Suojaton tietosuoja
Trafi antoi kaikille identiteettivarkaille joululahjan jo viime kesänä laittaessaan kaikkien ajokorttitiedot nettiin. Jo elokuussa tamperelainen ohjelmistoyrittäjä kertoi julkisesti, että tietokannasta saa kuka tahansa kenen tahansa henkilötunnuksen selville. Trafi vastasi, että tiedot ovat julkisia ja että lain mukaan mennään.
Lokakuussa lahtelainen mies huomasi, että syöttämällä palveluun minkä tahansa keksityn syntymäajan ja arvailemalla henkilötunnuksen palvelu kertoo osuman sattuessa nimen. Hän totesi, että näin voidaan tehdä täydellinen identiteettivarkaus ja vaikkapa tilata tavaraa toisen nimellä ja laskuun. Trafi puolustautuu sanomalla, että identiteettivarkaus on laitonta ja sitä paitsi bottien käyttäminen on estetty. Lain mukaan mennään, koska tiedot ovat julkisia.
Tietosuojavaltuutettu Reijo Aarnio sanoo, että jonkin tiedon oleminen julkista ei tarkoita sitä, että tieto levitetään kenen tahansa saataville. Julkisuuslaki edellyttää tiedon luovuttajan huolehtivan siitä, että vastaanottajalla on myös oikeus ottaa pyytämänsä tieto haltuun. Sellaista mekanismia ei hänen käsityksensä mukaansa ole palveluun rakennettu.
Lisäksi tietosuojavaltuutettu kertoo ottaneensa yhteyttä liikenne- ja viestintäministeriöön ja kritisoineensa lakiesitystä jo elokuussa 2017, jolloin tätä viime kesänä voimaan tullutta liikennepalvelulakia valmisteltiin. Ministeriö ei kiinnittänyt hänen kritiikkiinsä mitään huomiota, vaan jatkoi lain valmistelua.
Kun media nyt nosti asian esille, niin ministeriössäkin herättiin. Nyt ministeriö vaatii Trafilta selvitystä tapahtuneeseen. Tietoturvaa ja tietosuojaa ruvetaan selvittämään vasta sen jälkeen, kun laki on ollut voimassa puoli vuotta.
Minä voin kertoa mitä tapahtui. Kyseessä oli taas kerran tämän hallituksen tapa tehdä huonosti ja kiireellä valmisteltu laki ja katsoa mitä tapahtuu. Lainvalmistelussa ei kuunnella asiantuntijoita, ei tehdä vaikutusarvioita eikä yleensäkään mietitä miten laki istuu muuhun lainsäädäntöön. Kun kaikkien ajokorttitedot tiedot nyt ovat levinneet ties minne, niin ministeriölle tuli kiire vaatia selvitystä Trafilta siitä, miksi ministeriön itsensä valmistelema laki on kelvoton. Näin ministeriö yrittää pestä omat kätensä ja vierittää syyn Trafin virkamiehille.
Trafi saattoi olla huolimaton lain täytäntöönpanossa, mutta kyllä suurin vika on itse laissa. Lainvalmistelua ministeriössä johtaa ministeri, joten hänen pitäisi nyt ottaa vastuu. Sitä on kuitenkin turha odotella ihan päätelleen jo ministeriön myöhäisheränneestä reaktiosta ruveta tivaamaan selvitystä lain täytäntöönpanijalta.
Jossain länsimaisessa demokratiassa sekä Trafin ylin johto että ministeri eroaisivat. Meillä asiaa pompotellaan sinne tänne ja etsitään syyllistä ties kuinka kauan, ja ehkä joku pikkuvirkamies saa potkut. Sitten ministeri tulee kehumaan, että hänen johdollaan on asia nyt saatu kuntoon.
Sitä odotellessaan identiteettivarkaat viettävät iloista ja halpaa joulua.
Kuva: Sira Moksi
Yhdysvalloissa ja jopa Venäjällä on saatu turvallisuuspalvelun tai ulkomaantiedustelun asiamiesten henkilöllisyyksiä selville vertaamalla ajoneuvorekistereitä.
Voiko näille virkamiehille, ministereille tai viranomaisille uskoa tiedustelulain mukaisia valtuuksia yhtään mihinkään sisäiseen urkintaan ylipäätään?
Yksityisyydensuoja kun menetetään, sitä ei enää saa takaisin.
Juuri noin. Tiedustelulaki superkiireellisenä läpi ja taas kerran säkki päässä.
Sattuipa somasti juuri ennen kun ajokortti ei enää kelpaa henkilöllisyystodistuksesta. On ne veijareita 🙂
Henkilötunnuksen käyttö muuhun kuin henkilön erotteluun toisesta saman nimisestä pitäisi kieltää lailla. Ihmisten tunnistamiseen pitäisi käyttää aina pankkitunnuksia, ja esim. pelkällä henkilötunnuksella verkkokaupassa myyminen jättää aina myyjän tappioksi.
Pankkien TUPAS-järjestelmää ei pitäisi käyttää mihinkään muuhun kuin pankkien omaan nettipalveluun.
Vahvaan sähköiseen tunnistautumiseen tarvitaan julkisen vallan kontrolloima oma avoin patenttivapaa järjestelmä. Tätä ei saa jättää yksityisten yritysten tehtäväksi. Suomi on tässäkin jäänyt jälkeen.
No, olihan meillä jo tällainen. Virkamiestyönä tuli vain niin hankala ja kallis, ettei kukaan halunnut sitä käyttää.
Se pitää tulla luontaisesti kaikille maksutta syntymäetuna. Työttömillä ei ole kohta varaa pitää pankkitiliä tai tunnistautua. Jopa passit ja henkilökortit maksavat liikaa. Ensi vuoden alusta ajokorttia ei enää yleisesti hyväksytä pankkien tiskeillä tai muualla tunnistautumiseen.
Passi pitää uusia tiheämpään kuin ajokortti, tässä luultavasti yksi syy miksi ajokortti ei enää kelpaa. Rahat pois köyhiltä jotka eivät edes tarvitse passia muuhun kuin satunnaiseen tunnistautumiseen. Oma passini lienee jo vanhentunut ja saa nähdä miten tunnistaudun tästä eteenpäin.
Hain muuten aikoinaan passia ilman mitään henkilökorttia/ajokorttia tai muuta vastaavaa mistä minut olisi voitu tunnistaa. Joihinkin kysymyksiin piti sitten vastailla (esim. entinen osoite) ja mietin silloin että kuka tahansa minua vähänkin tunteva olisi voinut hakea passia nimelläni. Ne kysymykset eivät olleet mitenkään sellaisia että vain minä ja viranomaiset olisivat voineet ne tietää.
Ajokortti ei kelpaa henkilöllisystodistukseksi, koska se ei ole enää poliisin myöntämä asiakirja.
Kyllähän Suomeen tehtiin jo kolmisen vuosikymmentä sitten “sähköinen henkilökortti”, toki vähän vaikeakäyttöinen, mutta siloinenkin hallitus pilasi hyvän homman määräämällä sen hinnan niin korkeaksi, että sen käyttö ja niinmuodoin myös palvelut jäivät vähäisiksi ja pankkitunnukset “ajoivat ohi”. Virolaiset ottivat valmiin innovaation, parantelivat, tekivät sovelluksia ja jakoivat kortin kansalaisille ilmaiseksi ja toimii!
Voisin kertoa vielä parista muusta munauksesta, mutta tämä on pahimmasta päästä. Eikä silloin vielä ollut edes Berneriä, siis ministerinä.
Muistaakseni virkamiehet ihmettelivät, ettei kotitietokoneissa olekaan vakiovarusteena magneettikortin lukulaitteita. Tuliskihan se nyt sitten näihin upeisiin Lumia-puhelimiin? 😂
Anteeksi, että olen liian ilkeällä päällä.
Ei niissä magnettiraitaa ole ollut. SIrunlukija tarvitaan. Kalleimmissa läppäreissä sellainen saattaa olla jo valmiiksi integroituna, mutta ei juuri muuten.
Uusissa 2017 jälkeen myönnetyissä korteissa on lähilukuominaisuus NFC. Minullakin on läppärissä älykortinlukija smart card reader vakiona, vaikka hintaluokka oli huomattavasti alle 1000 euroa.
Niinpä. Hupaisinta on, että Eestin sähköinen tunnistautuminen on suomalaisten kehittämä. Meillä se floppasi. Sen sijaan käytetään liikepankkien yksityistä palvelua, jolla voidaan kiristää yhä kohoavia maksuja tai palvelu loppuu.
http://estofennia.eu/sahkoinen-henkilokortti-digi-id/
Erinomaisia kommentteja Sannalta ja Stunnedilta.
Sanna:
Henkilötunnukset pitäisi generoida kaikille uusiksi ja niitä pitäisi käyttää ainoastaan valtion sisäisissä järjestelmissä. Nyt käytössä olevat henkilötunnukset pitäisi julistaa käyttökelvottomiksi, koska ne ovat holtittoman käytön vuoksi levinneet ties minne.
Stunned:
Kansalaiset luottavat pankkeihin eli pörssiyhtiöihin jotka jemmaavat jopa ottolainauksella saamansa rahat gayman-saarille verottajalta piiloon. Mitä tämä kertoo kansasta?
Valitettavasti vain verottaja olettaa, että kaikki käyttävät pankkitunnuksia, ja yritysten asioita ei kohta enää pysty muuten hoitamaan. Ensi vuoden alusta pitäisi firman palkat ilmoittaa tulorekisteriin. Tietenkään sinne ei pääse KATSO-tunnuksilla (jotka hakiessani kävin verotoimistossa näytillä), vaan pitäisi käyttää henkilökohtaisia verkkopankkitunnuksia (firman pankkitunnukset eivät kelpaa), sähköistä henkilökorttia tai mobiilitunnistetta. Pankkitunnuksiani nyt en käytä edes omilla asioillani tunnistautumiseen, ja nuo kaksi muuta maksavat, enkä todellakaan suostu maksamaan omasta pussistani sitä, että hoidan työnantajani asioita! Joten nyt sitten joudun kuukausittain täyttämään neljän ihmisen palkka- ja verotiedot paperille ja postittamaan ne, ja lisäksi vielä erillisilmoitukset sairausvakuutusmaksuista. Miten tämä on kätevämpää ja helpompaa kuin nykytilanne, missä ilmoitan kuukausittain palkkojen ja verojen yhteissummat, ja tammikuussa vuosierittelyt, sitä en ymmärrä.
Katso-järjestelmäkin poistuu vuoden päästä, eli ilmeisesti sitten täytyy alv-ilmoituksissakin palata takaisin paperikantaan, jos se enää on mahdollista.
Vahva sähköinen tunnistautuminen tulee kuitenkin olla ainoa mahdollisuus saada maksamaton lasku ulosottoon. Olipa se sitten Apple, Windows, pankit tai mikälie. Jos kauppias tämän tietäen myy hetulla, riski jääköön kauppiaalle.
Parantaisiko Trafin järjestelmää yhtään se, että vaadittaisiin etukäteen _sekä_ nimi että hetu (ehkäpä osoitekin) ennenkuin tiedot näytettäisiin?