Tietoturvasta ja poliisin kyvyttömyydestä

2011 November 6
by Joonas Mäkinen

Eilen lauantaina puolen päivän jälkeen tiedostonjakopalvelu Mediafireen ilmestyi hetudump.txt-niminen tekstitiedosto, joka sisälsi 16 103 ihmisen – ilmeisesti suomalaisen – henkilötiedot. Vuodon alkuperä on vielä pimennossa, mutta tietojen epäillään tulevan useasta eri lähteestä. Datan visualisoinnista nähdään, että vuodetut tiedot eivät olleet paikallisia, vaan koskevat koko Suomea:

Nyt vanha latauslinkki on poistettu käytöstä, tiedosto poistettu palvelimilta ja kävijä törmää ilmoitukseen “File Removed For Violation”. Myös esimerkiksi Hotfile ja 2shared, jonne filu oli myöhemmin ladattu, ovat nyttemmin poistaneet tiedoston.

Pääsin eilen käsiksi tuohon tiedostoon ja mietin useaan otteeseen massasähköpostin lähettämistä kaikille listalla olleille. Anonyymin ilmoituksen tekemistä on harjoitettu ennenkin, ja henkilökohtaisestikin käyttäjätietojen vuodon uhriksi joutuneena olen kokenut sen hyödylliseksi. Joidenkin “poliisi kyllä hoitaa sen tiedottamisen” -keskustelujen pohjalta kuitenkin päätin jättää ilmoituksen tekemättä.

Nukuttuani yön yli meni sitten kuvainnollisesti taas aamukahvi väärään kurkkuun. Iltalehti kirjoittaa:

Poliisi ei ota yhteyttä kaikkiin niihin 16 000 suomalaiseen, joiden tiedot nettilistalla olivat. Sen sijaan tiedot yritetään poistaa netistä.

Good luck with that. Olen täysin mykistynyt.

Ensinnäkin, oppikaa nyt se internetin toiminta. Tässä ei riitä nyt hyvä aikomus, vaan oikeasti pitäisi toimia tehokkaasti. Internet on sosiaalinen ja ihmiset ovat uteliaita: kopioiminen ja levittäminen ovat netissä aivan perustoimintaa. Henkilötietolista ei ole vain jaossa muutamalla tiedostonjakosivulla, vaan se on mahdollisesti jo kymmenillä tuhansilla tietokoneilla, joista jokainen kuuluu internetiin. On mahdotonta sanoa tarkasti, missä kaikkialla tiedosto on, alkuperäisenä tai muokattuna. Ja kun emme tiedä, missä kaikkialla se on, emme tiedä, montako kopioita alkuperäisestä hetulistasta on. Poliisi ei mitenkään pysty paikallistamaan ja poistamaan tiedostoa. Parin linkin poistaminen ei riitä!

Toiseksi, on kulunut jo 24 tuntia, eikä näihin ihmisiin olla oltu yhteydessä? Ei mitään varoitusta? Toivottavasti lehtijutun tulkinnaksi käy myös, että edes osalle on tästä ilmoitettu, sillä vuorokaudessa noilla tiedoilla on voinut (tapauskohtaisesta tietoturvan laadusta riippuen) esimerkiksi avata ja katkoa puhelinliiittymiä tai mahdollisesti jollekin lepsulle pankkivirkailijallekin todistaa olevansa joku muu.

Henkilötunnus itsessään on Suomessa varsin ristiriitainen tunnistetieto. Sitä yritetään pitää salaisena, mutta henkilötunnuksia keräävät esimerkiksi työpaikat ja koulut, ja esimerkiksi yritysten ja yhdistysten hallituksissa olevien kansalaisten henkilötunnukset ovat käytännössä julkisesti saatavilla. Pelkällä hetulla ei saa Suomessa niin paljon vahinkoa aikaan kuin vaikkapa Yhdysvalloissa sosiaaliturvatunnuksella, mutta yhdistettynä vuotolistalla olleisiin puhelinnumeroihin, osoitteisiin, nimiin ja sähköpostiosoitteisiin tämä helpottaa huomattavasti niin sanottuja identiteettivarkauksia.

Yksi syy “viivästelyyn” on se, että viranomaisten tietenkin tulee toimia sääntöjensä ja lain mukaan. Otsikkoni maininta poliisin kyvyttömyydestä ei ole haukku siitä, etteikö poliisi voisi tehdä mitään. Tietämättömyyttä poliisivoimissa varmasti on, jos joku päällystöstä on kuvitellut, että he saavat netistä poistettua jonkin tiedoston, mutta miksi joudumme odottamaan kaksi vuorokautta toimintaohjeita? Mahdollinen kiusan- ja vahingonteko ei odottele arkipäivää.

Maito kaatui jo, eikä sitä saa takaisin pulloon. Nyt pitää edetä seuraavaan tietoturvan ylläpidon vaiheeseen eli ehkäisemään mahdolliset tulevat vahingot. Jokaisen, jonka henkilötiedot on julkaistu, tulisi tästä uhasta tietää, että voi ryhtyä haluamiinsa toimenpiteisiin. Moni haluaa varmasti harkita esimerkiksi puhelinnumeron vaihtamista. Toisaalta esimerkiksi teleoperaattoreiden, pankkien ja pikavippifirmojenkin tulisi olla nyt erittäin varovaisia henkilötunnusten käsittelyn kanssa.

Niin kauan kuin pelkkä henkilötunnus käy paikoissa tunnistusvarmenteena, en ole varma, voiko tulevilta vahingoilta loppujen lopuksi edes välttyä. Onko vuotolistalta omat tietonsa löytävien kansalaisen mahdollista saada uutta hetua? Listalla on myös alaikäisiä, ja tämän yksityisten tietojen vuodon seuraukset saattavat kantaa hyvinkin kauas.

Tulevien tietomurtojen ja -vuotojen välttämiseksi tämän tulee toimia opetuksena kaikille siitä, miten tärkeää tietoturva on. Yhdistyksillä, yrityksillä, viranomaisilla, kouluillla ja kaikilla mahdollisilla henkilötietoja käsittelevillä tahoilla tulisi olla selvät tietoturvakäytännöt, jotka otetaan tosissaan.

Mutta: jäitä hattuun, sillä panikoiminen on usein vaarallisempaa kuin odottelu. Se, että tiedot ovat päässeet jostakin vuotamaan, on törkeä yksityisyydensuojan loukkaus. Se, mitä vahinkoa yksittäiselle henkilölle on odotettavissa, on pieni. Emme kukin voi tehdä välttämättä suoraan mitään rahalaitosten, yhdistysten, yritysten ja valtion tietoturvalle, mutta voimme ainakin itse pitää huolen siitä, että emme anna omia tietojaan tuosta vain joka paikkaan..

Siinä, missä viranomaisten kilpajuoksu listan leviämisen kanssa on tuomittu häviämään, eikä kenenkään kannata alkaa levittää listaa julkisesti eteenpäin, on kuitenkin mahdollista turvallisesti tarkistaa, onko itse päätynyt listalle. Takaan henkilökohtaisesti, että tuttavani ja aktivistikollegani Janne Paalijärven tekemä palvelu, josta hetun voi tarkistaa, ei vuoda eteenpäin tietoja. Hetun vastaavuus tarkastetaan SSL-suojatulla yhteydellä kryptatusta tietokannasta, eikä hakutietoja tallennetta.

Toisen tarkastuspalvelun tarjoaa esimerkiksi HPguru, jonne on kasattu myös yleishyödyllistä ohjeistusta tietoturvasta. Jos olette huolissanne, niin älkää nyt ainakaan avoimella, suojaamattomalla langattomalla verkolla menkö antamaan kirjoittamaan henkilötietojanne nettiin. Yleinen epätietoisuus saattaa innostaa joitakin pahantahtoisia tekemään tietojenkalastelusivustoja, joilla urkitaan ihmisten henkilötietoja, joten olkaa valppaana!

Näiden kahden palvelun tapauksessa on kyseessä mitä luultavimmin luvaton henkilötietorekisterin ylläpitäminen, mutta miettikääpä itse, onko tämä laittomuudesta riippumatta väärin silloin, kun poliisin mukaan “Tietoa siitä, sattuuko joku olemaan tuhansien nimien listalla, poliisi ei pysty resurssien puuttuessa tässä vaiheessa tarkistamaan.”

Olisi kai se viesti pitänyt kaikille kuitenkin lähettää, niin ei noitakaan tarvitsisi. Tai jos poliisilla olisi enemmän resursseja ja tietoteknistä osaamista…

Lisäkeskustelua (joka etenee nopeammin kuin Hesari tai Iltis ehtivät kirjoittaa) löytyy Twitterissä ainakin hastagilla #tietovuoto.