Tietoyhteiskunnassa herätys!

Iltasanomat kertoo tänään keskusrikospoliisin tutkinnasta, jossa on kyse turvaluokitellun aineiston päätymisestä vääriin käsiin. Jutussa puhutaan niinkin vakavasta asiasta kuin turvallisuussalaisuuden paljastaminen, josta vähimmäisrangaistus on 4 kuukautta vankeutta.

Tutkinta on lehtitietojen perusteella kietoutunut Väestörekisterikeskuksen, sen käyttämän palveluyhtiö ja palveluyhtiön ulkomaille myymän liiketoimintayksikön ympärille. Ketä epäillään ja kuka on uhri, juttu ei selvitä. Tutkintapyynnön on tehnyt Väestörekisterikeskus.

HS:n uutisessa kerrottiin myös selvityksen alla olevan se, onko sähköisten henkilökorttien tietoturva vaarantunut.

Oli kyse melkein mistä tahansa, se on helposti jotain sellaista, mitä ei olisi saanut tai pitänyt tapahtua lainkaan. Väestörekisterikeskus ylläpitää laajoja ja arkaluonteisia tietovarantoja, joita esimerkiksi poliisi käyttää.

Mietitäänpä asiaa hieman laajemmin. Poliisi haluaa käyttöönsä passihakemusten yhteydessä kansalaisilta kerätyt sormenjäljet ja niiden rekisterin. Sormenjäljet ovat tiukasti kiinni kansalaisen identiteetissä, tiukemmin kuin sähköinen henkilökortti. Mitä tapahtuisi, jos sormenjälkirekisteri vuotaisi epämääräisiin käsiin? Seurauksia ei edes halua ajatella.

Voisiko rekisteri sitten päätyä jonnekin rikollisiin käsiin? Vastaus on kyllä. Juuri siitä uhkakuvasta Väestörekisterikeskuksen ympärillä tapahtuva tutkinta kertoo. Kuvassa on globaalisti toimiva asiantuntijayritys, sen yrityskaupat ja muu sellainen. Varmaankin turvallisuusselvityksiä on tehty, kenties virheitäkin.

On täysin väärin ajatella, että poliisille ei voisi käydä kuten Väestörekisterikeskukselle on ehkä nyt käynyt. Poliisikin ostaa palveluita markkinoilta ja saattaa tehdä kohtalokkaita virheitä. Yksi pieni virhe tai vahinko riittää ja korvaamatonta tietoa valuu ulos.

Lisäksi on niin, että jos digitaaliseen muotoon muutetut sormenjäljet tai vaikkapa sähköisen henkilökortin varmennetiedot tai muu digitaalinen aineisto päätyy väärille teille, sitä ei ikinä saada sieltä takaisin. Bitti ei ole mikään auto, jonka voi hakea jostain, vaan helposti kopioitavaa dataa.

Nyt päättäjien on viimeistään herättävä siihen, että ihan kaikkea ei turvallisessa tietoyhteiskunnassa saa tallentaa ja kerätä. Ainoa todella turvassa oleva tieto on tallentamaton tieto.

EDIT klo 23.19. YLE Uutisten mukaan poliisi epäilee rikoksesta useita henkilöitä, jotka työskentelevät Väestörekisterikeskukselle tietoturvapalveluita tuottavassa yrityksessä. IS:n mukaan kyse on nimenomaan sähköisiin henkilökortteihin liittyvistä asioista.

Sähköisiä henkilökortteja käytetään lähinnä julkishallinnossa, eikä niiden suosio ole ollut kovinkaan suuri. Käyttökohteet tekevät niistä arkoja. Sähköisissä henkilökorteissa on kuitenkin kyse niiden käyttäjien sähköisistä identiteeteistä ja tunnistamisesta. Jos sellaiseen pääsee käsiksi, tilanne on sama kuin silloin, jos joku väärentäisi sinun henkilöllisyystodistuksesi ja käyttäisi sitä johonkin tarkoitukseen menestyksellä.

Jos sähköisiä henkilökortteja vertaa sormenjälkiin, niin tilanne on erilainen. Henkilökortit on mahdollista - ainakin periaatteessa - revokoida eli pistää sulkulistalle ja organsoida kaikille käyttäjille uudet kortit. Sormenjälkiä ei voi ihmisen kädestä vaihtaa.