keskiviikko 30. heinäkuuta 2008

Tietosuojavaltuutettu vaatii identiteetin varkaudesta rikosta

Tietosuojavaltuutettu varoitti viime viikolla Aamulehdessä nettikäyttäjiä vaaroista, joita liittyy henkilötietojen antamiseen netissä. Pahimpia ovat yhteisöpalvelut, joihin tyypillisesti rekisteröidytään oikeilla tiedoilla ja joihin saatetaan kertoa hyvinkin henkilökohtaisia tietoja.

Tänään Helsingin Sanomissa tietosuojavaltuutettu vaatii identiteetin varkaudesta rikosta. Hänen mielestään henkilötiedoista on tullut täydellinen rikoksentekoväline, koska laki ei suojele niitä tarpeeksi. "Jos tietojen varastaminen olisi rikos, kynnys anastamiseen todennäköisesti nousisi."

Onko tilanne Suomessa todella näin huono? Ei nyt ihan.

Jutussa käytetään esimerkkinä viime talvella sattunutta tapausta, jossa 78 000 suomalaisen käyttäjätunnukset ja salasanat imuroitiin eri verkkopalveluista. Mutta oliko tässä edes kyse identiteettivarkaudesta? Käyttäjätunnus on itse keksitty ("Make53") eikä välttämättä mitenkään liity oikeaan henkilöllisyyteen. Tunnuksella ja salasanalla ei voi tilata tavaraa toisen nimissä eikä tehdä muutakaan sellaista, mikä täyttäisi oikean identiteettivarkauden tunnusmerkistön.

Konkreettisin vaara on siinä, että henkilö on saattanut käyttää samaa tunnusta ja salasanaa muissa palveluissa, vaikkapa verkkokaupassa tai sähköpostipalvelussa. Tunnuksen varastanut pääsee näihin palveluihin käyttäjän puolesta ja voi siten aiheuttaa merkittävää vahinkoa.

Yhdessäkään nettipalvelussa ei ole painiketta, josta voisi imuroida itselleen käyttäjätietokannan. Sen hankkiminen edellyttää aina palveluun murtautumista, joka on jo nykyisellään kriminalisoitu (jopa pelkkänä yrityksenä). Nettisivulla levitettävien, muilta varastettujen tunnusten käyttö täyttää niin ikään tietomurron tunnusmerkistön. Ja jos tilaa toisen henkilön puolesta tavaraa tai siirtää esimerkiksi rahaa, kyse on vähintäänkin petoksesta.

"Tällä haavaa Suomen lait eivät velvoita kertomaan tapahtuneesta niille, joiden identiteetti on varastettu verkossa". Tämä on oikea epäkohta, jonka korjaamista sopii pohtia. Jos hakkeri onnistumaan www-palveluun ja varastaa sieltä käyttäjätunnukseni ja salasanani, olisi kohtuullista velvoittaa ylläpito kertomaan tapahtuneesta minulle oma-aloitteisesti. Pelkkä ilmoitus palvelun etusivulla ja kehotus vaihtaa salasanat ei välttämättä riitä. Tietysti myös käyttäjän itsensä kannattaa olla varovainen eikä käyttää samaa salasanaa eri palveluissa.

Toinen ongelmakohta on nettipalveluiden omissa suojauksissa. Vaikka murto onkin aina rikos, myös palvelun ylläpidolta tulee edellyttää huolellisuutta henkilötietojen käsittelyssä. Tähän velvoittaa jo nykyinen henkilötietolaki. Ylläpito ei vain useinkaan ole tietoinen asiasta ja omasta vastuustaan.

Suomessa identiteettivarkaudet ovat pysyneet kurissa, koska meillä on (toisin kuin USA:ssa) erittäin hyvät viranomaisrekisterit ja luotettavat henkilöllisyystodistukset. Hesarin jutun lopussa onkin kuvattu tapaus, jossa turkulaisen miehen tili tyhjennettiin kolme vuotta sitten varastetusta lompakosta löytyneillä papereilla. Tapauksella ei ole mitään tekemistä pääjutussa kuvattujen nettivaarojen kanssa. Ainakin tämän päivän tilanteessa reaalimaailman identiteettivarkaudet ovat nettivarkauksia suurempi uhka.

1 kommentti:

Anonyymi kirjoitti...

Kuten jo aikaisemminkin kirjoitit on todellakin reaalimaailman identiteetti varkaudet huomattavasti todennäköisempi ja vakavampi ongelma. Leväperäisestä henkilöllisyyden tarkistamisesta aiheutuvat ongelmat sitten vielä useinkin sysätään täysin syyttömän asiakkaan niskaan. Mitenkähän olisi turkulaismiehen rahojen käynyt, mikäli varastetun ja _varastetuksi_ilmoitetun_ henkkarin sijaan rosmoilla olisikin ollut väärennetty henkilöllisyystodistus. Tuskinpa olisi rahoja tilille takaisin saatu...

Mielestäni sekin on reaalimaailman ongelma, että usein henkilörekisteriä ylläpitävillä tahoilla ei kuitenkaan ole lain vaatimaa henkilörekisteriselostetta, joka mm. määrittelisi sen kuinka rekisteristä pääsee pois!

-Teemu

Website Security Test