Poliisi julkisti iltapäivällä tiedotteen, jonka mukaan se julkaisee listan tietovuodon uhriksi joutuneista henkilöistä. Pian tämän jälkeen poliisin www-sivut hävisivät verkosta, samoin kävi sisäministeriön sivuille.
Tämän hetkisen (klo 17.30) tiedon mukaan sivut kaatuivat ylikuormituksen vuoksi, kun noin 60 000 ihmistä yritti sivulle yhtä aikaa.
Ei voi olla totta! Poliisin www-sivut eivät saa kaatua missään tilanteessa. Eivät ainakaan pelkkään tiedotteen julkistamiseen. Eivätkä ne kaatuessaankaan saa viedä mukanaan ministeriön sivuja. Ei, ei ja vielä kerran ei.
Poliisilla on myös tiedotussivu Facebookissa. Siellä ei ollut mitään lisätietoa tapahtuneesta. Tuoreimmat uutiset liittyivät poliisin määrärahoihin sekä tammikuussa alkaviin Poliisit-sarjan uusiin jaksoihin.
Keväällä 15 000 kävijää riitti kaatamaan Säteilyturvakeskuksen sivut. Japanin onnettomuus ei koskenut Suomea, joten kansalaisten kiinnostus tuli yllätyksenä. Tässä tapauksessa poliisilla oli kaksi vuorokautta aikaa suunnitella tiedotusta. Aloite oli sillä itsellään.
Kaikesta päätellen viranomaiset eivät vieläkään ymmärrä internetin merkitystä modernissa viestinnässä. Www-sivut on tehtävä sellaiseksi, etteivät ne kaadu. Miten poliisi voi täyttää kriisiaikaista palvelutehtäväänsä, jos sen sivut menevät nurin jo ihan tavallisesta tiedottamisesta?
60 000 kävijää kuulostaa paljolta, mutta kun kyse on yksinkertaisesta tekstitiedotteesta, se ei ole määrä eikä mikään. Jos nettipalvelu tukehtuu siihen, palvelu on suunniteltu väärin. Tiedotteita ei ylipäätään pitäisi levittää palvelimelta, joka on myös muussa käytössä, niin että sen kaatuminen sotkee muuta käyttöä.
Tietoturvan alkeisiin kuuluu suojata julkiset nettipalvelut niin, ettei niihin kohdistuva tahallinen palvelunestohyökkäys tai tahaton ylikuormitus vaikuta muihin. Pilvipalvelusta kuka tahansa voi ostaa kapasiteetin, joka kestää vaikka miljoona kävijää yhtä aikaa. Nämä järjestelyt on tehtävä hyvissä ajoin etukäteen. Kun tilanne on päällä, on liian myöhäistä. Eikö kriisiviestinnän kehittäminen ole kenenkään vastuulla?
Ironista kyllä, poliisi ei ehtinyt jakaa lainkaan itse listaa. Paljon tiedotetta isompana se olisi kaatanut järjestelmän vielä tehokkaammin. Ja lisää ironiaa on siinä, että ilmeisesti poliisin tieto (etunimi + syntymäaika) on sama, mikä on ollut netissä jaossa jo pitkään.
Joulukuun viimeisenä päivänä 2004 poliisin sivut kaatuivat, kun tsunamiuhrien nimilista julkaistiin. Noista ajoista mikään ei tunnu kehittyneen.
Suomen tietoyhteiskunnan infrastruktuuri ja osaaminen on sitä tasoa, että jos oikea kriisi tapahtuu, lienee parasta piiloutua perunakellariin.
PS. URL-osoitteesta päätellen poliisin tiedotusalusta toimii Notesin varassa. Se ei todellakaan ole oikea järjestelmä kriisiviestintää ajatellen. Toivottavasti tämä toimii herätyksenä viestinnän prosessien ja tekniikan uudistamiseen.
Lisäys 8.11.2011: Maikkarin uutisen perusteella eiliset arvailut ongelmien syistä osuivat oikeaan. Positiivista on se, että suosituksi arveltu tiedote oli tarkoitus laittaa ulkopuoliselle sivulle tavallisena tekstinä, jolloin ylikuormitusta ei olisi tapahtunut. Mitään kiirettä tiedotteen julkistamisella ei ollut, mutta silti tieto ei vain kulkenut organisaation sisällä. "Inhimillinen erehdys" on tuttu selitys. Siihen vetoavat varmasti myös ne rekisterinpitäjät, joiden tiedot ovat nyt levinneet ympäri nettiä.
Ei voi muuta kuin yhtyä tuohon. Onkohan alan samat isot pelurit noiden takana kuin kuuluisan VR:n verkkopalvelu-uudistuksen?
VastaaPoistaEtenkin kun netti on melkeinpä ensisijainen tiedonhankitaväline tällä hetkellä, niin poliisin, rajavartiolaitoksen ja sisäministeriön sivut eivät saa mennä polvilleen pelkästään äkillisen kiinnostuksen vuoksi. Ne pitää suunnitella nimenomaan juuri sitä palvelemaan.
VastaaPoistaHyvä kirjoitus.
VastaaPoistaEn usko "pelkkään" ylikuormitukseen, arvelen että palvelin on tahallisesti kaadettu. Mitä kommentoi Hallinnon tietotekniikkakeskus?
Pari huomiota:
VastaaPoista* hämmästyttää poliisin tiedotuskanavan valinta (USAlainen yhtiö): henkilötietolaki http://www.finlex.fi/fi/laki/ajantasa/1999/19990523 22 § "Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle ainoastaan, jos kyseisessä maassa taataan tietosuojan riittävä taso." - kun tiedetään Facebookin suhtautuminen tietojen hävittämiseen, onko edes tämäntyyppisen karsitun listan Facebook-julkaisu pykälien mukaista (3 § henkilötiedolla tarkoitetaan "kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi"
* olisikohan vaikka "112.fi" sellainen osoite joka sopisi yleiseksi mahdollisen kriistitilanteen tms. tiedotusta vaativan asian osoitteeksi
@Petteri Järvinen
VastaaPoista"Suomen tietoyhteiskunnan infrastruktuuri ja osaaminen on sitä tasoa, että jos oikea kriisi tapahtuu, lienee parasta piiloutua perunakellariin"
Tuota...entäs jos ei moista ole?
Toisaalta,onhan meillä tv ja höyryradio? TV:ssa olen huomannut sellaisen punaisen juoksevan nauhan aina kun jossain joku on nähnyt karhun, kriisitiedote toimii? Useimmiten se kuitenkin osoittautuu naudaksi, mitkä todistaa city-ihmisen etääntymistä luonnosta.
Tänään puoleltapäivin sellainen paloaseman katolla sijaitseva seireeni alkoi huutaa ja jostain ämyristä naisääni vakuutti, että tämä on vain testi. Tuli mieleen sota-aika Britanniassa, avasin oikein auton ikkunan paremmin kuullakseni.
No,vakavasti, kyllä Petteri Järvinen on ihan pakko äänestää päättäjien joukkoon seuraavissa vaaleissa.
Ilmeisesti tuota järjestelmää ei ole hajautettu,peilattu vaan
VastaaPoistaon fyysisesti yhdessä paikassa.
Tekniikan ihmisiä siis tarvitaan
jatkossakin ratkomaan, niin atk, kuin
vedenpuhdistuksen ongelmia.
Kriisiviestintää varten pitää tehdä niin kevyet sivut, että ne pyörivät koneella kuin koneella. Se on täysin mahdollista. Notes ei todellakaan ole tuollainen alusta.
VastaaPoistaPilvipalveluista sen verran, että toivottavasti kenellekään ei tule edes mieleen sijoittaa pilveä Suomen ulkopuolelle. Siinähän sitä varsinainen kriisiviestintäpaikka olisi.
Jospa Lotus Domino onkin suunniteltu niin, että se kaatuu kuin riviin asennetut domino-nappulat?
VastaaPoista>Siinähän sitä varsinainen
VastaaPoista>kriisiviestintäpaikka olisi.
Riippuu kriisistä. Tähän asti on nähty lähinnä Suomen sisäisiä kriisejä ja niissä palvelun toiminta ulkomaisessa palvelussa ei ole mikään ongelma. Eri asia tietysti on, jos seuraava kriisi onkin kansainvälinen konflikti.
Jos poliisilla on 16K HETU:a niin miksi se ei lähetä heille kirjettä???
VastaaPoistaMiksi poliisi pyytää tarkastamaan itse uhria netistä?
Poliisi on syytä lähettää kirje jokaiselle, jossa ilmoittaa että olette joutuneet tietomurron kohteeksi.
Kun tilanne on päällä, on liian myöhäistä.
VastaaPoistaKyllä, koska päätöksentekoprosessi on liian hidas. Tekninen ratkaisu voisi toisaalta löytyä "content delivery networkeista", jollaisen saa parhaimmillaan saada aika nopeastikin toimintaan.
Jokaiselle listalle joutuneelle olisi voitu lähettää e-Kirje, joka kolahtaisi postilaatikkoon viimeistään huomenna. Kustannus varsin pieni.
VastaaPoista"Eri asia tietysti on, jos euraava kriisi onkin kansainvälinen konflikti."
VastaaPoistaKansainvälinen konflikti tai kansainvälinen verkkohyökkäys. Suomessa olevaa palvelua pystyvät viranomaiset kontrolloimaan.
Palvelu tietysti tulee rakentaa asianmukaisesti - ei siis kuten nyt.
>Poliisi on syytä lähettää kirje
VastaaPoista>jokaiselle, jossa ilmoittaa että
>olette joutuneet tietomurron
>kohteeksi.
Ja mitäs se hyödyttäisi? HETUa kun ei voi vaihtaa. Salasana olisi eri juttu.
Jos taas kyse on yleisestä varovaisuudesta, se on tarpeen kaikille muillekin. Tarkkailkaa postianne ja pankin tiliveloituksia.
"Suomen tietoyhteiskunnan infrastruktuuri ja osaaminen on sitä tasoa, että jos oikea kriisi tapahtuu, lienee parasta piiloutua perunakellariin"
VastaaPoistaPoliisin ja muidenkin julkisten tahojen IT-osastoilla tiedostetaan ongelma, mutta haasteena on raha, varsinkin nyt kun valtion tuottavuus-ohjelman takia yritetään karsia kuluja. Tälläkin hetkellä kenttäpoliiseja päätyy työttömäksi, montako poliisia ollaan valmiit vähentämään, jotta serverikapasiteettia on riittävästi?
Omasta mielestäni paras ratkaisu olisi se, että valtio perustaisi ison pilvipalvelun, johon sijoitettaisiin esim. Poliisin, Kelan, STUK:n jne serveritoiminta. Servereille voisi päätyä salassapidettävää aineistoa, joten kilpailutuksen voisi jättää väliin ja laittaa esim. CSC asialle. Siellä olisi jo valmiiksi riittävästi konekapasiteettia sekä suorat yhteydet Suomen runkoverkkoihin. (Olisi tietysti suotavaa hajauttaa palvelimia eri puolelle Suomea).
@Petteri Järvinen
Väestörekisterikeskus voi vaihtaa henkilötunnuksen tietyin edellytyksin. Siitä tietysti aiheutuu kustannuksia, joten 'palvelua' ei pahemmin mainosteta.
http://fi.wikipedia.org/wiki/Henkil%C3%B6tunnus
"Jos taas kyse on yleisestä varovaisuudesta, se on tarpeen kaikille muillekin. Tarkkailkaa postianne ja pankin tiliveloituksia."
VastaaPoistaNormaali suomalainen ei ole vielä oikein sisäistänyt sitä ajatusta että kuitit, tiliotteet ja laskut kannattaa tarkistaa. Samoin sähköpostilla tulevat tiedot -- oli sitten kyse naapuri-Jompan lähettämästä juhannusreissun kuluista, Nordean pyynnöstä lähettää kaikki turvakoodit tai Nigeriasta tulevasta miljoonaperinnöstä.
Tämänkaltaiset sinällään melko harmittomat mutta median hyvin valloittaneet vuodot on hyvä hetki opastaa ihmisiä toimimaan oikein. Ei maalaammalla kauhukuvia vaan opastamalla toimimaan järkevästi joka päivä.
Omassa perhepiirissä tämä(kin) vuoto on saanut sähellystä aikaiseksi, varsinkin kun listoilta sattui löytymään samana päivänä syntynyt sama etunimi. Asioista ei juuri ymmärretä mitään mutta sähelletään kyllä.
Poliisille varakanavaksi Google sites, Google docs jne? Hankalampi kaataa...
VastaaPoistaOmasta kokemuksesta ja vuosien takaisesta työpaikasta tulee mieleen tapaus. Tuolloin firman yhdet ylläpitämät kaatuivat täysin, varsin pikaisella aikataululla käyttöön otettiin kaksi lisäpalvelinta. Olisiko ollut muutama minuutti.
VastaaPoistaSilloin ei ollut pilvipalveluita tai vastaavia. Elettiin aikaa runsaat kymmenen vuotta sitten. Käytössä oli silloin linux/debian -alustalla, ja hyvin sivut sen jälkeen pyörivät.
Eihän käyttäjämäärä tietysti noin suuri ollut.
Klikatkaapa tuolla mitä tahansa linkkiä:
VastaaPoistahttp://twitter.com/#!/suomenpoliisi
Kaikki vievät vilautetun virhesivun jälkeen samaan listaan!
Moi Petteri,
VastaaPoistavähän aiheen vierestä, mutta silti erityisalaasi - yksityisyyttä ja tietotekniikkaa - koskeva kysymys:
Jos esim. pankin työntekijä tai sairaanhoitaja katsoo luvattomasti tuntemansa henkilön tili/potilastietoja ja jää tästä kiinni, onko pankki/sairaala velvollinen ilmoittamaan tästä myös henkilölle, jonka tietoja on urkittu?
Näyttää sisäministeriön verkkoviestinnän kehittämishanke puuroutuneen ja aikataulu venyy. Työryhmää, ohjausryhmää ja koordinaatioryhmää on kyllä riittävästi.
VastaaPoistahttp://www.hare.vn.fi/mHankePerusSelaus.asp?h_iID=15153&tVNo=1&sTyp=Selaus
>kiinni, onko pankki/sairaala
VastaaPoista>velvollinen ilmoittamaan tästä
>myös henkilölle, jonka tietoja on
>urkittu?
En ole juristi, mutta oletan että tässä tapauksessa työnantajan pitää tehdä rikosilmoitus ja silloin asia menee tiedoksi myös urkinnan kohteelle.