Tulostusversio

1/2012

Tietoturva: Mikä tukkisi tietovuodot?

Teksti: Päivi Männikkö

Lainsäädännön puutteet helpottavat verkkorikollisten toimintaa.

Käytettyjen autojen myyjät ja ostajat kokivat ikävän yllätyksen viime marraskuussa, jos he olivat rekisteröityneet vaihtoautosivustolle Netcar.fi: Joku tai jotkut murtautuivat palveluun, veivät sieltä 12 000 käyttäjän tunnukset, salasanat ja sähköpostiosoitteet sekä julkaisivat ne netissä.

Netcarin käyttäjillä on Suomessa kymmeniätuhansia kohtalotovereita, joiden henkilötietoja päätyi nettiin marraskuussa. Julkiset tietovuodot ovat silti vain jäävuoren huippu: pelkästään marraskuussa murtauduttiin niiden lisäksi 79 muuhun verkkopalveluun. Niistä varastettuja tietoja hyödynnetään kaikessa hiljaisuudessa palvelunestohyökkäyksiin, roskapostitukseen ja muihin rikoksiin.

Käyttäjä on helpoin kohde

Tietosuojavaltuutetun toimiston tammikuussa järjestämässä asiantuntijaseminaarissa pohdittiin tietomurtojen ja -vuotojen ehkäisyä sekä toimintaohjeita niiden varalle.

Tietomurtojen resepti koostuu verkkorikollisesta, heppoisesti suojatusta tietojärjestelmästä sekä välinpitämättömästä käyttäjästä.

"Erityisesti pankit suojaavat palvelunsa niin hyvin, että niihin on varsin hankalaa päästä käsiksi", seminaarissa puhunut Keskusrikospoliisin ylitarkastaja Sari Kajantie totesi.

"Yksittäinen käyttäjä on nykyisin verkkorikollisille helpoin kohde."

Rikolliset eivät esimerkiksi yritäkään murtautua verkkopankkeihin, vaan harhauttavat asiakkaan kirjautumaan ylläpitämälleen oikean verkkopankin näköiselle sivustolle.

Vaarallinen henkilötunnus

Käyttäjän kannalta tietovuotojen seurauksia pahentaa Kajantien mukaan se, että verkkopalvelut käyttävät henkilötietoja vääriin tarkoituksiin. Esimerkiksi henkilötunnusta käytetään salasanana, vaikka se ei ole salainen tieto.

Kun netinkäyttäjän henkilötunnus yhteystiedoilla höystettynä päätyy rikollisten käsiin, seurauksena voi olla liuta petoksia, joita identiteettivarkauden uhriksi joutuneen käyttäjän täytyy selvitellä eri palveluntarjoajien kanssa.

"Vuotaneen tiedon hyödyntäminen pitäisi tehdä mahdollisimman vaikeaksi", Kajantie pohti.

"Ehkä henkilötunnuksen käyttö tunnistautumisen välineenä pitäisi sanktioida."

Tietosuojalautakunnan käsiteltävänä on parhaillaan tapaus, jossa on kyse henkilötunnuksen käyttämisestä tunnisteena. Tietosuojavaltuutetun kannan mukaan se ei ole sallittua.

Vain osa vuodoista julki

Netcar.fi:n asiakkaat saivat kuulla tietovuodosta sen jälkeen, kun linkki vuodettuihin tietoihin ilmestyi keskustelupalstalle. Läheskään aina tietovuodot eivät kuitenkaan tule käyttäjien tietoon. Tällä hetkellä vain teleyrityksillä on Suomessa nimenomainen velvollisuus ilmoittaa tietomurroista.

Palveluntarjoajat kyllä saavat tiedot murroista ja tietovuodoista: Viestintävirastossa toimiva tietoturvaloukkauksia selvittävä CERT-FI kerää jatkuvasti tietoja murretuista suomalaisista verkkopalveluista ja ilmoittaa niistä kyseisille palveluille. Lain mukaan teleyritysten on pakko ryhtyä ilmoituksen perusteella toimiin, muiden ei.

CERT-FI hyödyntää mediajulkisuutta erityisesti silloin, kun suuren joukon ihmisiä tai yhteisöjä täytyy ryhtyä toimiin tietoturvansa varmistamiseksi, päällikkö Erka Koivunen kertoi seminaarissa.

Tulevaisuudessa tietovuodoista tiedetään enemmän: valmisteilla oleva EU:n tietosuoja-asetus velvoittaa kaikki rekisterinpitäjät ilmoittamaan viranomaiselle vakavista tietoturvaloukkauksista vuorokauden kuluessa.

Seminaarissa väläyteltiin myös ajatusta palvelupisteestä, josta voisi selvittää, onko omat tiedot vuodettu nettiin ja johon voisi tehdä ilmoituksen identiteettivarkaudesta.

Älypää osoitti rikoslain aukon

Netcar.fi:n tapauksessa ylläpitäjä teki tutkintapyynnön, ja poliisi tutkii asiaa törkeänä tietomurtona ja henkilörekisteririkoksena.

Poliisin kirjoihin ja kansiin päätyy kuitenkin vain osa tietoverkkorikoksista, vuosittain vajaa tuhat. Lisäksi esitutkinnasta on vielä matkaa syytteeseen ja tuomioon, kuten tapaus Älypää osoittaa.

Kaksi vuotta sitten hakkeri julkisti netissä Älypää-pelisivustolta hakemansa yli 127 000 tunnusta ja salasanaa. Käräjäoikeus ei antanut tuomiota tietomurrosta.

”Tiettyjä tiedon kaappaamiseen liittyviä tekotapoja ei ole kriminalisoitu Suomessa”, Kajantie totesi seminaarissa Älypäähän viitaten.

Rikoslain mukaan tietomurron tunnusmerkistöön kuuluu palvelimen suojauksen rikkominen. Käräjäoikeus katsoi, ettei tunnusmerkistö täyttynyt, koska Älypään suojaus oli riittämätön.

Otettiinko opiksi?

Parhaiten tietomurtoja ehkäistäisiin suojaamalla tiedot huolellisesti. Erka Koivunen kertoi seminaarissa, että teleyrityksissä tulee olla tietoturvariskien tunnistusmekanismit ja keinot. Tavoitteena on, että riskienhallinnalla vältetään tilanteiden eteneminen vakavaksi tietoturvaloukkaukseksi.

”Sen sijaan tietoyhteiskunnan palveluntarjoajat ovat hankalampi joukko. Niillä pitäisi olla samat velvoitteet kuin teleyrityksillä.”

Ongelmia lisää tietämättömyys. Monia verkkopalveluja ylläpitävät pienet yritykset tai erilaiset yhdistykset ja muut vapaaehtoiset ryhmittymät. Esimerkiksi Netcar.fi:n ylläpitäjä ei käsittänyt olevansa rekisterinpitäjä, jota koskevat henkilötietolain velvoitteet.

Nähtäväksi jää, otettiin marraskuun tietovuotosumasta opiksi. Ainakaan yrityksissä ei olla kovin luottavaisia: Deltagon Groupin tammi-helmikuun vaihteessa tekemään kyselyyn vastanneista 152 johtajasta peräti kolmannes ei uskonut, että oma yritys noudattaa tietoturvaohjeita täsmällisesti. Lisäksi yli puolet sanoi, ettei heillä ole keinoja valvoa ohjeistuksen noudattamista.

Viestintäviraston syys-lokakuussa 2011 teettämä kysely: pk-yritykset suhtautuvat tietoturvaansa luottavaisesti >>

Yrityksen tietoturvaopas >>

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.