tiistai 22. marraskuuta 2016

Ratkaisuja Postin todennusongelmaan on, muilla vielä hankalampaa

Edellinen postaukseni Postin osoitemuutoksista herätti keskustelua, ja hyvä niin. Miten estää huijareita ja kiusaajia tekemästä valheellisia osoitemuutosilmoituksia niin, ettei prosessi samalla muutu liian hankalaksi oikeiden muuttajien kannalta?

Postille terveisinä kaksi ideaa, toinen blogin kommenteista ja toinen Twitteristä. Ensinnäkin posti voisi paperisen muuttoilmoituksen saatuaan lähettää ilmoituksen muuttajan vanhaan osoitteeseen. Pelkkä ilmoitus "teidän muuttoilmoituksenne on vastaanotettu ja rekisteröity, jos asiassa on epäselvyyksiä ottakaa yhteys lähimpään postiin" riittäisi. Uutta osoitetta ei tarvitse mainita.

Jos henkilö on jo oikeasti ehtinyt muuttaa, vanhaan osoitteeseen lähetetty viesti saattaa palautua postiin tai kääntyä uuteen osoitteeseen, mutta entä sitten? Ainakin silloin, kun muuttaja on ostanut postin kääntöpalvelun, ilmoitus pitäisikin lähettää vanhaan eikä uuteen osoitteeseen, koska näin käännön toimivuus tulisi testattua.

Toinen ehdotettu ratkaisu oli tarjota kansalaisille mahdollisuus kieltää osoitteenmuutos ilman vahvaa todennusta. Tämä vaatisi osoitetietokantaan yhden uuden kentän ja kansalaisilta oma-aloitteisuutta, mutta niinhän omaehtoinen luottokieltokin toimii (ja se on vieläpä maksullinen).

Ihan vähällä vaivalla osoitetietokantaan saisi myös henkilön itsensä ilmoittaman sähköpostiosoitteen, johon lähtisi automaattisesti ilmoitus osoitteenmuutoksesta. Eikö Suomen pitänyt olla edistynyt maa näissä asioissa?

Nyt Posti, tehkää tälle jotain, älkääkä piiloutuko haasteellista-fraasien taakse!

Moni on luullut, että osoitteenmuutos pitää tehdä henkilökohtaisesti tai ainakin varmistaa pankkitunnuksilla, mutta ei -- konttorista saatava lomake riittää ja sen voi pudottaa postilaatikkoon.

Lomake helpottaa identiteettivarkaan työtä.
Lomakkeella kysytään vanha ja uusi osoite, joten tieto lomakkeella tehdystä muutoksesta olisi helppo postittaa myös vanhaan osoitteeseen. Lomakkeella kysytään myös sähköpostiosoite, joten tieto saattaa olla järjestelmässä ennestään -- sitä ei vain käytetä mihinkään. Ja toisin kuin veroilmoituksessa, ilmoittaja ei vakuuta tietoja oikeiksi. Allekirjoituksella hän ainoastaan hyväksyy Postin sopimusehdot.

Allekirjoitus vahvistaa sopimusehtojen hyväksynnän, ei tietojen oikeellisuutta.
Ongelma ei koske pelkkää kotiosoitetta. Yritysten osoitteita (ja muitakin tietoja) väärennetään samalla tavalla Patentti- ja rekisterihallitukseen.

Kirjoitin aiheesta keväällä Tivi-lehden kolumnin ja nostin siinä esiin mm. mahdollisuuden ilmoittaa osoitteekseen mitä tahansa. Osoitteen oikeellisuutta ei tarkisteta missään vaiheessa. Jos asunnon haltija on eri sukupuolta kuin "muuttaja", viranomaiset tulkitsevat heidät avopariksi, eikä asunnon haltijalla ole mitään keinoa edes kysyä keitä minun osoitteessani on merkitty asuvaksi. Tämäkin aukko pitäisi tukkia. MyDatan hengessä minulla on oikeus tietää, keitä osoitteessani asuu.

Hesarin oikeustoimittaja Susanna Reinboth kirjoitti muutama viikko sitten, miten viranomaisia voi huijata puhelimessa kertomaan toisen henkilön arkaluonteisia asioita (Arkaluonteisten tietojen jakaminen ei voi perustua pelkkään luottamukseenjotain on tehtävä sille, että viranomaiset antavat salaisia tietoja puhelimitse; asiakkaiden löperö tunnistus sosiaali- ja terveyspalveluiden puhelinpalvelussa vaarantaa sekä asiakkaiden että työntekijöiden oikeusturvan).

Virkailijan on vaikea tietää soittajan todellista henkilöllisyyttä. Tilanne eroaa Postista siinä, että vanhusten ja lasten asioissa tietoja on pakkokin luovuttaa ulkopuolisille, eikä puhelinasioinnissa voi vaatia vahvaa todennusta. Toisaalta virkailija voi tehdä puhelimessa kontrollikysymyksiä, jotka auttavat henkilöllisyyden varmentamisessa. Mikäli mahdollista, kohdehenkilön tulisi itse ilmoittaa, mistä puhelinnumeroista tuleviin soittoihin hänen tietojaan saa luovuttaa.

Täydellistä ratkaisua tähän ongelmaan ei ole. Toimet täytyy suhteuttaa väärinkäytösten määrään ja kohdehenkilölle koituvaan hyötyyn. Sekään ei voi olla oikein, ettei vieraalla paikkakunnalla asuva lapsi pysty hoitamaan dementoituvan vanhempansa asioita ilman henkilökohtaista käyntiä. Tämä on loputonta tasapainoilua mukavuuden ja turvallisuuden välillä.

Viime viikolla tietoturvakurssin tauolla keskustelimme kurssilaisten kanssa muista tavoista huijata ja kiusata toista henkilöä perättömillä ilmoituksilla. Niitä löytyi vaikka kuinka paljon. Esiintymällä sujuvasti, käyttämällä oikeita termejä ja selvittämällä muutaman numeron etukäteen pystyy yhdellä puhelinsoitolla esimerkiksi... jaa, enpä listaakaan niitä tähän. Ymmärrettävistä syistä.

Tietoturvan näkökulmasta siirtyminen sähköiseen asiointiin on oikea suuntaus. Se nopeuttaa asioita ja mahdollistaa ilmoittajan luotettavan todentamisen. Mutta aina jää tapauksia, joissa asiat pitää hoitaa kiireellisesti ja ilman netin apua.

Postin ongelma on näihin verrattuna niin helppo, ettei sen ratkaiseminen ole kuin viitseliäisyydestä kiinni. Eikä enää yhtään haasteellista sanaa!

13 kommenttia:

Jukka-Pekka Heikkilä kirjoitti...

Hyvä Petteri!

Hannu kirjoitti...

>Ensinnäkin posti voisi paperisen muuttoilmoituksen >saatuaan lähettää ilmoituksen muuttajan vanhaan >osoitteeseen. Pelkkä ilmoitus "teidän muuttoilmoituksenne >on vastaanotettu ja rekisteröity, jos asiassa on >epäselvyyksiä ottakaa yhteys lähimpään postiin" riittäisi. >Uutta osoitetta ei tarvitse mainita.

Suorastaan nerokas ratkaisu kaikessa yksinkertaisuudessaan! Toivottavasti ehdotus menee Postille asti.

Anonyymi kirjoitti...

"Ihan vähällä vaivalla osoitetietokantaan saisi myös henkilön itsensä ilmoittaman sähköpostiosoitteen, johon lähtisi automaattisesti ilmoitus osoitteenmuutoksesta. Eikö Suomen pitänyt olla edistynyt maa näissä asioissa?" - tämä täydennettynä puhelinnumerolla, johon lähetetään tekstiviesti muutospyynnöstä. Vastaavia järjestelmiä on jo käytössä netissä pelejä myyvillä tahoilla ja some-foorumeilla, minullekin tuli kerran ilmoitus sekä sähköpostitse että tekstiviestinä kun joku oli pyytänyt tunnukselleni uutta salasanaa "unohtuneen" tilalle.

Sitten oma tapauksensa ovat rikolliset, jotka eivät tee muuttoilmoitusta kätkeäkseen jälkensä. Yhdestä aiemmasta asunnosta sai kantaa tuon tuostakin Postiin käräjäoikeudesta tai perintätoimistoista lähetettyjä kirjeitä, jotka oli osoitettu jo kuukausia aiemmin häädetylle edelliselle asukkaalle. Postissa vain todettiin etten minä voi ilmoittaa edellistä asukasta pois muuttaneeksi :) Kirjeiden tulo loppui vasta siihen, kun poliisi teki turhan hakureissun, jonka yhteydessä selvitin asian.

Osmo kirjoitti...

Siinä vanhassa osoitteessa saattaa jo asua joku muu, jolle pois muuttaneen tiedot eivät todellakaan kuulu. Kannattaa muistaa, että huijauksia on vain pieni murto-osa. Varmistus olisi paras lähettää tekstiviestillä, kunhan heillä olisi numerot Tiedossa. Tosin puhelin on vain 1800-luvun keksintö. Ei niin uutta voi postittaa käyttää.

Varmistuksen lähettäminen siihen osoitteeseen, joka lapussa annetaan on kyllä älyttömistä, mitä olen kuulut.

Tosin paras tapa olisi rangaista väärinkäytöstä ankarasti. Jos siitä saisi vähintään kymmenen vuoden nettotuomion, ei niitä tehtäisi.

Aleksis Tulonen kirjoitti...

"...eikä puhelinasioinnissa voi vaatia vahvaa todennusta"

Miksi ei?

Unknown kirjoitti...

Jos Posti ottaa blogistin ehdottaman säköposti-ilmoituksen käyttöön, voi olla että se esittää ainoaksi vaihtoehdoksi NetPostin.
Joopa, yrittäkääpä ottaa selvää NetPostista! Systeemin esittelysivulla, löytyy kun etsii osoitteesta posti.fi on puutteita tai en ainakaan löytänyt tietoja.

- ei rekisteriselostetta.
- ei tietoa siitä, talletetaanko tiedot Suomessa, EU-alueella vai missä.
- ei selvää mainintaa siitä mikä firma (Posti vai Itella vai mikä lie) on vastuullinen toimija, siis palvelun tarjoaja.
- ei hinnastoa.

Lisätietoja saisi varmaan tekemällä NetPosti-tunnuksen mutta tällaiset tiedot pitäisi saada tutkittavakseen ennenkuin vannoo uskollisuutta Postille ja sitoutuu asiakkaaksi.

Riitta T kirjoitti...

Ihmeellistä, että muuttoilmoituksen voi tehdä noin helposti, kun posti ei luovuta normipakettiakaan ilman, että ottaa noutajan henkilöllisyystodistuksesta tiedot järjestelmäänsä!

Keijjjjo kirjoitti...

Netpostihan ei enää hyväksy pankkitunnistautumista? Miksi?

Nimimerkillä olis postia siellä mutta milläs luet.

Mobiilivarmenteesta ne ei oo kuullutkaan.

Huokaus.

Petteri Järvinen kirjoitti...

Ihmeellistä, että muuttoilmoituksen voi tehdä noin helposti, kun posti ei luovuta normipakettiakaan ilman, että ottaa noutajan henkilöllisyystodistuksesta tiedot järjestelmäänsä!

Niinpä!

Netpostihan ei enää hyväksy pankkitunnistautumista? Miksi?

Ehkä kustannuskysymys. Netpostin pitää maksaa jokaisesta kirjautumisesta pankille.

Petteri Järvinen kirjoitti...

Siinä vanhassa osoitteessa saattaa jo asua joku muu, jolle pois muuttaneen tiedot eivät todellakaan kuulu. Kannattaa muistaa, että huijauksia on vain pieni murto-osa.

Totta, toimenpiteet tulee mitoittaa väärinkäytösten mukaan. Verkkokaupan ym. myötä identiteettivarkaudet ovat kuitenkin kasvava ongelma, joten näitä tapahtuu yhä enemmän.

Ilmoituksesta ei ole mitään haittaakaan, kunhan siinä ei kerrota mitään yksityistä tietoa (kuten uutta osoitetta). Luultavasti uusi asukas saa joka tapauksessa jonkin aikaa vanhalle osoitettuja posteja.

Varmistus olisi paras lähettää tekstiviestillä, kunhan heillä olisi numerot Tiedossa. Tosin puhelin on vain 1800-luvun keksintö. Ei niin uutta voi postittaa käyttää.

Ei ole rekisteriä, josta henkilön puhelinnumero selviäisi nimen tai osoitteen perusteella. Jos numero olisi ilmoittajan itsensä antama, hän voisi laittaa siihen mitä tahansa. Pre-paideja ei voi tarkistaa mistään.

Varmistuksen lähettäminen siihen osoitteeseen, joka lapussa annetaan on kyllä älyttömistä, mitä olen kuulut.

Jep, vaikea nähdä mikä tässä on ollut ns. ideana.

Tosin paras tapa olisi rangaista väärinkäytöstä ankarasti. Jos siitä saisi vähintään kymmenen vuoden nettotuomion, ei niitä tehtäisi.

Länsimaisessa oikeusvaltiossa rangaistusta ei voi mitoittaa pelkän pelotevaikutuksen näkökulmasta.

Markus kirjoitti...

Minä en nyt vieläkään ymmärrä, mitä vikaa oli ideassani NetPostin käytöstä tilapäisenä apuna asioiden turvaamiseen. Siis kun se on käytettävissä jo tänään ja nyt. En sanonutkaan että tämä on patenttiratkaisu kaikkiin ongelmiin, mutta se on ratkaisu mikä onnistuu ottaa käyttöön nyt ja heti ilman minkään sortin muutostöitä kenenkään taholta. Näin voit koska tahansa seurata postin tiedossa olevia yhteystietojasi ja niiden mahdollisia muutoksia. Samoin halutessasi voit saada postit ohjautumaan netpostiin kaikissa tapauksissa, joissa lähettäjätaholla vain on "yhteistyö" postin palvelun kanssa - joka siis tarkoittaa noin 90% kirjepostiliikenteestä. Tämä estää myös muita tietoturvariskejä, kuten esim hyvin arkaluontoisen viranomaispostin päätymisen naapurin postilaatikkoon (tuntuu olevan myös hyvin yleistä). Kuka haluaisi kela-kirjeensä naapurin Unelmalle? No myöhemmin viranomaisposti siirtyy suomi.fi palveluun mutta puhuinkin ratkaisusta tänään tai nyt.

Edelleenkin tässä ollaan vain postin kimpussa ymmärtämättä, että sama ongelma on myös MAISTRAATEISSA. Sinne voi myöskin lähettää tunnistautumatta kirjeen. Posti on vain siis lisäpalvelun tarjoaja. Postin ei periaatteessa ole edes mikään pakko hoitaa koko asiaa. Niin tai näin, edelleenkään posti ei voi hoitaa asiaa LAITTOMASTI. Edelleenkin suomen laki sanoo, että jokaisella suomessa on oltava osoite. Täten asian toimittaminen pitää olla helppoa ja mahdollista myös tapauksessa jos ihmisellä ei ole henkilökorttia. Ja edelleenkään mikään LAKI ei vaadi suomalaisella olevan henkilöllisyystodistusta.

Ihmettelen suuresti, että Petteri Järvinen tokaisi yksikantaan, että "tottakai jokaisella on henkilöllisyystodistus". Ei ole! Ei ole! Usko nyt jo. Suomessa EI OLE lakia, mikä vaatii jokaiselle henkilöllisyystodistuksen. On totta, että asiointi voi olla nykyisin hieman hankalaa ilman henkilöllisyystodistusta - yksinkertaistetettuna jo pelkkä kaljan ostaminen kaupasta voi olla mahdotonta. Silti suomessa EI OLE LAKIA, mikä vaatii todistuksen olemassaolon. Täten asia PITÄÄ pystyä tekemään ilman paperia. Esimerkiksi virossa tilanne on ihan päinvastainen. Sielä jokaisella on PAKOLLISESTI henkilöllisyystodistus ja E-kansalaisuus. Nämä ovat virossa LAKEJA. Mutta ei suomessa! Siinä on vissi ero.

Sitten kuitenkin toisessa kohtaa Petteri Järvinen tokaisi, ettei sähköisten palveluiden käyttöä voida vaatia. Niin miksi ei? Virossa siis tämäkin onnistuu. Siis tämähän nimenomaan on se RATKAISU ongelmaan. Vai onko virolainen mummo nyt jotenkin sitten paljon parempi mummo kuin suomalainen mummo? En usko että suomalaiset seniorit on niin paljon virolaisia senioreja huonompia asioiden hoidossa. Ja ottaen huomioon, että nämä suomen kaltaiset ongelmat ei ole virossa mitenkään mahdollisia. Ehkä kannattaisi mennä lievemmän haitan periaatteella. Nämä asiat on siis jo ratkaistu toisessa maassa - SÄHKÖISELLÄ LAKISÄÄTEISELLÄ asioinnilla. Onhan ne samat mummot pakotettu suomessa jo verkkopankkiakin käyttämään kun konttoreihin ei saa viedä eikä sieltä saa noutaa käteistä. Miten siis voit Petteri sanoa, ettei sitten posti-asioissa voida vaatia sähköistä palvelua?

Eli ultimaattinen ratkaisu näihin ongelmiin on simppeli. Sähköinen E-kansalaisuus jokaiselle kansalaiselle, sekä henkiöllisyystodistus-pakko. Suurimmalla osalla itse asiassa on tämä jo - tietämättään. Ja sitten se toinen osa. Kukaan ei saa tehdä minkään sortin etä-tai luottokauppaa ilman tätä sähköistä identifiointia. EDES kaupan tiskillä. Näin rikollisilta menee se matto alta.

Anonyymi kirjoitti...

Kiitos kommenteista ja asiantuntevista huomioista. Olemme käynnistäneet selvityksen lomakkeen käyttöön liittyen. Tavoitteemme on parantaa osoitteenmuutosprosessia ja ehkäistä väärinkäytöksiä jatkossa.

Muuttoilmoitus maistraatille on lakisääteinen, ja sen voi hoitaa samalla kertaa sekä Postille että maistraatille joko lomakkeella tai verkkopalvelussa muuttoilmoitus.fi. Osoitteenmuutosprosessi on laadittu yhteistyössä Väestörekisterikeskuksen ja maistraattien kanssa. Osoitteenmuutoslomake on mahdollistanut lain vaatiman helpon tavan ilmoittaa osoitteen vaihtuminen.

Toisen tietojen luvaton muuttaminen on rikos. Tällä hetkellä väärinkäytöksen voi estää pyytämällä muuttosuojausta Postilta, jolloin henkilölle ei voi tallentaa minkäänlaista osoitteenmuutosta. Muuttoesto täytyy sopia erikseen myös maistraattien kanssa.

Vahvistuksen osoitteenmuutosilmoituksesta saa jo tällä hetkellä automaattisesti Netpostiin, jos on Netpostin käyttäjä. Netposti on hyvä tapa saada osoitteenmuutoksesta vahvistus varmasti itselle. Netposti on maksuton sähköinen postilaatikko, joka otetaan käyttöön tunnistautumalla verkkopankkitunnuksilla tai sirullisella henkilökortilla. Netposti kulkee aina mukana osoitteesta riippumatta. (Netpostin ja muiden Postin sähköisten kuluttajapalveluiden rekisteriseloste löytyy sivulta http://www.posti.fi/liitteet/hinnatjamaksutavat/ehdot/rekisteriseloste-asiakastietokanta-fi.pdf)

Maiju Fernelius
muuttoilmoituksesta vastaava liiketoimintajohtaja, Posti

Anonyymi kirjoitti...

Ensinnäkin posti voisi paperisen muuttoilmoituksen saatuaan lähettää ilmoituksen muuttajan vanhaan osoitteeseen. Pelkkä ilmoitus "teidän muuttoilmoituksenne on vastaanotettu ja rekisteröity, jos asiassa on epäselvyyksiä ottakaa yhteys lähimpään postiin" riittäisi.

Juuri näin, mutta...

Jos henkilö on jo oikeasti ehtinyt muuttaa, vanhaan osoitteeseen lähetetty viesti saattaa palautua postiin tai kääntyä uuteen osoitteeseen, mutta entä sitten?
...tässä mennään metsään, jos väärän muuttoilmoituksen tehnyt on ostanut myös postinkääntöpalvelun.

Jotta varmistuskirjeestä olisi hyötyä, se pitäisi aina kantaa vanhaan osoitteeseen. Itse asiassa se pitäisi kantaa myös uuteen osoitteeseen, niin asukas saisi tiedon asuntoon mahdollisesti muuttavista haamuasukkaista.

Varmistuskirjeiden ei ehkä tarvitse sisältää edes tietoa muuttajan nimestä, pelkkä tieto muutto- ja ilmoituspäivästä riittäisi.

Website Security Test