Itsenäisyyspäivän jälkimainingeissa somessa kuohahti. Trafin uusi ajokorttitietopalvelu herätti huolta henkilötietojen päätymisestä vääriin käsiin. Palvelun avulla oli mahdollista vähäisellä vaivalla selvittää julkiseksi määriteltyjen tietojen ohella mm. henkilötunnuksia.
Jo ajokorttitietojen saaminen julkisesta palvelusta ilman käyttäjän tunnistamista oli riittävän huono juttu. Henkilötunnusten vuotaminen palvelun kautta on jo aidosti vakavampi paikka ja herätti aiheellisesti kansalaisissa sekä närkästystä että huolta Trafin tietoturva- ja tietosuojaosaamisesta.
Käytännössä kaikki sanomalehdet ja uutispalvelut tarttuivat aiheeseen ja kirjoittivat viikon aluksi runsaasti aiheesta. Selvisi, että palvelu oli itse asiassa aiemmin syksyllä vielä heikompi. Eräs käyttäjä oli saanut selville helposti kymmenen tuntemattoman henkilön henkilötunnukset ja muut henkilötiedot, joiden avulla identiteettivarkaus käytännössä tehdään. Tästä lisää YLE:n uutisessa. Katso samalla myös juttu Jarin tapauksesta, johon on linkki ko. uutisessa. Se avaa hyvin henkilötunnuksen vääriin käsiin vuotamisen merkitystä.
Trafi joutui some-kohun myötä kaltevalle pinnalle ja päätti sulkea palvelun, kunnes sen tietosuojaongelmat on selvitetty. Samalla kaikki muutkin Trafin julkiset tietopalvelut laitettiin ns. seisontaan (liikennekäytöstä poisto), kunnes Viestintävirasto olisi Liikenne- ja viestintäministeriön toimesta selvittänyt Trafin palveluiden turvallisuuden. Yhden palvelun huonon suunnittelun vuoksi useat Trafin palvelut ovat siis olleet pois käytöstä aiheuttaen ongelmia mm. autokauppiaille.
Yhden palvelun huonon suunnittelun vuoksi useat Trafin palvelut ovat olleet pois käytöstä.
Jotta asia ei jäisi pelkästään kuohunnaksi, on syytä pysähtyä pohtimaan, mitä voimme oppia Trafin tapauksesta!
Trafi perusteli palvelua sillä, että Laki liikenteen palveluista määrää ajokorttitiedot julkisiksi. Tähän antoi jo tietosuojavaltuutettu Reijo Aarnio edellä mainitussa YLEn artikkelissa vastakommentin, että se ei tarkoita, että tietoja voisi käsitellä miten haluaa. Eikä voikaan.
Tietosuoja-asetus lähtee ensinnäkin siitä, että henkilötietojen käsittelylle on oltava laillinen peruste (Artikla 6, Käsittelyn lainmukaisuus). Trafin palvelussa tehtävä tietojen julkaisu on yksi henkilötietojen käsittelyn muoto. Tietosuoja-asetus antaa käsittelyn lailliseksi perusteeksi mm. lakisääteisen velvoitteen noudattamisen (Artikla 6, kohta 1 c) ja tähän Trafi nojasikin käsittelynsä.
Henkilötietojen käsittelyssä ei voida kuitenkaan tukeutua vain käsittelyperusteeseen ja unohtaa sen jälkeen kaikki muu lainsäädäntö, tietosuoja-asetuksen velvoitteet mukaanlukien.
Henkilötietojen käsittelyssä ei voida tukeutua vain käsittelyperusteeseen
Tietosuoja-asetuksen yhtenä keskeisistä vaatimuksista on sisäänrakennettu ja oletusarvoinen tietosuoja (Artikla 25). Tämä tarkoittaa käytännössä sitä, että jo palvelua suunniteltaessa on otettava huomioon henkilön yksityisyyden suojan toteutuminen ja suunniteltava mm. palvelun tietoturvaratkaisut tätä tukien. Tietoturvaan ja tietosuojaan liittyviä ratkaisuja ei voida ns. päälleliimata palvelukehityksen lopuksi tai myöhemmin saadun asiakaspalautteen pohjalta. Toki palautteen ja/tai muun jatkuvan riskiarvioinnin pohjalta palvelua sekä sen tietoturvaa voidaan ja on syytäkin edelleen kehittää.
Keskeisiä puutteita ja ongelmia Trafin palvelussa olivat ainakin seuraavat:
- Palvelun käyttäjää ei tunnistettu lainkaan
- Tietojen katseluista ei jäänyt mitään jälkiä, kuka tietoja oli katsellut ja kuinka paljon.
- Ei myöskään estetty palvelun käyttöä vaikkapa EU-alueen ulkopuolelta.
- Henkilötunnus toimi sillä tavalla hakuperusteena, että sen avulla pystyi arvaamaan henkilötunnuksen, mikäli syntymäaika oli tiedossa
- Piti vain kokeilla hakua nimellä, syntymäajalla ja henkilötunnuksella ja mikäli hakutuloksiin sai henkilön, henkilötunnus oli selvitetty. Tämä mahdollistaa täydellisen identiteettivarkauden!!
- Käyttäjä pystyi tekemään rajattoman määrän kyselyitä peräjälkeen
- Tämä mahdollistaa ns. brute force -tekniikan käytön tietojen selvittämiseen, tässä tapauksessa esim. henkilötunnuksen kohdalla.
- Kyselyiden automatisointia oli sentään ehkäisty ns. captcha-toiminnolla. Mikäli tätä ei oltaisi tehty, olisivat rekisterin tiedot voitu pienen botin avulla saada ladattua hetkessä rikollisiin tarkoituksiin. Tosin captcha-menetelmätkin toimivat usein vain hidasteina, eivät esteinä.
- Palvelusta sai tietää kaikki henkilön ajokorttiluokat, erityisluvat ja jopa puolustusvoimien myöntämät ajokorttiluokat ja -luvat
- Tämä saattoi aiheuttaa jopa maanpuolustuksellisia ongelmia.
Palvelun puutteet mahdollistivat mm. täydellisen identiteettivarkauden!
Trafin palvelun kohdallakin on syytä palata yhteen asetuksen vaatimukseen, eli tietojen minimointiin. Asetus ja sen vaatimukset sisäänrakennetusta ja oletusarvoisesta tietosuojasta (Artikla 25) sekä yleiset henkilötietojen käsittelyä koskevat periaatteet (Artikla5) lähtevät siitä, että kussakin tilanteessa käsitellään vain sellaista tietoa, jota todella tarvitaan ja vain niin pitkään, kuin on tarvetta.
On paikallaan arvioida, ovatko kaikki palvelun tarjoamat tiedot sellaisenaan todella tarpeen esimerkiksi tilanteessa, jossa kuljetuspalvelua tilaava kuluttaja selvittää kuljetuspalvelun suorittavan henkilön ajolupa-asioita. Eikö tämän voisi toteuttaa esimerkiksi seuraavasti?
- Kuljettaja esittää luvan, jossa näkyy hänen nimensä lisäksi valokuva ja taksiluvan numero.
- Asiakas voi syöttää Trafin palveluun luvan numeron (ja tarvittaessa lisätietona ajoneuvoluokan), jonka jälkeen hänelle näytetään Trafin rekisteristä henkilön etunimi ja sukunimi (ei koko nimi), valokuva sekä tieto siitä, onko kuljettajan ajolupa voimassa.
Tämä on yksi esimerkki, kuinka tietojen minimointia voisi toteuttaa. Nyt Trafi julkaisi palvelussa mm. henkilön koko nimen sekä kaikki ajokorttiluokat ja erikoisluvat. Hakutoiminnon avulla pystyi siis kokeilemalla selvittämään myös henkilötunnuksen. Näiden tietojen perusteella voi muista lähteistä selvittää mm. henkilön kotiosoitteen, puhelinnumeron jne.
Tässä kohtaa on toki syytä pohtia myös, onko uuden lain teksti määritelty huonosti tai tulkittu väärin Trafin toimesta, kun päädyttiin kehittämään tietosuojan kannalta kyseenalainen palvelu.
Käsitellään vain sellaista tietoa, jota todella tarvitaan!
Summa summarum. Mitä opimme?
- Kun uusia palveluita suunnitellaan, tulee tietosuojan toteutuminen arvioida kokonaisvaltaisesti. Ei riitä, että arvioidaan, onko käsittelylle laillinen peruste, eikä varsinkaan voida mennä lakisääteisten velvoitteiden taakse, unohtaen samalla tietosuojan toteuttamisen perusperiaatteet.
- Palvelun ja sen käytön riskit tulee arvioida huolellisesti. Riskien lisäksi tulee arvioida, mitä vaikutuksia henkilöille voi tulla, mikäli riski toteutuu ja henkilötietoja vuotaa vääriin käsiin tai voidaan palvelun avulla selvittää muutoin laajamittaisesti. Riskien ja vaikutusten arviointia pitää tehdä myös jatkuvasti palvelun ylläpidon aikana, eikä pelkästään palvelun kehityksen yhteydessä.
- Tietoturvaratkaisut pitää toteuttaa siten, että palvelua ei voi edes manuaalisesti tai vaivalloisesti käyttää sen käyttötarkoituksen vastaisesti. Manuaalista ja vaivalloista kun pystytään joko A) automatisoimaan tai B) viemään halvan työvoiman maihin edullisesti.
- Kun palvelua suunnitellaan, tulee ylipäänsä pohtia, onko palvelusta enemmän hyötyä vai haittaa kokonaisturvallisuuden kannalta. Henkilön yksityisyyden suojaa kun voidaan joskus pitää pienempänä pahana, mikäli sen kustannuksella voidaan toista turvallisuusnäkökulmaa parantaa merkittävästi. Eli täysi tietojen salassa pitäminenkään ei luonnollisesti ole oikea ratkaisu.
Me olemme pohtineet näitä asioita yhdessä eri toimialojen asiakkaidemme kanssa hyvin käytännönläheisestä näkökulmasta. Mikäli kaipaatte organisaatiossanne käytännön osaamista ja näkökulmaa tietosuoja-asetuksen selättämiseen, tutustu esimerkiksi koulutustarjontaamme. Katso myös, mitä asiakkaamme ovat kertoneet palveluistamme.
