keskiviikko 15. helmikuuta 2017

Tietosuoja pelottaa -- syystä ja ilmankin

Iltasanomissa osui silmiini uutinen Kiinteistömaailman ex-työntekijän epäillään kopioineen tuhansien asiakkaiden tietoja – Marko, 48, järkyttyi. Sen mukaan Kiinteistömaailman entinen työntekijä oli kopioinut 3499 asiakkaan henkilötiedot: nimen, osoitteen, sähköpostin ja puhelinnumeron.

Yksi uhreista oli Marko, 48, joka uutisen mukaan "järkyttyi" asiasta. Vaikka yhtiön toimitusjohtaja kertoo tietovuoden koskeneen vain henkilötietoja, Marko "uskoo" että mukana olivat myös henkilötunnukset.

En tiedä, mihin Marko perustaa uskonsa. Ilmeisesti Kiinteistömaailma kuitenkin on tallentanut asiakkaistaan henkilötunnuksen, ehkä sen peruteella on tarkistettu asunnon myyjän tai ostajan oikeus myyntiin tms.

Markon "järkytys" on ymmärrettävää, ottaen huomioon mitä hän pelkää: "Onhan se järkyttävää, että Suomen kokoisessa maassa minun ja vaimoni lisäksi 3498 ihmistä on menettänyt tietonsa jonnekin. En tiedä, mitä voi tapahtua, jos minun tietoni lähtevät ympäri maailmaa seilaamaan".

Marko voisi järkyttyä vielä enemmän jos tietäisi, miten tällaisia perushenkilötietoja löytyy monista eri paikoista. Valtio jopa myy niitä kauppiaille, puhumattakaan monista muista lähteistä.

Marko pelkää erityisesti suoramyyntiä: "Tässä on yksityisyys aika ohuen kortin varassa. Kun ajattelee, että siellä on minun osoite, niin nythän joku voi tulla vaikka oveni taakse suoramarkkinoimaan jääkaappeja, hän miettii."

Takavuosina oli maan tapa, että myyjä firmasta lähtiessään otti mukaan asiakasrekisterin. Se on tietenkin laitonta, ja juuri siksi henkilötietolakeja on koko ajan kiristetty. 

Mutta aina, kun julkisuus pelottelee kansalaisia tietoturva- tai tietosuojauhkilla, on vaarana lietsoa turhiakin pelkoja.

Tai sitten toimittaja on vähän dramatisoinut yksilön näkökulmasta pientä rikosta. Toivottavasti Marko järkytykseltään pystyy kuitenkin jatkamaan työntekoa.

5 kommenttia:

Anonyymi kirjoitti...

Oikeastaan ihme, ettei tällaista tapahdu useammin. Tai sitten tapahtuu mutta se ei tule julkisuuteen. Työskentelen itse taloushallinnon ohjelmistoratkaisuja kehittävässä yrityksessä. Olen yksi pienen yrityksemme noin kahdestakymmenestä koodaajasta tai konsultista, joilla on välittömästi pääsy tuhansien asiakasyritystemme houstattuihin tietokantoihin. Uskoisin huomenissa kykeneväni kaivamaan sieltä (vaikkapa sql-scriptillä) kymmenien tuhansien työntekijöiden henkilö- ja palkkatiedot. Uskoisin kaltaisiani suunnilleen saman tilaisuuden ja taidot omaavia henkilöitä olevan Suomessa tuhansia. Ilman oikeutta nähdä asiakkaan tiedot, emme kuitenkaan voisi tarjota sitä tukea ja palveluita, joita asiakkaamme meiltä odottavat. En siis näe, miten muutenkaan voisimme menetellä. Koko homma toimii luottamukseen nojautuen. Valitettavasti siihen sisältyy juuri kuvatun kaltainen (tai paljon pahempikin) tietojen väärinkäytön mahdollisuus.

Petteri Järvinen kirjoitti...

Tietohallinnon työntekijöitä ja koodareita on mahdoton valvoa täydellisesti, siksi heidän työnsä on aina luottamuksen varassa. Teknisesti on aina mahdollista tehdä kaikenlaista, mutta luotamme ihmisten noudattavan lakia - jos ei muuta, niin rangaistuksen pelossa.

Myyjien, poliisien ja esim. sairaalahenkilökunnan suhteen tilanne on hieman toinen, koska henkilötietojen käsittely tallentuu lokeihin. Käsittelyä on kuitenkin niin paljon, että niiden lainmukaisuutta voidaan testata vain pistokokein. Sekin näyttää riittävän, sillä kiinni jääneitä on jatkuvasti, ja rangaistus on toimiva pelote (työpaikan menetys, korvaus jokaiselle urkitulle, päiväsakot ja ennen kaikkea jopa kymmeniin tuhansiin euroihin nousevat oikeudenkäyntikulut).

petrip kirjoitti...

TalHal palveluntarjoajankin tietokantaan voidaan laittaa logitus triggerit jolloin valtaosa hausta pystytään halutessa tarkastamaan.

Osaava koodari voi kaiken tietysti poistaa, mutta siitäkin tuppaa jäämään jälki

Luottamus on pakko mutta pistokoe uhka toimii varmasti.

Anonyymi kirjoitti...

Tuossahan se oli aika hyvin sanottu, että järkytys johtuu lähinnä siitä, ettei ihmisillä yleisesti ole mitään tietoa siitä, mitä tietoja heistää on missäkin tietokannoissa. Ei tiedetä myöskään tuota, että esimerkiksi väestörekisterikeskuksesta saa ostettua vaikka mitä tietoja. Järkytyksen aiheuttaja on ehkä hetkellinen ymmärrys siitä, että omia tietoja on vähän siellä ja täällä.

Anonyymi kirjoitti...

Nimi, osoite, sähköposti ja puhelinnumero on kyllä aika helppo saada. Kyseiset tiedot joutuu syöttämään lukuisiin paikkoihin jatkuvasti, ja yhteystiedot on tosiaan ostettavissa myös markkinointitarkoituksiinkin, ellei joku ole asiaa erikseen kieltänyt. Niiden osalta ei aika usein ole edes mitään seurantaa, kun ovat niin perusasioita, ja kun niitä tarvitaan niin jatkuvasti.

Mutta järkyttyneelle ihmiselle, jonka mukaan "tässä on yksityisyys aika ohuen kortin varassa. Kun ajattelee, että siellä on minun osoite, niin nythän joku voi tulla vaikka oveni taakse suoramarkkinoimaan jääkaappeja" voisi ehkä kertoa, että niitä jääkaappeja oven takana myyvän kannalta sähköposti ja puhelinnumero ovat tarpeettomia tietoja. Eikä tämä tarvitse välttämättä etukäteen edes nimitietoa. Sen kuin vain kiertää katuja, ja soittelee ovikelloja.

Itseltäni levisi sosiaaliturvatunnuskin takavuosina erään organisaation tietovuodoissa. Mutta vaikkei se olisi siinä vuotanut, niin esimerkiksi kaupparekisteristä kuka tahansa saa kaikkien yritysten vastuuhenkilöiden sosiaaliturvatunnukset. Ne kun eivät ole mitenkään salaista tietoa, vaan yksilöimistunnus, jolla samannimiset kaimat ja nimeään vaihtaneet pystyy erottamaan.

Website Security Test