Tulostusversio

1/2011

Tietoturva: Identiteettiohjelma valmistui, työ jatkuu

Teksti: Päivi Männikkö

Identiteettityöryhmä vaatii identiteettivarkauksien uhreille lisää apua.

Internetin yhteisöpalveluihin voi perustaa profiilin vaikkapa työkaverin tai Miss Suomen nimissä tämän tietämättä. Oikeutta päättää omista tiedoistaan loukataan myös, kun henkilö "erotetaan" kirkosta täyttämällä eroilmoitus hänen nimissään tai verkosta kaapataan käyttäjätunnuksia ja julkaistaan ne netissä. Rahallisesti eniten kärsii se, jonka luottokorttitiedot varastetaan.

Eri henkilöllisyysvarkauksille yhteistä on uhrin heikko asema. Työnsä valmiiksi saanut sisäministeriön identiteettityöryhmä peräänkuuluttaakin uhrin aseman kohentamista. Ensimmäiseksi pitäisi laatia ohje varkauden jälkeisistä toimista.

Uhrin kannalta hankalinta usein on, että hänen pitää selvittää, mihin varas on voinut käyttää tietoja, ja ilmoittaa näille tahoille varkaudesta. Työryhmä ehdottaakin keskitetyn ilmoitusjärjestelmän selvittämistä. Järjestelmästä tieto varkaudesta saataisiin nopeasti velkojille ja viranomaisille.

Sulkulistapalvelu auttaisi

Tunnistamisasiakirjojen, kuten ajokorttien, varkaudet ovat hankalia, koska ainakin uhriaan etäisesti muistuttava varas voi varastetuilla papereilla tehdä oikeustoimia niin kauan kuin ne ovat hänen hallussaan. Tämän estämiseksi työryhmä ehdottaa ajokorttien, henkilökorttien ja passien sulkulistapalvelun selvittämistä. Vastaavia on jo useissa EU-maissa.

"Sulkulistapalvelussa yritys näkisi, onko asiakkaan kortti ilmoitettu varastetuksi", ryhmän puheenjohtaja, neuvotteleva virkamies Johanna Kari kertoi loppuraportin julkistamistilaisuudessa.

Ajokorttia ei alun perin tarkoitettu henkilön tunnistamiseen, ja työryhmä katsookin, että sen asemaa tunnistamisasiakirjana tulisi pohtia.

Ongelmallinen kriminalisointi

Henkilöllisyysvarkauksien kohdalla on keskusteltu paljon siitä, pitäisikö itse identiteettitietojen kaappaaminen kriminalisoida.

Työryhmä katsoo, että lainsäädäntö on jo pääosin kunnossa, koska identiteettitiedon käyttäminen väärin hyödyn hankkimiseksi tai kohteen vahingoittamiseksi on kriminalisoitu, samoin toisena henkilönä esiintyminen viranomaiselle.

Työryhmä esittää kuitenkin pohdittavaksi sitä, pitäisikö yksityiselle toisena esiintyminen säätää rikokseksi ainakin tapauksissa, joissa henkilö rekisteröityy verkkopalveluun toisen nimissä tai hakee varmennetta yksityiseltä palveluntarjoajalta.

Poliisi kaipaa lisää toimivaltaa

Ongelmana kuitenkin on, että verkossa henkilötietoja voi kerätä helposti sadoilta tuhansilta ihmisiltä esimerkiksi kaapattujen tietokoneiden muodostaman bottiverkon avulla. Käyttäjä voidaan huijata valesivustolle, hänen näppäinpainalluksiaan nauhoitetaan, tai asiointiyhteydet kaapataan. Suomessa osa näistä menettelyistä täyttää rikoksen tunnusmerkit, osa ei.

Vaikka kaappaustapa olisi kriminalisoitu, kaappauksesta jäävän tietoteknisen jäljen tutkinta on vaikeaa: Siinä vaiheessa, kun rikolliset alkavat käyttää vaikkapa luottokorttitietoja maksuvälinepetosta varten ja telepakkokeinojen edellytykset ehkä täyttyisivät, jälki on jo kadonnut.

Identiteettiryhmä ehdottaa, että jatkotyössä tarkasteltaisiin tiedon kaappaamiseen liittyviä rikostunnusmerkistöjä ja poliisin toimivaltuuksia. Täsmentämistä saattaisivat tarvita henkilörekisteririkos, maksuvälinepetoksen valmistelu ja vaaran aiheuttaminen tietojenkäsittelylle.

”Jos poliisi pääsisi tutkimaan jälkeä jo tietojen kaappausvaiheessa, päästäisiin tekijöiden jäljille”, sanoo identiteettityöryhmän jäsen, ylitarkastaja Sari Kajantie keskusrikospoliisista.

Eduskunta käsittelee parhaillaan pakkokeinolain muutosta, joka lisäisi poliisin toimivaltuuksia käyttää telepakkokeinoja. Kajantien mukaan uudistus helpottaisi toteutuessaan tunnistamistietojen, esimerkiksi IP-osoitteiden, saamista. Se ei sen sijaan antaisi poliisille oikeutta selvittää bottiverkon komentopalvelimen ja orjakoneiden välisen haittaohjelmaliikenteen sisältöä.

EU:lta uutta lainsäädäntöä

Identiteettityöryhmä esitti jatkotyöryhmän perustamista ongelmakohtien pohtimiseksi. Jatkossa tulisi tarkastella lainsäädännön toimivuutta ja kattavuutta etenkin uhrin näkökulmasta.

Jatkotyön toivotaan etenevän ripeästi, sillä EU:n komissio valmistelee identiteettivarkauksiin liittyvää lainsäädäntöä.

Lue myös

Tietoturva: Vaikea laki »
Tietoturva: Netin riskit eivät hetkauta »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.