Jyrki J.J. Kasvi Jyrki J.J. Kasvi (vihreät, Espoo)

Trafi, meillä on ongelma

  • CC 2.0 Attribution Josh Hallett.
    CC 2.0 Attribution Josh Hallett.

Viime päivinä on kohistu Trafin sähköisen ajokorttitietopalvelun tietoturvasta. Ilmeisesti järjestelmästä ei ehditty louhia suuria määriä henkilötietoja, mutta yksittäisiä henkilötietoja on voitu käyttää identiteettivarkausrikoksissa. Sitä on mahdotonta tietää. Joka tapauksess aajokorttitietopalvelun tietoturvariskianalyysi on ollut puutteellinen, jos sellaista on ylipäätään tehty.

Trafin tapaus alleviivaa Suomen tuoreen tietosuojalain mielenkiintoista yksityiskohtaa. EU:n gdpr-asetus (general data protectionregulation) antaa jäsenvaltioille vapauden itse päättää, koskevatko tietoturvalaiminlyönneistä määrättävät hallinnolliset seuraamusmaksut paitsi yrityksiä myös julkishallinnon organisaatioita. Suomen tietosuojalain mukaan hallinnollinen seuraamusmaksu voidaan määrätä vain yritykselle, ei valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille eikä tasavallan presidentin kanslialle.

En mielelläni spekuloi, mutta yksi mahdollinen selitys julkishallinnon vapauttamiselle gdpr-seuraamusmaksuista saattoi paljastua viime torstain kyselytunnilla, kun liikenne- ja viestintäministeri Berner totesi: ”Trafin järjestelmät ovat tietoturvanäkökulmasta keskimääräistä parempia.” Arvio perustui Bernerin mukaan Trafin sähköisten palveluiden auditointiin.

Jos tämä pitää paikkansa, millä tasolla muiden viranomaisten sähköisten palveluiden tietoturva mahtaakaan olla? Jos Suomen gdpr-valvontaviranomainen eli tietosuojavaltuutettu pystyisi määräämään myös julkishallinnon organisaatioille hallinnollisia maksuja, hän ilmeisesti hukkuisi töihin.

Tai sitten Bernerin mainitsemat auditoinnit on auditoitava. Ovatko ne oikeasti olleet niistä maksetun hinnan arvoisia, jos Trafin edes ajokorttitietopalvelun ongelmaa ei oltu havaittu?

Trafin sähköisen ajokorttitietopalvelun tietoturvaongelmien paljastuminen on paljastanut myös paljon syvempiä ongelmia Trafin, mahdollisesti koko liikenne- ja viestintäministeriön tietohallinnossa. Ensinnäkään kukaan ei tunnu tietävän, koska tieto ongelmista tuli ministeriöön. Ministeri Berner kertoo kuulleensa asiasta vasta viime viikon sunnuntaina. Ministeriön kansliapäällikön mukaan ongelmista kuultiin jo lokakuussa, ja tietosuojavaltuutettu kertoo lähettäneensä ongelmista selvityspyynnön jo elokuussa.

Silti asiaan puututtiin vasta kun se joulukuussa tuli julkisuuteen mediassa. Jokin organisaatiossa on rikki, jos tieto tietoturvaongelmasta kulkee ainoastaan Tekniikka & Talouden välityksellä.

Kun ajokorttitietopalvelu lopulta päätettiin sulkea, se epäonnistui, ja lopulta kaikki Trafin sähköiset palvelut jouduttiin sulkemaan, eikä muita palveluita pystytty palauttamaan kuin vasta vajaa viikko myöhemmin. Tämä teki esimerkiksi käytettyjen autojen kaupasta hankalaa ellei mahdotonta.

Miten Trafi on voinut hyväksyä sovellusarkkitehtuurin, jossa yhden sähköisen palvelun sulkeminen on mahdotonta ilman kaikkien muiden sähköisten palveluiden sulkemista? Kuinka monen muun viranomaisen palvelut on rakennettu samalla periaatteella?

Piditkö tästä kirjoituksesta? Näytä se!

6Suosittele

6 käyttäjää suosittelee tätä kirjoitusta. - Näytä suosittelijat

NäytäPiilota kommentit (7 kommenttia)

Käyttäjän kalevikamarainen kuva
Kalevi Kämäräinen

Paraikaa Ylen puoli yhdeksän uutisissa on terveisiä sinne Arkadianmäellekin tässä sopassa.

X

Käyttäjän kalevikamarainen kuva
Kalevi Kämäräinen

Siinäpä niitä madonlukuja on (tämä vain "rusina pullasta"):
"Trafin kaltaisia tietoturvaongelmia tullee lisää, ellei tietosuojalakeihin tehdä täysremonttia, sanoo it-oikeuteen perehtynyt professori Tomi Voutilainen."
https://yle.fi/uutiset/3-10556716?origin=rss

X

Käyttäjän TimoKeklinen kuva
Timo Kekäläinen

"Ilmeisesti järjestelmästä ei ehditty louhia suuria määriä henkilötietoja"

Toivon todellakin että tämä on tieto eikä arvelu ja perustuu esimerkiksi johonkin todennettavaan tietojärjestelmän lokiin.

Käyttäjän jormanordlin kuva
Jorma Nordlin

Kysyppäs Jyrki Espoosta kun olet, niin miten on Espoon kaupunki hoitanut GDPR-asioihin liittyvän johtamisen? Eli kenen vastuulla on GDPR-asiat Espoon kaupungilla? Voi tulla mielenkiintoisia vastauksia.

Miten Espoon kaupunki sähköisten palvelujen osalta on tehnyt tietoturvatestaukset? Onko näille palveluille haettu tietoturvasertifikaatteja?

Viimeksi eilen tutustuin yhteen yksityisen yrityksen tarjoamaan palveluun, joka oli saanut tietoturvasertifikaatin.

Käyttäjän jyrkikasvi kuva
Jyrki Kasvi

Parantamisen varaa varmasti on, etenkin vanhoissa järjestelmissä, joita määriteltäessä gdpr:stä ei oltu edes kuultu

Käyttäjän bionavigaattori kuva
Veikko Hintsanen

Toteat : ”Trafi , meillä on ongelma.”

Jyrki kuvaat hyvin mikä ongelma on. mutta Trafi ei suuressa kuvassa ole se mikä Teitä voi auttaa. On vain Te itse siellä eduskunnassa, jotka voitte tilanteen parantaa….

Muuten oletko havainnut - nyt jo aika kauan istuessasi liikenne ja viestintävaliokunnassa täysvaltaisena jäsenenä , että Teidän valiokuntanne todellinen ongelma on se että saatte sinne puutteellista tietoa, minkä takia teette myös puutteellisia päätöksiä siitä, miten asioita Liikenne ja viestintäministeriössä tulee hoitaa.

Mielestäni asian korjaamiseksi tarvitaan kaksi eri toimintaa :

1) Liikenneministeriön erottaminen viestintä ministeriöstä. Ja tehdä kaksi eri virastoa. ja kaksi eri valiokuntaa eduskuntaan . Viestintä valiokunta ja Liikennevaliokunta. Koska asiat joita niissä käsitellään ovat aivan liian kaukana toisistaan. – Ei vähiten siksi että liikenteen asioista puhuu media lähes pelkästään LVM:n suulla , ja muodostaa mielipiteitä liikenneasioiden tulevaisuuden rakentamisiksi. Mahdollisuus median virheelliseen käyttöön poliittisten -ja ministeriön oman agendan ajamisiin - on selkeästi olemassa. -erityisesti siksi, että liikenne ja viestintäministeriö jakaa myös lehdistö ja tv tuet.

2) Yksinkertaistaa, selventää , lyhentää ja valvoa tehtyjä päätöksiä ja rakennettuja komentoketjuja päätöksen teon , hallinnon , raportoinnin , tutkimuksen ja toimeenpanon alueilla.

Nyt Viestintä ja Liikenne asioiden ammattisiilot ja ammattilaiset pääsevät tekemään omaa työtänsä em alueiden hoitamiseksi vasta organisaatioiden tasoilla 12-13 . ja tästä on erityisesti liikenteen puolella selkeät esimerkit miten tutkimuksia rajataan ja miten niistä tehdyt johtopäätökset esitellään puutteellisesti eduskunnalle, median myötäillessä. www.sisävesi.fi
Kun lähdetään laskemaan Liikenne ja viestintäministeriön hallinnon alan päätöksiä eduskunnan täysistunnosta alkaen, tulee mukaan laskea seuraavat tasot
kun EU ja muita kansainvälisiä sopimuksia ei oteta huomioon

1. Liikenne (ja viestintä)poliittinen selonteko ( huom ! minkä rakentamisesta puutteellisin tiedoin on mm oikeuskansleri huomauttanut)
2.Valtiovarainvaliokunta
3.Valtiovarainvaliokunnan liikennejaos
4.Liikennevaliokunta
5.Hallitusohjelma ja pääministeri
6.Liikenneministeri
7.Liikenneministeriön johtoryhmä
8.LVM kansliapäällikkö
9.LVM osastopäälliköt
10.Trafi,Liikennevirasto Viestintävirasto
11.Pääjohtajat
12.Virastojen toimintastrategiat
13Virastojen eri osastot ja niiden päälliköt
14.Asiantuntija taso.

Toimituksen poiminnat

Tämän blogin suosituimmat kirjoitukset