen tunnistaminen perustuu siihen, että vain henkilö itse tietää salasanan. Jos salaisuus on muiden tiedossa, on tunnistamisjärjestelmä rikottu ja se tulisi korjata.

Tällaisissa tiedoissa ei tulisi puhua perinteisestä salassapidosta tai julkisuudesta vaan henkilökohtaisesta tiedosta. Niin sanottu salasanamurtotapaus on tästä karu muistutus.

Salasanat suojaamattomista palveluista

Vuoden 2007 syksyllä internetissä julkaistiin noin 80 000 käyttäjätunnusta ja salasanaa. Tekijäksi paljastui nuori henkilö, joka oli kerännyt nämä tiedot erilaisista verkkopalveluista ns. SQL-Injection-tyyppisellä tekotavalla hyödyntämällä tietokantatoimintojen haavoittuvuuksia. Viestintäviraston CERT-FI-yksikkö tiedotti tapauksesta yleisölle ja palveluntarjoajille salasanojen vaihtamiseksi ja lisävahinkojen välttämiseksi.

Kansalaisten keskeinen huoli oli, olivatko heidän tunnuksensa paljastuneet. Tämän takia vaadittiin, että paljastuneet käyttäjätunnukset ja salasanat pidettäisiin yleisesti saatavilla. Tietosuojan näkökulmasta taas pidettiin parempana sitä, että murron kohteina olleet palveluntarjoajat ilmoittaisivat asiakkailleen tietovuodosta ja ryhtyisivät tarpeellisiin toimiin tunnusten väärinkäytön estämiseksi. Asiakkaat puolestaan voisivat ryhtyä muihin tarpeellisiksi katsomiinsa toimiin, mikäli he olivat esimerkiksi käyttäneet samoja tunnuksia muissakin palveluissa.

Tietosuojan näkökulmasta taas pidettiin parempana sitä, että murron kohteina olleet palveluntarjoajat ilmoittaisivat asiakkailleen tietovuodosta ja ryhtyisivät tarpeellisiin toimiin tunnusten väärinkäytön estämiseksi. Asiakkaat puolestaan voisivat ryhtyä muihin tarpeellisiksi katsomiinsa toimiin, mikäli he olivat esimerkiksi käyttäneet samoja tunnuksia muissakin palveluissa.

Tapauksen esitutkinta johti syytteen nostamiseen tekijää vastaan. Käräjäoikeus hylkäsi syyttäjän ensisijaisesti ajamat tietomurtoa koskevat syytekohdat sillä perusteella, että tietomurron tunnusmerkistön edellyttämästä suojauksesta ja sen murtamisesta ei ollut näyttöä.

Tekijä tuomittiin kuitenkin luvattomasta käytöstä, vahingonteosta, tietojärjestelmäpetoksesta sekä vaaran aiheuttamisesta tietojenkäsittelylle. Viimeksi mainitun rikoksen tunnusmerkistö oli juuri syyskuussa 2007 muuttunut siten, että se kattoi käyttäjätunnusten ja salasanojen hallussapidon ja levittämisen. 

Henkilörekisteririkos kohdistuu yksilöön

Lain mukaan useissa henkilötietoihin liittyvissä rikosepäilyissä syyttäjän on kuultava tietosuojavaltuutettua ennen syytteen nostamista. Lausunnoissaan tietosuojavaltuutettu pyrkii arvioimaan henkilötietoihin kohdistuvia tekoja kolmivaiheisesti lähtien tiedonhankinnan laillisuudesta päätyen käsittelyn ja käytön laillisuuden kautta tietojen levittämisen laillisuuteen.

Poliisi tutki salasanamurtoa käyttäjätunnusten ja salasanojen levittämistä vaaran aiheuttamisena tietojenkäsittelylle.

Tietosuojavaltuutettu ehdotti myös henkilörekisteririkoksen tunnusmerkistöä. Tätä perusteltiin sillä, että rikoslain pykälät vaaran aiheuttamisesta tietojenkäsittelylle ja tietoverkkorikosvälineen hallussapidosta koskevat ensisijaisesti tunnusten levittämistä ja toissijaisesti niihen hallussapitoa. Tiedonhankinta ei kuitenkaan ole tietojenkäsittelyrauhan rikkomisena kriminalisoitua. Tällaista tiedonhankintaa voidaan pitää toisen henkilön tunnistamistietojen luvattoman käytön valmisteluna.

Henkilötietolain mukaan rekisterinpitäjän käsittelemien henkilötietojen tulee olla tarpeellisia käsittelyn tarkoituksen kannalta. Jos näin ei ole, kyse voi olla henkilörekisteririkoksesta. Salasanamurtotapauksessa tekijällä ei ollut asiallista yhteyttä käyttäjätunnusten omistajiin, joten hänen tiedonhankintaansa voi arvioida henkilötietolain vastaisena ryhtymisenä henkilötietoihin.

Henkilörekisteririkoksen tunnusmerkistön täyttymisen kannalta olennaista oli, käsittelikö murtaja henkilötietoja ja loukkasiko hän käyttäjien yksityisyyttä.

Tunnistamiseen käytettäviä tunnuksia ja salasanoja voi pitää tiettyä henkilöä koskevina tietoina. Niihin perustuva tunnistaminen voi silti erityisesti yhteisöpalveluissa jäädä niin heikoksi, ettei palveluntarjoaja voi yhdistää tunnuksia tiettyyn henkilöön. Lisäksi tunnukset ja salasanat eivät tässä tilanteessa kertoneet kovin paljon omistajistaan.

Salasanatapauksessa voidaan näin ollen ainakin väittää, että murtaja ei tiedonhankinnallaan loukannut yksityisyyttä. Henkilöä tarkemmin kuvaavaa tietoa sai vasta kirjautumalla tunnuksilla niitä vastaavaan palveluun.

Lisäksi on otettava huomioon käyttäjätunnusten ammattimaisen hankinnan luonne. Kun käyttäjätunnuksia kerätään esimerkiksi vakoiluohjelmalla, tavoitteena on yleensä taloudellinen hyöty eikä yksityisyyden loukkaaminen. Vahinkoja pyritään aiheuttamaan lähinnä palveluntarjoajalle.

Henkilörekisteririkosnimikkeen tarkoituksena on suojata yksityisyyttä ja hyvittää yksilölle aiheutuvaa vahinkoa. Näin ollen se ei kovin hyvin sovellu tällaiseen tunnistamiseen liittyvään tiedollisen infrastruktuurin suojaamiseen. 

Vakoiluohjelmien toiminta huomioon

Ihmisillä alkaa olla käyttäjätunnuksia ja salasanoja mitä erilaisempiin palveluihin tai tietoresursseihin. Henkilötietojen suojaamiseksi henkilörekisterit tulee suojata ulkopuolisilta. Maksulliset verkkopalvelut voivat edellyttää käyttäjätunnuksia ja salasanoja, ja sähköpostitilikin on suojattu tunnuksin. Näin ollen tunnukset ja salasanat suojaavat erilaisia oikeushyviä eivätkä pelkästään yksityisyyttä.

Tästä syystä tällaisen tiedollisen infrastruurin suojaamista ei voi tehokkaasti tehdä kotirauhan rikkomiseen liittyvillä säännöksillä, kuten vakoiluohjelman asentamisella kotikoneelle salaista tarkkailua varten tai henkilörekisteririkoksella, jonka piirteenä on henkilötietojen laiton käsittely yksityisyyden loukkaamiseksi.  

Käyttäjätunnusten ja salasanojen paljastuminen muille rikkoo jo sellaisenaan näiden tietojen tarkoitusta. Siksi olisi mielestäni perusteita muuttaa rikoslain pykäliä vaaran aiheuttamisesta tietojenkäsittelylle ja tietoverkkorikosvälineen hallussapidosta. Näiden säännösten tulisi vastata haittaohjelmakehitystä siten, että ne soveltuisivat vakoiluohjelmien toimintatapaan.

Vakoiluohjelmat lasketaan useimmiten liikkeelle Suomen rajojen ulkopuolelta. Siksi tällaisten väärinkäytösten torjunnassa olisi olennaista, että poliisilla olisi selkeä toimivalta estää vakoiluohjelmien keräämien tietojen välittäminen ulkomaille. 

Väärinkäyttöä voi ehkäistä

Rikosoikeudellisia keinoja pidetään yleisesti viimekätisinä keinoina puuttua vahingollisiin tai ei-toivottuihin ilmiöihin. Paljon muutakin on tehtävissä henkilötietojen luvattoman käytön ehkäisemiseksi ja rajoittamiseksi sekä tietovuodoista selviytymiseksi.

Henkilötietojen väärinkäyttöä voitaisiin ehkäistä rajoittamalla henkilötietojen saatavuutta esimerkiksi kaupparekisterissä. Luvatonta henkilötietojen käyttöä voitaisiin rajoittaa esimerkiksi parantamalla tunnistamisen tasoa. Tietovuodoista selviytymistä helpottaisi se, että rekisterinpitäjät ylipäänsä huomaisivat tietovuodot, korjaisivat viat ja tiedottaisivat vuodosta asianosaisille mahdollisimman kohdennetusti.

Nämä kysymykset näyttävät olevan EU:ssä esillä muun muassa arvioitaessa tietomurtojen ilmoituspakon tarvetta ja identiteettivarkauksien kriminalisointia.

----

[KIRJOITTAJA]

Ylitarkastaja Heikki Partanen työskentelee tietosuojavaltuutetun toimistossa.

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.