Jokelan junaonnettomuudesta 30 vuotta

Ensi yönä tulee kuluneeksi 30 vuotta Jokelan junaonnettomuudesta. Aikaisin sunnuntaiaamuna 21.4.1996 Oulusta Helsinkiin matkannut yöpikajuna ajoi sumussa täyttä vauhtia vaihteeseen, jonka nopeusrajoitus oli ratatöiden vuoksi 35 kilometriä tunnissa.

Veturi pyörähti nokka menosuuntaan ja kahdeksan vaunua kaatui. Viimeiset kolme vaunua pysyivät raiteilla. Onnettomuudessa kuoli neljä ihmistä ja noin 50 loukkaantui. Veturinkuljettaja oli kuolleiden joukossa. Kyse oli tiedonkulun katkoksista ja inhimillisestä erehdyksestä.

Miksi junaonnettomuus on blogitekstin aiheena? Muistan, että päivä oli keväinen sunnuntai, ja ensi kertaa seurasin suuren onnettomuuden uutisointia netistä. Hesari, Yle ja Maikkari olivat avanneet sivustonsa vuotta aiemmin. Netistä tuli ensi kertaa kilpailija printtilehdille ja illan tv-uutisille. Painettu Hesari kertoi asiasta maanantain lehdessä.

HS 22.4.1996

Toinen syy on uutisointi, joka nimesi tuoreeltaan kuolleiden nimet, iät, kotipaikat ja jopa ammatit: 

"Surmansa saivat helsinkiläinen tiedottaja Pekka Saunamäki, 51, iittiläinen lentovirkailija Mikael Golovin, 41, ja hollolalainen suomentaja Erkki Hakala, 50. Junaa ajoi iittiläinen Esko Rajala, 52." 

Hesarin netissä julkaiseman uutisen kirjoittajaksi on merkitty Jarkko Sipilä, ilmeisesti sama henkilö, josta tuli MTV:n rikostoimittaja ja dekkarikirjailija, joka itse menehtyi maaliskuussa 2022.

Tämän päivän GDPR-aikana nimien julkaisu, muista tiedoista puhumattakaan, tuntuu käsittämättömältä. Nyt asianosaisten henkilötietoja varjellaan viimeiseen asti, vaikka ne rikos- ja onnettomuustapauksissa leviävät kyllä nettipalstoilla.

Kolmas syy on turvallisuuskulttuurin kehittyminen. Vielä 1990-luvun lopussa junille sattui lukuisia onnettomuuksia. Vain pari vuotta myöhemmin 6.3.1998 Tampereelta Pieksämäelle matkalla ollut juna ajoi Jyväskylässä täyttä vauhtia vaihteeseen, syöksyi ulos 110 kilometrin nopeudella ja aiheutti 10 ihmisen kuoleman. Loukkaantuneita oli lähes sata.

Ohjaamossa oli vielä tuolloin kaksi kuljettajaa, joista varsinainen kuljettaja menehtyi. Hengissä selvinnyttä syytettiin tähystysvelvollisuuden laiminlyönnistä, mutta syytteet kaatuivat pari vuotta myöhemmin oikeudessa. 

Ennen internetin yleistymistä sanomalehdet julkaisivat säännönmukaisesti onnettomuuksien uhrien nimet ja jopa kuvat, aina lapsia myöten. Jyväskylän 1998 onnettomuudesta ei enää nähdäkseni julkaistu nimiä. Käytäntö alkoi muuttua.

Jyväskylän henkilöuhreja vaatinut onnettomuus jäi viimeiseksi. Sen jälkeen junalla matkustaminen on ollut erittäin turvallista, mikä on hyvä osoitus turvallisuustyön merkityksestä. Myöhemmät junaonnettomuudet ovat sattuneet tasoristeyksissä ja uhrit ovat tulleet autoista. Euroopan raiteilta kantautuu edelleen tietoja junien kaatumisista ja törmäilyistä. Hatun nosto VR:lle.

Joskus on onneakin mukanaa. Erikoisin onnettomuus sattui 5.10.1990, kun yli 600 metriä pitkän tavarajunan jarrut pettivät ja juna vyöryi Helsingin asemalle. Yksi vaunuista tunkeutui asemarakennuksen seinän läpi. Onneksi tapaus sattui kello neljä aamuyöllä, joten asema oli autio. 

Lievempi läheltä piti -tilanne sattui 4.1.2010, kun neljä matkustajavaunua pääsi irti ja vyöryi aseman vieressä olevan hotellin toimistosiipeen. Siinä henkilökunta ehti varoittaa asemalla olevia ihmisiä ja pahemmalta vältyttiin.

Turvallisuudessa ei ole koskaan varaa itsetyytyväisyyteen.

Miksei media kovistellut poliitikkoja digiriippuvuudesta Yhdysvaltoihin?

Anu Koivunen penäsi Suomen Kuvalehdessä medialta, miksei se pannut poliitikkoja tiukoille digiriippuvuudesta Yhdysvaltoihin.

Hieman yllättää ajatus, että median pitäisi kovistella poliitikkoja tällaisesta asiasta. Eikö ole poliitikkojen itsensä tehtävä seurata maailman kehittymistä? Eikö heillä ole omatkin aivot?

Ja onhan siitä kannettukin huolta EU-tasolla. On voivoteltu, miten amerikkalaiset nettijätit imuroivat tietomme ja mainoseuromme, kun eurooppalaisia digipalveluita ei ole saatu aikaan. Virallisen selityksen mukaan GDPR syntyi huolesta kansalaisten perusoikeuksiin, mutta vahvana motiivina oli myös tukea sitä kautta eurooppalaisia yrityksiä kilpailussa käyttäjien sielusta. Harmi kyllä GDPR ja parempi tietosuoja eivät avittaneet eurooppalaisia voittoon, ihmiset myivät edelleen tietonsa palvelua vastaan amerikkalaisille jättiyhtiöille.

IT-asioita seuraavia kansanedustajia on luvattoman vähän. Edesmennyt Jyrki Kasvi oli harvoja alan ihmisiä, eikä hänelle ole tullut seuraajaa. Suomen vuosituhannen vaihteessa kokema edelläkävijyys ja draivi ovat kadonneet koko yhteiskunnasta.

Totta sekin, että Suomen media on heikoissa kantimissa ja IT-media on nykyisin äärimmäisen ohutta. Kato on käynyt alan lehdissä ja uutissivustoilla. TV- ja radiouutiset paikkaavat jonkin verran, mutta nekin seuraavat yleensä mitä Yhdysvalloissa uutisoidaan ja soveltavat asioita sitten Suomeen.

Itse olen toivonut Yleisradiolta panosta tietoyhteiskunnan kehittämiseen ja uhkista tiedottamiseen, mutta pyyntöni ovat kaikuneet kuuroille korville. Yle jatkaa kuin se olisi Suomen ainoa mediatalo, jonka on tuotettava myös hömppää ja kosiskeltava nuoria.

Yhdessä suhteessa poliitikot voivat katsoa peiliin. Vuosikymmenten ajan olemme keskittyneet idästä tulevaan uhkaan. Olemme varautuneet kyberhyökkäyksiin ja sähkönsaannin varmistamiseen. Läntinen suunta on jätetty oman onnensa nojaan. Olemme pitäneet itsestään selvänä, että Yhdysvallat on meidän tukenamme, jos kriisi alkaa.

Aseet ja sotilaallinen uhka ovat varastaneet liiaksi päättäjien huomiota. On unohtunut, että digitaalinen itsepuolustus on paljon muutakin.

Trumpin tuoma muutos ja luottamuspula olivat nähtävissä jo 2016-2020 kaudella, mutta poliitikot eivät reagoineet. Nyt kyberomavaraisuuteen on herätty, mutta vuosikymmenten laiminlyöntejä ei korjata hetkessä.

Jostain pitää kuitenkin aloittaa. Se on lähinnä poliitikkojen, ei median tehtävä.

PS: Anu Koivunen kirjoittaa "Käsite kill switch tuli Suomeen maaliskuussa 2025 Kanadasta. Siellä Donald Trumpin vihamieliset puheet olivat saaneet turvallisuusviranomaiset huolestumaan F-35-hävittäjiin sisältyvästä turvallisuusriskistä". En ihan tavoita hänen tarkoitustaan. Tappokytkin on vanha termi, sitä on käytetty mm. pohdittaessa voiko Yhdysvallat sammuttaa halutessaan koko internetin (ei). Tappokytkin on haluttu pakolliseksi myös tekoälyjärjestelmiin, siltä varalta että ne riistäytyvät hallinnasta. Toiminnan täydellistä katkaisua pahempi asia on salaa tapahtuva urkkiminen ja vaikuttaminen, josta Snowdenin paljastukset kertoivat jo 2013. Mutta emme Euroopassa heränneet riittävästi silloinkaan. 

Kansalaisaloitteet ja GDPR-tietosuoja

Hesari teki jutun siitä, miten tunnetut yritysjohtajat ja muut valikoidut henkilöt ovat kannattaneet erilaisia kansalaisaloitteita. Tutkivaa journalismia, kyllä, mutta hieman ehkä osoittelevaa ja yksipuolista. Se ei ole kuitenkaan minun arvioitavissa.

Kansalaisaloitepalvelun nettisivu.

Sen sijaan kiinnitän huomiota tietosuojaan. Moni tuntuu hämmästyneen, miten Hesari sai nimilistat aloitteiden kannattajista. Eikö vahvan todennuksen pitänyt turvata tietosuoja, vähän kuten äänestyksissä?

Tässä on ilmeisesti sellainen ajatusvirhe, että pankkitunnusten tai mobiilivarmenteen käyttö yhdistyy mielessä luottamukselliseen toimintaan, kuten pankkipalveluihin tai sähköiseen asiointiin Omakannassa, Kelassa tms. Mutta niin ei ole. Vahva tunnistus varmistaa henkilöllisyyden, mutta sen jälkeen tehtävien toimien luottamuksellisuus on ihan eri juttu.

Kansalaisaloitteen oma tietosuojasivu sanoo näin: 

Kun käyttäjä tunnistautuu ja täyttää kannatusilmoituksen sähköisesti, järjestelmä tallentaa allekirjoittajasta seuraavat kansalaisaloitelain mukaiset tiedot:

• Koko nimi
• Syntymäaika
• Kotikunta
• Vakuutus siitä, että henkilö on äänioikeutettu Suomen kansalainen ja kannattanut kyseistä aloitetta vain kerran

Järjestelmä ei tallenna kannatusilmoituksen allekirjoittajan henkilötunnusta.

Henkilötunnuksesta lasketaan tiiviste, jolla varmistetaan, ettei sama henkilö anna kannatustaan useita kertoja. Tiivisteestä ei voi päätellä henkilöllisyyttä. Ilmeisesti HETUn perään liitetään vielä aloitekohtainen lisätunnus ennen tiivisteen laskemista, jotta ei voida tutkia mitä kaikkia aloitteita jokin tietty henkilö on allekirjoittanut.

Vähän myöhemmin todetaan, että "Kansalaisaloitteen vastuutahot voivat luovuttaa tietoja kannatusilmoitusten allekirjoittajista vain Digi- ja väestötietovirastolle. Mikäli Digi- ja väestötietovirasto vahvistaa, että kansalaisaloite on kerännyt vähintään 50 000 kannatusilmoitusta, voi Digi- ja väestötietovirasto antaa kannatusilmoituksista tietoja eli sen hallussa olevat tiedot ovat julkisia."

Jos aloite ylittää kynnyksen, DVV voi tehdä tiedoista julkisia. Silloinkaan aloitteen vastuuhenkilöt eivät saa julkistaa allekirjoittajien nimiä. Oletan, että kuka tahansa kiinnostunut voi kuitenkin tehdä kyselyitä nimistä DVV:lle. Tämän lisäksi journalistisiin tarkoituksiin on eri säädöksissä poikkeuksia, joten Hesarin toiminnassa ei pitäisi olla mitään oikeudellista ongelmaa.

Hieman yllättävää, että niin moni on pitänyt kannatusilmoituksia salaisina. Kaduilla pyydetään joskus allekirjoituksia erilaisiin tarkoituksiin. Listat ovat avoimesti näkyvissä ja avoimuus on osa demokraattista prosessia. Muutenhan laatijat voisivat itse tehtailla kannatusilmoituksia. Puolueiden ja ehdokkaiden kohdalla tästä on joskus herännyt epäilyksiä.

Ennen kansalaisaloitteen virallistamista oli tapana kerätä nimiä nettiadresseilla. Siellä kaikki nimet olivat näkyvissä, ja ovat vieläkin. Esimerkiksi tämä adressi Carea Koulun säästäminen Kouvolan Kuusankoskella.

Mitä me tästä opimme? Kannattaa lukea käyttäjäsopimus (EULA) ja yksityisyyslauseke myös kotimaisissa palveluissa, niin ei tule vääriä oletuksia. Ja tietenkin kannattaa kannattaa (heh) vain sellaisia aloitteita, joiden takana on valmis seisomaan omalla nimellään. Muutkin kansalaisvaikuttamisen muodot, kuten mielenosoitukset, ovat varsin julkisia.

Alexa kuuntelee ja Amazon muistaa - kaikki on tallessa

Omat tiedot on voinut jo vuosien ajan ladata some-palveluista, mutta nykyisin sama onnistuu myös Amazon-verkkokaupasta. Sivulta www.amazon.com/hz/privacy-central/data-requests/preview.html löytyy painike, jolla voi ladata joko halutun osa-alueen tiedot tai kaiken mahdollisen. 

Request your data.

Valitsin kaiken mahdollisen ja parin päivän kuluttua tulikin ilmoitus, että tiedot ovat ladattavissa ja paketin koko on 1 Gt. 

Paketin koko lähes 2 GB.

Vaikka ilmoitus mainitsee yhden gigan, luku on pyöristetty alaspäin ja tiedostokoko oli 1,98 gigatavua. Se ei ole ihme, sillä olen ollut Amazonin asiakas heinäkuusta 1996 lähtien ja tilannut vuosien mittaan kaikenlaista. Olen myös tuonut USA:sta useamman Alexa-laitteen - älykaiuttimen, joka tottelee puhuttuja komentoja. Tietääkseni niitä ei vieläkään myydä Suomessa, toisin kuin vastaavaa Googlen laitetta.

Lähes kahden gigan zip-paketti on valtava, mutta jaettu siististi kansioihin. Tiedostot ovat lähinnä csv-muotoisia, mukana muutama json ja tilauksista PDF-tiedostoja.

Olen käynyt läpi tiedostoja vain pintapuolisesti, mutta niistä tulee sama havainto kuin vastaavista kotimaisista tietopyynnöistä: dataa ehtii kertyä vuosien mittaan valtavia määriä ja osa siitä on eri tietojärjestelmissä, mikä tekee datasta hajanaista ja vaikeuttaa täyden historian profilointia. 

Muutama Prime-elokuvakin tullut katsottua.

Joka tapauksessa vasta kun saa kaiken eteensä valtavina Excel-taulukkoina ymmärtää, miten suuren digitaalisen jalanjäljen meistä jokainen nykyään luo. Amazon on tietolouhinnan ässä, mutta en usko senkään pystyvän hyödyntämään kuin murto-osan tiedoista. Suomi ei sen näkökulmasta ole edes kiinnostava paikka, monet laskentamallit ovat pelkkiä pohjia, koska näitä palveluita ei Suomessa tarjota.

Tiedoissa on paljon kenttiä, joiden keräämistä voi perustella esim. teknisen tuen tarpeilla, mutta yhtä hyvin niitä voisi väittää ei-välttämättömiksi ja silloin kerääminen on turhaa.

Oma ostohistoria löytyy Amazonista muutenkin, joten se ei ollut kovin kiinnostava. Odotin löytäväni laajan profiilin, jonka perusteella kohdistetaan mainoksia, mutta löysin vain muutamia listoja aiheista, joista olen ollut kiinnostunut (vähän Twitterin ja Facebookin tapaan). Osa listoista oli ihan metsässä ("leukemia and lymphoma society", "Saatva Mattress"). Ehkä suomalaisia ei profiloida tämän paremmin tai sitten profiilitietoja ei tallenneta pysyvästi, jolloin niitä ei myöskään tarvitse toimittaa kysyjälle?

Eikä tämäkään AdvertisingAmazonAudiences.csv-tiedosto näytä kovin paljastavalta:

Amazon Audiences in which you are included

In-Market:Books & Magazines

In-Market:Books & Magazines:Computers & Internet

In-Market:Books & Magazines:Computers & Technology

In-Market:Books & Magazines:Education Studies & Teaching

In-Market:Books & Magazines:Science, Nature & Math

In-Market:Books & Magazines:Textbooks & Study Guides

In-Market:Business & Industrial:Office Products

In-Market:Software & Apps:Software

In-Market:Video Entertainment

Lifestyle:Business & Industry

Lifestyle:Entertainment:Music

Lifestyle:Video Entertainment

Tiedosto CustomerObservations.csv oli vähän mielenkiintoisempi, jos sitä osaisi tulkita:

Observation,Date,Expiration Date,Reward Id

COOLDOWN,2024-12-16T01:12:12.318Z,2024-12-30T01:12:12.318Z,729b0c3f-60b1-4fa1-b000-82e32d331b6e

MISSION-EXPIRED,2024-12-01T01:12:11.830Z,Not Applicable,729b0c3f-60b1-4fa1-b000-82e32d331b6e

LOOP_CREATED-CONTROL,2024-10-23T11:58:06.036Z,2024-12-25T11:58:06.036Z,adf633d2-3b4a-4a96-ac3b-8010a09c9e3e

COOLDOWN,2024-10-08T10:12:12.070Z,2024-10-23T10:12:12.070Z,adf633d2-3b4a-4a96-ac3b-8010a09c9e3e

MISSION-Pending,2024-10-02T00:30:30.864Z,Not Applicable,729b0c3f-60b1-4fa1-b000-82e32d331b6e

MISSION_END_DATE_UPDATED,2024-10-02T00:30:30.864Z,2024-12-01T00:30:30.864Z,729b0c3f-60b1-4fa1-b000-82e32d331b6e

LOOP_CREATED-TREATMENT,2024-10-02T00:30:30.864Z,2024-12-16T00:30:30.864Z,729b0c3f-60b1-4fa1-b000-82e32d331b6e

CUSTOMER_TARGETED,2024-10-01T23:10:24.661Z,Not Applicable,b89bcb84-0093-42f6-b2f1-0a1b25802f8e

CUSTOMER_TARGETED,2024-10-01T23:04:45.604Z,Not Applicable,729b0c3f-60b1-4fa1-b000-82e32d331b6e

LOOP_CREATED-CONTROL,2024-08-06T09:03:08.577Z,2024-10-08T09:03:08.577Z,adf633d2-3b4a-4a96-ac3b-8010a09c9e3e

CUSTOMER_TARGETED,2024-07-30T23:09:28.124Z,Not Applicable,adf633d2-3b4a-4a96-ac3b-8010a09c9e3e

LOOP_CREATED-CONTROL,2024-06-20T12:17:10.928Z,2024-07-15T22:59:59Z,40df975a-344b-43c7-8852-a569c297846d

CUSTOMER_INCLUDED,2024-06-14T23:48:16.131Z,Not Applicable,40df975a-344b-43c7-8852-a569c297846d

COOLDOWN,2024-06-05T11:12:12.173Z,2024-06-20T11:12:12.173Z,40df975a-344b-43c7-8852-a569c297846d

MISSION-EXPIRED,2024-05-19T11:12:11.891Z,Not Applicable,40df975a-344b-43c7-8852-a569c297846d

CUSTOMER_EXCLUDED,2024-04-06T23:50:18.155Z,Not Applicable,40df975a-344b-43c7-8852-a569c297846d

HVAS_COMPLETED,2024-04-05T02:38:24.468Z,Not Applicable,40df975a-344b-43c7-8852-a569c297846d

MISSION-Pending,2024-04-03T10:32:55.659Z,Not Applicable,40df975a-344b-43c7-8852-a569c297846d

LOOP_CREATED-TREATMENT,2024-04-03T10:32:55.659Z,2024-06-05T10:32:55.659Z,40df975a-344b-43c7-8852-a569c297846d

MISSION_END_DATE_UPDATED,2024-04-03T10:32:55.659Z,2024-05-19T10:32:55.659Z,40df975a-344b-43c7-8852-a569c297846d

CUSTOMER_TARGETED,2024-03-16T00:07:12.411Z,Not Applicable,40df975a-344b-43c7-8852-a569c297846d

Kiinnostavimpia olivat Alexaan liittyvät tiedot. Amazon on nimittäin tallentanut kaikki sille antamani käskyt ja kyselyt, vieläpä pakkaamattomina wav-tiedostoina. Ja niitä oli tuhansia, sillä olen käyttänyt Alexaa ohjaamaan kodin valoja, aamun herätyskelloa ja ajastinta.

Mikä erikoisinta, äänitteistä oli mukana aina myös alkuperäinen "Alexa!" herätyssana (wake word). Sehän tarkoittaa, että Alexan täytyy kuunnella ja tallentaa ääntä koko ajan, vaikka sitä ei lähetettäisi mihinkään. Jos tallennus alkaisi vasta sisäänrakennetun wake wordin tullessa, ensimmäinen sekunti olisi jo menetetty. Hmmm.

Äänitteet ovat niin täydellisiä, että nyt kuunnteltuina ne aktivoivat aina Alexan tekemään saman asian. 

Ennen tekoälyn läpilyöntiä käytin Alexaa myös monissa demoissa. Näiden äänitteiden kuuntelu kertoo, miten vaikeaa puheentunnistaminen on. Tilojen akustiikka ja taustahäly vaihtelevat suuresti, mikä tekee tulkinnan ihmiskorvallekin vaikeaksi.

Vuosien takaisten äänikomentojen ja niihin saatujen vastausten kuuleminen yhdessä niistä purettujen tekstien kanssa havainnollistaa sitä valtavaa tietomäärää, jota tekoälypalvelut keräävät ja käyttävät itsensä kouluttamiseen.

Se kannattaa aina muistaa, kun palveluita käyttää.

Traficomin ja Helsingin kaupungit tietovuodot - panikoida vai ei?

Mitä enemmän Helsingin kaupungin tietomurrosta ja tiedostojen kopioinnista tihkuu tietoja, sitä rumemmalta tapaus alkaa näyttää. Tämän päivän uutinen kertoo, että

• kyse on jaetusta levystä, jolla on yli 10 miljoonaa asiakirjaa
• koska kyse on verkkolevystä, vuotaneita tietoja ei voi jäljittää lokien perusteella
• hyökkääjä on korottanut oikeuksiaan ja päässyt ylläpitäjäksi, mikä on avannut pääsyn kaikkiin tiedostoihin
• ja aiemmin kerrottiin, että verkkolevyllä on säilytetty myös tietoa Santahaminan varuskunta-alueen yksiköiden asiakkaista sekä mahdollisesti myös ulkomaalaistaustaisten perheiden passinumeroita 

On aina paha merkki, että julki tulevat tiedot ovat aiempaa synkempiä. Se kertoo, ettei tutkijoilla itselläänkään ole tilannekuvaa eikä käsitystä, miten laajalle hyökkääjät ovat päässeet. Tiettävästi mukana on ollut tietoja yksityisistä varhaiskasvatusyksiköistä sekä oppilaitoksista ja vuosina 2005-2018 syntyneiden lasten ja heidän huoltajiensa henkilötunnukset, osoitteet, lapsen äidinkieli, kansalaisuus sekä uskontokunta.

Kaikki tietoja, jotka GDPR:n vuoksi pitäisi suojata erityisen hyvin. Helsingin kaupunki on selvästi jättänyt suojaukset puolitiehen. Oikeuksien korottaminen ylläpitäjäksi antaa ymmärtää, että myös sisäverkon palvelimet ovat jääneet päivittämättä.

Jo kolme viikkoa on mennyt ilman kiristystä tai muuta rikollista toimintaa. Onneksi henkilötunnusten perkaaminen miljoonista dokumenteista ja niiden yhdistäminen muihin henkilötietoihin ei ole helppo operaatio. Tiedoilla voi tehdä lähinnä kiusaa, suuria rahoja niillä ei voi ansaita. Tilanne olisi pahempi, jos tiedostot olisi kryptattu ja kaupungilta vaadittaisiin nyt miljoonalunnaita. Toisaalta verkkolevy on poistettu käytöstä, joten työt ovat joka tapauksessa pysähtyneet. Tämä on siis myös palvelunestohyökkäys.

Ymmärrettävästi uhrit (eli kaupunkilaiset) ovat erittäin vihaisia. Näillä tiedoilla en silti vielä maalaisi uhkaa kansalliselle turvallisuudelle. Medialla on taipumus dramatisoida, mikä lietsoo pelkoa ja epäluottamusta kansalaisiin. Siksi yritän itse pikemminkin vähätellä kuin liioitella uhkaa. Digimaailmassa kaikki on mahdollista, mutta kannattaa ensi sijassa keskittyä siihen, mikä on realistista ja mikä tiedetään varmaksi.

Helsingin varjoon on jäänyt Traficomin tapaus. Tietoja rekisteristä hakevan toisen yrityksen nimissä Trafilta on haettu 65 000 autoilijan nimi, kotiosoite ja hetu. Kyse on autoista, joiden rekisterikilpi on  väliltä AAA-nnn – ALJ-nnn, ja joiden omistaja ei ollut kieltänyt tietojen luovutusta "liikenteeseen liittyviin tarkoituksiin".

Rekisterin perusteella yksi tietovuodon uhreista (paitsi, jos hän oli kieltänyt tietojensa luovuttamisen).

Tämä on jopa vaarallisempi tapaus, ovathan tiedot valmiina tietokannassa ja niitä on jo yritetty hyödyntää verottajan luottotietorekisterissä. Tekijä lienee kotimainen, joten jäljittäminen on helpompaa kuin ulkomaisen hakkerin.

Ironisinta kaikessa on lähestyvä GDPR:n syntymäpäivä. Kolmen päivän kuluttua tulee kuluneeksi 6 vuotta siitä, kun siirtymäaika loppui ja kaiken piti olla kunnossa. Niin paljon aikaa, rahaa ja kahvia on uhrattu GDPR-koulutuksiin ja ohjeistamiseen, ettei tällaisia pitäisi enää voida sattua.

Varsinkin Helsingin kaupungin tapaus näyttää johtuneen monista virheistä ja laiminlyönneistä. Traficom on eri juttu, siinä kyse ei edes ole tietomurrosta, vaan luvattomista tietopyynnöistä.

Helsingin kaupungin tietovuoto ei ole uusi Vastaamo

Tämän viikon puheenaiheena on ollut Helsingin kaupungin opetustoimeen tehty tietomurto. Melkein kaikki on jo sanottu, itsekin olen kommentoinut asiaa monelle medialle, mutta kertauksena vielä muutama asia vastaisen varalle.

Ensinnäkin: ei, tämä ei ole uusi Vastaamo. Nyt ei ole kyse tietokannasta vaan suuresta määrästä tavallisia asiakirjoja. Ulkomaisen hakkerin olisi perin työlästä, ellei suorastaan mahdotonta, etsiä niistä arkaluonteisia tietoja, joilla kiristää uhreja. Kaikkien työntekijöiden käyttäjätunnukset ovat vuotaneet, mutta ne ovat sähköpostiosoitteita eivätkä sinänsä kriittisiä.

Asiakirjat ovat eri asia, niissä voi olla mm. terveystietoja. Henkilötunnuksia voisi skannata ohjelmallisesti, mutta ulkomailta niidenkin käyttö olisi hankalaa. Tunnukset voi myydä suomalaisille rikollisille, mutta vuoden alusta lähtien hetua ei ole enää saanut käyttää henkilön ainoana tunnistuskeinona, joten tilauspetokset ja muu kiusanteko on aiempaa hankalampaa.

Kuinka suuresta määrästä dokumentteja on kyse? Sitä emme tiedä, koska kaupungin tiedottaminen on ollut puutteellista. Aluksi kerrottiin, että juuri tiedostojen kopiointi vappuaattona paljasti koko murron, nyt kuitenkin ilmoitetaan, että asiakirjoja ehdittiin kopioida miljoonia. 

Mitä ihmettä ne ovat olleet? Opetustoimen palvelimella ei pitäisi olla "kymmeniä miljoonia" asiakirjoja, tai sitten kyse on arkistosta, jossa on ikivanhoja tiedostoja. Ne taas pitäisi poistaa tiedon elinkaaren päättyessä. Niin tai näin, GDPR ei tule pitämään tästä.

Miten ihmeessä hakkeri on päässyt käsiksi miljooniin tiedostoihin? Tuskin pelkällä taviskäyttäjän tunnuksella, vaikka alussa tiedotettiin juuri niin. Olisiko hän onnistunut murtamaan ylläpitäjän tunnuksen? Onko kaikilla työntekijöillä pääsy kaikkiin asiakirjoihin? Silloin herää yhä vain lisää kysymyksiä it-järjestelmien tietoturvasta.

Helsingin kaupungin avoin tiedotus on saanut paljon kiitosta. Meni tosin pari viikkoa, ennen kuin asiasta kerrottiin tarkempia tietoja, joten erityisen nopeaksi tiedottamista ei voi sanoa. Toisaalta poliisi yleensä kieltää kertomasta ulospäin muuta kuin pakolliset tiedot. Kielto on voimassa niin pitkään kuin esitutkinta on kesken. Ja se voi olla kesken vuosia. Lahden vakavasta tietomurrosta ei koskaan kerrottu avoimesti julkisuuteen. Jostain syystä tässä poliisi hyväksyi tiedottamisen, ehkä siksi että asia koskettaa niin monia ihmisiä.

Suomi.fi-sivuston ohjeita henkilötietovuodon uhreille.

Niin, miten heidän pitäisi nyt menetellä? Uutisissa asiantuntijat ovat kehottaneet asianosaisia suojautumaan mahdollisilta haitoilta, mutta antaneet vain yleisluonteisia ohjeita siitä, miten se pitäisi tehdä. Eikä ihme, sillä uhrit eivät voi tehdä kovinkaan paljon. Suomi.fi-sivulla on listattu ne tavanomaiset kiellot, joita uhri voi asettaa, mutta osa niistä voi haitata arkielämää, joten turhaan niitä ei kannata tehdä. Toisaalta kieltoja kannattaa asettaa, vaikka ei olisikaan uhri. Eli mitä siis jää? 

Ylen sivulla oleva kooste on mielestäni paras, aina rehellistä otsikkoa myöten ("voit yrittää..."). 

Alkuviikosta pidin todennäköisimpänä selitystä, että kyse on kiristysyrityksestä, joka keskeytyi verkonvalvontaohjelman hälyttäessä uloslähtevän liikenteen suuresta määrästä. Kiristäjät jäivät kiinni jo kopioidessaan tietoja (uhaten myöhemmin julkistaa ne), mutta eivät ehtineet aktivoida kryptausohjelmaa. Jos näin todella on, uhrit voivat selvitä säikähdyksellä, eikä heidän taakkaansa kannata nyt lisätä turhalla pelottelulla.

Toisaalta, jos palvelimelta on todella imuroitu miljoonia tiedostoja herää kysymys, miksei valvontaohjelma hälyttänyt ajoissa. Vaikka tiedostojen hyödyntäminen on hakkereille vaikeaa, jo niiden levittäminen kiusalla pimeään verkkoon riittää aiheuttamaan ikävyyksiä. Toivottavasti tästä ei ole kyse. Ainakin ensimmäiset kolme viikkoa ovat menneet ilman näkyviä seurauksia.

Ja sitten tietenkin se syyllisyys. Kuka jätti päivityksen asentamatta ja miksi? Yksi hiiren klikkaus olisi pelastanut paljolta harmilta. Emme voi syyttää yksittäistä työntekijää, sillä johdon tehtävänä on varmistaa, että prosessi toimii silloinkin, kun yksittäinen henkilö on sairaana, unohtaa asian tai jo lähtenyt organisaatiosta. Kyse on tietoturvan johtamisesta.

Jos verkonvalvonta paljasti tapahtuneen riittävän ajoissa, Helsingin kaupunki on tehnyt jotain myös oikein. 

Moni on somessa harmitellut, ettei julkiselle sektorille voida määrätä tietosuojan rangaistusmaksuja. En usko, että ne muuttaisivat mitään, sillä maksu menisi yhteisistä varoista taskusta toiseen. Kaupunki ei voi mennä konkurssiin eivätkä työntekijät joudu maksamaan tahattomista mokista. Ne ovat johdon vastuulla. 

Jokainen työntekijä haluaa toimia oikein. Inhimillisiä erehdyksiä sattuu, mutta silloinkin prosessin pitää olla sellainen, että se havaitsee ongelmat ajoissa. Juuri tämä on GDPR:n henki, ja sitä on nyt selvästi rikottu.

Jäämme mielenkiinnolla odottamaan, mitä murrosta saadaan selville ja mitä muut voivat oppia siitä. Toivottavasti tiedottamisen avoin linja jatkuu myös tulevaisuudessa.

Vastaamon tietoturva-asiat olivat täydessä kaaoksessa

Vastaamon toimitusjohtajaa vastaan nostetut syytteet antavat järkyttävän kuvan tavasta, jolla yhtiössä suhtauduttiin tietoturvaan. Hiukset nousevat pystyyn lukiessa sekä Helsingin Sanomien että Iltalehden juttuja tapahtuneesta. 

Muutama esimerkki: virtualisointiohjelma oli piraattiversio, potilasrekisterin root-käyttäjällä ei ollut salasanaa (tämä uutisoitiin jo 2020, mutta sitä ei voinut uskoa todeksi), it-osastolla ei ollut budjettia, tietosuojavastaavalla ei ollut koulutusta asiaan ja niin edelleen. Tietoturvaongelmista ja kiristysviesteistä vaiettiin. Toimitusjohtaja panosti kaiken vain yhtiön laajentamiseen ja sen arvon kasvattamiseen. 

It-asioita hoiti kaksi kaveria, jotka oli palkattu lähinnä koodareiksi kehittämään järjestelmää. Kyberturvallisuuskeskuksen arvion mukaan tietoturvasta huolehtiminen olisi vaatinut 5-6 it-ammattilaisen työpanoksen.

Syyttäjä katsoi, ettei koodareita ole syytä epäillä rikoksesta, sillä he olivat kertoneet ongelmista ja puutteista toimitusjohtajalle. Ilmeisesti myöskään yhtiön hallitusta ei syytetä valvonnan laiminlyömisestä, koska vain perustaja/toimitusjohtaja Ville Tapio on syytteessä.

Tiedot herättävät eräitä ajatuksia.

GDPR on maineestaan huolimatta paperitiikeri. Jättisakot toimivat ulkomaisia nettijättejä vastaan, koska niillä on varaa maksaa, mutta Vastaamon tapauksessa sakoilla ei ollut merkitystä, koska yhtiö oli jo maksukyvytön. Tietosuojalain rikosoikeudellinen vastuu on mitätöntä yli 30 000 uhrille aiheutuneeseen vahinkoon verrattuna. 

Yhtiö voi ilmeisesti nimetä tietosuojavastaavaksi vaikka siivoojan, koska tietosuojavastaava ei nimestään huolimatta vastaa mistään. Tietosuojasta vastaavat toimitusjohtaja ja hallitus. Vastaavan tehtävänä on toimia vain yhteyshenkilönä ja vaikka hänen pitäisi raportoida havaitsemistaan puutteista johdolle tai viranomaisille, tämän laiminlyönnistä ei seuraa mitään.

Yhtiön pitäisi varmistaa, että tietosuojavastaavaksi nimitettävällä on edellytykset tehtävän hoitamiseen. Vastaamossa näin ei selvästikään ollut. Nähtäväksi jää, syytetäänkö tästä Tapiota oikeudessa. Yhtä hyvin hän olisi voinut nimittää vaikka siivoojan. 

Herää myös kysymys, miksi it-henkilö itse hyväksyi nimityksen ja esiintyi Vastaamon sivulla nimen ja valokuvan kera tietosuojavastaavana, jos hän itsekin katsoi, ettei pysty hoitamaan tehtävää. Kuva ja nimi sivulla loivat asiakkaille valheellisen kuvan siitä, että joku oli vastuussa. 

Vastaamon julkinen seloste tietosuojavastaavan tehtävistä.

Rivin katkeamisesta kesken lauseen voi päätellä, ettei koko asiaa otettu vakavasti. 

Näyttää vakuuttavalta, mutta on vain tekstiä bittiavaruudessa.

Oli asema organisaatiossa mikä tahansa, vakavista terveyteen kohdistuvista ongelmista pitäisi olla sekä juridinen että moraalinen ilmoitusvelvollisuus. Lojaliteettivelvoite ei voi estää tekemästä ilmoitus viranomaisille - vaikka sitten nimettömänä - jos johto ei reagoi vaarallisiin käytäntöihin. Se on kansalaisvelvollisuus, vaikka olisi pelkkä asiakas.

Myös viranomaiset voivat katsoa peiliin. Valvirassa järjestelmiä valvoo yksi henkilö, mutta omatekoisia tietojärjestelmiä käyttävän Vastaamon olisi pitänyt olla listan kärjessä. Yksikin auditointi tai tarkastuskäynti olisi viestinyt toimitusjohtajalle, että tietoturvaan on panostettava. Ennen GDPR:n voimaantuloa peloteltiin, että tietosuojavaltuutetun toimisto tulee tekemään tarkastuksia yrityksiin. Vastaamon olisi pitänyt tietojen laajuuden ja arkaluonteisuuden vuoksi olla myös heidän listansa kärjessä.

Viranomaiset kiertävät kyllä valvomassa anniskelulupia, työoloja ja verojen maksua, mutta tietoturvaa ei edelleenkään oteta vakavasti.

It-ammattilainen: tunne vastuusi! Jos näet, että organisaation järjestelmät ovat niin pahasti retuperällä, että ne aiheuttavat vaaraa ihmisten terveydelle, tee nimetön ilmoitus viranomaiselle tai vihjaa vaikka medialle. Vastaamo ei saa toistua.

OmaPostin maksut herättivät pelon urkinnasta - tietosuoja kiinnostaa kansalaisia

Posti on alkanut käyttää maksuvälittäjänä norjalaista Neonomicsia. Kun OmaPostiin tulleen laskun haluaa maksaa, valitaan ensin oma pankki ja sen jälkeen näytölle tulee välittäjän ikkuna.

Mitä ihmettä?

Ikkunassa Neonomics ilmoittaa saavansa 90 päivän käyttöoikeuden asiakkaan pankkitiliin sekä mm. oikeuden erilaisiin pankkitietoihin, aina viimeisten 12 kuukauden tilitapahtumia myöten. Siis mitä?

Tässä vaiheessa moni asiakas on vetänyt herneen nenään ja kysynyt Postilta, mitä tämä tarkoittaa. Miksi joku ulkopuolinen taho vaatii pääsyä pankkitietoihini, vaikka maksan laskun suoraan pankkitililtä? Vastaavia virityksiä on nähty ennenkin mm. Klarnalta, mutta niissä tarjotaan samalla maksuaikaa tai laskun jakamista osiin, joten tietojen kysyminen voi olla perusteltua luottopäätöstä varten. Suoran verkkomaksun tapauksessa tällaisia tietoja ei ole mitään syytä kysyä.

Postin vastaus on ollut ylimalkainen. Se vetoaa Neonomicsin omaan ilmoitukseen, jonka mukaan he saavat vain tarpeellisia tietoja. Tämä ei kuitenkaan riitä. Postin olisi pitänyt itsekin nähdä, että turhien tietojen kysyminen on GDPR:n vastaista. Vastuuta ei voi siirtää Norjaan. Yhtä lailla väärin on se, että vaaditaan (ei siis pyydetä) lupia, joita ei sitten käytetäkään. Suostumuksen on oltava aidosti vapaaehtoinen, kuten evästeissä. Tässä se ei ole. 

Posti teki saman virheen kuin Traficom joulukuussa 2018. Vaikka asiakkaat reklamoivat ajokortin tietopalvelusta, Traficom ei selvittänyt asiaa riittävästi ja reagoi vasta, kun asia nousi uutisiin. Siitäkin tuli monenlaista sotkua.

Posti ei ollut valmistautunut vastaamaan asiasta nousseisiin kysymyksiin vielä tänäänkään, joten asia sai velloa somessa ja perinteisessä mediassa pitkään. Uutisten lisäksi se poiki kyselyn omistajaohjauksesta vastaavalle ministerille. 

Taustalla on PSD2-direktiivi, joka velvoittaa pankkeja päästämään muita yrityksiä laskutietoihin. Näin pyritään ilmeisesti kilpailun lisäämiseen ja uusien lisäarvopalveluiden kehittämiseen. Asiakkaan kannalta olisi parempi, jos verkkopankin maksu menisi jatkossakin suoraan ko. pankin sivulta, eikä ulkopuolisten välittäjien kautta. Ilmeisesti ulkopuolinen välittäjä pystyy kuitenkin kilpailuttamaan pankkeja ja yritykselle (tässä Postille) sen integrointi omaan järjestelmään on helpompaa, kun tarvitaan vain yksi rajapinta. 

PSD2 muistuttaa surullisenkuuluisaa taksiuudistusta. Haluttiin tuoda kilpailua ja avata peliä uusille toimijoille. Kilpailu löi kuitenkin korville (liikenne)turvallisuutta ja arkista käyttöä. Kilpailu ei ole mikään taikasana.

Minkä Posti säästää, sen asiakas maksaa - joko ajankäytössä tai tietoturvassa. On ristiriitaista, että kansalaisia kehotetaan varomaan pankkihuijauksia, samalla kun pankkien aidot maksut menevät yhä vaikeammiksi ja alkavat itse muistuttaa huijauksia.

Kaikesta selittelystä huolimatta jäi vastaamatta, miksi Neonomics varaa itselleen 12 kk oikeuden, kun sitä ei todellakaan tarvita mihinkään. Ehkä ilmoitus on sama kaikille yrityksille ja joillakin markkinoilla Nenomics tarjoaa luotollisiakin maksuja? Mutta silti Postin olisi itse pitänyt puuttua tähän. Esimerkiksi Paytrail vaatii vain 15 minuutin käyttöoikeuden tiliin, jotta maksu saadaan suoritettua. Se on kohtuullista, tämä ei. Vastauksessaan Neonomics väittää, ettei se voi vaikuttaa pankeilta tulevaan tekstiin, mutta tämä ei voi olla todellinen syy. Klarna pystyi vaikuttamaan, eikä mikään toinen välittäjäpalvelu esitä vastaavia vaatimuksia.

Ihmisten reaktiot Twitterissä olivat pöyristyneitä ja vihaisia. Mukana oli ehkä Postin heikentyneitä jakelupalveluita kohtaan tunnettua suuttumusta, mutta myös huoli omien henkilötietojen päätymisestä ulkomaiseen (joskin Norja kuuluu GDPR-alueeseen) palveluun herätti aidosti huolta. Tässä suhteessa tietoisuus tietosuojasta on kehittynyt ja sitä osataan vaatia.

Neonomicsin toiminta herättää silti ihmetystä. Tietosuojaselosteessa viitataan mahdollisuuteen, että tilitapahtumista profiloidaan esimerkiksi jäsenmaksuja puolueille. Se on arkaluonteista tietoa, jota ei missään nimessä pitäisi kerätä tällaisessa tilanteessa. 

Toinen kummajainen on Neonomicsin lupaus tietojen tarkistamiseen - kunhan pyyntö lähetetään tavallisella sähköpostilla. Miten yritys tarkistaa, onko lähettäjä aidosti tilin omistaja vai pyydetäänkö tietoja jonkun toisen puolesta? Tarkistuksen pitäisi aina perustua vahvaan todennukseen.

Päivän sotkusta kannattaa oppia se, että tilitapahtumat ovat hyvin luottamuksellista tietoa, johon ei kannata päästää ketä tahansa. Lupapyynnöt kannattaa lukea tarkoin, eikä mihin tahansa pidä suostua. Ja yritysten kannattaa varmistaa, että heidän toimintansa näyttää oikealta myös asiakkaisiin päin. Ulkopuolisen palvelun selän taakse ei voi piiloutua, kun jotain ikävää osuu tuulettimeen.

Kummallinen henkilötietojen vuoto - viranomaiset vaikenevat

F-Securen SAFE-palvelun käyttäjät hätkähtivät tänään, kun he saivat punaisella merkityn vakavan varoituksen henkilötietojensa vuotamisesta. Erikoisinta oli, että vuotaneen palvelun nimenä luki vain "Salassa pidettävä palvelu". Vuotaneiden henkilötietojen joukossa oli sosiaaliturvatunnus, mikä teki vuodosta huolestuttavan.

Mediassa ei kuitenkaan ollut mitään uutista. Kukaan ei myöskään ole saanut GDPR-lakien mukaista ilmoitusta, joka tietovuodon paljastuttua tulee lähettää henkilöille, joiden oikeudet ovat vaarassa. Mistä ihmeestä on kyse?

Olen silloin tällöin tarkistanut omat tietoni F-Securen Identity Theft Checker -palvelusta, samoin kuin suomalaisesta Badrap.io:sta ja Have I been pwned -palvelusta. Kertatarkistus on niissä kaikissa ilmainen. F-Secure näytti myös omien tietojeni olevan vuodettujen joukossa:

F-Secure raportti

Mikä erikoisinta, F-Secure kertoo peräti kahdesta "julkistamaton palvelu" -vuodosta, joista edellinen oli jo maaliskuussa. Uudempi on päivätty huhtikuulle, ja siinä on mukana "sosiaaliturvatunnus".

Sellaista ei ole käytetty enää pitkään aikaan. Nykyään kyseessä on henkilötunnus, koska se on erkaantunut kauas alkuperäisestä työeläke- ja sosiaaliturvakäytöstä.

Voi kuvitella, että jos vuoto on vakava, poliisi estää siitä tiedottamisen vedoten tutkinnallisiin syihin. Tämä peruste ei kuitenkaan voi ohittaa GDPR:ää. Edes kansallinen turvallisuus ei siihen riitä, kuten saatiin juuri havaita. Tietosuojavaltuutettu antoi ulkoministeriölle huomautuksen, koska se oli lykännyt Pegasus-urkintaohjelman kohteeksi joutuneiden diplomaattien informointia. GDPR ei tunne kansallista etua salailuperusteena. 

Henkilötunnusta käytetään vain kotimaisissa palveluissa, joten kyse ei voi olla mistään amerikkalaisesta nettijätistä. Lähinnä vain operaattori, pankki ja viranomaiset tallentavat henkilötunnuksia, eikä omani ole aiemmin ollut mukana tietovuodoissa. Mistä ihmeestä on kyse?

Kyseessä voikin olla Y-tunnus??

F-Securen twiitin mukaan kyseessä voikin olla Y-tunnus. Miten ihmeessä yhtiö sotkee HETUn ja Y-tunnuksen? Niillä on todella iso ero, sillä Y-tunnus on julkista tietoa kun taas HETUn käyttöä pyritään välttämään. 

Y-tunnuksen vuotaminen henkilötietojen mukana viittaa siihen, että kyse olisi viranomaisen tiedoista. Hyvin erikoista. Luulisi tietosuojavaltuutetun ja poliisin selvittävän asiaa.

Twiitissään F-Secure antaa ymmärtää, että poliisi ei ehkä halua julkistaa tietoja. Herää kysymys, mistä F-Secure sitten on saanut vuodetut tiedot ja miksi se itse rikkoo poliisin ohjetta tiedottamalla asiasta suoraan vuodon uhreille?

Lisäys 26.4.22: Vihdoin tuli uutinen, jonka mukaan kyse olisi jostain hotellien toimittajan (?) järjestelmästä, johon on murtauduttu 10-14.2.2022. Asia olisi paljastunut 9.4., minkä jälkeen siitä on raportoitu tietosuojaviranomaiselle ohjeen mukaisesti 72 tunnin kuluessa eli 12.4.2022. Uutisen mukaan asiakkaisiin on otettu yhteyttä sähköpostitse ja että kyse on yhteystietojen lisäksi päivämääristä, jolloin asiakas on yöpynyt hotellissa. 

Jotain outoa tässä on silti, koska F-Securen ilmoituksen mukaan minunkin tietoni ovat olleet mukana vuodossa, jopa henkilötunnus (tai Y-tunnus?), enkä ole saanut mitään ilmoitusta.

Facebook-vuodon jälkipyykkiä

Facebook on antanut oman selityksensä tietovuodolle. Sen mukaan kyseessä oli tekniikka, jolla Facebookista pystyttiin etsimään ihmisiä puhelinnumeron avulla. Joku oli tehnyt Facebookia matkivan sovelluksen, joka etsi suuren määrän ilmeisesti satunnaisia puhelinnumeroita ja keräsi niihin liittyviä julkisia tietoja (nimi, työnantaja, parisuhdestatus ym) tiedostoksi.

Mikko Hyppönen kutsui temppua varkaudeksi. Verbi varastaa on tässä yhteydessä raju. Jos puhelinnumerot löytyvät kokeilemalla, onko niiden kerääminen varkaus? Entä niiden takana olevien tietojen yhdistäminen tiedostoksi? Perinteisen maailman käsitteiden soveltaminen digimaailmaan ei ole ihan suoraviivaista.

Tuloksena oli joka tapauksessa jättikokoinen tietokanta ja tietosuojakohu, joka sai pääsiäisen pyhinä monet huolestumaan. Suomalainen Teemu kehitti pikavauhtia vuoto.fi-palvelun, josta pystyi tarkistamaan, oliko oma puhelinnumero vuodettujen joukossa. Palvelu perustui Teemun numeroista laskemiin sha-1-tiivisteisiin, joten kenenkään ei tarvinnut lähettää numeroaan palveluun. 

Ei kestänyt kauaa, ennen kuin muutamat tietoturvatutkijat olivat ladanneet Teemun kokoamat tiivistelistat ja palauttaneet muutoin yksisuuntaisen funktion takaisin alkuperäisiksi numeroiksi. Näin saatiin siis lista kaikista puhelinnumeroista, joita vuodossa oli.

Tämä kuulostaa pahalta, mutta lista ei muutenkaan ollut kovin salainen, sillä kohu nousi juuri siitä, että alkuperäinen lista tuli avoimeen verkkoon helposti löydettäväksi. Ja siinä listassa oli numeroiden lisäksi kaikki muutkin henkilötiedot. 

Jokainen tietoturvatutkija alkuperäisen listan helposti käsiinsä, joten sinällään sha-1-kääntö oli täysin turha. Se kuitenkin osoitti, miten vaikeaa on tarjota tietoa pseudonymisoituna tai osittain salattuna. Sha-1 tiedetään haavoittuvaksi, vaikka esimerkiksi Have I Been Pwned -palvelu käyttää juuri sitä. Puhelinnumerot oli helppo löytää kokeilemalla, koska niiden avainavaruus on suppea esimerkiksi salasanoihin verrattuna.

Vuoto.fi tarkistuspalvelu

Oliko Teemun tarjoama palvelu laiton, vaarallinen vai yleisölle hyödyllinen? Teemu itse ei juridiikkaa pohtinut. Vaikeaa se on asiantuntijallekin, edes näin jälkikäteen.

Viestintäviraston edustaja kritisoi palvelua sanoen "sen käyttö ei ole Kyberturvallisuuskeskuksen mielestä järkevää". 

Miten vuodosta huolestuneen kansalaisen olisi siis pitänyt menetellä? On inhimillistä haluta tietää, ovatko omat tiedot vuotaneet, vaikkei asialle voinutkaan tässä tapauksessa tehdä mitään.

Miksei Kyberturvallisuuskeskus tai poliisi tarjonnut tarkistuspalvelua? Niillä olisi ollut resursseja palvelun turvalliseen toteuttamiseen ja nähdäkseni myös lainmukainen käsittelyperuste.

Ilman Teemun palvelua moni kansalainen olisi lähtenyt hakemaan listaa ja ladannut sen kaikkine tietoineen itselleen. Tämä olisi ollut kokonaisuutena paljon huonompi vaihtoehto kuin helpon tarkistuspalvelun tarjoaminen.

Tällä hetkellä viranomainen suosittelee käyttämään Microsoftin työntekijän Troy Huntin perustamaa Have I Been Pwned -palvelua, johon vuodetut puhelinnumerot lisättiin juuri (kun vuoto.fi avattiin, HIBP käsitteli vain sähköpostiosoitteita ja salasanoja). Suositus on yllättävä, sillä australialaisen yksityishenkilön pyörittämällä palvelulla ei käsittääkseni ole laillista perustetta suomalaisten henkilötietojen käsittelyyn ja palvelun tarjoamiseen EU-alueelle. Voi epäillä, että palvelu on GDPR:n vastainen. Jos ei ole, tuskin on vuoto.fi palvelukaan, koska molemmat tekevät pohjimmiltaan saman asian.

Tämä ei jää viimeiseksi tietovuodoksi. Toivottavasti tiedottamista varten saadaan luotua selvät pelisäännöt ja pohdittua juridinen pohja kuntoon. Ei voi olla niin, että tietosuojalait estävät vahingoista kertomisen ja kansalaisten oikeutettuun huoleen vastaamisen, samalla kun viranomainen vetoaa kaiken kieltävään tietosuojalakiin. Uhreillakin on oikeutensa.

PS. Joku juristi voisi pohtia sitäkin, onko pelkkä puhelinnumeroiden lista (ilman nimiä tai mitään muita henkilötietoja) tietosuojalakien alainen? Onko pelkkä absoluuttinen numerosarja henkilötieto?

Takaovi salattuun viestintään viranomaisia varten?

Viranomaisten halu päästä lukemaan salattuja viestiyhteyksiä on autoilijoiden gps-seurannan tavoin ikuisuushanke, joka pullahtaa esiin säännöllisin väliajoin. Uusin tapaus on ajankohtainen juuri nyt ja sitä on (kuinka sattuukin!) valmisteltu melkein salassa.

Kiista alkoi jo 1990-luvulla, kun ensimmäiset kuluttajille suunnatut digitaaliset viestintäkanavat alkoivat yleistyä (USA:n Clipper-hanke). Kerta toisensa jälkeen länsimaat ovat joutuneet luopumaan haluamastaan takaovesta. Tai no, NSA:lla kumppaneineen on ollut siihen omia, laittomia keinoja, kuten salausalgoritmien tahallinen heikentäminen ja tuotteisiin salaa upotetut takaovet, mutta perinteinen poliisityö on joutunut turvautumaan muihin keinoihin.

Viimeksi asia oli laajemmin esillä Ranskan ja San Bernardinon terrori-iskujen yhteydessä (2015) sekä vähän myöhemmin Suomessa tiedustelulain valmistelun vuoksi. Tiedustelu arvioitiin tehokkaaksi salauksesta huolimatta, mikä sekin kertoo jotain.

It-ammattilaisten kanta on selvä: kaikkinaiset takaovet poliisia varten ovat huono idea, koska niillä on taipumus vuotaa muidenkin käyttöön. Tiedonsiirrosta pitää tehdä mahdollisimman turvallista, ei lisätä sen keskelle tahallisia heikkoja kohtia.

Tämä on tietenkin pelkkä insinöörinäkökulma eikä ota huomioon yhteiskunnan muita tarpeita. Mutta nekin huomioiden poliisin takaovi herättää paljon enemmän kysymyksiä kuin vastauksia.

Terroriteot ovat fyysisiä tapahtumia, joiden valmistelusta jää runsaasti jälkiä. Viime aikojen tekijät ovat toimineet yksin, mikä kieltämättä vaikeuttaa perinteistä poliisityötä ja suunnitelmien paljastumista, mutta toisaalta lähes kaikki tekijät ovat olleet jo ennestään poliisin tiedossa. Resurssit eivät vain riitä kaikkien valvontaan, joten viestiliikenteen urkinnasta halutaan nopeaa apua.

Ennen arviointia pitäisi tietää, kuinka paljon terroristit ovat oikeasti käyttäneet salattuja viestintäsovelluksia kuten WhatsApp, Telegram ja Signal. Salatut ryhmät ovat luultavasti suurin ongelma, ne radikalisoivat ja levittävät vaarallisia viestejä ulkopuolisten näkemättä. Tällaisia ryhmiä on myös Facebookissa ja muilla somealustoilla. Ryhmät ovat joukkoviestinnän rajalla, eivät enää henkilökohtaista käyttöä. Ehkä ryhmien valvontaa voisi lisätä, vaikka sitten tekoälyn voimin, kunhan kahdenvälinen salattu viestintä jätetään rauhaan.

Jos tunnetut palvelut velvoitetaan avaamaan takaovia, niiden käyttäjiksi jäävät vain tavalliset kansalaiset. Rikolliset ja terroristit löytävät aina uusia keinoja salattuun viestintään. Chat-ohjelmia on lukuisia, monet niistä länsimaiden ulkopuolelta, eikä niitä kaikkia voida velvoittaa takaoviin.

Takaovi on tässä yhteydessä turhan raflaava termi. EU haluaa lopettaa päästä-päähän salatut yhteydet, joissa edes palvelu itse ei pääse näkemään viestinnän sisältöä. Tähän asti päästä-päähän-salausta on pidetty turvallisuuden takeena, koska se estää palvelua urkkimasta liikennettä -- esimerkiksi Facebookia katsomasta asiakkaiden keskinäistä WhatsApp-viestintää. 

Nyt EU siis vaatii, että Facebookin pitäisi tarjota poliisivoimille ja tiedustelulle mahdollisuus liikenteen salakuunteluun. Vaatimus on täysin käänteinen GDPR:ään verrattuna, koska siinä EU-tuomioistuin viimeksi heinäkuussa päätti, ettei EU-kansalaisten tietoja voi säilyttää jenkkipalvelimilla niiden turvattomuuden ja tiedustelun vuoksi. Nyt EU haluaa siis itse tehdä päinvastoin kuin mitä tuomioistuin juuri päätti.

Ehkä meidän on vain hyväksyttävä, että kaikella teknologialla on kielteisiä seurauksia. Autoja ei voida kieltää, vaikka niitä on ajettu tahallaan päin ihmisiä ja aiheutettu suuria vahinkoja. Veitset ovat ehkä turhankin triviaali esimerkki siitä, miten samalla laitteella voi tehdä sekä hyvää että pahaa.

Salauksen purkamisen sijaan olisi parempi panostaa jälkien lisäämiseen. Rahaliikenne, autoilu, nettiseuranta, mainosten kohdentaminen ja monet muut tuottavat valtavia datamassoja joka päivä. Valvontakameroita on kaikkialla. Lisää lokitietoja voidaan määrätä kerättäväksi, se on pienempi paha kuin viestinnän luottamuksellisuuteen puuttuminen.

Data on oikein käytettynä mahtava ase -- myös terroristien paljastamiseksi.

Vastaamon tapaus ei ole kunniaksi Suomelle, mutta useimmat yritykset tekevät parhaansa

Case Vastaamo antaisi loputtomasti aiheita blogikirjoituksiin. Valitsen tänään yhden: Suomen maine ja yritysten vastuu.

Suomea on pidetty tietosuojan mallimaana. Meillä on parhaat viranomaisrekisterit ja otimme GDPR-sääntelyn pilkuntarkasti, liki saksalaiseen tapaan (toisin kuin esim. Ruotsi). Ennen GDPR-siirtymäkauden loppua järjestettiin varmaan tuhansia tilaisuuksia, joissa it-ammattilaisia muistutettiin tietosuojan olemuksesta ja lain ankarista sanktioista. Oli ilmaisia ja maksullisia seminaareja, monen päivän koulutusohjelmia, nettisivuja... Lopulta GDPR tuntui pursuavan jo korvista ulos ja kun odotettu 25.5. viimein koitti, kaikki olivat varmaan helpottuneita siitä, että asia siirtyi jos ei nyt hoidettujen pinoon niin ainakin taustalle. 

Jo monta vuotta olemme olleet huolissamme Googlen ja Facebookin tiedonurkinnasta. Ne loukkaavat yksityisyyttä ja urkkivat tietojamme. Samaan aikaan yritykset ovat käyttäneet miljoonia euroja erilaisiin GDPR-tietosuojalausekkeisiin ja evästekyselyihin, jotka lähinnä häiritsevät käyttäjiä ja pikemmin vähentävät kuin lisäävät kiinnostusta omaan tietosuojaan.

Riitelimme lillukanvarsista, kuten mikä on GDRP:n ja tulevan ePrivacyn mukainen riittävä suostumus evästeiden käyttämisestä -- pitääkö olla nimenomainen suostumus joka kerta, vai riittävätkö selaimen evästeasetukset.

Vastaamon järkyttävän tietovuodon jälkeen kaikki tämä tuntuu akateemiselta puuhastelulta. Miljoonat eurot olisi kannattanut käyttää todellisen tietosuojan parantamiseen. Olemme pelänneet nettijättejä, vaikka todellinen mörkö on ollut ihan lähellä. Liian lähellä.

Niin lähellä, että emme osanneet edes pelätä sitä. Pidimme itsestäänselvänä, ettei henkilö- ja mielenterveystietoja voi vuotaa nettiin. Ei yksinkertaisesti voi, koska GDPR. Korkeintaan pelkäsimme vihamielisen tahon hyökkäystä, jossa salaa muutettaisiin sairaalan veriryhmätietoja tai jotain vastaavaa.

Keskustelu evästeistä ja nettiyhtiöiden urkinnasta on saattanut johtaa huomiota harhaan. Surffaus- tai ostotietojemme vakoilu on pientä terveyteemme verrattuna. Kriittistä ei ole se, mitä Google tai Facebook tekevät vaan se, miten minun koodaamani softa toimii tai miten minun koneellani oleva data on suojattu.

Kauhistuimme, kun Saksassa kiristysohjelma johti epäsuorasti potilaan kuolemaan. Nyt saatamme kokea saman Suomessa.

En silti halua uskoa, että Vastaamon kaltaisia pommeja olisi useita. Uskon, että viimeistään parin vuoden takainen GDPR-show sai yritysten hallitukset ja toimivan johdon ymmärtämään, miten tärkeästä asiasta on kyse ja miten suuri taloudellinen riski siihen liittyy. Aihe on otettu vakavasti ennen Vastaamoakin.

Minulta on usein kysytty, voiko yritys mennä konkurssiin tietoturvan pettämisen vuoksi. Tähän asti esimerkkinä on ollut hollantilainen varmenteiden myöntäjä, jonka varmennebisneksen onnistunut hakkeri-isku tuhosi. Nyt meillä on toinenkin kauhuesimerkki tietoturvan ja -suojan vakavista seurauksista.

Näin tietoturvaviikon alkaessa on ilo todeta, että valtaosa yrityksistä suhtautuu tietoturvaan vakavasti. Silti yksikin softakehittäjä, it-vastaava tai ylläpitäjä voi omalla piittaamattomuudellaan romuttaa kaiken.

Vastuu tietoturvasta kuuluu yritykselle itselleen. Koska kyse on myös asiakkaiden/potilaiden elämästä ja hyvinvoinnista, pelkkään vastuunkantoon ja omavalvontaan ei voi luottaa. Tarvitaan muutakin valvontaa, josta hoivakoteihin tehdyt tarkastukset ovat hyvä esimerkki.

Oli yleisesti tiedossa, että Vastaamo on itse kehittänyt tietojärjestelmänsä. Sen olisi pitänyt herättää viranomaisten huomio ja priorisoida tarkastuksia. Niin ikään yhtiö oli nimennyt tietosuojavastaavaksi softakehittäjän. Senkin olisi pitänyt herättää huomiota Tietosuojavaltuutetun toimistossa, jonne vastaavat rekisteröidään. Web-sivulla kehuttu omavalvonta on pettänyt täysin, sillä yhtiö ei huomannut murto(j)a ja sai tiedon tapahtuneesta vasta, kun kiristäjä otti yhteyttä. Yhtiöllä ei siis ollut valvontaa, joka olisi hälyttänyt vaikka palvelimelta imetään 10 gigatavua dataa ulkopuolelle. Tietoturvakriittisessä terveyspalvelussa tällainen valvontaohjelma olisi pitänyt ehdottomasti olla. Nyt ei voida tietää, ovatko mahdollisesti muutkin varastaneet tietokannan, mutta pysyneet teostaan hiljaa.

Viranomaisilla ei ole hoitakotien kaltaista tietoturvavalvontaa. Kriittisiä nettisovelluksia saa kehittää alaikäinen nörttipoika, mutta kylpyhuoneremontti vaatii tekijältä työnäytteen ja märkätilasertifikaatin. Yrityksen on ostettava palotarkastus, jossa tutkitaan onko käytävän tarrat oikeanlaisia ja oikeissa paikoissa. Ja toki tarkastetaan vaahtosammuttimet.

Palo- ja remonttiturvallisuus on opittu kantapään kautta, tehtyjen kalliiden virheiden seurauksena. Samanlainen kehitys on tapahtumassa tietoturva-alalla, joka on vielä kovin nuorta. 

Luonnollista kehitystä voi kuitenkin nopeuttaa päättäväisillä toimilla. Vastaamon tapaus osoittaa, että niille on tarvetta.

Facebook voi joutua maksamaan sinulle rahaa

Vuoden 2018 loppumetreillä saimme jälleen uuden Facebook-tietosuojakohun. Kävi ilmi, että Facebook oli avannut rajapintaansa suurille nettipalveluille, jotta nämä olivat voineet lisätä sovelluksiinsa paremman Facebook-integraation.

Uusin Facebook-paljastus oli Hesarin kommentin mukaan kylmäävä.

Epäluulo Facebookia kohtaan on niin suurta, että jokainen kohu nousee maailmanlaajuiseksi. Suomessakin mediat täyttyivät asiantuntijoiden varoituksista: nyt on viimeinen hetki luopua Facebookista, ennen kuin kaikki yksityisyytemme on mennyttä.

Itse pidän uusinta kohua liioiteltuna. Ei ollut mitään tietoa, että rajapintaa olisi väärinkäytetty. Ilmiselvää sen sijaan oli, että Facebookin tapa suhtautua henkilötietoihin on ollut startup-yrityksille tyypilliseen tapaan huolimaton. Kasvua on haettu kaikin mahdollisin keinoin ja siitä ovat palkinneet niin media kuin sijoittajatkin. Eikä henkilötietoja ole jenkeissä muutenkaan suojattu samalla tavalla kuin Euroopassa. Vasta nyt ilmapiiri siellä alkaa muuttua.

Kaiken huomion kiinnittäminen Facebookiin voi olla jopa vaarallista. Datatalous rapauttaa yksityisyyttä monin eri tavoin. Siinä sopassa Facebook on vain rikkana rokassa.

Itse en kehota kaikkia luopumaan Facebookista. Sen sijaan neuvon punnitsemaan hyötyjä ja haittoja, varsinkin oman ajankäytön suhteen. Lisäksi neuvon käyttämään palvelua vain selaimella. Mobiilisovellus kuluttaa paljon akkua ja pääsee lukemaan helpommin osoite-, sähköposti- ja sijaintitietoja. Selainversio on turvallisempi.

Fakta on, että kaikesta kritiikistä ja julkisesta paheksunnasta huolimatta Facebookista on käyttäjille myös paljon hyötyä.

Vuonna 2019 hyöty saattaa konkretisoitua aivan uudella tavalla. GDPR:n artikla 82 sanoo, että hallinnollisten sanktioiden lisäksi rekisteröidyt voivat hakea korvauksia, mikäli rekisterinpitäjä ei ole noudattanut lain vaatimuksia tai on toiminut huolimattomasti.

Uutta on, ettei käyttäjän tarvitse todistaa kärsimänsä vahingon rahallista arvoa. Riittää, kun vetoaa henkiseen ahdistukeen ja kärsimykseen, joita Facebookin tietovuoto on tuottanut. Ja sitähän jatkuva uutisointi kohuineen kieltämättä tekee.

Tämä avaa kiinnostavan mahdollisuuden: voimme ensi kertaa saada itse rahaa Facebookilta! Emme enää ole pelkkiä datalampaita, joiden tietoja käytetään kauppatavarana.

Miten se käytännössä toimisi? Luultavasti kyseessä olisi EU-kansalaisten yhteinen hanke, tietosuojan joukkokanne, jota jonkin maan tietosuojaviranomainen lähtisi ajamaan. Hakemuksen perusteena pitäisi olla 25.5.2018 jälkeen sattunut Facebookin merkittävä tietovuoto.

Kuinka suuresta summasta voisi olla kyse? Ehkä muutamasta satasesta. Suomalaiset korvaukset henkilötietojen laittomasta urkinnasta ovat olleet 300-800 euroa uhria kohti. Toisaalta EU-viranomainen voi päätyä selvästi korkeampaankin tasoon. Aiempaa oikeuskäytäntöä ei ole, mutta todennäköisesti vuoden 2019 aikana tulemme näkemään paljon muitakin GDPR:n nimissä perittyjä sanktioita.

Ehkä ei siis kannata luopua Facebook-tilistä aivan vielä.

Vuodesta 2019 tulee monin tavoin mielenkiintoinen.

GDPR ja kesäuutisointi

Kirjaprojektin jälkeen on taas aikaa päivittää blogia. Silmiini osui viime viikolla uutinen British Airwaysin tavasta käyttää Twitteriä GDPR-lain vastaisesti.

Ensin raflaava otsikko "Ai näin se tietosuojauudistus toimii? British Airways vaati asiakkaan yksityistietoja Twitterissä: mm. passin numero ja osoite julki" ja perään ulkomaisesta lähteestä tiivistäen käännetty "uutinen".

Ai näin se tietosuojauudistus toimii?

Iltalehden juttu on sen verran epäselvä, että pitää tutustua alkuperäisiin lähteisiin, jotta tapauksesta saisi jonkinlaisen kuvan. Eikä se silti ole helppoa.

Jos oikein ymmärsin, British Airways oli perunut lennon eikä tyytymätön asiakas Jason Hunter saanut lisätietoja uudesta reitityksestä. Hän valitti Twitteriin, jolloin BA:n asiakaspalvelun edustaja Kelly pyysi lähettämään mm. passin numeron ja luottokortin neljä viimeistä numeroa.

Poru syntyi siitä, että Hunter ilmeisesti vastasi viestiin ja lähetti tietoja julkisesti, mikä ei tietenkään ollut BA:n tarkoitus eikä GDPR:n tai suositeltavan tavan mukaista. Silloin asiaan tarttui julkisuutta kaipaava tietoturvaopiskelija, joka halusi tehdä asiasta uutisen.

So British Airways is asking for people's personal data over social media "to comply with GDPR", and some people are even replying directly in the public feed.

uwotm8 pic.twitter.com/yUvCQ5Gti9

— Mustafa Al-Bassam (@musalbas) 16. heinäkuuta 2018

Kesän uutisköyhyydessä moni lehti uutisoi jutun pilkaten BA:ta GDPR:n väärinymmärtämisestä. Tarinan kertoi ainakin TechCrunch, Gizmodo ja The Telegraph.

Mutta mitä tässä oikeasti oli tapahtunut?

Jason Hunterin kaikki neljä twiittiä liittyvät lennoista valittamiseen:

Jason Hunterin twiittihistoria on yksipuolinen: vain valituksia lennoista.

Alkuperäinen British Airwaysin vastaus:

BA:n vastaus kokonaisuudessaan.

Siinä lukee selvästi, että "Please DM" - siis lähetä yksityisviestinä, ei julkisesti. Hunter ei ollut lukenut ohjetta eikä media näyttänyt uutisoinnissa sitä ensimmäistä (1/2) viestiä, vain jälkimmäisen (2/2).

Luultavasti BA pyysi tietoja siksi, että se voi identifioida Hunterin riittävän varmasti - muutenhan joku voisi pyytää hänen nimissään omia lippuja vaihdettavaksi. Henkilöllisyyden varmistaminen on GDPR:n vaatimusten mukaista, eikä muutaman viestin profiilikuvaton Twitter-tili itsessään ole mikään henkilöllisyystodistus.

Kesäuutisia kannattaa lukea erityisen krittisesti ja mahdollisuuksien mukaan tutustua alkuperäisiin lähteisiin. Jutut eivät käännettäessä ainakaan selvene. 

Viikon päästä alkaa GDPR

Asiaa alusta lähtien seuranneet ovat odottaneet tätä pitkään: viikon päästä alkaa vihdoin GDPR:n soveltaminen, kun EU:n tietosuoja-asetuksen siirtymäaika loppuun.

Kansalaisen näkökulmasta GDPR ei tuo juurikaan muutoksia. Jos haluaa tarkistaa omat tietonsa yrityksen tai yhteisön rekisteristä, tarkastuspyynnön on voinut tehdä jo 19 vuoden ajan eli aina siitä lähtien, kun nykyinen henkilötietolaki tuli voimaan. Testasin asiaa vuonna 2010 ilmestynyttä kirjaani varten ja sain kaikista pyytämistäni yrityksistä tiedot tulosteina kotiin.

Edes oikeus tulla unohdetuksi ei ole uusi, vaan se on voitu johtaa vaatimuksesta poistaa vanhentuneet henkilötiedot. Asetus toki sanoo tämän täsmällisemmin, mutta periaate ei muutu.

Juristit löytävät GDPR-artikloista paljonkin pieniä muutoksia, mutta ainoa selvästi uusi oikeus liittyy omien tietojen saamiseen sähköisessä muodossa. Tiedot, jotka on itse luovuttanut palveluun, on mahdollista saada takaisin itselle jotta ne voi esimerkiksi siirtää kilpailijalle. Omien tietojen määrittely on tulkinnanvaraista; ovatko esimerkiksi K- tai S-kaupan ostoista kertyvät tiedot sellaisia, että ne pitäisi saada haluttaessa itselle? Ymmärtääkseni Suomessa on otettu tällainen tulkinta, mutta GDPR on tässäkin yksityiskohdassa epämääräinen.

Yritysten ja yhteisöjen, mukaanlukien harrastusseurat ja taloyhtiöt, tilanne on toinen. Niillä muutokset ovat suuria, koska GDPR asettaa käänteisen todistustaakan. Niiden on itse pystyttävä tarvittaessa osoittamaan, että toiminta on asetuksen mukaista. Jos eivät pysty, tietosuojaviranomainen voi määrä sanktiomaksuja. Henkilötietojen käsittelyn prosessit, tietojärjestelmät ja sopimukset on käytävä läpi, samoin henkilökunta koulutettava. Monella työ on edelleen pahasti kesken.

Todistustaakkaa lukuunottamatta yrityksetkin pääsevät GDPR:stä vähällä, jos ovat hoitaneet kaikki nykyisen henkilötietolain velvoitteet pilkuntarkasti. Suurin muutos tulee siitä, että GDRP:n jälkeen kaikki pitää oikeasti tehdä.

Sanktioita ei silti tarvitse heti pelätä. Miten viranomainen voisi vaatia yrityksiltä täydellistä toimintaa, kun eduskunta ei ole ehtinyt vielä edes hyväksyä tietosuojalakia? Lakien puuttuessa tuomioistuin joutuu soveltamaan yksinomaan GDPR-asetusta, joka on abstrakti ja liikkuu yleisellä tasolla.

EU on kehunut GDPR:n tuovan miljardisäästöjä, sillä laajasti EU:n alueella toimivat yritykset asioivat jatkossa ainoastaan oman maansa viranomaisten kanssa. Asetuksen kustannuksista EU ei ole puhunut mitään. Hyvän asian nimissä yrityksille sälytetään merkittävä hallinnollinen taakka sielläkin, missä ongelmia ei ole tähän asti ollut. Tässä varaudutaan tulevaan.

EU:n mainospuheet GDPR:stä kilpailuetuna kuulostavat omissa korvissani falskilta. Tietosuojasta huolehtiminen on kilpailuetu, mutta laki on sama kaikille ja kilpailuetu on aina suhteellista. GDPR voisi parantaa EU-yritysten kilpailuasetelmaa jenkkifirmoja vastaan (Facebook!), mutta voi käydä myös päinvastoin. Rajoitukset ja kustannukset estävät jatkossa entistä tehokkaammin EU:n nettipalveluiden kilpailua globaaleilla markkinoilla ja uusilla teknologioilla. Jenkkiyritykset pärjäävät, vaikka kotimaiset asiakkaat saavatkin kärsiä huonon tietosuojan seurauksista.

Kustannukset valuvat lopulta aina hintoihin. Isännöintitoimistot laskuttavat taloyhtiöltä GDPR-maksuja ja sama tapahtuu muillakin toimialoilla, vaikkakin peitellymmin.

Nopeasti kehittyvään alaan puuttuminen aiheuttaa seurauksia, joita on vaikea ennakoida (etenkin, kun taloudellinen puoli ei MEPpejä liiemmin kiinnosta). Yksi seuraus on amerikkalaisten nettipalvelujen halu sulkea ovensa EU-asiakkailta. Ne eivät halua ottaa juridista riskiä, kun taloudellinen tuotto EU-alueelta on vähäistä.

Suorastaan hölmönä voi pitää tapaa, jolla GDPR:ään lisättiin viime hetkellä artikla lasten tietojen suojaamisesta. USA:ssa vastaava laki tuli voimaan jo vuonna 1998. Se asettaa ikärajan 13 vuoteen, mikä on samalla alaikäraja useimmissa jenkkiläisissä somepalveluissa.

Jostain syystä EU meni valitsemaan rajaksi 16 vuotta, mutta antaa poiketa siitä maakohtaisesti aina 13 vuoteen asti (ja kun GDPR:n tavoite oli juuri tietosuojalakien yhtenäistämisessä...). Tämä on johtanut hankalaan tilanteeseen, joka vain lisää EU-alueen yritysten (esim. mobiilipelit) taakkaa ja henkilötietojen käsittelyä. Ne joutuvat pitämään kirjaa pelaajien iästä ja pyytämään jonkinlaisen suostumuksen alaikäisten vanhemmilta. GDPR ei määrittele, miten suostumus tulee hankkia ja miten todistetaan, kuka on kenenkin vanhempi.

Sotku on jo johtanut ikävään seuraukseen. WhatsApp päätti kieltää palvelunsa kaikilta alle 16-vuotiailta EU-kansalaisilta, jotta maakohtaisia eroja EU:n sisällä ei tarvitse huomioida. Tämä tuottaa suuria ongelmia suomalaisissa kouluissa ja harrastusryhmissä, jotka ovat käyttäneet WhatsAppia sisäisenä viestikanavanaan.

On kiinnostavaa nähdä, miten WhatsAppin toiminta viikon päästä muuttuu. Voi olla, että kielto alle 16-vuotiaista käyttäjistä jää muodolliseksi, eikä sitä valvota. Toisaalta palvelu voi poistaa kaikki käyttäjätilit, joiden omistajat ovat liian nuoria, ja uuden tilin voi rekisteröidä vain valehtelemalla syntymäaikansa. Kumpikaan ei ole hyvä ratkaisu eikä vastaa sitä, mihin GDPR:llä pyrittiin.

Jenkkifirmat ehkä ylireagoivat, mutta EU voi katsoa myös peiliin. Ylisuuret 20 miljoonan ja 4 % globaalin liikevaihdon sakot tarkoitettiin pelästyttämään yrityksiä. Se toteutui paremmin kuin säätäjät ymmärsivät. Viestintä sääntelyn suhteellisuusperiaatteesta sen sijaan epäonnistui pahasti. Nyt pienetkin toimijat on saatu uskomaan, että Facebookille suunnitellut säännöt koskevat heitäkin.

Tässä vasta muutamia esimerkkejä vaikutuksista, joita tulemme näkemään 25.5.2018 lähtien. Olen itse puhumassa Kauppakamarin GDPR-päivässä asian tietoturvaulottuvuuksista.

Henkilötiedot ovat tulevaisuuden yritysten polttoainetta, joten niiden käyttöä pitääkin säännellä. Ehkä jo ensi vuonna nähdään, onko GDPR oikea tapa ja mitä kaikkia seurauksia sillä tulee olemaan sekä yritysten että kansalaisten arkeen.

GDPR sulkee eurooppalaisia palvelujen ulkopuolelle

Tietosuoja-asetus GDPR sulkee EU-kansalaisia amerikkalaisten palvelujen ulkopuolelle. Tällainen kehitys oli arvattavissa jo pari vuotta sitten, kun GDPR hyväksyttiin. Varoitin tästä mahdollisuudesta jo 2015 Keskisuomalainen-lehden haastattelussa.

Nyt, kun asetuksen voimaantuloon on alle kuukausi, alkaa tapahtua.

Esimerkiksi amerikkalainen juorulehti National Enquirer ei enää päästä EU-maista tulevia surffaajia sivuilleen. Lopputuloksena on selaimen arvoituksellinen virheilmoitus:

"Sinulla ei ole oikeutta tarkastella tätä sivua - HTTP error 403"

Ehkä käytössä on InnoWire GDPR Shield.io -estopalvelu (saksalainen, muuten!):

"Don't spend thousands on legal fees to make your site GDPR-compliant"

Eipä EU-alueen käyttäjien estäminen muutenkaan vaikeaa ole. IP-osoite riittää. Siksi on luultavaa, että estoja tulee vielä paljon lisää.

Esto vaikuttaa myös verkkokauppoihin ja muihin palveluihin. Esimerkiksi ohjelmointikoulutusta verkossa tarjoava Brent Ozar Unlimited lopetti jo joulukuussa myynnin EU-maihin. Hän perustelee päätöstä havainnollisesti sivullaan GDPR: Why we stopped selling stuff to Europe.

Tämä on huolestuttavaa kehitystä. Amerikkalaiset palvelut eivät halua nähdä vaivaa ja maksaa niitä kustannuksia, mitä EU-yritysten on pakko kestää. Jos EU-asiakkaita on vain vähän (Ozar mainitsee tuloiksi EU-alueelta 5 %), on halvempaa katkaista palvelut heiltä kokonaan. Jokainen lehti, joka pitää lokia käytöstä tai mahdollistaa lukijaksi rekisteröitymisen, joutuisi noudattamaan GDPR:ää. National Enquirerin kohdalla riskiä lisää sekin, että lehti on erikoistunut juoruihin, jotka itsessään ovat henkilötietoja. Kukaan ei halua ottaa juridista riskiä GDPR-sanktioista. Ja saattaa siinä olla vähän piikkiä EU:n suuntaan -- meitähän ette määräile. GDPR:ssä kun on hieman protektionistista henkeä.

Kansalaisen näkökulmasta GDPR on hyvä asia. Sääntely aiheuttaa kuitenkin yrityksille merkittäviä kustannuksia. EU kehuu, miten GDPR on sen omille yrityksille kilpailuvaltti -- no, kohta nähdään onko. Jos uusien dataan perustuvien palveluiden kehittäminen käy EU-alueella liian hankalaksi ja juridiset riskit kasvavat liikaa, startupit perustetaan jatkossa USA:han.

Yksi kiinnostava ja nopeimmin kasvava teknologia-ala ovat lohkoketjut. Niiden idea on juuri datan pysyvässä tallentamisessa, mikä on henkilötietojen osalta ristiriidassa GDPR:n unohtamisoikeuden kanssa. Jos tulkinta pysyy tiukkana, EU-alueella ei voida käyttää tulevia lohkoketjusovelluksia. Ei kuulosta kilpailuedulta vaan pikemminkin omaan nilkkaan ampumiselta.

Yritysten lisäksi vaarassa ovat harrastajien nettifoorumit, jotka voivat olla eurooppalaisille käyttäjille hyvinkin tärkeitä. Myös harrastajien ja yhdistysten nettipalvelujen pitää noudattaa GDPR:ää, jos ne tarjoavat palvelua EU-alueelle. Isot yritykset, joille EU on tärkeä markkina, maksavat juristeille ja IT-konsulteille järjestelmien muokkaamisesta, mutta pienten ei kannata.

Jos olisit itse verkkokauppias, nettifoorumin ylläpitäjä tai pienyrittäjä, ja Yhdysvallat säätäisi tiukan lain, joka voi lätkäistä sinulle jopa 4 % sakon liikevaihdosta, ottaisitko juridisen riskin? Muuttaisitko tietojärjestelmää niin, että amerikkalaisten lakien vaatimat muutokset tehdään?

Tuskinpa. Olisi paljon helpompaa katkaista amerikkalaisilta pääsy ja jatkaa entiseen malliin. Nyt ne tekevät saman meille.

Me suomalaiset voimme kiertää EU-estoja VPN-palveluiden avulla. Tilanne on kuitenkin nurinkurinen: joudumme maksamaan siitä, että pääsemme palveluihin, joilta EU yrittää meitä suojata.

On tietysti hyvä, että GDPR pakottaa palvelut huolehtimaan tietosuojasta. Turvattomat palvelut joutavatkin tulla kielletyiksi. Mutta onko esim. National Esquirer tietoturvaton? Onko lokitiedon käsittely oikeasti uhka tietosuojalle? Onko oikeus tulla unohdetuksi niin tärkeä, että lohkoketjuja ei saa EU-alueella käyttää? Jokainen palvelu haluaa huolehtia tietoturvastaan, mutta GDPR:n juridiikka on riski ja osoitusvelvollisuua aiheuttaa kustannuksia silloinkin, kun kaikki on kunnossa.

EU:n hyvä tarkoitus uhkaa lisätä netin jakaumista saarekkeisiin eli ns. balkanisaatiota. Olemme jo säätäneet hakukoneille Oikeus tulla unohdetuksi -lain, joka velvoittaa amerikkalaista Googlea. Nyt on tulossa GDPR. Ja lisää sääntelyä on luvassa (GDPR is only the beginning). EU haluaa olla yksityisyyden edelläkävijä jatkossakin.

Venäjä velvoittaa säilyttämään kansalaistensa henkilötiedot maan rajojen sisällä. Kiinalla on monia rajoituksia ulkomaisille palveluille. Maat haluavat säädellä "omaa" nettiään ja velvoittaa ulkomaiset toimijat noudattamaan omia sääntöjään.

Tällainen kehitys on huolestuttavaa, eikä ainakaan käyttäjien etu.

Tekstiä muokattu 6.5.2018 ja lisätty siitä alkaen GDPR:n vuoksi EU-kansalaisilta loppuvia palveluita:

• Unroll.me (https://techcrunch.com/2018/05/05/unroll-me-to-close-to-eu-users-saying-it-cant-comply-with-gdpr)
• Verve (verkkomarkkinointi)
• Ragnarok Online  (online-peli, Reddit-keskustelu https://www.reddit.com/r/Games/comments/8etpex/official_ragnarok_online_server_to_block_eu_due/)
• Super Monday Night Combat (online-peli)
• Tunngle (saksalainen verkkopeli, lopetti toimintansa kokonaan GDPR:n vuoksi, yritys nyt myynnissä)
• Drawbridge (laiteriippumaton identiteettipalvelu)
• American Media Inc -kustantaja, jolla on mm. lehdet National Enquirer, Men's Journal ja US Magazine. Kustantajan omatkin yrityssivut on suljettu EU:lta.
• Myös internetin klassinen WHOIS-palvelu on vaarassa (https://www.theguardian.com/technology/2018/feb/06/gdpr-data-protection-law-scammers-whois-tools-internet-european-privacy, https://motherboard.vice.com/en_us/article/vbpgga/whois-gdpr-europe-icann-registrar) 
• Instapaper - tainnut jäädä GDPR-projekti viime tippaan, koska "Instapaper is temporarily unavailable for users in Europe"
• Yeelight kiinalainen älylamppuvalmistaja. Web-sivut toimivat, mutta älylamppujen ohjaussofta ilmeisesti ei. Nolo juttu niille, jotka ovat asentaneet lamput kotiinsa. Mitähän sillä kodeista kerätyllä datalla on aiemmin tehty?
• Tucson.com - Nyt ainakin syy on selvä: "We recognise you are attempting to access this website from a country belonging to the European Economic Area (EEA) including the EU which enforces the General Data Protection Regulation (GDPR) and therefore cannot grant you access at this time."
• Los Angales Times. Tämä alkaa jo oikeasti tuntua. "Unfortunately, our website is currently unavailable in most European countries. We are engaged on the issue and committed to looking at options that support our full range of digital offerings to the EU market. We continue to identify technical compliance solutions that will provide all readers with our award-winning journalism."
• West Marine verkkokauppa ei enää palvele EU-maita.
• History.com historia-tv-kanava ei toimi, eivät muutkaan A&E TV:n kanavat tai yhtiön omat sivut.
• India Times - ensimmäinen vastaan tullut intialainen esto.

Vaihteeksi näinkin päin: USA Today poisti ainakin toistaiseksi EU-käyttäjien seurannan ("USA Today Network's European Union experience") ja pääsivun uutiset latautuvat nyt ennätysnopeasti. Linkit muuhun sisältöön eivät kuitenkaan toimi. (27.5.2018)

Lisäys 8.8.2018: pitkä lista (yli 1000 nimikettä!) GDPR:n estämistä lehdistä. 

Kuultavana Zuckerberg, 33-vuotias maailmanvaltias

Facebookin Mark Zuckerberg suvaitsi viimein saapua kansanedustajien kuultavaksi. Eilen 44 senaattoria esitti hänelle kysymyksiä viiden tunnin ajan. Seurasin pari ensimmäistä tuntia.

Lähes puolet sadasta senaattorista oli paikalla, mikä on hämmästyttävä määrä. Luultavasti valtaosa halusi kiillottaa omaa kilpeään ja olla esillä kansalaisia huolestuttavassa asiassa. Kaikki eivät tuntuneet olevan kovin hyvin perillä asioista.

Välillä tuntui, että senaattorien olisi pitänyt olla pöydän toisella puolella. Heidän olisi pitänyt vastata kansalaisten kysymyksiin siitä, miksei liittovaltioon ole saatu kunnollisia lakeja henkilötietojen käytöstä. Sillä siitä tässä kohussa on kyse, vaikka Facebook onkin nyt nostettu ainoana tikun nokkaan.

Zuckerberg on maailman valtias. Hän myi viime vuonna osakkeitaan miljardilla dollarilla, tänä vuonna aikoo myydä yli 10 miljardilla. Hänen palveluaan käyttää kaksi miljardia ihmistä ja hänellä on ehdoton määräysvalta yhtiöönsä. Zuckerberg on Facebook. Ja hän on vasta 33-vuotias.

Ikoninen kuva Facebookin ja Zuckerbergin maailmanvallasta.

Asemaansa nähden Zuckerberg esiintyi nöyrästi. Paikallinen Tekir oli selvästi valmentanut hänet pyytämään heti anteeksi ja ottamaan kaiken vastuun. Ja kukapa voisi olla vihainen kiltin kuoropojan näköiselle Zuckerbergille? Hän ei näytä yhtään ahneelta bisnesmieheltä.

Yllättävän usein Zuckerberg vetosi siihen, ettei tiedä asiaa, mutta lupasi tiiminsä ottavan selvää. Näin kävi mm. kysymyksessä seuraako Facebook käyttäjien surffauksessa myös uloskirjautumisen jälkeen. Ehkä Zuckerbergia vähän jännitti tai sitten hän halusi pelata varman päälle, jotta ei jäisi kiinni väärien tietojen antamisesta. Tai sitten hän vain pelasi aikaa eikä halunnut julkisesti paljastaa, miten Facebookin tiedonkeruu todellisuudessa toimii.

Hauska kohta oli, kun Facebookin käyttäjäehtoja pidettiin liian vaikeina jopa juristin lukea.

"Edes juristi ei ymmärrä näitä"

Kunpa tietäisit senaattori, miltä tuntuu lukea niitä vieraasta kulttuurista ja vieraasta maasta!

Senaattorien keski-ikä on 63 vuotta ja se näkyi. Näidenkö vanhojen gubbejen pitäisi säädellä Facebookia, kun he eivät edes ymmärrä mistä on kyse? Utahin 84-vuotias republikaanisenaattori Orrin Hatch kysyikin rohkeasti, millä Facebook oikein elää, jos sen palvelu on ilmainen. Selvästi hölmistynyt Zuckerberg vastasi hetken epäröityään: "Senaattori, me myymme mainostilaa".

Koomisilta tuntuivat myös senaatissa näytetyt valtavat pahvitaulut.

USA:n senaatti käyttää yhä pahvista esitystekniikkaa.

Ei puuttunut kuin että joku olisi kärrännyt saliin piirtoheittimen. Onko senaatin AV-tekniikka todellakin 1980-luvun tasoa?

Odotin Zuckerbergin sanovan, että yhtiö pitää GDPR-lakeja hyvänä ja aikoo noudattaa niitä. Ei sanonut. Vain yksi senaattoreista viittasi Eurooppaan. Tämä vahvistaa käsitystäni, että Zuckerbergin aiempaa lupausta asiasta ei pitänytkään ottaa vakavasti. Enkä ihmettele - sen paremmin Facebookilla kuin USA:llakaan ei ole varaa EU:n kaltaiseen henkilötietolainsäädäntöön.

Facebook-kohua voi tarkastella monesta näkökulmasta. Suomessa on mielestäni liikaa keskitytty tietojen antamiseen ja sen vaarallisuuteen. Jokainen tietää, että tiedot ovat hinta ilmaisesta palvelusta, eikä siinä välttämättä ole suurta riskiä ainakaan enää jatkossa, kun Facebookin on pakko noudattaa GDPR-lakia. Facebookista voi toki erota, mutta Googlesta ja muista someyhtiöistä käytännössä ei. Monelle hyödyt ovat kuitenkin tietovuotoja suurempia, ja harkinta pitää tehdä rationaalisesti.

Oleellisempi ja laajempi kysymys on Facebookilta vaadittava valvonta. Onko Facebook alusta vai onko sillä vastuuta? Voiko vanhan median sääntöjä soveltaa someyhtiöön? Senaattorien kysymyksissä nousivat esiin niin Venäjän salainen vaalivaikuttaminen kuin Burmassa tapahtunut Rohinga-vähemmistön joukkomurha. Tähän on pakko puuttua jollain tavalla.

Zuckerberg sanoi, että heillä sisältöä valvoo 20 000 ihmistä. Siinä on maailmanpoliisia kerrakseen! Hän sanoi myös, että vihapuheen tunnistaminen on kaikkein vaikeinta, koska kyse on nyansseista. Hän uskoi, että tekoäly pystyy tehtävään 5-10 vuodessa. Minä puolestani uskon, että hän heitti luvun hatusta, eikä sillä ole mitään todellisuuspohjaa.

Republikaanisenaattori Cruz osoitti heti, miksi Zuckerbergille sälytetty tehtävä on ykskantaan mahdoton: hän grillasi vastaajaa nurjasta suhtautumisesta konservatiiviseen sisältöön ja halusi tietää onko työntekijöitä erotettu poliittisten mielipiteiden vuoksi.

Ja kaiken kukkuraksi Foxnews nosti kuulemisesta juuri tämän kohdan ykkösaiheekseen:

Liberaaleja suositaan?

"Viis niistä kansalaisten perusoikeuksista, mutta kun Piilaakso suosii liberaaleja ajatuksia ja se on ihan väärin", tuntui olevan viesti.

Tajuaakohan Zuckerberg tehtävänsä mahdottomuuden vai antaako nuoruus ja miljardien omaisuus riittävästi itsevarmuutta tämän ongelman edessä?

Ainakin markkinoita kuuleminen miellytti, kurssi nousi +4,50 % eikä ole enää kovin kaukana siitä, mistä lähdettiin kohun alkaessa. Mutta osakemarkkinat diskonttaavatkin odotukset vain puolen vuoden päähän. Pitkällä tähtäimellä tehtävä on toivoton.

Tekstiä täydennetty 14.4.2018

Lisäys 19.4.2018: Zuckerberg jätti kertomatta kaikenlaista.