maanantai 2. elokuuta 2010

Poliisi haluaa passien sormenjäljet - tietenkin

Yle uutisoi, miten poliisi haluaisi pääsyn passeja varten kerättävään sormenjälkirekisteriin. Aihe herätti netissä runsaasti keskustelua, mutta mikään uutinen se ei ole. Poliisiylijohtaja Paatero on esittänyt saman toiveen jo kaksi vuotta sitten.

Jostain syystä Paateron kanta katsottiin tänään uutisen arvoiseksi, vaikkei asiaan tietääkseni liity mitään ajankohtaista. Päinvastoin, eduskunta on suhtautunut nuivasti asiaan ja Paatero itsekin toteaa sen tulevan ajankohtaiseksi vasta seuraavan eduskunnan myötä.

Poliisin kanta asiaan ei varmaan ole yllätys kenellekään. Jos sormenjälkirekisteri on kerran olemassa, totta kai poliisi haluaa siihen pääsyn itselleen. Ja itsestään selvää on, että ennen pitkää poliisi myös saa sen. Kyse on vain ajasta. Arvelen, että aikaa kuluu viidestä kymmeneen vuotta. Mahdollinen terrori-isku Euroopassa puolittaa ajan.

Kaava on muutenkin tuttu. Aluksi tiedot halutaan vain vakavien väkivalta- ja huumerikosten selvittämiseksi. Kuinkahan usein näihin liittyy sormenjälkien selvittelyä? Ulkopuolisen on vaikea arvioida asiaa. Varmaa kuitenkin on, että pääsyn avauduttua tietojensaantikynnystä tullaan laskemaan yhä pienempiin rikoksiin. Näin on käynyt esimerkiksi televalvonnan suhteen.

Kun on kyse tietokantojen käytöstä, porttiteoria toimii. Siksi jokaista uutta tietokantaa ja jokaista uutta käyttötarkoitusta on tarkasteltava erittäin kriittisesti. Tietojen luovutukselle toiseen organisaatioon on oltava erittäin hyvät perustelut.

Kolleega Tietokone-lehdessä muistuttaa vaarasta, että sormenjälkirekisteri vuotaa Wikileaksin kautta nettiin. Periaatteessa mikä tahansa viranomaisrekisteri saattaa vuotaa julkisuuteen, sillä salaisuuksia ei enää ole.

On vain ajan kysymys, milloin saamme lukea uutisen, jonka mukaan valtio X:n rikos- tai potilastietorekisteri on vuotanut nettiin. Jakelutapana voi olla Wikileaksin kaltainen vuotosivusto, mutta todennäköisimmin jokin piraattipalvelu -- kuten PirateBay. Siellä levitetään parhaillaankin luottamuksellisia dokumentteja, jotka ovat päätyneet p2p-verkkoon yleensä vahingossa käyttäjien jakaessa koneeltaan vääriä hakemistoja.

IT-osastolta potkut saanut nörtti voisi hyvinkin kostaa työnantajalleen laittamalla luottamukselliset tietokannat anonyymisti jakoon. Työnantaja kärsisi vakavan mainevahingon, eikä vuotajaa luultavasti koskaan saataisi kiinni -- ei ainakaan Lex Nokian tarjoamilla keinoilla. Nykyoloissa tietovarkaudet ovat luvattoman helppoja.

7 kommenttia:

Anonyymi kirjoitti...

Poliisi voi vapaasti esittää toiveitaan; ratkaisun tekee kansanvaalilla valittu eduskunta.

On vääjäämätöntä, että aina välillä joku luotettu henkilö ei osoittaudu luottamuksen arvoiseksi ja jotain vuotaa julki. Rekisterit pitäisikin toteuttaa niin, että yksittäinen ihminen voi saada käsiinsä mahdollisimman vähän tietoa.

Mitäkös muuten haittaa, että kaikkien sormenjäljet tulevat julki? Sittenkö syyttömiä aletaan lavastaa syyllisiksi... On eri asia käyttää sormenjälkia tutkinnassa apuna kuin todisteena oikeudessa.

Petteri Järvinen kirjoitti...

Tätä itsekin ihmettelen. Mitä laajempaan käyttöön sormenjäljet leviävät, sitä helpompaa puolustuksen on kyseenalaistaa oikeudenkäynnissä niiden uskottavuus todisteena.

Jari kirjoitti...

"IT-osastolta potkut saanut nörtti voisi hyvinkin kostaa työnantajalleen laittamalla luottamukselliset tietokannat anonyymisti jakoon."

Riippuu siitä miten suuri IT-osasto on kyseessä. IT-osastot pitäisi hajauttaa pieniksi yksiköiksi, joista jokainen hallitsisi omat sormenjälkensä omilla tekniikoilla ja omilla palvelimillaan. Yksiköt säätelisivät itsealoitteisesti pääsyä tietoihinsa. Se vaatisi moninkertaisesti työvoimaa mutta olisi turvallinen.

On siis kolme vaihtoehtoa:

1) Keskitetty sormenjälkirekisteri, jossa huono tietoturva.

2) Hajautettu sormenjälkirekisteri, joka vaatii työvoimaa.

3) Ei rekisteriä, ei tietoja.

Anonyymi kirjoitti...

Tiedon tallentaminen tietokonejärjestelmiin on tuonut sen ongelman, että ylläpitäjillä on aina kaikki valtuudet päästä tietoon. Ennen saattoi olla kassakaappi, jonka koodin tiesivät vain oikeasti tietoa tarvitsevat. Tietojärjestelmässä voi kyllä olla oikeuksienhallinta ja käyttäjien hakemasta tiedosta jää jäljet, mutta nämä eivät koske ylläpitäjiä, jotka pääsevät tietoon käsiksi turvamekanismien ohi jättämättä mitään jälkiä.

Anonyymi kirjoitti...

Petterin linkittämän jutun linkeissä tuodaan ansiokkaasti esille Paateron unelman ongelmat. Rekisterien julkisuuden ainoa etu taitaa olla, että jokunen mersukuski voi säilyttää bitunsa.

Tavisten onneksi saattaa tällä kertaa koitua se, että passirekisterissä ovat mukana lähes kaikki maan isokenkäiset. Heillä on todennäköisesti enemmän ymmärrystä ja salattavaa kuin rivikansalaisilla, joista osa ei näe mitään ongelmaa edes siinä, että itellapoika kopioi heidän postinsa.

Anonyymi kirjoitti...

They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety.
- Benjamin Franklin

Viisauden sanoja parinsadan vuoden takaa.

Petteri Järvinen kirjoitti...

No vihdoin tuli tutkimustietoa asiasta: rikospaikalta löytyy vain harvoin sormenjälkiä (http://www.mtv3.fi/uutiset/rikos.shtml/2011/03/1282382/sormenjalkia-loytyy-rikospaikalta-yllattavan-harvoin.

Website Security Test