Tätä ei voi tapahtua!
Pari päivää sitten katsoin elokuvan Die Hard 4.0. Tässä jo vuonna 2007 valmistuneessa elokuvassa rikolliset lamaannuttivat koko infrastruktuurin päästäkseen käsiksi valtion datapankkiin, jonne oli tallennettu ihmisten henkilökohtaisten tietojen lisäksi kaikki valtion finanssitiedot. Muistan elokuvan ensimmäisen kerran nähdessäni ajatelleeni, että onneksi tuo on fiktiota. Ei kukaan oikeasti ole niin hölmö, että tallentaisi ihan kaiken yhteen paikkaan ja suojaisi tiedot niin huonosti, että ulkopuoliset voivat päästä niihin käsiksi.
Näkyy se kuitenkin olevan mahdollista. Psykoterapiakeskus Vastaamo joutui tietomurron kohteeksi, ja valtava määrä arkaluontoisia potilastietoja päätyi roistojen käsiin. Nyt ihmiset ovat ruvenneet saamaan henkilökohtaisia kiristyskirjeitä ja hätäkeskukset sekä poliisin sähköinen rikosilmoitusjärjestelmä tukkeutuvat. Arkaluontoisia tietoja on jo julkaistu netissä kiristyksen tehostamiseksi. Helsingin Sanomat on tehnyt asiaa käsittelevistä uutisistaan hyvän koosteen.
Laki vaatii niin potilastietojen kirjaamista kuin niiden suojaamistakin.Tämä on tähän asti pahin tietoyhteiskuntaan kohdistuva rikos, ja sillä tulee olemaan mittavat seuraukset. Viestintäkouluttaja Katleena Kortesuo sanoo tapausta kybertason ketjukolariksi Kehä III:lla. Sitä se epäilemättä on, kenties vielä pahempaakin. Se paljasti koko tietoyhteiskunnan haavoittuvuuden lähes yhtä konkreettisesti kuin Die Hard 4.0.
Pahinta tämä on tietysti niille, joiden tiedot on varastettu ja jotka joutuvat kiristyksen uhreiksi. He joutuvat nyt tekemään rikosilmoituksen, ottamaan itselleen luottokiellon, tekemään PRH:lle rekisteröintikiellon, Postille lomakekiellon sekä Digi- ja väestötietovirastolle tietojen luovuttamiskiellon. Kaikki tämä riesa tilanteessa, jossa päällimmäisenä on huoli omasta turvallisuudesta ja tietojen vuotamisesta julkisuuteen.
Järjestelmämme ei ole varautunut näin mittavaan kyberrikokseen. Lainsäädäntöä on uudistettu vuonna 2018 EU:n tietosuoja-asetuksella (GDPR),mutta näköjään se ei riitä. On voinut käydä niinkin, että sen mukaisesti on suojattu sen voimaantulon jälkeen tallennetut tiedot, mutta vanhemmat on jätetty vähemmälle suojaamiselle. Näin voisi epäillä siksi, että rikos kohdistui ennen vuotta 2018 tallennettuihin tietoihin. En tiedä enkä väitä mitään, mutta Vastaamon tietosuojauksen taso selvitetään varmasti, kunhan ensin keskitytään uhrien auttamiseen ja rikollisten tavoittamiseen.
Uhrien asema on todella hankala, sillä he joutuvat kaiken huolen keskellä tekemään rikosilmoituksen ja kieltämään tietojensa luovuttamisen. Tämän he joutuvat tekemään siinä samassa kyberavaruudessa, joka on osoittautunut haavoittuvaksi ja viranomaisten asiointisivujen kapasiteetin osalta riittämättömäksi. Lainsäädäntökään ei ole varautunut tilanteeseen, jossa valtava joukko ihmisiä joutuu tekemään rikosilmoituksen asianomistajarikoksesta. Näin suuren mittaluokan rikoksen pitäisi oikeastaan olla yleisvaarallinen rikos, josta poliisi voisi aloittaa esitutkinnan ilman rikosilmoituksiakin. Lisäksi tulee mieleen, että ehkä henkilötunnuksen käyttämisestä tunnistautumiseen pitäisi luopua ja tunnuksen muuttaminen tehdä helpommaksi.
Kun rikos saadaan selvitettyä, niin tulemme näkemään melkoisia muutoksia monissa tietoturvaan liittyvissä asioissa. Ainakin toivon niin, sillä olemme tuudittautuneet siihen uskoon, että tietomme ovat suojassa ja verkko on sen suhteen turvallinen paikka. Olemme tehneet viimeisen kymmenen vuoden aikana sellaisen digiloikan, että tällaista vanhempaa ja aina muutaman askelen jäljessä tulevaa on hirvittänyt.
Jäljessä olen tullut sekä konservatiivisuuttani että siksi, että tiedän rikollisten olevan aina muutaman askelen lakia ja viranomaisia edellä. Se ei johdu laista eikä viranomaisista, vaan siitä, että rikolliset ovat kekseliäitä ja yhteiskunta osaa reagoida vasta sitten, kun jokin uudenlainen rikos tapahtuu.
Toivon rikoksen uhreille kaikkea mahdollista tukea tässä hirveässä tilanteessa.
“Lisäksi tulee mieleen, että ehkä henkilötunnuksen käyttämisestä tunnistautumiseen pitäisi luopua ja tunnuksen muuttaminen tehdä helpommaksi.”
Hetua käytetään salasanana vähän siellä ja täällä, esimerkiksi luottoja myönnettäessä. Kyseessä on kuitenkin salasana jota ei voi vaihtaa ja joka ei ole vain itsellä, vaan jonka tietää puoli Suomea. Miksi tätä käytännössä julkista salasanaa ei voi edes vaihtaa?
Ilmeisesti tänäkin päivänä minä voisin tonkia arvauskeskuksen roskiksesta jonkun toisen henkilön hetun ja hakea sillä lainaa. Rikoksen uhri menettäisi sitten luottotietonsa, eli ei saisi lainaa ja luottokorttia jne jne ja joutuisi maksamaan minun vippini takaisin. Jos hän ei ilmoittaisi itseään luottotiedottomaksi vapaaehtoisesti, se tapahtuisi perintätoimiston kautta. Reilu meininki vai mitä?
Ja kun tähän olisi säädettävissä laki helposti ja nopeasti: hetun käyttäminen henkilön tunnistamisessa on laissa kielletty, eikä siihen voi vedota missään olosuhteissa (esimerkiksi saatavia perittäessä).
Mutta kun ei niin ei. Ei sitten millään. Ja ongelma on ollut tiedossa jo ainakin 20 vuotta. On se kurjaa kun saamattomat politiikkomme eivät kerta kaikkiaan saa mitään aikaan. Kelvotonta ja arvotonta touhua, kerta kaikkiaan.
Voimia rikoksen uhreille!
Voihan sitä tapahtua. Posti on puolen vuoden sisällä hukannut kolme kirjettä. Perintätoimisto on kirjannut minut asiakkaakseen. Selvittelin… merkintöjä sieltä täältä löytyy kirjeiden matkasta. Yleisin selitys on syyttää “toista” toimijaa tai ainakin palauttaa “pallo” minun selvitettäväkseni. Huonoa on, että vitosen per kerta ja jonkinasteisen rekisterimerkinnän nuo “kadonneet” minulle aiheuttavat.
Oman mielenkiintoisen kuvion muodostaa perintäfirman käytäntö. Pyysin selvittämään mitä tietoja heillä minusta on. Vahva kirjautuminen järjestelmään edellytti lisäksi postin kuljettamaa kopiota esim ajokortista, jotta voivat identifioida? Ei auttanyt, vaikka ilmoitin ettei minulla ole heille luovutettavia henkilötietoja, vaan heidän on luovutettava tietonsa minusta. Senverran myönnyin, että annoin henkilötunnuksen…
Lyödäänkä pikku veto ettei määräpäivään (30vrk) mennessä löydy kaikkia niitä tietoja jotka heillä todistettavasti jo kirjeenvaihdon perusteella on. Jollei löydy jatkuu prosessi…
Asiakasnumeron ovat itse generoineet – en ole heidän asiakkaansa vaan perinnän/huomautuksen kohde, joten sen pitäkööt – kunhan eivät nimeeni yhdistä.
Yhden vitosen palauttivat, kun näyttö riitti virheelliseen menettelyyn. Juonesta oppineena maksoin laskut, tosin pyöristettynä (tuskin kolmea senttiä palauttavat).
Tarinan syy. Mitä suuremma todennäköisyydellä noita melkolailla aiheettomia vitosia karhutaan enemmänkin liikevoiton kartuttamiseksi. Minä pistän vastaan, mutta en tunnekaan olevani “tavis” joten…
Niin. Vahva kirjautuminen pankkitunnuksella tai mobiilivarmenteella ja käyttäjätunnuksen generointi satunnaisluvuista olisi oikea tapa tallentaa ne tiedot, jotka pitää välttämättä tallentaa.
Ajokortin vaatiminen skannaamalla ja usein vielä sähköpostilla lähettämällä on kuin pystyyn nostettu keskisormi: emme välitä tietoturvastasi pätkääkään ja käsittelemme ja tallentelemme tietojasi miten huvittaa.Hattu kourassa sinun pitää aneleman GDPR-dataasi ja me sinulle jotain itse sopivaksi katsomaamme sinulle lähetämme – jahka ehdimme ja viitsimme.
Tämä hirvittävä tietomurto lienee vasta alkua. Ainoa toivo on, että joku riittävän isokenkäinen sattuisi olemaan uhrien joukossa ja lainsäädäntöön saataisiin vihdoin vauhtia.Miten voi olla niin, että uhri joutuu tekemään itsestään luottokelvottoman jos hänen puolijulkinen hetunsa varastetaan?
Siellä eduskunnassa kun on ihmisten valitsemat poliitikot äänestyksellä päättämässä mitä hallituksen ehdottamaa toteutetaan ja mitä ei niin kannattasi ihmisten ajatella siltä kantilta ketä sinne äänestää. että ajatteleeko se kansan parasta vai rikkaan pankkitiliä.
Niin moni hörhö (osa ystäviäni) on valitellut tuota Hetu-uudistusta, että tämmöinen ilmeisesti piti tulla, ennekuin uudistuksen tarve tuli oikeasti ilmi. Kertova koodi on oikeasti ajalta ennen tietotekniikkaa.
Henkilötunnus on sinänsä jokseenkin välttämätön yksilöivä tunniste. Henkilön nimi ei sitä ole edes osoitteeseen yhdistettynä. Vaara tässä piilee siinä, että joku idiootti hyväksyy sen yksinomaisena tunnisteena. Ikään kuin tietämällä naapurin nimen saisi kaikki hänen oikeutensa.
No, tätä on odotettu. Yhteiskunta on täysin riippuvainen tietoverkoista, se joka hallitsee verkkoa hallitsee yhteiskuntaa. Olen melko varma siitä, että esim. pankit eivät kerro julkisuudessa niihin kohdistuneista tietomurroista, onnistuneista tai epäonnistuneista. Ne eivät halua äidin pikku kyberrikollisia kokeilemaan onneaan. Toinen ja paljon vakavampi uhka on ammattilaiset jotka joissain tapauksessa ovat valtion leivissä ( esim.P-Korea) Tämä nilkki joka nyt kiristää kansalaisten hermoja on varmasti joku, joka nauttii suurta huomiota ja arvoa verkkonilkkien keskuudessa. Häntä ihaillaan ja häntä kopioidaan. Siksi viranomaisten, kansalaisten on annettava selkeä merkki siitä, että kyseessä on rikos, törkeä sellainen. Jos lainsäädäntö ei tarjoa tarpeeksi kovaa rangaistusta, se on suoranainen kehotus koettaa onneaan, mittailla älyään viranomaisten kanssa.
Mielenkiintoista tässä on se, miten tällainen rikos vertautuu perinteiseen rikokseen. Onko kyseessä kiristys, ryöstö, kunnianloukkaus, murto vai peräti jokin vielä pahempi, terrorismi? Se nyt ei vain enää riitä, että rikoksesta kiinnijääneeltä viedään puhelin puoleksi vuodeksi ja läiskäistään sakko, jota ei ikinä makseta takaisin, varskinkin jos paljastuu että superrikollinen on kotiinsa linnouttaunut 17- vuotias nörtti.
Niinno, kaikenlainen rikollisten ihailuhan on hiipinyt kiitos iltapäivälehtien viihdeuutisten ihan arkisen tavallisenkin ihmisen viestintä maailmaan. Muutamia toimittajia voimme siitä kiitelä.
En kuitenkaan usko että tämän tietomurron tekijä tai tekijät nyt niin hirveesti ihailua saa, paitsi tietysti ihan siinä lähipiirissään, jossa on kaikki yhtä selkärangattomia olmeja.