maanantai 26. toukokuuta 2008

KELA: Mitään virhettä ei ole tapahtunut

Kansaneläkelaitoksen palvelua käyttänyt helsinkiläisnainen hämmästyi, kun koneelle ilmestyivät täysin tuntemattoman miehen henkilökohtaiset tiedot. Niistä mm. näkyi, kuinka paljon mies oli viime vuonna hankkinut korvattavia lääkkeitä.

KELA sulki oitis palvelun ja ryhtyi tutkimaan asiaa. Tapaus oli niin mystinen, että avuksi piti kutsua keskusrikospoliisi.

Tämän päivän Tietokone-lehden online-uutisen mukaan kyseessä ei ollut hakkeri eikä edes tekninen virhe, vaan "kumma sattuma". Uutisessa KELAn tietohallintopäällikkö muotoilee asian hauskan arvoituksellisesti: "Tässä ei ole tapahtunut virhettä, vaan kyseessä on epätodennäköinen ilmiö, jota ei saisi tapahtua, mutta voi kuitenkin äärimmäisen epätodennäköisesti sattua". Koska kyse ei ole virheestä, mitään muutoksia ei tarvitse tehdä.

Meidän on siis vain hyväksyttävä, että yksityisiä sairaustietoja voi epätodennäköisesti päätyä vieraiden ihmisten katsottavaksi? Ja että kaikki on täysin kunnossa, kun näin tapahtuu?

Rakenna tässä nyt sitten tietoyhteiskuntaa ja yritä lisätä asiakkaiden luottamusta sähköiseen asiointiin!

Koska tietohallintopäällikkö ei halua kertoa tarkemmin tapahtuman syistä, joudumme arvailemaan. Jos virhe ei ole KELAn omassa tietojärjestelmässä, asiakkaan tunnistamisen ketju on jostain syystä pettänyt.

Todennäköisesti syynä on pankkien tupas-tunnisteiden käyttö. Vieraan henkilön verkkopankkiin pääsee, jos tietää asiakasnumeron ja arvaa kertakäyttöisen salasanan. Onnistumisen todennäköisyys on tosin vain 1/10 000 (0,01 %), mutta näinkin pienet todennäköisyydet alkavat tuottaa ongelmia, kun verkkopankkia käytetään miljoonia kertoja päivässä. Mitä enemmän sähköinen asiointi yleistyy, sitä enemmän tulee myös ongelmia.

Lisäksi on huomattava, että tässä oli kyse tahattomasta joutumisesta väärän henkilön tietoihin. Jos näin voi käydä tahattomasti, mikä mahtaa olla onnistumisen todennäköisyys silloin, kun samaa yritetään tarkoituksella?

Syyn piilottelu voi olla perusteltua silloin, kun halutaan aikaa ongelman korjaamiseen. Toivottavasti kulissien takana tehdään töitä asioiden parantamiseksi. Todentamisen pettämistä ei voi hyväksyä pelkkänä sattumana. Jos tupas-järjestelmä sallii sattumat, on kehitettävä parempia todennusmenetelmiä.

2 kommenttia:

Anonyymi kirjoitti...

Jos Tupaksen tunnistuksella haluaa Kelaan tunnistautua niin aika monta koodia saa arvata oikein:
-Nordea: 6+4+4
-Sampo: 8+4+6+6

Pelkkä verkkopankkiin pääsy ei riitä vaan vaaditaan myös vahvistustunnusten arvaamiset oikein..

Anonyymi kirjoitti...

Osuuspankki tarjoaa ainakin mahdollisuutta rekisteröityä kansalaisvarmenteen sisältävällä electronilla. Kansalaisvarmenne on vain jäänyt melko tuntemattomaksi ja lukijatkin kotikoneille ovat melko hinnakkaita. Harmi, koska kansalaisvarmenteinen sirukortti voisi olla "se" juttu, jolla asiointia saadaan turvallisemmaksi. Ennenkuin mahdollisia ongelmia tulee enemmän.

Website Security Test