Kansalaisaloitteet ja GDPR-tietosuoja

Hesari teki jutun siitä, miten tunnetut yritysjohtajat ja muut valikoidut henkilöt ovat kannattaneet erilaisia kansalaisaloitteita. Tutkivaa journalismia, kyllä, mutta hieman ehkä osoittelevaa ja yksipuolista. Se ei ole kuitenkaan minun arvioitavissa.

Kansalaisaloitepalvelun nettisivu.

Sen sijaan kiinnitän huomiota tietosuojaan. Moni tuntuu hämmästyneen, miten Hesari sai nimilistat aloitteiden kannattajista. Eikö vahvan todennuksen pitänyt turvata tietosuoja, vähän kuten äänestyksissä?

Tässä on ilmeisesti sellainen ajatusvirhe, että pankkitunnusten tai mobiilivarmenteen käyttö yhdistyy mielessä luottamukselliseen toimintaan, kuten pankkipalveluihin tai sähköiseen asiointiin Omakannassa, Kelassa tms. Mutta niin ei ole. Vahva tunnistus varmistaa henkilöllisyyden, mutta sen jälkeen tehtävien toimien luottamuksellisuus on ihan eri juttu.

Kansalaisaloitteen oma tietosuojasivu sanoo näin: 

Kun käyttäjä tunnistautuu ja täyttää kannatusilmoituksen sähköisesti, järjestelmä tallentaa allekirjoittajasta seuraavat kansalaisaloitelain mukaiset tiedot:

• Koko nimi
• Syntymäaika
• Kotikunta
• Vakuutus siitä, että henkilö on äänioikeutettu Suomen kansalainen ja kannattanut kyseistä aloitetta vain kerran

Järjestelmä ei tallenna kannatusilmoituksen allekirjoittajan henkilötunnusta.

Henkilötunnuksesta lasketaan tiiviste, jolla varmistetaan, ettei sama henkilö anna kannatustaan useita kertoja. Tiivisteestä ei voi päätellä henkilöllisyyttä. Ilmeisesti HETUn perään liitetään vielä aloitekohtainen lisätunnus ennen tiivisteen laskemista, jotta ei voida tutkia mitä kaikkia aloitteita jokin tietty henkilö on allekirjoittanut.

Vähän myöhemmin todetaan, että "Kansalaisaloitteen vastuutahot voivat luovuttaa tietoja kannatusilmoitusten allekirjoittajista vain Digi- ja väestötietovirastolle. Mikäli Digi- ja väestötietovirasto vahvistaa, että kansalaisaloite on kerännyt vähintään 50 000 kannatusilmoitusta, voi Digi- ja väestötietovirasto antaa kannatusilmoituksista tietoja eli sen hallussa olevat tiedot ovat julkisia."

Jos aloite ylittää kynnyksen, DVV voi tehdä tiedoista julkisia. Silloinkaan aloitteen vastuuhenkilöt eivät saa julkistaa allekirjoittajien nimiä. Oletan, että kuka tahansa kiinnostunut voi kuitenkin tehdä kyselyitä nimistä DVV:lle. Tämän lisäksi journalistisiin tarkoituksiin on eri säädöksissä poikkeuksia, joten Hesarin toiminnassa ei pitäisi olla mitään oikeudellista ongelmaa.

Hieman yllättävää, että niin moni on pitänyt kannatusilmoituksia salaisina. Kaduilla pyydetään joskus allekirjoituksia erilaisiin tarkoituksiin. Listat ovat avoimesti näkyvissä ja avoimuus on osa demokraattista prosessia. Muutenhan laatijat voisivat itse tehtailla kannatusilmoituksia. Puolueiden ja ehdokkaiden kohdalla tästä on joskus herännyt epäilyksiä.

Ennen kansalaisaloitteen virallistamista oli tapana kerätä nimiä nettiadresseilla. Siellä kaikki nimet olivat näkyvissä, ja ovat vieläkin. Esimerkiksi tämä adressi Carea Koulun säästäminen Kouvolan Kuusankoskella.

Mitä me tästä opimme? Kannattaa lukea käyttäjäsopimus (EULA) ja yksityisyyslauseke myös kotimaisissa palveluissa, niin ei tule vääriä oletuksia. Ja tietenkin kannattaa kannattaa (heh) vain sellaisia aloitteita, joiden takana on valmis seisomaan omalla nimellään. Muutkin kansalaisvaikuttamisen muodot, kuten mielenosoitukset, ovat varsin julkisia.

Pummilla matkustaminen toisen piikkiin?

Yle uutisoi jokin aika sitten kotkalaisesta miehestä, joka on toistuvasti ulosotossa, koska joku matkustaa pääkaupunkiseudun lähiliikenteessä pummilla ja antaa hänen yhteystietonsa sakkoa varten. 

Lähiliikenteen tarkastusmaksu on nykyään 100 euroa. Tarkastajia liikkuu kaikkina vuorokaudenaikoina, myös sunnuntaisin, ja jopa Pasilan ja Rautatieaseman välisellä lyhyellä pätkällä. Mikäs sen näppärämpää kuin matkustaa pummilla ja laittaa tarkastusmaksu toisen piikkiin?

Se onnistuu helposti, sillä joukkoliikenteen tarkastusmaksuista on olemassa laki, joka määrää liputtoman matkustajan ilmoittamaan tarkastajalle nimensä, henkilötunnuksensa ja osoitteensa. Laki joukkoliikenteen tarkastusmaksusta on vuodelta 1979 ja sen 8 § (muutettu viimeksi 2006) sanoo näin:

Matkustajan, joka ei esitä asianmukaista matkalippua, on ilmoitettava tarkastajan vaatimuksesta tälle henkilötietoinaan nimensä, henkilötunnuksensa ja osoitteensa.

Ylen tekemän jatkojutun mukaan kotkalaismies ei ole ainoa uhri, vaan tapauksia on muitakin. 

Ensisijaisesti tarkastajat varmistavat matkustajan henkilöllisyyden esimerkiksi ajokortista, passista tai henkilökortista. Jos sellaista ei ole, matkustajan on täytettävä henkilötietolomake, jonka tiedot tarkastaja voi varmistaa väestötietojärjestelmästä.

Henkilötietojen suojaaminen digiaikana on mahdoton tehtävä. Siksi kaikki huomio pitäisi keskittää väärinkäytösten estämiseen. Käytäntö, jossa 100 euron maksu voidaan määrätä henkilön itsensä ilmoittamien henkilötietojen ja HETUn perusteella on ristiriidassa Tietosuojalain 1.1.2024 voimaan tulleen muutoksen kanssa. Lain 29 § sanoo näin:

Rekisteröidyn henkilöllisyyden selvittämiseen hänen ilmoittamiensa tai toimittamiensa tietojen taikka esittämiensä asiakirjojen avulla (tunnistaminen) ei saa käyttää yksinomaan henkilötunnusta tai henkilötunnuksen ja rekisteröidyn nimen yhdistelmää.

En ole juristi, mutta laki joukkoliikenteen tarkastusmaksusta näyttää olevan ristiriidassa nykyisen ajan hengen ja tietosuojalain kanssa. Ehkä joku juristi osaa avata tilannetta paremmin. Meneekö vanha toimialakohtainen sääntely uudemman yleislain (joka liittyy EU:n laajuiseen tietosuoja-asetukseen) edelle?

Miten on mahdollista, että tarkastusmaksun voi edelleen laittaa toisen piikkiin vain tietämällä tämän nimen, HETUn ja kotiosoitteen?

Henkilöllisyystodistuksen mukana pitäminen ei ole pakollista, mutta epäselvissä tapauksissa tarkastajien pitäisi kutsua poliisi selvittämään pummilla matkustavan henkilöllisyys, eikä luottaa tämän itsensä antamiin tietoihin. 

Käytännön tilanteissa tämä voi olla hankalaa, mutta se ei riitä perusteluksi, miksi syyttömien tietovuotojen uhrien pitää kärsiä toisten pahoista teoista.

VR:n tarkastusmaksu on "vain" 80 euroa.

Samalla voisi korjata sen epäkohdan, että VR:n junassa liputtomalta peritään vain 80 euron maksu, vaikka junalipun hinta voi olla satasia. Lähijunissa maksu on korkeimmillaan vain muutama euro, mutta silti tarkastusmaksu on 100 euroa.

Alexa kuuntelee ja Amazon muistaa - kaikki on tallessa

Omat tiedot on voinut jo vuosien ajan ladata some-palveluista, mutta nykyisin sama onnistuu myös Amazon-verkkokaupasta. Sivulta www.amazon.com/hz/privacy-central/data-requests/preview.html löytyy painike, jolla voi ladata joko halutun osa-alueen tiedot tai kaiken mahdollisen. 

Request your data.

Valitsin kaiken mahdollisen ja parin päivän kuluttua tulikin ilmoitus, että tiedot ovat ladattavissa ja paketin koko on 1 Gt. 

Paketin koko lähes 2 GB.

Vaikka ilmoitus mainitsee yhden gigan, luku on pyöristetty alaspäin ja tiedostokoko oli 1,98 gigatavua. Se ei ole ihme, sillä olen ollut Amazonin asiakas heinäkuusta 1996 lähtien ja tilannut vuosien mittaan kaikenlaista. Olen myös tuonut USA:sta useamman Alexa-laitteen - älykaiuttimen, joka tottelee puhuttuja komentoja. Tietääkseni niitä ei vieläkään myydä Suomessa, toisin kuin vastaavaa Googlen laitetta.

Lähes kahden gigan zip-paketti on valtava, mutta jaettu siististi kansioihin. Tiedostot ovat lähinnä csv-muotoisia, mukana muutama json ja tilauksista PDF-tiedostoja.

Olen käynyt läpi tiedostoja vain pintapuolisesti, mutta niistä tulee sama havainto kuin vastaavista kotimaisista tietopyynnöistä: dataa ehtii kertyä vuosien mittaan valtavia määriä ja osa siitä on eri tietojärjestelmissä, mikä tekee datasta hajanaista ja vaikeuttaa täyden historian profilointia. 

Muutama Prime-elokuvakin tullut katsottua.

Joka tapauksessa vasta kun saa kaiken eteensä valtavina Excel-taulukkoina ymmärtää, miten suuren digitaalisen jalanjäljen meistä jokainen nykyään luo. Amazon on tietolouhinnan ässä, mutta en usko senkään pystyvän hyödyntämään kuin murto-osan tiedoista. Suomi ei sen näkökulmasta ole edes kiinnostava paikka, monet laskentamallit ovat pelkkiä pohjia, koska näitä palveluita ei Suomessa tarjota.

Tiedoissa on paljon kenttiä, joiden keräämistä voi perustella esim. teknisen tuen tarpeilla, mutta yhtä hyvin niitä voisi väittää ei-välttämättömiksi ja silloin kerääminen on turhaa.

Oma ostohistoria löytyy Amazonista muutenkin, joten se ei ollut kovin kiinnostava. Odotin löytäväni laajan profiilin, jonka perusteella kohdistetaan mainoksia, mutta löysin vain muutamia listoja aiheista, joista olen ollut kiinnostunut (vähän Twitterin ja Facebookin tapaan). Osa listoista oli ihan metsässä ("leukemia and lymphoma society", "Saatva Mattress"). Ehkä suomalaisia ei profiloida tämän paremmin tai sitten profiilitietoja ei tallenneta pysyvästi, jolloin niitä ei myöskään tarvitse toimittaa kysyjälle?

Eikä tämäkään AdvertisingAmazonAudiences.csv-tiedosto näytä kovin paljastavalta:

Amazon Audiences in which you are included

In-Market:Books & Magazines

In-Market:Books & Magazines:Computers & Internet

In-Market:Books & Magazines:Computers & Technology

In-Market:Books & Magazines:Education Studies & Teaching

In-Market:Books & Magazines:Science, Nature & Math

In-Market:Books & Magazines:Textbooks & Study Guides

In-Market:Business & Industrial:Office Products

In-Market:Software & Apps:Software

In-Market:Video Entertainment

Lifestyle:Business & Industry

Lifestyle:Entertainment:Music

Lifestyle:Video Entertainment

Tiedosto CustomerObservations.csv oli vähän mielenkiintoisempi, jos sitä osaisi tulkita:

Observation,Date,Expiration Date,Reward Id

COOLDOWN,2024-12-16T01:12:12.318Z,2024-12-30T01:12:12.318Z,729b0c3f-60b1-4fa1-b000-82e32d331b6e

MISSION-EXPIRED,2024-12-01T01:12:11.830Z,Not Applicable,729b0c3f-60b1-4fa1-b000-82e32d331b6e

LOOP_CREATED-CONTROL,2024-10-23T11:58:06.036Z,2024-12-25T11:58:06.036Z,adf633d2-3b4a-4a96-ac3b-8010a09c9e3e

COOLDOWN,2024-10-08T10:12:12.070Z,2024-10-23T10:12:12.070Z,adf633d2-3b4a-4a96-ac3b-8010a09c9e3e

MISSION-Pending,2024-10-02T00:30:30.864Z,Not Applicable,729b0c3f-60b1-4fa1-b000-82e32d331b6e

MISSION_END_DATE_UPDATED,2024-10-02T00:30:30.864Z,2024-12-01T00:30:30.864Z,729b0c3f-60b1-4fa1-b000-82e32d331b6e

LOOP_CREATED-TREATMENT,2024-10-02T00:30:30.864Z,2024-12-16T00:30:30.864Z,729b0c3f-60b1-4fa1-b000-82e32d331b6e

CUSTOMER_TARGETED,2024-10-01T23:10:24.661Z,Not Applicable,b89bcb84-0093-42f6-b2f1-0a1b25802f8e

CUSTOMER_TARGETED,2024-10-01T23:04:45.604Z,Not Applicable,729b0c3f-60b1-4fa1-b000-82e32d331b6e

LOOP_CREATED-CONTROL,2024-08-06T09:03:08.577Z,2024-10-08T09:03:08.577Z,adf633d2-3b4a-4a96-ac3b-8010a09c9e3e

CUSTOMER_TARGETED,2024-07-30T23:09:28.124Z,Not Applicable,adf633d2-3b4a-4a96-ac3b-8010a09c9e3e

LOOP_CREATED-CONTROL,2024-06-20T12:17:10.928Z,2024-07-15T22:59:59Z,40df975a-344b-43c7-8852-a569c297846d

CUSTOMER_INCLUDED,2024-06-14T23:48:16.131Z,Not Applicable,40df975a-344b-43c7-8852-a569c297846d

COOLDOWN,2024-06-05T11:12:12.173Z,2024-06-20T11:12:12.173Z,40df975a-344b-43c7-8852-a569c297846d

MISSION-EXPIRED,2024-05-19T11:12:11.891Z,Not Applicable,40df975a-344b-43c7-8852-a569c297846d

CUSTOMER_EXCLUDED,2024-04-06T23:50:18.155Z,Not Applicable,40df975a-344b-43c7-8852-a569c297846d

HVAS_COMPLETED,2024-04-05T02:38:24.468Z,Not Applicable,40df975a-344b-43c7-8852-a569c297846d

MISSION-Pending,2024-04-03T10:32:55.659Z,Not Applicable,40df975a-344b-43c7-8852-a569c297846d

LOOP_CREATED-TREATMENT,2024-04-03T10:32:55.659Z,2024-06-05T10:32:55.659Z,40df975a-344b-43c7-8852-a569c297846d

MISSION_END_DATE_UPDATED,2024-04-03T10:32:55.659Z,2024-05-19T10:32:55.659Z,40df975a-344b-43c7-8852-a569c297846d

CUSTOMER_TARGETED,2024-03-16T00:07:12.411Z,Not Applicable,40df975a-344b-43c7-8852-a569c297846d

Kiinnostavimpia olivat Alexaan liittyvät tiedot. Amazon on nimittäin tallentanut kaikki sille antamani käskyt ja kyselyt, vieläpä pakkaamattomina wav-tiedostoina. Ja niitä oli tuhansia, sillä olen käyttänyt Alexaa ohjaamaan kodin valoja, aamun herätyskelloa ja ajastinta.

Mikä erikoisinta, äänitteistä oli mukana aina myös alkuperäinen "Alexa!" herätyssana (wake word). Sehän tarkoittaa, että Alexan täytyy kuunnella ja tallentaa ääntä koko ajan, vaikka sitä ei lähetettäisi mihinkään. Jos tallennus alkaisi vasta sisäänrakennetun wake wordin tullessa, ensimmäinen sekunti olisi jo menetetty. Hmmm.

Äänitteet ovat niin täydellisiä, että nyt kuunnteltuina ne aktivoivat aina Alexan tekemään saman asian. 

Ennen tekoälyn läpilyöntiä käytin Alexaa myös monissa demoissa. Näiden äänitteiden kuuntelu kertoo, miten vaikeaa puheentunnistaminen on. Tilojen akustiikka ja taustahäly vaihtelevat suuresti, mikä tekee tulkinnan ihmiskorvallekin vaikeaksi.

Vuosien takaisten äänikomentojen ja niihin saatujen vastausten kuuleminen yhdessä niistä purettujen tekstien kanssa havainnollistaa sitä valtavaa tietomäärää, jota tekoälypalvelut keräävät ja käyttävät itsensä kouluttamiseen.

Se kannattaa aina muistaa, kun palveluita käyttää.

Tietävätkö nettijätit meistä liikaa - vai liian vähän?

"Amerikkalaiset nettijätit tietävät kaiken mitä teemme ja ajattelemme. Ne keräävät meistä tietoa somepalveluista ja seuraavat nettikäyttöämme. Kaikki rekisteröidään ja myydään mainostajille, jolloin yksityisyytemme on mennyttä."

Näin meitä varoitetaan, mutta asiassa on paljon spekulointia. Emme todellisuudessa tiedä, miten tarkkaan seuranta profiloi meitä. Googlen hakukone tuntuu arvaavan jo puolesta sanasta, mitä haemme, mutta nettisivuilla näkyvät mainokset eivät tunnu osuvan lainkaan.

Jos nettijätit tuntevat meidät niin hyvin, miksei tietoa käytetä markkinoinnissa paremmin? Miksi mainokset eivät näytä kiinnostavilta, vaan pikemminkin laahaavat kaukana toimintamme perässä?

Ehkä yksi selitys on valtavien datamassojen käsittelyn vaikeudessa. Miljardien datapisteiden analysointi mielekkääksi tiedoksi on edelleen äärimmäisen vaikeaa, oli tekoälyä tai ei. Luultavasti suuret yritykset eivät itsekään tiedä, mitä kaikella datalla tekisivät ja miten sitä voisi hyödyntää. Ihmisen elämä ja tarpeet ovat liian monimutkaisia tekoälyn kaavamaisuudelle.

Kerettiläisesti voisin väittää, että meistä kerätään liian vähän tietoa. Annan käytännön esimerkin.

Sunnuntai-iltana 12.11.2023 tarvitsin muuntajan vanhaan Asusin läppäriin (ei omani, mutta lähipiirissä). Googlasin aikani, mutta Suomesta ei tuntunut löytyvän juuri kyseistä mallia. Lopulta ihan oikea laturi löytyi Saksan Amazonista, mistä sen tilasin. Tilaus luvattiin toimittaa perjantaiksi ja kas - se putkahti työpaikan postilaatikkoon juuri ilmoitettuun aikaan. Logistiikka toimi siis loistavasti. 

Tänään, 28.11.2023 on kulunut yli kaksi viikkoa googlauksesta, ja silti samat perhanan muuntajat kummittelevat eri nettisivuilla - ihan Hesaria myöten.

Asus-laturien muuntajat kummittelevat yhä mainoksissa.

Tätä samaa olen katsellut jo kaksi viikkoa. Nettimainostajat katsovat peräpeiliin ja sielläkin heidän näkymänsä tuntuu lumisateen samentamalta. Pitäisi ymmärtää, ettei yli kaksi viikkoa vanhaa tuote-googlausta kannata enää käyttää mainosten valintaan. Asus-läppärimainokset sivupalkissa liittynevät samaan kohdennukseen.

Kehittyneessä valvonnassa mainostaja saisi tiedon, että tilasin jo laturin, eikä ole mitään järkeä mainostaa niitä edelleen (ei varsinkaan noita kaikkia malleja, kun hain vain tiettyä mallinumeroa). 

Selvyyden vuoksi sanottakoon, että tämä tulos on ihan peruslaitteistolla. Windows 11, siinä Chrome-selain, ei mainosten esto-ohjelmia tai poikkeuksellisia suoja-asetuksia.

Esimerkkini valossa näyttää siltä, että nettijätit eivät tiedä meistä edes tarpeeksi, vaan tykittävät mainoksiaan hehtaaripyssyllä peräpeiliin tähtäämällä. Onko se sitten osoitus yksityisyydestä, mene ja tiedä, mutta ainakaan tämän nähdessäni en ole huolissani nettiseurannasta.

Vasta kun kaikki minulle näkyvät mainokset alkavat osua liian hyvin muutan mieleni. Ja voihan olla, että yhtiöt vain hämäyksen vuoksi näyttävät epärelevantteja mainoksia, jotta eivät paljastuisi.

Kansalaisena datatalouden aikakaudella

Datasta on tullut uusi maksuväline, eikä meillä kansalaisilla ole muuta mahdollisuutta kuin hyväksyä se. Amerikkalaiset palvelut keräävät meistä dataa, jota sitten käytetään mainosten kohdentamiseen ja palveluiden kehittämiseen - kenties johonkin muuhunkin, mitä emme osaa edes kuvitella. Cambridge Analytica -kohu osoitti, miten ulkopuolisetkin tahot voivat hyödyntää henkilötietoja uusilla, ovelilla tavoilla.

Tietojen keräämistä voi rajoittaa, mutta ei kokonaan estää. Olemme älypuhelinten ja nettipalveluiden vankeja. Sanotaan, että jos palvelu on ilmainen, sinä olet tuote, mutta ei se ihan niin yksinkertaista ole. Maksan Hesarista, ja silti se kohdistaa minulle mainoksia aivan kuten amerikkalaiset somepalvelutkin. Amazon profiloi maksavia asiakkaitaan, samoin Spotify ja Netflix, ja käyttää tietoja mainoksiin palvelun sisällä. 

Datataloudessa roolit sekoittuvat, eikä vanhan kaltaista jakoa enää ole. On pakko tunnustaa realiteetit: wanhaan maailmaan ei ole paluuta. Käyttäjän on kuitenkin syytä ymmärtää digiajan pelisäännöt: mihin luovutan tietojani ja mitä saan vastineeksi. Tarvittaessa luovutusta voi rajoittaa, kerätyt tiedot tarkistaa ja vaatia niiden poistamista.

Aihe on ajankohtainen juuri nyt, kun Facebook ja Instagram alkoivat tarjota maksullista versiota. Se ei ilmeisesti estä tietojen keräämistä, mutta poistaa kohdennetun mainonnan. Harva on valmis maksamaan tästä ilosta mobiilissa 150 euroa vuodessa, mikä voi hyvinkin olla mainosten tuotto yhtiölle ja siten maksuna kohtuullinen. Tietosi ovat ainakin sen arvoisia. Toisaalta maailmanlaajuinen palvelu ei toimi pelkällä pyhällä hengellä, joten hyödylliseksi koetusta palvelusta pitääkin maksaa.

Ihminen luopuu mieluummin tiedoistaan kuin rahoistaan. EU pyrkii suojelemaan kansalaisia, mutta viime kädessä ihmisellä on oltava oikeus myös luovuttaa tietonsa, jos itse niin haluaa. Ehkä EU yrittää sääntelyllä myös tukea kotimarkkinoiden nettipalveluita. Vaikka GDPR on ollut monella tavalla menestys, siitä ei ole tullut kilpailuvalttia eurooppalaisille yrityksille, koska muuallakin maailmassa tietojen hyödyntäminen koetaan paremmaksi vaihtoehdoksi kuin rahalla maksaminen. 

On siis opittava elämään datataloudessa. Siihen liittyen on hyvä tarkistaa, mitä tietoja palvelut meistä keräävät ja miten keräystä voi rajoittaa.

Ilmiselvien seurantamuotojen lisäksi Google ja Facebook tarkkailevat käyttäjän toimintaa ulkoisissa palveluissa, jotka sijoittavat pikselinsä (pätkä koodia) verkkosivuilleen. Kun hakee verkkokaupan sisällä tai Googlella jotain tuotetta, sen mainokset ilmestyvät Googlen myyminä muille nettisivuille tai Facebookin syötteisiin.

Facebookin asetuksissa on kohta Facebookin ulkopuolinen toiminta, joka listaa muista palveluista saatujen käyntitietojen (evästeet, seurantapikselit ym) määrän. 

Facebookin ulkopuolinen toiminta.

Seurannan voi tyhjentää tai katkaista palvelukohtaisesti. Toisaalta tiedot auttavat Facebookia mainosten lisäksi valitsemaan relevantteja päivityksiä, joten tiedoista voi olla hyötyäkin.

Yleisiä ohjeita datatalouden tietosuojan parantamiseen:

• Käytä palveluita tietokoneen selaimella, älä mobiilisovelluksella (äppi). Sovellus pystyy lukemaan sijainnin, osoitekirjan, kuva-arkiston, wifi-verkon tiedot, laitetunnukset ym. Selain ei tähän pysty.
• Älä luovuta osoitekirjaa palveluun, koska siinä menevät myös sellaisten henkilöiden tiedot, jotka eivät halua sosiaaliseen mediaan.
• Kirjaudu ulos palveluista käytön jälkeen. Pelkkä Facebookin ikkunan sulkeminen ei riitä. Kun kirjautuminen on voimassa, Facebookin mainosalgoritmi näkee toiminnan muissa nettipalveluissa.
• Kokeile eri selaimilla ja suojaohjelmilla. Chrome on luultavasti pahin, sillä Googlen bisnes perustuu juuri mainontaan.
• Käytä mahdollisuuksien mukaan selaimen yksityistä tilaa. Se rajoittaa evästeiden käyttöä ja tallentumista.
• Lue käyttöehdot ja rajoita palvelun asetuksia. Käytännössä nämä ovat vaikeita, sillä ehdot ovat vaikeasti tulkittavaa juristeriaa ja varaavat kaikki mahdolliset oikeudet palvelulle, vaikka niitä ei käytettäisikään. Ehdot saattavat myös muuttua. Sama pätee asetuksiin, joiden vaikutusta on hankala hahmottaa ja jotka lisääntyvät koko ajan.
• Tarkista puhelimessa oikeudet, joita mobiilisovelluksille on annettu. Poista esim. kamera, mikrofoni ja yhteystietojen käyttö sellaisilta, jotka eivät niitä tarvitse.
• Myös kotimaiset kivijalkakaupat tekevät keräävät tietoja bonuskorteilla ja kohdentavat mainontaa sen perusteella. Harkitse, mitä tietoja annat. Datatalous ei koske vain ulkomaisia yrityksiä, se on kilpailutekijä myös kotimaisilla yrityksillä.

SITRAn Digivalta-selvityksessä keväällä 2022 nousi esiin tieto, jonka mukaan Miapetra Kumpula-Natrin ostot kodinkoneliikkeestä olivat päätyneet Facebookin tietoon. Tämä on kiinnostava ja huolestuttavakin asia, sillä se yhdistää reaali- ja verkkomaailman. Miten paljon datatalous koskee kivijalkapalveluita?

Metalla on Yhdysvalloissa käytössä ns. offline conversion -tekniikka, jossa kauppiaat voivat lähettää Facebookiin tietoja suoraan omista asiakasjärjestelmistään. Näin selviää, miten tehokasta oma mainonta FB:ssä on, ja kuinka moni mainoksen nähnyt osti kyseisen tuotteen.

On kuitenkin epäselvää, onko tällainen ohjelma käytössä Suomessa - käsittääkseni ei. Jos tieto ostosta on mennyt Facebookille, se on saattanut siirtyä verkosta sähköisen kuitin, noutoilmoituksen tai haun seurauksena. USA:ssa tieto voi välittyä myös Google/Apple Payn -maksujen kautta.

Jos tiedät, että jokin suomalainen kivijalkakauppa välittää ostotietoja someyhtiöille, olisi kiinnostavaa kuulla asiasta. Siihen asti pidän asiaa huhuna. Ainakaan tiedot ostoista eivät siirry spontaanisti somejäteille.

Sen sijaan on varmaa, että tieto kaupassa käymisestä välittyy Googlelle sijaintitietojen perusteella, jos paikannuspalvelut on puhelimessa sallittu. Tiedoista ei kuitenkaan näe, ostettiinko jotain, eikä edes kauppa ole aina oikea.

Datatalouden aikakausi vaatii asiallista tietoa, jotta kuluttajat voivat itse tehdä valistuneita päätöksiä omasta ostokäyttäytymisestään. Data on arvokasta sekä ihmiselle että sitä hamuavalle yritykselle.

Kotiosoitteesi voi olla julkista tietoa

Sain kyselyn hämmästyneeltä käyttäjältä, joka oli soittanut pienyrittäjälle ja kysynyt tarjousta palvelusta. Ennen kuin soittaja oli ehtinyt sanoa edes nimeään, yrittäjä oli jo tiennyt, mihin osoitteeseen palvelua haluttiin. 

Kaiken viimeaikaisen gdpr-kohun jälkeen luulisi, että kotiosoite on tiukasti salassa pidettävää tietoa. Ei ole. Aikojen muuttumisesta huolimatta kansalaisten osoitetiedot ovat edelleen julkisia, ellei niitä erityisesti pyydetä yksityisiksi. Kun puhelin soi, numerosta näkee soittajan ja esimerkiksi Fonecta-haulla selviää samantien kotiosoite.

Käsittelin näitä asioita viime vuonna ilmestyneessä Digiajan tietosuoja -kirjassani. Siinä lanseerasin käsitteen rekisteriturvallisuus, joka viittaa ihmisen tietoisuuteen omista rekisterimerkinnöistään, niiden julkisuuden asteeseen sekä tietojen oikeellisuuteen. 

Jos kotiosoitteensa haluaa salata, se kannattaa tehdä oman mobiilioperaattorin verkkopalvelussa. Samalla kannattaa suojata tiedot Traficomissa (jos omistaa auton) sekä Väestötietojärjestelmässä (VTJ), josta niitä muuten luovutetaan esimerkiksi puhelinpalveluna kysyjille.

Vastaamon tietoturva-asiat olivat täydessä kaaoksessa

Vastaamon toimitusjohtajaa vastaan nostetut syytteet antavat järkyttävän kuvan tavasta, jolla yhtiössä suhtauduttiin tietoturvaan. Hiukset nousevat pystyyn lukiessa sekä Helsingin Sanomien että Iltalehden juttuja tapahtuneesta. 

Muutama esimerkki: virtualisointiohjelma oli piraattiversio, potilasrekisterin root-käyttäjällä ei ollut salasanaa (tämä uutisoitiin jo 2020, mutta sitä ei voinut uskoa todeksi), it-osastolla ei ollut budjettia, tietosuojavastaavalla ei ollut koulutusta asiaan ja niin edelleen. Tietoturvaongelmista ja kiristysviesteistä vaiettiin. Toimitusjohtaja panosti kaiken vain yhtiön laajentamiseen ja sen arvon kasvattamiseen. 

It-asioita hoiti kaksi kaveria, jotka oli palkattu lähinnä koodareiksi kehittämään järjestelmää. Kyberturvallisuuskeskuksen arvion mukaan tietoturvasta huolehtiminen olisi vaatinut 5-6 it-ammattilaisen työpanoksen.

Syyttäjä katsoi, ettei koodareita ole syytä epäillä rikoksesta, sillä he olivat kertoneet ongelmista ja puutteista toimitusjohtajalle. Ilmeisesti myöskään yhtiön hallitusta ei syytetä valvonnan laiminlyömisestä, koska vain perustaja/toimitusjohtaja Ville Tapio on syytteessä.

Tiedot herättävät eräitä ajatuksia.

GDPR on maineestaan huolimatta paperitiikeri. Jättisakot toimivat ulkomaisia nettijättejä vastaan, koska niillä on varaa maksaa, mutta Vastaamon tapauksessa sakoilla ei ollut merkitystä, koska yhtiö oli jo maksukyvytön. Tietosuojalain rikosoikeudellinen vastuu on mitätöntä yli 30 000 uhrille aiheutuneeseen vahinkoon verrattuna. 

Yhtiö voi ilmeisesti nimetä tietosuojavastaavaksi vaikka siivoojan, koska tietosuojavastaava ei nimestään huolimatta vastaa mistään. Tietosuojasta vastaavat toimitusjohtaja ja hallitus. Vastaavan tehtävänä on toimia vain yhteyshenkilönä ja vaikka hänen pitäisi raportoida havaitsemistaan puutteista johdolle tai viranomaisille, tämän laiminlyönnistä ei seuraa mitään.

Yhtiön pitäisi varmistaa, että tietosuojavastaavaksi nimitettävällä on edellytykset tehtävän hoitamiseen. Vastaamossa näin ei selvästikään ollut. Nähtäväksi jää, syytetäänkö tästä Tapiota oikeudessa. Yhtä hyvin hän olisi voinut nimittää vaikka siivoojan. 

Herää myös kysymys, miksi it-henkilö itse hyväksyi nimityksen ja esiintyi Vastaamon sivulla nimen ja valokuvan kera tietosuojavastaavana, jos hän itsekin katsoi, ettei pysty hoitamaan tehtävää. Kuva ja nimi sivulla loivat asiakkaille valheellisen kuvan siitä, että joku oli vastuussa. 

Vastaamon julkinen seloste tietosuojavastaavan tehtävistä.

Rivin katkeamisesta kesken lauseen voi päätellä, ettei koko asiaa otettu vakavasti. 

Näyttää vakuuttavalta, mutta on vain tekstiä bittiavaruudessa.

Oli asema organisaatiossa mikä tahansa, vakavista terveyteen kohdistuvista ongelmista pitäisi olla sekä juridinen että moraalinen ilmoitusvelvollisuus. Lojaliteettivelvoite ei voi estää tekemästä ilmoitus viranomaisille - vaikka sitten nimettömänä - jos johto ei reagoi vaarallisiin käytäntöihin. Se on kansalaisvelvollisuus, vaikka olisi pelkkä asiakas.

Myös viranomaiset voivat katsoa peiliin. Valvirassa järjestelmiä valvoo yksi henkilö, mutta omatekoisia tietojärjestelmiä käyttävän Vastaamon olisi pitänyt olla listan kärjessä. Yksikin auditointi tai tarkastuskäynti olisi viestinyt toimitusjohtajalle, että tietoturvaan on panostettava. Ennen GDPR:n voimaantuloa peloteltiin, että tietosuojavaltuutetun toimisto tulee tekemään tarkastuksia yrityksiin. Vastaamon olisi pitänyt tietojen laajuuden ja arkaluonteisuuden vuoksi olla myös heidän listansa kärjessä.

Viranomaiset kiertävät kyllä valvomassa anniskelulupia, työoloja ja verojen maksua, mutta tietoturvaa ei edelleenkään oteta vakavasti.

It-ammattilainen: tunne vastuusi! Jos näet, että organisaation järjestelmät ovat niin pahasti retuperällä, että ne aiheuttavat vaaraa ihmisten terveydelle, tee nimetön ilmoitus viranomaiselle tai vihjaa vaikka medialle. Vastaamo ei saa toistua.

OmaPostin maksut herättivät pelon urkinnasta - tietosuoja kiinnostaa kansalaisia

Posti on alkanut käyttää maksuvälittäjänä norjalaista Neonomicsia. Kun OmaPostiin tulleen laskun haluaa maksaa, valitaan ensin oma pankki ja sen jälkeen näytölle tulee välittäjän ikkuna.

Mitä ihmettä?

Ikkunassa Neonomics ilmoittaa saavansa 90 päivän käyttöoikeuden asiakkaan pankkitiliin sekä mm. oikeuden erilaisiin pankkitietoihin, aina viimeisten 12 kuukauden tilitapahtumia myöten. Siis mitä?

Tässä vaiheessa moni asiakas on vetänyt herneen nenään ja kysynyt Postilta, mitä tämä tarkoittaa. Miksi joku ulkopuolinen taho vaatii pääsyä pankkitietoihini, vaikka maksan laskun suoraan pankkitililtä? Vastaavia virityksiä on nähty ennenkin mm. Klarnalta, mutta niissä tarjotaan samalla maksuaikaa tai laskun jakamista osiin, joten tietojen kysyminen voi olla perusteltua luottopäätöstä varten. Suoran verkkomaksun tapauksessa tällaisia tietoja ei ole mitään syytä kysyä.

Postin vastaus on ollut ylimalkainen. Se vetoaa Neonomicsin omaan ilmoitukseen, jonka mukaan he saavat vain tarpeellisia tietoja. Tämä ei kuitenkaan riitä. Postin olisi pitänyt itsekin nähdä, että turhien tietojen kysyminen on GDPR:n vastaista. Vastuuta ei voi siirtää Norjaan. Yhtä lailla väärin on se, että vaaditaan (ei siis pyydetä) lupia, joita ei sitten käytetäkään. Suostumuksen on oltava aidosti vapaaehtoinen, kuten evästeissä. Tässä se ei ole. 

Posti teki saman virheen kuin Traficom joulukuussa 2018. Vaikka asiakkaat reklamoivat ajokortin tietopalvelusta, Traficom ei selvittänyt asiaa riittävästi ja reagoi vasta, kun asia nousi uutisiin. Siitäkin tuli monenlaista sotkua.

Posti ei ollut valmistautunut vastaamaan asiasta nousseisiin kysymyksiin vielä tänäänkään, joten asia sai velloa somessa ja perinteisessä mediassa pitkään. Uutisten lisäksi se poiki kyselyn omistajaohjauksesta vastaavalle ministerille. 

Taustalla on PSD2-direktiivi, joka velvoittaa pankkeja päästämään muita yrityksiä laskutietoihin. Näin pyritään ilmeisesti kilpailun lisäämiseen ja uusien lisäarvopalveluiden kehittämiseen. Asiakkaan kannalta olisi parempi, jos verkkopankin maksu menisi jatkossakin suoraan ko. pankin sivulta, eikä ulkopuolisten välittäjien kautta. Ilmeisesti ulkopuolinen välittäjä pystyy kuitenkin kilpailuttamaan pankkeja ja yritykselle (tässä Postille) sen integrointi omaan järjestelmään on helpompaa, kun tarvitaan vain yksi rajapinta. 

PSD2 muistuttaa surullisenkuuluisaa taksiuudistusta. Haluttiin tuoda kilpailua ja avata peliä uusille toimijoille. Kilpailu löi kuitenkin korville (liikenne)turvallisuutta ja arkista käyttöä. Kilpailu ei ole mikään taikasana.

Minkä Posti säästää, sen asiakas maksaa - joko ajankäytössä tai tietoturvassa. On ristiriitaista, että kansalaisia kehotetaan varomaan pankkihuijauksia, samalla kun pankkien aidot maksut menevät yhä vaikeammiksi ja alkavat itse muistuttaa huijauksia.

Kaikesta selittelystä huolimatta jäi vastaamatta, miksi Neonomics varaa itselleen 12 kk oikeuden, kun sitä ei todellakaan tarvita mihinkään. Ehkä ilmoitus on sama kaikille yrityksille ja joillakin markkinoilla Nenomics tarjoaa luotollisiakin maksuja? Mutta silti Postin olisi itse pitänyt puuttua tähän. Esimerkiksi Paytrail vaatii vain 15 minuutin käyttöoikeuden tiliin, jotta maksu saadaan suoritettua. Se on kohtuullista, tämä ei. Vastauksessaan Neonomics väittää, ettei se voi vaikuttaa pankeilta tulevaan tekstiin, mutta tämä ei voi olla todellinen syy. Klarna pystyi vaikuttamaan, eikä mikään toinen välittäjäpalvelu esitä vastaavia vaatimuksia.

Ihmisten reaktiot Twitterissä olivat pöyristyneitä ja vihaisia. Mukana oli ehkä Postin heikentyneitä jakelupalveluita kohtaan tunnettua suuttumusta, mutta myös huoli omien henkilötietojen päätymisestä ulkomaiseen (joskin Norja kuuluu GDPR-alueeseen) palveluun herätti aidosti huolta. Tässä suhteessa tietoisuus tietosuojasta on kehittynyt ja sitä osataan vaatia.

Neonomicsin toiminta herättää silti ihmetystä. Tietosuojaselosteessa viitataan mahdollisuuteen, että tilitapahtumista profiloidaan esimerkiksi jäsenmaksuja puolueille. Se on arkaluonteista tietoa, jota ei missään nimessä pitäisi kerätä tällaisessa tilanteessa. 

Toinen kummajainen on Neonomicsin lupaus tietojen tarkistamiseen - kunhan pyyntö lähetetään tavallisella sähköpostilla. Miten yritys tarkistaa, onko lähettäjä aidosti tilin omistaja vai pyydetäänkö tietoja jonkun toisen puolesta? Tarkistuksen pitäisi aina perustua vahvaan todennukseen.

Päivän sotkusta kannattaa oppia se, että tilitapahtumat ovat hyvin luottamuksellista tietoa, johon ei kannata päästää ketä tahansa. Lupapyynnöt kannattaa lukea tarkoin, eikä mihin tahansa pidä suostua. Ja yritysten kannattaa varmistaa, että heidän toimintansa näyttää oikealta myös asiakkaisiin päin. Ulkopuolisen palvelun selän taakse ei voi piiloutua, kun jotain ikävää osuu tuulettimeen.

Yksi identiteettivarkaus lisää

Juttelin eilen identiteettivarkauden uhriksi joutuneen nuoren naisen kanssa. Hänen passinsa oli varastettu ullakkomurron yhteydessä ja sen tiedoilla alettiin nostaa lainoja yhdeksän kuukautta myöhemmin.

Nainen syyllisti itseään, koska oli säilyttänyt passia ullakolla. Se oli ehkä vähän varomatonta, mutta hän ei missään tapauksessa itse ollut syyllinen. Oikea syyllinen oli varas. Ihmisten pitää lopettaa itsensä syyllistäminen ja nähdä, että tekijät ovat rikollisia. Varmuuden vuoksi kannattaa toki säilyttää passia kotona, sillä luultavasti asuntomurrot ovat harvinaisempia kuin ullakkomurrot, mutta kumpiakin tapahtuu.

Nainen ihmetteli, miksi henkilötunnuksen avulla pystyy edelleen tilaamaan tavaroita ja hakemaan lainoja toisen nimissä. Se on hyvä kysymys. Luotollisten palveluiden kohdalla myöntäjän pitäisi tarkistaa henkilöllisyys riittävän turvallisesti. Nimi, kotisoite, puhelinnumero ja henkilötunnus ilmeisesti riittävät monelle, vaikka osa tiedoista on helppo selvittää julkisista lähteistä.

Juuri sen vuoksi jokaisen kannattaa laittaa oma rekisteriturvallisuutensa kuntoon ja selvittää, mitä henkilötietoja heistä on saatavissa.

Käsittääkseni henkilötunnus on vain yksi henkilötieto, jonka varassa luottopäätöksiä tehdään. Se ei varsinaisesti ole avain petokseen eikä rikoksen mahdollistaja. Se ei todenna hakijan henkilöllisyyttä, mutta ilmeisesti painaa edelleen liikaa kokonaisarvioinnissa.

Uhri oli tehnyt rikosilmoituksen netissä. Hän ei kuitenkaan saanut poliisilta mitään neuvoja, miten suojautua. Apu löytyi lopulta Rikosuhripäivystyksestä. He neuvoivat ottamaan omaehtoisia luottokieltoja (jotka joutuu itse maksamaan) ja suojaamaan kotiosoitteen sen muuttamista vastaan. Ohjeita on koottu myös Tietovuotoapu-sivulle. Kirjassani Digiajan tietosuoja (Tammi 2022) olen käsitellyt aihetta yhden luvun verran. 

Jotain myönteistä kehitystä oli sentään tapahtunut. Uhri kertoi saaneensa veloitukset kiistettyä rikosilmoitusta näyttämällä, eikä hän joutunut riitelemään ja todistamaan syyttömyyttään. Se on hyvä, mutta tekojen ei pitäisi ehtiä näin pitkälle alunperinkään.

Vastaamon katastrofi nosti identiteettivarkaudet otsikoihin ja tuoreen uutisen mukaan uhrien tiedoilla on tehty petoksia. Suhtautuminen viranomaisissa ja kauppiaissa on muuttunut uhreja paremmin ymmärtäväksi, mutta parantamisen varaa tuntuu vielä olevan.

Suurin ihmetys on kuitenkin tämä: miten toisen henkilön nimissä voi ottaa lainoja tai tilata tavaroita ilman vahvaa tunnistamista? Hallitus puuhastelee sukupuolineutraalin henkilötunnuksen kanssa, mutta rikoksen uhrien auttaminen on jäänyt puolitiehen. 

Digiajan tietosuoja -kirja

Järjestyksessään 34. kirjani on ilmestynyt. Digiajan tietosuoja (Tammi 2022) käsittelee ajankohtaisia kysymyksiä: henkilötunnusta ja sen uudistamista, sähköistä tunnistamista, nettiurkinnalta suojautumista, tietosuojalakien hyviä ja huonoja puolia, somejättien valtaa sekä aiheen tulevaisuudennäkymiä.

Digiajan tietosuoja

Kirjassa esittelen uuden käsitteen: rekisteriturvallisuus. Jokaisen kannattaa tarkistaa, mitä tietoja itsestä on tallennettu viranomaisten palveluihin (VTJ, PRH, Traficom, opintorekisterit ym), numeropalveluihin (kuten Fonecta) ja erilaisten yritysten rekisterihin. Jälkimmäisessä GDPR:n antamat tarkastusoikeudet ovat suureksi avuksi. Tiedot saattavat yllättää. Joka tapauksessa ne auttavat näkemään tietojen keräämisen yritysten näkökulmasta: tietoja on yksinkertaisesti liikaa eri järjestelmissä, eikä kaikkea pystytä hyödyntämään.

Käsittelen kirjassa myös kiinnostavaa kysymystä: salakuunteleeko Facebook meitä? Monella on liki paranormaaleja kokemuksia siitä, miten Facebookin mainokset tuntuvat vaihtuvan puhuttujen tai jopa ajateltujen asioiden mukana. Mutta onko se totta, vai onko ilmiölle muita selityksiä -- kuten syntymäpäiväparadoksi? 

Lausetta "Yksityisyys on kuollut" on toistettu aina 1990-luvun lopusta lähtien. Se ei kuitenkaan pidä paikkaansa. Yksityisyyttä on edelleen ja siitä voi pitää kiinni jatkossakin, jos vain jaksaa nähdä vaivaa. Hyvä esimerkki ovat bonuskortit, joita ihmiset keräävät näennäisten alennusten ja bonusten vuoksi. Itselläni ei edelleenkään ole yhtään bonuskorttia.

Tämä on kolmas kirjani tästä teemasta. Edelliset ovat Tietoturva ja yksityisyys (2002) ja Yksityisyys - turvaa digitaalinen kotirauhasi (2010).

Kolme kirjaa yksityisyyden teemoista 20 vuoden ajalta.

Kolme kirjaa noin 10 vuoden välein antaa perspektiiviä yksityisyyden käsitteen ja odotusten muuttumiseen. Vuonna 2010 aihe kyllä kiinnosti, mutta harva oli valmis tekemään mitään yksityisyytensä suojaamiseksi. Vuonna 2022 aihe on toistuvasti uutisissa, ja kiitos GDPR:n pienetkin mokat uutisoidaan vakavina tietosuojan loukkauksina. 

Eniten on muuttunut älypuhelimen rooli elämässämme. Vuonna 2010 puhelimen tietosuojariskit liittyivät lähinnä sen kadottamiseen ja Bluetoothilla leviäviin viruksiin. Vuonna 2022 älypuhelin on meitä tarkkaileva digitaalinen jalkapanta, joka seuraa tekemisiämme ja ottaa elämämme haltuunsa jo taaperoiästä lähtien. 

Puhelin tuntee meidät, mutta me emme tiedä puhelimesta juuri mitään. Sillä on oma, salattu elämänsä. Tämä tiedon ja valvonnan epäsymmetria on aikamme suurin haaste yksityisyydelle. Olisi houkuttelevaa palata Nokian Symbian-puhelimiin, mutta se on käymässä mahdottomaksi 3G-verkkojen sulkemisen myötä. 

Jos vielä palaan aiheeseen 2030 tämä on epäilemättä suurin yksityisyyteen liittyvä teema. Tulee olemaan mielenkiintoista nähdä, löydämmekö siihen minkäänlaista ratkaisua.

Digiajan tietosuoja (Tammi 2022), 334 sivua. Saatavilla myös ääni- ja e-kirjana (BookBeat, Elisa kirja, Supla).

Kirjan tietoihin tulleita lisäyksiä

• Google ilmoitti kieltävänsä puheluiden nauhoitusohjelmat (22.4.2022), sivu 224)
• Varoittava esimerkki henkilötietojen merkityksestä: Venäjän hakkerit varastivat Ukrainan tietokantoja sodan jälkeisiä puhdistuksia varten. Myös Suomen vanhoja rekisteritietoja on kerätty valehenkilöllisyyksien luomiseksi. Korostaa rekisteriturvallisuuden merkitystä. Venäjä kerää lännessä tietoja, joita voidaan käyttää karmiviin tarkoituksiin sodan päätyttyä (IL 11.5.2022).

Koronapassin tietoturva

Viime yönä käyttöön otettu koronapassi herättää kiinnostusta. Miten se oikein toimii? Seuraavassa muutama havainto asian teknisestä puolesta. En ota kantaa todistuksen sisältöön (rokotettu, sairastettu tms).

Omakanta-palvelussa on pdf-tiedosto, joka sisältää tiedot rokotuksen ajankohdasta, käytetystä rokotteesta sekä perusmuotoiset henkilötiedot (koko nimi, syntymäaika). Kaikki nämä tiedot on myös tallennettu QR-koodiin. Pdf-tiedoston voi ladata puhelimeen tai QR-koodista voi ottaa ruutukuvan. Live-tarkistus Omakannasta on sekin mahdollista, mutta hidasta ja kömpelöä, joten kannattaa ladata koodi puhelimeen etukäteen. Todistuksen QR-koodeineen voi myös tulostaa paperille.

Tarkastusta varten on kansallinen sovellus nimellä "Koronatodistuksen lukija", joka valmistui eilen. Sovelluskaupassa on useita lähes samanlaisia ohjelmia, joten kannattaa hyödyntää THL:n sivulla olevia suoria linkkejä: Android ja iOS (Apple). Muuten on vaara, että tulee ladanneeksi jonkin feikkisovelluksen tai sellaisen, joka takaoven kautta välittää luettuja tietoja tekijälleen.

Lukija on tarkoitettu tilaisuuksien järjestäjän käyttöön, mutta sen voi ladata kuka tahansa ja tarkistaa vaikkapa oman koodin toimivuuden. 

Aivan aluksi lukijaohjelma lupaa olla keräämättä henkilötietoja. Baaria tms. varmasti kiinnostaisi tallentaa kaikkien illan aikana käyneiden asiakkaiden nimet, mutta ainakaan tämä ohjelma ei sitä tee. Joku voi tietenkin koodata oman lukijasovelluksen, joka tallentaa tiedot. Ne voisivat kiinnostaa myös viranomaisia, jos baari myöhemmin osoittautuu koronalingoksi ja altistuneet halutaan tavoittaa.

Sovellus lupaa olla keräämättä henkilötietoja.

QR-koodi sisältää samat tiedot kuin pdf-tiedostokin, mutta suomalainen lukija näyttää niistä vain nimen ja kertoo väreillä, onko koronatodistus ("koronapassi") voimassa vai ei. 

Koronapassi voimassa.

Tarkistajan pitäisi verrata, että todistuksessa oleva nimi vastaa henkilöllisyystodistuksen nimeä, mutta luultavasti tämä tarkistus jää usein tekemättä, ja silloin passi ei ole minkään arvoinen. QR-kuva tai paperituloste voi olla täysin toiselta henkilöltä.

Nuoren henkilön on baariin pyrkiessään pystyttävä todistamaan ikänsä, mutta 40+ vuotiailla ei välttämättä ole henkkareita mukana, etenkin jos on tullut kävellen lähikapakkaan tai ei omista ajokorttia.

QR-koodin tietoja ei voi lukea tavallisen QR-lukijalla, sillä tiedot ovat koodatussa muodossa ja niissä on tietojen muokkaamisen estävä digitaalinen allekirjoitus. Oman passin väärentämisen pitäisi siis olla liki mahdotonta.

Vaikka suomalainen lukija näyttää vain nimen ja voimassaolon, QR-koodi sisältää myös syntymäajan, rokotusajankohdan ja tiedot käytetyistä rokotteista. Oma lukijaohjelma voisi purkaa nämäkin tiedot, sillä vaikka tiedot ovat koodattuja ja allekirjoitettuja, niitä ei ole salattu. Ihan helppoa oman ohjelman koodaaminen ei kuitenkaan ole. 

Jos jakaa oman pdf-koronatodistuksen tai siitä otetun ruutukuvan sosiaalisessa mediassa, tulee jakaneeksi rokotustiedon lisäksi syntymäaikansa ja koko nimensä. Pelkkä QR-koodin jakaminen riittää samojen tietojen paljastamiseen. Rokotustiedot voitaneen rinnastaa terveystietoihin, mutta jos ne jakaa oma-aloitteisesti, ei asiassa pitäisi olla mitään ongelmaa. 

Syntymäajasta voi lähteä arpomaan henkilötunnusta. Koko nimi voi olla hyödyllinen jossain petoksissa, mutta molempien väärinkäyttö vaatii lisätietoja. Jakamista ei voi siis pitää erityisen vaarallisena, mutta ei toisaalta suositeltavanakaan. Omien henkilötietojen levittäminen kannattaa aina minimoida.

Selaimessa toimiva irlantilainen lukija kertoo suomalaista lukijaa enemmän tietoja: 

Irlantilainen koronapassin lukija.

Uutena tietona suomalaiseen verrattuna on rokotuspäivämäärä.

Koronapassi on hieman epäonnisen Koronavilkun jälkeen osoitus siitä, miten moderni tekniikka auttaa epidemioiden hallinnassa. Tällaisia keinoja täytyy käyttää jatkossakin, mutta tietosuojahuolet on otettava vakavasti. Järjestelmään jää helposti aukkoja, joita voidaan käyttää väärin.

Koronapassin haltijalla ei ole mitään keinoa varmistaa, että tarkistajan ohjelma on virallinen, eikä kerää nimi- ja syntymäaikatietoja. Tällä hetkellä tarkastus on luottamuksen varassa.

Lisäys 17.10.2021: Kuulin, että koronapassi ei kelpaa rajalla, siellä pitää olla alkuperäinen todistus Omakannasta. Nimestään huolimatta tämä "passi" ei ole matkustusasiakirja, koronapassi on tarkoitettu vain yritysten käyttöön. Toisaalta QR-koodi sisältää kaikki tarvittavat tiedot, joten rajavartijat voisivat lukea omalla sovelluksellaan samat tiedot mitkä Omakannan todistuksesta käyvät ilmi.

Jos haluaa nähdä kaikki tiedot, voi käyttää esim. Belgian Covid Scan -lukijaa. Toisin kuin Suomen versio, ohjelma on tarkoitettu rajatarkastuksiin ja siinä on eri vaihtoehdot eri maista tuleville. 

Ohjeet maahan saapuvalle.

Varsinaiset QR-koodin tiedot näkyvät seuraavalla sivulla:

Nimi, syntymäaika, rokotteen ja rokotuksen tiedot.

Suomen sovellus näyttää tietosuojasyistä vain minimitiedot, mikä on ihan hyvä ratkaisu koronapassin käyttötarkoitusta ajatellen.

Lisäys 20.10.2021: Uutisten mukaan joku kaupittelee väärennettyjä koronapasseja 500 eurolla. Kyse on joko a) huijauksesta, b) joku sisäpiiristä pystyy allekirjoittamaan digitaalisesti vääriä todistuksia aidolla avaimella tai c) allekirjoitusavain (sen yksityinen, salainen osa) on vuotanut, ja kohta kuka tahansa voi luoda väärennöksiä. 

Löysin pimeästä verkosta myös sivun, joka lupaa eri maiden koronapasseja 75 dollarilla. Joukossa on myös Suomi:

Väärennös myynnissä 75 dollarilla.

On todella ihmeellistä, jos joku maksaa mielummin 75 dollaria pimeän verkon tuntemattomaan palveluun kuin ottaa ilmaisen rokotuksen ja saa ilmaisen aidon passin.

Facebook-vuodon jälkipyykkiä

Facebook on antanut oman selityksensä tietovuodolle. Sen mukaan kyseessä oli tekniikka, jolla Facebookista pystyttiin etsimään ihmisiä puhelinnumeron avulla. Joku oli tehnyt Facebookia matkivan sovelluksen, joka etsi suuren määrän ilmeisesti satunnaisia puhelinnumeroita ja keräsi niihin liittyviä julkisia tietoja (nimi, työnantaja, parisuhdestatus ym) tiedostoksi.

Mikko Hyppönen kutsui temppua varkaudeksi. Verbi varastaa on tässä yhteydessä raju. Jos puhelinnumerot löytyvät kokeilemalla, onko niiden kerääminen varkaus? Entä niiden takana olevien tietojen yhdistäminen tiedostoksi? Perinteisen maailman käsitteiden soveltaminen digimaailmaan ei ole ihan suoraviivaista.

Tuloksena oli joka tapauksessa jättikokoinen tietokanta ja tietosuojakohu, joka sai pääsiäisen pyhinä monet huolestumaan. Suomalainen Teemu kehitti pikavauhtia vuoto.fi-palvelun, josta pystyi tarkistamaan, oliko oma puhelinnumero vuodettujen joukossa. Palvelu perustui Teemun numeroista laskemiin sha-1-tiivisteisiin, joten kenenkään ei tarvinnut lähettää numeroaan palveluun. 

Ei kestänyt kauaa, ennen kuin muutamat tietoturvatutkijat olivat ladanneet Teemun kokoamat tiivistelistat ja palauttaneet muutoin yksisuuntaisen funktion takaisin alkuperäisiksi numeroiksi. Näin saatiin siis lista kaikista puhelinnumeroista, joita vuodossa oli.

Tämä kuulostaa pahalta, mutta lista ei muutenkaan ollut kovin salainen, sillä kohu nousi juuri siitä, että alkuperäinen lista tuli avoimeen verkkoon helposti löydettäväksi. Ja siinä listassa oli numeroiden lisäksi kaikki muutkin henkilötiedot. 

Jokainen tietoturvatutkija alkuperäisen listan helposti käsiinsä, joten sinällään sha-1-kääntö oli täysin turha. Se kuitenkin osoitti, miten vaikeaa on tarjota tietoa pseudonymisoituna tai osittain salattuna. Sha-1 tiedetään haavoittuvaksi, vaikka esimerkiksi Have I Been Pwned -palvelu käyttää juuri sitä. Puhelinnumerot oli helppo löytää kokeilemalla, koska niiden avainavaruus on suppea esimerkiksi salasanoihin verrattuna.

Vuoto.fi tarkistuspalvelu

Oliko Teemun tarjoama palvelu laiton, vaarallinen vai yleisölle hyödyllinen? Teemu itse ei juridiikkaa pohtinut. Vaikeaa se on asiantuntijallekin, edes näin jälkikäteen.

Viestintäviraston edustaja kritisoi palvelua sanoen "sen käyttö ei ole Kyberturvallisuuskeskuksen mielestä järkevää". 

Miten vuodosta huolestuneen kansalaisen olisi siis pitänyt menetellä? On inhimillistä haluta tietää, ovatko omat tiedot vuotaneet, vaikkei asialle voinutkaan tässä tapauksessa tehdä mitään.

Miksei Kyberturvallisuuskeskus tai poliisi tarjonnut tarkistuspalvelua? Niillä olisi ollut resursseja palvelun turvalliseen toteuttamiseen ja nähdäkseni myös lainmukainen käsittelyperuste.

Ilman Teemun palvelua moni kansalainen olisi lähtenyt hakemaan listaa ja ladannut sen kaikkine tietoineen itselleen. Tämä olisi ollut kokonaisuutena paljon huonompi vaihtoehto kuin helpon tarkistuspalvelun tarjoaminen.

Tällä hetkellä viranomainen suosittelee käyttämään Microsoftin työntekijän Troy Huntin perustamaa Have I Been Pwned -palvelua, johon vuodetut puhelinnumerot lisättiin juuri (kun vuoto.fi avattiin, HIBP käsitteli vain sähköpostiosoitteita ja salasanoja). Suositus on yllättävä, sillä australialaisen yksityishenkilön pyörittämällä palvelulla ei käsittääkseni ole laillista perustetta suomalaisten henkilötietojen käsittelyyn ja palvelun tarjoamiseen EU-alueelle. Voi epäillä, että palvelu on GDPR:n vastainen. Jos ei ole, tuskin on vuoto.fi palvelukaan, koska molemmat tekevät pohjimmiltaan saman asian.

Tämä ei jää viimeiseksi tietovuodoksi. Toivottavasti tiedottamista varten saadaan luotua selvät pelisäännöt ja pohdittua juridinen pohja kuntoon. Ei voi olla niin, että tietosuojalait estävät vahingoista kertomisen ja kansalaisten oikeutettuun huoleen vastaamisen, samalla kun viranomainen vetoaa kaiken kieltävään tietosuojalakiin. Uhreillakin on oikeutensa.

PS. Joku juristi voisi pohtia sitäkin, onko pelkkä puhelinnumeroiden lista (ilman nimiä tai mitään muita henkilötietoja) tietosuojalakien alainen? Onko pelkkä absoluuttinen numerosarja henkilötieto?

Maailman suurin puhelinluettelo - Facebookin tuore tietovuoto

Eilen 3.4.2021 joku vuoti Facebookilta pari vuotta sitten kaapatut käyttäjänimet ja puhelinnumerot verkkoon valtavana kokoelmana, jossa on yhteensä 533 miljoonan ihmisen tietoja. Suomen listassa on yhteensä 1 381 569 nimeä. Jostain syystä listan lopussa on kuitenkin suuri joukko Arabiemiraattien kansalaisia ja heidän tietojaan, joten suomalaisten numeroiden osuudeksi jää 1 214 441.

Kyseessä ei ole tavanomainen tietomurto, sillä tiedosto ei ole käyttäjätietokanta. Pikemminkin tiedot on kerätty koneellisesti jonkin porsaanreiän tai haavoittuvuuden kautta. Kaikista henkilöistä on puhelinnumero, Facebookin käyttäjänumero (joka on samalla hänen FB-sivunsa osoite) sekä nimi. Useimmista on sukupuoli (664 794 male, 544 908 female); joistakin lisäksi koti- ja syntymäkaupunki,  parisuhdestatus (Married, Single, Divorced, In a relationship ym), työnantaja (yrityksen/organisaation nimi) sekä syntymäaika. Sähköpostiosoitteita on 11 537 suomalaisen kohdalla.

Yksi rivi tiedostosta.

Joillakin tiedoissa näkyy vuosiluku (kuten itselläni 1987), joten sen täytyy olla valmistumisvuosi. Sukunimen ääkköset ovat UTF-muodossa, joten ne näkyvät Windowsin komentotulkin ikkunassa väärin.

Tiedot on kasattu jo 2019 ja niitä on myyty pimeässä verkossa. Tapaus uutisoitiin jo tuolloin. Voi olla, että saamasi huijauspuhelut ovat tulleet juuri tämän tietovuodon perusteella.

Facebook on itse vähätellyt tapausta, tietenkin. Mikään ei poista sitä vastuuttomuutta ja huolimattomuutta, jolla yritys on henkilötietoihin suhtautunut. Tämäkin vuoto on tapahtunut yli vuosi GDPR:n voimaantulon jälkeen, joten Facebookin olisi pitänyt tiedottaa asiasta paremmin. Olisi ihme, jos tästä ei tule firmalle isoja sakkoja.

Mutta minkälainen riski tämä on? Yleensä tietoturvatapauksia paisutellaan ja uhkia liioitellaan, varmuuden vuoksi. Kaikkia kerrannaisvaikutuksia on vaikea hahmottaa, mutta yritetään arvioida asiaa realistisesti. 

Joukossa ei ole kotiosoitteita eikä salasanoja, henkilötunnuksista tms. puhumattakaan. Tämä vähentää riskejä. Sähköpostiosoite on useimmilla Gmail-tyyppinen ilmaisposti, mitä yleisesti käytetään some-palveluissa. Se vähentää esimerkiksi Office 365-hyökkäysten vaaraa.

Merkittävintä tässä vuodossa on tietojen määrä. Yli puoli miljardia tietuetta on valtava määrä, vaikkei ennätys olekaan. Kyse on kuin maailmaan suurimmasta puhelinluettelosta, jossa on 106 maan ihmisen tietoja. Mitä vaaraa on puhelinluettelosta? Ennen niitä jaettiin koteihin painettuina. Mutta silloin luettelot olivat kansallisia eikä niiden tietoja voinut hyödyntää koneellisesti. Helsingin Puhelimen luettelo ei takuulla kiinnostanut aasialaisia tai afrikkalaisia rikollisia. 

Netin ansiosta nyt on toisin. Puhelinnumeroita voi käyttää huijauspuheluihin ja valheellisten sms-viestien lähettämiseen ("Olet saanut paketin...") vaikka toiselta puolelta maailmaa. Suurin vahinko on niillä, joiden puhelinnumero on salainen. Sen vuotaminen voi tietää monenlaisia harmeja ja pakottaa vaihtamaan numeroa.

Ehkä jotain nyt vuotaneita tietoja voi yhdistellä aiemmin vuotaneisiin tietoihin, mutta siinä pelkkä nimi on huono yhdistelyavain, eivätkä roistot halua tehdä käsityötä. Tältä osin pidän riskiä pienenä.

Listassa on henkilötietoja, jotka ao. henkilön profiilissa eivät näy ainakaan julkisesti (ei-kavereille). Kyse ei siis ole vain Facebookin julkisten tietojen vuotamisesta, vaan myös luottamukselliseksi tarkoitettuja tietoja on mukana. Erään kunnallisvaalien ehdokkaan sähköpostiosoite on listalla seta.fi-loppuinen, mikä saattaa olla henkilön itsensä mielestä arkaluontoinen tieto. 

On luultavaa, että lista alkaa levitä laajasti myös Suomen sisällä. Varsinkin puhelinmyyjien luulisi olevan siitä kovin kiinnostuneita, vaikka listan käyttö laitonta olisikin. Tämä voi näkyä jatkossa markkinointipuheluiden määrän kasvuna. 

Mitä siis nyt kannattaa tehdä?

Listassa ei ole läheskään kaikkia Suomen Facebook-käyttäjiä. Jos on käynyt vähänkin tuuri, omia tietoja ei listalta löydy. Vuodettuja tietoja on 1,2 miljoonaa, suomalaisia Facebook-käyttäjiä 2,7 miljoonaa -- on siis todennäköisempää, että juuri sinun tietojasi EI ole vuotanut kuin että niin on käynyt (vaikka Ylen uutisen otsikko sanoo toisin).

Netissä on palveluita, joista voi tarkistaa, onko itse ollut mukana tietovuodoissa (kuten Haveibeenpwned). Tällaisia palveluita on myös Suomessa, esimerkiksi Badrap.io ja F-Secure Identity theft checker. Niissä avaimena on aina sähköpostiosoite, joten tässä tapauksessa vain runsaat 11 500 suomalaista saa tiedon asiasta. Tietääkseni mikään tarkistuspalvelu ei vielä toimi puhelinnumeron perusteella, mutta nyt olisi hyvä syy lisätä se hakutekijäksi.

Niille, joiden tiedot ovat mukana, en voi antaa muuta neuvoa kuin odottaa ja seurata tilannetta. Tietoja ei saa pois. Facebookin salasanaa ei kuitenkaan tarvitse tämän vuoksi lähteä vaihtamaan. Facebookista eroamista jokainen lienee harkinnut jo aiemmin, eri syistä. Palvelusta on kuitenkin myös paljon hyötyä, joten itse en kehota ketään kategorisesti eroamaan somepalveluista.

Valitettavasti tämä on muistutus myös siitä, miten suojattomia olemme edelleen, tiukasta GDPR-tietosuojasta huolimatta. Vahinkoja sattuu edelleen eikä edes miljardisakkojen uhka saa yrityksiä toimimaan virheettömästi.

Ainoa varma tapa suojata omia tietojaan on olla luovuttamatta niitä. 

PS. Nyt illalla on avautunut suomalainen sivu, jolta voi tarkistaa, onko oma puhelinnumero vuodettujen joukossa: https://vuoto.fi/. Tein muutamia kokeiluita ja se näytti antavan oikeita tuloksia. 

Vihdoinkin toimia identiteettivarkaita vastaan

Vastaamon onnettomalla tietovuodolla on hyviäkin puolia. Vihdoin -- siis vihdoin! -- valtio on ryhtymässä toimiin identiteettivarkaita vastaan. Ongelma paljastui jo syksyllä 2011, kun nettiin vuodettiin suuri joukko henkilötietoja. Aluksi niiden käyttö oli satunnaista, mutta lopulta huumehörhöt keksivät, miten helppoa on tilata tavaraa uhrin nimissä ja myydä se eteenpäin.

Ongelma on ollut hyvin tiedossa. Verkkokaupat haluavat tehdä ostamisen mahdollisimman helpoksi, eivätkä vaadi ostajan vahvaa tunnistamista. Tuote myydään laskulla, jota varten luottokelpoisuus tarkistetaan henkilötunnuksen perusteella. 

Sopiva hetki tiukennuksiin olisi ollut syyskuussa 2015, jolloin identiteettivarkaus lisättiin rikoslakiin. Sekin tapahtui kansainvälisen sopimuksen velvoittamana ja Suomen pykälä jäi hampaattomaksi. Rangaistus on niin lievä, ettei poliisi voi käyttää pakkokeinoja ja uhrin on osoitettava, että identiteettivarkaus on aiheuttanut merkittävää haittaa.

Tilauspetokset ovat aina olleet rikoksia, identiteettivarkauden pykälä liittyy lähinnä netin valeprofiileihin ja muuhun kiusantekoon. Lisäksi pykälä tekee tilauspetoksen tapauksessa asianomaisen, huijattu kauppias ei ole ainoa uhri.

EU tuli tässäkin avuksemme. PSD2-direktiivi velvoittaa vahvaan todennukseen pankkiasioinnissa. Pelkkä salaa kopioitu tunnuslukutaulukko ei enää riitä.

Nyt verkkokauppojen porsaanreiät halutaan vihdoin tukkia. Jatkossa vahvaa tunnistautumista edellytettäisiin kaikkien kuluttajaluottosopimusten tekemiseltä. Pitäisi olla niin, ettei ilman vahvaa tunnistamista verkosta tilattu tuote tai palvelu ole perintäkelpoinen. Se kannustaisi kummasti kauppoja pankkitunnusten tai mobiilivarmenteen käyttöön.

Luotto- ja tietojenluovutuskiellot ovat hajallaan eri puolilla nettiä, osa kielloista on jopa maksullisia lisäpalveluita. Nämä halutaan jatkossa keskittää yhteen paikkaan. Toivottavasti valtio velvoittaa luottotietoyhtiöt tarjoamaan kieltopalvelun veloituksetta.

Kaikki nyt korjattavat ongelmat ovat olleet tiedossa jo vuosia, hallitukset eivät vain ole tehneet niille mitään. 

Tämäkin hallitus olisi ehkä havahtunut ongelmaan aikaisemmin, ilman Vastaamon tietomurtoa, jos hallitukseen olisi nimitetty digi- ja tietoturvaministeri nykyisen Eurooppa- ja tasa-arvoministerin sijaan. Jälkimmäinen sopi kuitenkin paremmin yhden hallituspuolueen agendaan.

Vastaamon tapaus ei ole kunniaksi Suomelle, mutta useimmat yritykset tekevät parhaansa

Case Vastaamo antaisi loputtomasti aiheita blogikirjoituksiin. Valitsen tänään yhden: Suomen maine ja yritysten vastuu.

Suomea on pidetty tietosuojan mallimaana. Meillä on parhaat viranomaisrekisterit ja otimme GDPR-sääntelyn pilkuntarkasti, liki saksalaiseen tapaan (toisin kuin esim. Ruotsi). Ennen GDPR-siirtymäkauden loppua järjestettiin varmaan tuhansia tilaisuuksia, joissa it-ammattilaisia muistutettiin tietosuojan olemuksesta ja lain ankarista sanktioista. Oli ilmaisia ja maksullisia seminaareja, monen päivän koulutusohjelmia, nettisivuja... Lopulta GDPR tuntui pursuavan jo korvista ulos ja kun odotettu 25.5. viimein koitti, kaikki olivat varmaan helpottuneita siitä, että asia siirtyi jos ei nyt hoidettujen pinoon niin ainakin taustalle. 

Jo monta vuotta olemme olleet huolissamme Googlen ja Facebookin tiedonurkinnasta. Ne loukkaavat yksityisyyttä ja urkkivat tietojamme. Samaan aikaan yritykset ovat käyttäneet miljoonia euroja erilaisiin GDPR-tietosuojalausekkeisiin ja evästekyselyihin, jotka lähinnä häiritsevät käyttäjiä ja pikemmin vähentävät kuin lisäävät kiinnostusta omaan tietosuojaan.

Riitelimme lillukanvarsista, kuten mikä on GDRP:n ja tulevan ePrivacyn mukainen riittävä suostumus evästeiden käyttämisestä -- pitääkö olla nimenomainen suostumus joka kerta, vai riittävätkö selaimen evästeasetukset.

Vastaamon järkyttävän tietovuodon jälkeen kaikki tämä tuntuu akateemiselta puuhastelulta. Miljoonat eurot olisi kannattanut käyttää todellisen tietosuojan parantamiseen. Olemme pelänneet nettijättejä, vaikka todellinen mörkö on ollut ihan lähellä. Liian lähellä.

Niin lähellä, että emme osanneet edes pelätä sitä. Pidimme itsestäänselvänä, ettei henkilö- ja mielenterveystietoja voi vuotaa nettiin. Ei yksinkertaisesti voi, koska GDPR. Korkeintaan pelkäsimme vihamielisen tahon hyökkäystä, jossa salaa muutettaisiin sairaalan veriryhmätietoja tai jotain vastaavaa.

Keskustelu evästeistä ja nettiyhtiöiden urkinnasta on saattanut johtaa huomiota harhaan. Surffaus- tai ostotietojemme vakoilu on pientä terveyteemme verrattuna. Kriittistä ei ole se, mitä Google tai Facebook tekevät vaan se, miten minun koodaamani softa toimii tai miten minun koneellani oleva data on suojattu.

Kauhistuimme, kun Saksassa kiristysohjelma johti epäsuorasti potilaan kuolemaan. Nyt saatamme kokea saman Suomessa.

En silti halua uskoa, että Vastaamon kaltaisia pommeja olisi useita. Uskon, että viimeistään parin vuoden takainen GDPR-show sai yritysten hallitukset ja toimivan johdon ymmärtämään, miten tärkeästä asiasta on kyse ja miten suuri taloudellinen riski siihen liittyy. Aihe on otettu vakavasti ennen Vastaamoakin.

Minulta on usein kysytty, voiko yritys mennä konkurssiin tietoturvan pettämisen vuoksi. Tähän asti esimerkkinä on ollut hollantilainen varmenteiden myöntäjä, jonka varmennebisneksen onnistunut hakkeri-isku tuhosi. Nyt meillä on toinenkin kauhuesimerkki tietoturvan ja -suojan vakavista seurauksista.

Näin tietoturvaviikon alkaessa on ilo todeta, että valtaosa yrityksistä suhtautuu tietoturvaan vakavasti. Silti yksikin softakehittäjä, it-vastaava tai ylläpitäjä voi omalla piittaamattomuudellaan romuttaa kaiken.

Vastuu tietoturvasta kuuluu yritykselle itselleen. Koska kyse on myös asiakkaiden/potilaiden elämästä ja hyvinvoinnista, pelkkään vastuunkantoon ja omavalvontaan ei voi luottaa. Tarvitaan muutakin valvontaa, josta hoivakoteihin tehdyt tarkastukset ovat hyvä esimerkki.

Oli yleisesti tiedossa, että Vastaamo on itse kehittänyt tietojärjestelmänsä. Sen olisi pitänyt herättää viranomaisten huomio ja priorisoida tarkastuksia. Niin ikään yhtiö oli nimennyt tietosuojavastaavaksi softakehittäjän. Senkin olisi pitänyt herättää huomiota Tietosuojavaltuutetun toimistossa, jonne vastaavat rekisteröidään. Web-sivulla kehuttu omavalvonta on pettänyt täysin, sillä yhtiö ei huomannut murto(j)a ja sai tiedon tapahtuneesta vasta, kun kiristäjä otti yhteyttä. Yhtiöllä ei siis ollut valvontaa, joka olisi hälyttänyt vaikka palvelimelta imetään 10 gigatavua dataa ulkopuolelle. Tietoturvakriittisessä terveyspalvelussa tällainen valvontaohjelma olisi pitänyt ehdottomasti olla. Nyt ei voida tietää, ovatko mahdollisesti muutkin varastaneet tietokannan, mutta pysyneet teostaan hiljaa.

Viranomaisilla ei ole hoitakotien kaltaista tietoturvavalvontaa. Kriittisiä nettisovelluksia saa kehittää alaikäinen nörttipoika, mutta kylpyhuoneremontti vaatii tekijältä työnäytteen ja märkätilasertifikaatin. Yrityksen on ostettava palotarkastus, jossa tutkitaan onko käytävän tarrat oikeanlaisia ja oikeissa paikoissa. Ja toki tarkastetaan vaahtosammuttimet.

Palo- ja remonttiturvallisuus on opittu kantapään kautta, tehtyjen kalliiden virheiden seurauksena. Samanlainen kehitys on tapahtumassa tietoturva-alalla, joka on vielä kovin nuorta. 

Luonnollista kehitystä voi kuitenkin nopeuttaa päättäväisillä toimilla. Vastaamon tapaus osoittaa, että niille on tarvetta.

Vastaamo on tietosuojan painajainen - kyberturvallisuus on osa potilasturvallisuutta

Vastaamosta vuotaneet 40 000 potilastapausta tietoineen ovat likipitäen pahin tietosuojakatastrofi, jota voimme kuvitella. Seuraukset ovat sen mukaiset. Niistä olemme nähneet vasta jäävuoren huipun.

Oli odotettavissa, että vakava tietovuoto tapahtuu ennen pitkää. Niin paljon potilas- ym. tietoja käsitellään eri järjestelmissä, että inhimilliset mokat ovat väistämättömiä, eikä mikään GDPR-lainsäädäntö pysty täysin niitä estämään.

Vuoto olisi saanut olla pieni herätys koko alalle -- sellainen, jossa olisi vuotanut muutamia luottamuksellisia tietoja. Kokonaisen tietokannan vuotaminen kiristäjälle ja tietojen osittainen julkistus on kuin suoraan painajaisesta. Tällaista ei kukaan kaivannut.

Tapaus on niin merkittävä, että siitä irtoaa loputtomasti näkökulmia ja ajatuksia. Tässä muutamia.

Kuukausi sitten uutisoitiin saksalaiseen sairaalaan iskeneestä kiristysohjelmasta, joka johti epäsuorasti potilaan kuolemaan kun hänet jouduttiin siirtämään toiseen sairaalaan. Tapahtumaa pidettiin merkittävänä, koska ensi kertaa kyberturvallisuuden pettäminen oli johtanut ihmisen kuolemaan. On luultavaa, että psykiatrisen hoidon potilaiden tietojen vuotaminen tai uutisesta seuraava ahdistus, vaikka tiedot eivät koskaan tulisi julkisuuteen, voi tuottaa saman johtopäätöksen. 

Ahdistusta ei voi vähätellä. Kun AIDS tuli Suomeen, uutisissa kerrottiin suomalaisten tehneen itsemurhia, koska he pelkäsivät saaneensa kohtalokkaan taudin. Ruumiinavauksissa keneltäkään ei löydetty virusta.

Valvira valvoo terveydenhuoltoa ja alan ammattilaisten pätevyyttä. Tietojärjestelmät ovat asiakastietolain nojalla mukana tarkastuksissa, mutta työ on yksittäisen henkilön vastuulla. Nyt pitäisi olla selvää, että kyberturvallisuus on osa potilasturvallisuutta, joka pitää tarkistaa siinä missä työntekijöiden määrän riittävyys tai todistusten aitous.

Ennen GDPR:n voimaantuloa peloteltiin tietosuojaviranomaisilla, jotka tulevat tekemään yllätystarkastuksia yrityksiin. Onko näin tapahtunut? En ole kuullut yhdestäkään isosta tarkastuksesta. Resurssit ovat pienet, mutta turha pelottelu tarkastuksilla ei myöskään toimi. Oliko kukaan koskaan tarkastanut Vastaamon tietojärjestelmiä? Kenelle tarkastus olisi kuulunut?

Julkisten tietojen perusteella kyseessä on alkeellinen moka. Ei mitään ovelaa hakkeria, ei aiemmin tuntematonta tietoturva-aukkoa -- ei mitään muuta kuin alkeellinen, mahdollisesti nettiin avoimeksi jäänyt tietokanta, jollaisia lapsikin pystyy hakemaan vaikka Shodan-hakukoneella. Koska tiedot ovat vanhoja, kyse saattaa olla edellisestä tietojärjestelmästä tai testi/kehityskannasta, joka oli vain "unohtunut" linjalle. Salasana root ja käyttäjätunnus root kertovat täydellisestä huolimattomuudesta.

Jos kanta löytyy näin helposti, kuka muu sen on mahdollisesti löytänyt? Muut hakkerit tai valtiolliset tiedustelupalvelut, jotka etsivät tällaista aineistoa työkseen?

Kuinka arvokasta heille olisikaan päättäjien tai avainhenkilöiden sairaskertomukset, niin kiristyksen kuin mielenterveyden manipuloinnin kannalta. Onko tällaista mahdollisesti jo tapahtunut?

Kaikille muille tapaus jättää syvän epäluulon: uskallanko kertoa ongelmistani lääkäreille tai terapeuteille, jos on vaara, että tiedot päätyvät julkisuuteen?

Nyt vaakalaudalla on koko terveydenhuollon uskottavuus ja terapian tulevaisuus.

Ja kaikki tämä vain auki jääneen tietokannan vuoksi. 

Tyhjennä levy ennen tietokoneen kierrätystä

Viime viikolla Maikkari uutisoi tapauksesta, jossa 25-vuotias Tiina oli vienyt vanhan tietokoneensa Gigantin keräyspisteeseen. Hän yllättyi kovasti, kun kone olikin myyty Tori.fi-palvelussa ja uusi omistaja halusi tietää, mikä on Windowsin salasana.

Gigantti ottaa lain velvoittamana vastaan kodinelektroniikasta syntyvää ser-jätettä, mutta ei itse käsittele sitä. Luultavasti heillä on yhteistyökumppani, joka kerää romut useammasta eri liikkeestä ja toimittaa ne Kuusakoski Oy:lle metallin erottelua varten.

On mahdollista, että henkilökunta "vetää välistä" ja hankkii lisäansioita laittamalla koneita myyntiin huutokauppaan. Todennäköisempää on, että joku käy poimimassa koneita kierrätyspisteistä ja myy niitä eteenpäin. Ainakin ennen pisteissä oli kilpi, joka kielsi ottamasta kasasta mitään, mutta kieltoa on mahdoton valvoa.

Kun asiasta tuli uutinen, Gigantti päivitti yön aikana ohjeensa. Nyt niissä korostetaan selvästi, että dataa sisältävät laitteet tulee luovuttaa suoraan henkilökunnalle, eikä jättää vartioimattomaan pinoon tai rullakkoon.

Kävin lauantaina katsomassa Espoon Lommilan Giganttia, johon uutisen aiheuttanut kone oli jätetty. Nyt paikalla oli kolme isoa julistetta muistuttamassa tietosuojan merkityksestä.

Gigantin ser-jätteen keräyspiste.

Joissakin myymälöissä (tai niiden yhteydessä olevassa huollon pisteessä) on rullakko palautettavia laitteita varten. Lommilan piste on askeettinen, eikä siinä myöskään kielletä ottamasta laitteita mukaan. Olisi vain hyvä, mikäli laitteita päätyisi uuteen käyttöön romutuksen ja metallien erottamisen sijaan. Se ei tietenkään olisi laitteita myyvän Gigantin etu.

Tarinan opetus on yksinkertainen: jos kierrätät tietokoneita tai puhelimia, tyhjennä itse niiden muistit ja levyt. Jos et osaa, irrota levy ennen palauttamista tai murskaa se vasaralla käyttökelvottomaksi. Älä luota siihen, että tiedostot pysyvät turvassa jos kone luovutetaan henkilökunnalle. Logistiikkaketju on pitkä ja sen varrella voi sattua jotain.

Maikkarin uutisesta jäi epäselväksi, miten koneen uusi omistaja oli selvittänyt edellisen omistajan yhteystiedot. Ehkä sähköpostiosoite näkyi Windowsin kirjautumisikkunasta, mutta uutisen mukaan kone oli hyvin vanha, jolloin siihen tuskin oli asennettu ainakaan Windows 10:tä. Uutisen mukaan uusi omistaja oli soittanut Tiinalle, joten mistä hän oli selvittänyt puhelinnumeron?

Uusi tekniikka tuottaa yllätyksiä varsinkin iäkkäämmille ihmisille. Yleensä nuoret ymmärtävät digitaalisen tiedon vaarat ja tietosuojan merkityksen.

Koronavirusseuranta voidaan toteuttaa tietosuoja säilyttäen

Koronavirusseuranta voidaan toteuttaa tietosuoja säilyttäen. Kaupallisista palveluista poiketen hyöty sovelluksesta tulisi meille itsellemme, kaikille suomalaisille.

Professorit Kaarina Nikunen ja Annamari Vänskä ilmaisivat (HS Vieraskynä 18.4., "Koronavirusseuranta ei saa murtaa tietosuojaa") huolensa koronaviruksen seurantaohjelman tietosuojavaikutuksista. Kirjoitus puki sanoiksi sen laajan epäluottamuksen mahdollista koronaseurantasovellusta kohtaan, joka parhaillaan velloo sosiaalisen median keskusteluissa. Tietosuojasta tuntuu tulleen monelle ensisijainen huolenaihe, jonka arvo nousee muita perusoikeuksia suuremmaksi.

Kansalaisten terveyden turvaamiseksi hallitus on rajoittanut muun muassa liikkumisen ja elinkeinotoiminnan vapautta. Nämä ovat perustuslain kannalta poikkeuksellisen järeitä toimia. Määräaikaiset perusoikeuksien rajoitukset on kuitenkin katsottu välttämättömiksi, koska kyse on ihmishenkiin ja koko Suomen hyvinvointiin kohdistuvasta uhkasta. Rajoitukset ovat konkreettisia – siksi ne on helppo havaita ja ymmärtää.

Käytämme päivittäin somepalveluita, hakukoneita ja kauppojen kanta-asiakaskortteja. Luovutamme isoille yrityksille sijainti-, kulutus- ja henkilötietomme sen kummemmin miettimättä, vain saadaksemme ilmaispalveluita tai näennäistä alennusta. Tiedonkeräys tapahtuu taustalla, lähes huomaamatta.

Jos sovelluksesta on saatavissa todellista hyötyä taistelussa koronavirusta vastaan, sen hyödyt on punnittava riskejä ja uhkia vastaan. Kaupallisista palveluista poiketen hyöty tulisi meille itsellemme, kaikille suomalaisille.  Tieto liikkumisestamme on joka tapauksessa esimerkiksi Applella, Googlella, sosiaalisen median yhtiöillä ja operaattoreilla. Onkin lohdullista, että koronaseurantasovelluksen tekniikka voitaisiin toteuttaa anonyymisti ja tietosuoja säilyttäen.

Todellinen ongelma on siinä, että sovelluksesta saatava tieto olisi luultavasti varsin epätarkkaa eikä auttaisi löytämään oireettomina pysyviä tartuttajia. Vääriä hälytyksiä tulisi paljon. Tietosuojapelkojen vuoksi olisi myös vaikea saada ohjelmalle riittävää kattavuutta.

Yhdessä suhteessa tietosuojahuoli eroaa muista perusoikeuksien rajoituksista: kerran rakennetuilla valvontamekanismeilla on tapana jäädä pysyviksi. Tässäkin suhteessa koronaseurantasovellus on ongelmaton, sillä sen asentaminen olisi vapaaehtoista ja jokainen voisi myös poistaa sovelluksen puhelimesta niin halutessaan.

Yritäpä tehdä sama Androidille, iPhonelle tai lähikaupan bonuskortille.

(Kirjoitus julkaistu Helsingin Sanomien Mielipide-osastossa 20.4.2020)

Seuraava yksityisyyskohu nousee älykaiuttimista

Kymmenen vuotta sitten sosiaalinen media hyvine puolineen oli median lempilapsi. Nyt asenne on kääntynyt päinvastaiseksi. Some-jättejä syytetään urkinnasta ja tietovuotoepäilyt synnyttävät raflaavia otsikoita. Lukijoita pelotellaan suurella virheellä, minkä he ovat tehneet luovuttaessaan henkilö- ja käyttäytymistietonsa näille kasvottomille vakoilukoneistoille.

Seuraava kohu on jo muhimassa: älykaiuttimet eli digitaaliset avustajat kuuntelevat koteja jatkuvasti ja toteuttavat omistajiensa puhekomentoja. Amazon Echo (Alexa) on selvä markkinajohtaja, mutta Google Home hengittää niskaan. Monet muut valmistajat ovat joko lisensioineet Amazonin tai Googlen tekniikkaa, tai kehittäneet kokonaan omaansa (kuten Samsung Bixby).

Älykaiuttimet ovat niin hauskoja, että ymmärrän hyvin miksi ihmiset ottavat vapaaehtoisesti koteihinsa aina kuuntelevan mikrofonin. Vielä muutama vuosi sitten ajatuskin tällaisesta olisi tuntunut painajaiselta, eikä kukaan olisi uskonut sen toteutumiseen.

Itselläni on melkein joka huoneessa Googlen tai Amazonin laitteita, toimiston työpöydällä yksi pikku-Alexa. Ostin sen talvella USA-matkalla, eikä 29 dollarin alennushinta päätä huimannut.

Amazon Echo Dot eli ns. "pikku-Alexa" työpöydällä valmiina kuuntelemaan.

Puheentunnistusteknologia on niin halpaa, että se leviää joka paikkaan. Nekin, jotka eivät halua älykaiutinta, saavat kuuntelutoiminnon kuin varkain uusien kodin laitteiden mukana. LG:n ja Samsungin tämän vuoden tv-malleissa on Alexa, samoin monissa autoissa ja muissa kodinkoneissa. USA:ssa on myynnissä mm. mikroaaltouuneja, seinäkelloja, pöytälamppuja, peilejä ja jopa wc-pyttyjä, joissa on puheentunnistus sisäänrakennettuna.

Kehitykseen liittyviä tietosuojariskejä ei ole vaikea keksiä. Kun tunnistus on aktiivisena, puhekomennon taustalla ja sen jälkeen käytävä keskustelu tallentuu Amazonin ja Googlen palvelimille "järjestelmän kehittämistä varten". Varsinkin Amazonin laitteissa sininen, kehää kiertävä merkkivalo syttyy joskus itsestään, mikä saa epäilemään laitteen salakuuntelevan omia aikojaan. Tai sitten kyse on vain väärin kuullusta aktivointikomennosta. Tai päivityksestä. Kuka tietää?

Entä jos hakkeri murtautuu laitteeseen ja kytkee sen kuuntelulle? En suosittelisi hankkimaan laitteita työpaikalle, missä puhutaan luottamuksellisia asioita. Ehkä koko idea onkin NSA:n ovela salajuoni salakuuntelupäätteiden ujuttamiseksi koko maailmaan?

Ja entä, kun kiinalaiset alkavat tehdä vastaavia laitteita myydäkseen niitä länsimaihin?

Vasemmalla Google Home, oikealla Amazon Echo eri versioina.

Ai miksi sitten itselläni on kasa laitteita, joista varoitan muita? On pakko olla koekaniini, jotta ymmärtää uuden teknologian uhkat ja mahdollisuudet. Riskeistään huolimatta älykaiuttimet ovat aidosti hyödyllisiä ja hauskoja laitteita.

Sosiaalisesta mediasta näimme aluksi vain hyviä puolia. Miten käy tekniikalle, jota osaamme epäillä jo nyt, kun kehitys on vasta alussa?

Suomalaisten kannalta kieli on onneksi suojanamme. Vain Applen Siri ja Googlen puhelinsovellus tunnistavat suomen kieltä, mikä rajoittaa älykaiuttimien kysyntää maassamme. Tietosuojan kannalta tämä on hyvä asia. Tällä kertaa olemme kaukana eturintamasta.

Toisaalta emme edes tiedä, missä kaikissa laitteissa nykyään on mikrofoni ja upotettua puheentunnistekniikkaa. BBC:n uutinen kertoo, miten Googlen Nest-perheeseen kuuluvassa Guard-valvontajärjestelmässä on ollut sisäänrakennettu mikrofoni vuodesta 2017 lähtien. Siitä vain ei muistettu kertoa ostajille, eikä mikrofonista ollut mainintaa teknisissä spekseissä.

Kohu nousi vasta, kun Google kertoi lisäävänsä laitteeseen puhetunnistuksen pelkällä softapäivityksellä. Auts!

Kuinka moni olisi ostanut maailman mahtavimman mainosfirman laitteen, jos olisi tiennyt sen sisältämästä mikrofonista? Miten mahtavalle Googlelle sattui taas tällainen megamoka tietosuojan suhteen, eikä kerta ollut ensimmäinen. Vuonna 2010 Google jäi kiinni täysin käsittämättömästä kömmähdyksestä tallentaa StreetView-kuvausautojen mukana asukkaiden wifi-verkkojen liikennettä.

Jos Google toimii näin, miten paljon voimme luottaa pienempiin amerikkalaisiin valmistajiin? Tai mihinkään, mikä tulee Kiinasta?