Trafin kohupalvelun ehkä ongelmallisin seikka oli pelkällä henkilötunnuksella toimiva haku, arvioi tietoturva-asiantuntija

7

Liikenteen turvallisuusviraston Trafin ajokorttitietojupakka on herättänyt lukuisia kysymyksiä.
STT kokosi vastauksia keskeisiin kysymyksiin, mutta tiistaina Trafin tietojohtaja oli melko vaitonainen ja vetosi keskeneräiseen selvitykseen. Liikenne- ja viestintäministeriö pyysi maanantaina Viestintävirastolta selvitystä Trafin palveluiden tietosuojasta ja turvasta. Selvityksen on määrä olla valmis keskiviikkona.

Mitä tietoja Trafin palvelusta sai?
Trafin kuljettajatiedot-palvelusta oli mahdollista nähdä henkilön voimassaolevat ajo-oikeudet ja kuljettajan ammattipätevyystiedot. Tietoja pystyi vielä sunnuntai-iltamaan hakemaan pelkällä henkilötunnuksella tai nimen ja jonkin muun tunnistetiedon yhdistelmällä.

Miksi pelkällä henkilötunnuksella hakeminen on ongelmallista?
Kun haku toimi pelkällä henkilötunnuksella, sen perusteella oli mahdollista erilaisia yhdistelmiä kokeilemalla arvata toimivia henkilötunnuksia ja saada samalla tietoon henkilötunnuksen haltijan nimi.
Hakkeri- ja tietoturvatapahtuma Disobeyn perustanut Benjamin Särkkä pitää tätä palvelun ongelmallisimpana seikkana, sillä henkilötunnuksen loppuosa on kohtuullisen helppo päätellä ja koneellisesti arvauksia pystyy tekemään nopeastikin.
Henkilötunnuksen loppuosaan kuuluu kolme numeroa ja tarkistusmerkki, jonka määrittelyyn on olemassa laskukaava. Viimeisen merkin laskukaava on esitelty Väestörekisterikeskuksen verkkosivuilla. Lisäksi verkosta löytyy kaavaa hyödyntäviä laskureita.

Mitä näillä tiedoilla pystyi tekemään?
Särkkä huomauttaa, että identiteettivaras pystyy tekemään Suomessa aika paljon etu- ja sukunimellä, henkilötunnuksella ja kotiosoitteella. Niiden avulla voi saada esimerkiksi taloudellista hyötyä.
– Henkilötunnusta käytetään tunnistautumiseen aika usein ja sen avulla voi ottaa esimerkiksi pikavippejä, Särkkä selvensi.

Miksi palvelu mahdollisti tällaisen ja antoi hakea tietoja pelkällä henkilötunnuksella?
Trafin tietojohtaja Juha Kenraali ei vastaa suoraan kysymykseen ja kertoo, että Trafi tekee parhaillaan selvitystä asiasta liikenne- ja viestintäministeriölle.
– Olemme rauhoittaneet nyt tämän, että saamme rauhassa selvitettyä asian. Vastaamme sitten paremmin, Kenraali sanoi STT:lle.

Mitä laki sanoo?
Liikennepalvelulaissa säädetään liikenteen rekisteristä ja tietojen luovuttamisesta. Lain mukaan jokaisella on oikeus saada yksittäisluovutuksena tiedot henkilön oikeudesta kuljettaa liikennevälinettä tai muusta henkilöluvan voimassaolosta ja laajuudesta etu- ja sukunimen, henkilötunnuksen tai muun yksilöivän tunnuksen perusteella.
Lain esitöissä eli kyseistä kohtaa koskevassa hallituksen esityksessä mainitaan muun muassa, että tiedot ajo-oikeuden voimassaolotiedot koskisivat sitä, onko ajo-oikeus voimassa vai ei.
Palvelusta sai kuitenkin selville ajo-oikeuden voimassaoloon liittyviä päivämääriä, joista tietyissä tapauksissa pystyi päättelemään henkilön syntymäpäivän. Lisäksi palvelun avulla sai selville henkilön koko nimen ja asuinkunnan.

Miten tarkkaan palvelun rakentamisessa pohdittiin lain asettamia rajoja?
Trafi on kertonut aiemmin, että kuljettajatietopalvelua käynnistettäessä on arvioitu, että palvelu on lain ja EU:n tietosuoja-asetuksen mukainen. Tietojohtaja Kenraali ei halunnut tiistaina ottaa tarkemmin kantaa tähänkään kysymykseen, vaan vetosi keskeneräiseen selvitykseen.

Miksi ajo-oikeuden voimassaolon päättymispäivä näytettiin palvelussa? Miksei voimassaoloa kirjattu yksinkertaisesti maininnalla on tai ei?
Tähänkään kysymykseen Kenraali ei halunnut ottaa tarkkaa kantaa ennen selvityksen valmistumista.
– Ylipäätään tietojen näyttämisessä pyritään siihen, että siitä hyödynnettävästä tiedosta olisi mahdollisimman paljon hyötyä eri palveluissa. Se pätee muissakin kuin tässä. Tällainen ajatus siellä on kokonaisuudessa taustalla, Kenraali sanoi.

Vastaako Trafin hakupalvelu lain tarkoittamaa yksittäisluovutusta?
Kenraali kertoo, että Trafin käsityksen mukaan hakupalvelu vastasi lain tarkoittamaa yksittäisluovutusta.
– Sieltä haetaan yksittäisiä tietoja yksittäisillä hauilla, Kenraali sanoi.

Miten automaattiset haut estettiin?
Trafin palvelussa oli käytössä kuvallinen captcha-varmennus, jolla pyrittiin varmistamaan, että haun tekijä oli ihminen eikä kone. Käyttäjän oli syötettävä lomakkeelle kuvassa näkyvä numerosarja ennen kuin haun pystyi tekemään.
Captcha-varmennukset eivät kuitenkaan ole vedenpitäviä.
– Se vähän hidastaa, mutta ei se varsinaisesti estä mitään, Särkkä kertoi.
Trafin palvelun osalta Särkkä ei ottanut kantaa, kuinka tehokkaasti siinä oli automaattiset haut estetty, sillä hän ei ole testannut asiaa.

https://vrk.fi/henkilotunnus
https://www.finlex.fi/fi/laki/ajantasa/2017/20170320#O5L3
https://www.eduskunta.fi/FI/vaski/HallituksenEsitys/Sivut/HE_145+2017.aspx
https://www.eduskunta.fi/FI/vaski/HallituksenEsitys/Sivut/HE_145+2017.aspx

STT

Kuvat:

Johnson

Oliskohan fiksua palkata joku nuorempi henkilö selvittää tätä juttua, kun tuntuu ettei nuo vanhemmat päättäjät oikein ymmärrä tietotekniikkaa ja sen mahdollisia käyttötarkoituksia. Koko ajan puhutaan identiteettivarkauksista ja silti jopa valtion tasolla ihannoidaan ihmisten tietojen mahdollisesta hyötykäytöstä, siis myynnistä. Todellisuus on raha ja tässä tapauksessa se ei tule käyttäjän tilille tai hyödyksi. Jos tässäkin tilanteessa tulisi ilmi väärinkäyttö, esim. pikavippi tai muut kytkyt, niin olen satavarma että valtio ei siitä vastuuta ota, niin kuin ei enää mistään muustakaan, se on kansalaisen vika, mitäs äänestit.

Tärkeä toiminto puuttuu

Nykypäivänä kun ihmisten datan pitää olla julkista, eikö voida kehittää sovellusta, joka ilmoittaisi tekstiviestillä heti kun oma henkilötunnus on näpytelty jossain päin maailmaa mihin tahansa netissä toimivaan järjestelmään. Niin että ihminen saisi itse tietää milloin hänen tietonsa on päätyneet vääriin käsiin. Esimerkiksi hakkerin tehdessä nimiisi nettiostoksia toisella puolen maailmaa.

it Senior

On jo käytössä. Minulle on kytketty esim. Paypal palveluun tekstiviestivarmennus. Suurempia ostoksia tehdessä tulee puhelimeen pin koodi joka varmistaa kaupan!

it Senior

Yllätys yllätys eikös palvelun tuottaja ole Tieto.

Keijo K.

Jälleen mahtava esimerkki vastuun kantamisesta ja ottamisesta. Liikenneministeri, jonka ministeriön alaisuuteen toimija kuuluu, sysää jälleen vastuuta muille.

Jos vertaa muiden maiden ministereiden vastuunkantoon, niin olisikohan aika erota? Tuleekohan joskus aika, jolloin päätösten tekijät julkisellakin sektorilla joutuisivat vastuuseen tekemisistään, eikä aina selviäisi noilla kahdella sanalla ”sori siitä”.

Poliitikot syvältä

Tätä Sipilän perävaunua ei hetkauta mikään oma moka, aina voi vastuun vierittää jollekin muulle. Ja veronmaksajat maksavat.

Pikavipin antajan ongelma

Henkilötunnuksella pikavippejä? Eikö liene pikavipin antajan ongelma. Ei tuollaista pikavippiä pitäisi kenenkään joutua maksamaan.

Kenen pankkitilin kautta tuo raha kiertää? Vai mihin se raha vippauksen jälkeen menee?