Trafi, meillä on ongelma
Viime päivinä on kohistu Trafin sähköisen ajokorttitietopalvelun tietoturvasta. Ilmeisesti järjestelmästä ei ehditty louhia suuria määriä henkilötietoja, mutta yksittäisiä henkilötietoja on voitu käyttää identiteettivarkausrikoksissa. Sitä on mahdotonta tietää. Joka tapauksess aajokorttitietopalvelun tietoturvariskianalyysi on ollut puutteellinen, jos sellaista on ylipäätään tehty.
Trafin tapaus alleviivaa Suomen tuoreen tietosuojalain mielenkiintoista yksityiskohtaa. EU:n gdpr-asetus (general data protectionregulation) antaa jäsenvaltioille vapauden itse päättää, koskevatko tietoturvalaiminlyönneistä määrättävät hallinnolliset seuraamusmaksut paitsi yrityksiä myös julkishallinnon organisaatioita. Suomen tietosuojalain mukaan hallinnollinen seuraamusmaksu voidaan määrätä vain yritykselle, ei valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille eikä tasavallan presidentin kanslialle.
En mielelläni spekuloi, mutta yksi mahdollinen selitys julkishallinnon vapauttamiselle gdpr-seuraamusmaksuista saattoi paljastua viime torstain kyselytunnilla, kun liikenne- ja viestintäministeri Berner totesi: ”Trafin järjestelmät ovat tietoturvanäkökulmasta keskimääräistä parempia.” Arvio perustui Bernerin mukaan Trafin sähköisten palveluiden auditointiin.
Jos tämä pitää paikkansa, millä tasolla muiden viranomaisten sähköisten palveluiden tietoturva mahtaakaan olla? Jos Suomen gdpr-valvontaviranomainen eli tietosuojavaltuutettu pystyisi määräämään myös julkishallinnon organisaatioille hallinnollisia maksuja, hän ilmeisesti hukkuisi töihin.
Tai sitten Bernerin mainitsemat auditoinnit on auditoitava. Ovatko ne oikeasti olleet niistä maksetun hinnan arvoisia, jos Trafin edes ajokorttitietopalvelun ongelmaa ei oltu havaittu?
Trafin sähköisen ajokorttitietopalvelun tietoturvaongelmien paljastuminen on paljastanut myös paljon syvempiä ongelmia Trafin, mahdollisesti koko liikenne- ja viestintäministeriön tietohallinnossa. Ensinnäkään kukaan ei tunnu tietävän, koska tieto ongelmista tuli ministeriöön. Ministeri Berner kertoo kuulleensa asiasta vasta viime viikon sunnuntaina. Ministeriön kansliapäällikön mukaan ongelmista kuultiin jo lokakuussa, ja tietosuojavaltuutettu kertoo lähettäneensä ongelmista selvityspyynnön jo elokuussa.
Silti asiaan puututtiin vasta kun se joulukuussa tuli julkisuuteen mediassa. Jokin organisaatiossa on rikki, jos tieto tietoturvaongelmasta kulkee ainoastaan Tekniikka & Talouden välityksellä.
Kun ajokorttitietopalvelu lopulta päätettiin sulkea, se epäonnistui, ja lopulta kaikki Trafin sähköiset palvelut jouduttiin sulkemaan, eikä muita palveluita pystytty palauttamaan kuin vasta vajaa viikko myöhemmin. Tämä teki esimerkiksi käytettyjen autojen kaupasta hankalaa ellei mahdotonta.
Miten Trafi on voinut hyväksyä sovellusarkkitehtuurin, jossa yhden sähköisen palvelun sulkeminen on mahdotonta ilman kaikkien muiden sähköisten palveluiden sulkemista? Kuinka monen muun viranomaisen palvelut on rakennettu samalla periaatteella?
Paraikaa Ylen puoli yhdeksän uutisissa on terveisiä sinne Arkadianmäellekin tässä sopassa.
X
Ilmoita asiaton viesti
Siinäpä niitä madonlukuja on (tämä vain ”rusina pullasta”):
”Trafin kaltaisia tietoturvaongelmia tullee lisää, ellei tietosuojalakeihin tehdä täysremonttia, sanoo it-oikeuteen perehtynyt professori Tomi Voutilainen.”
https://yle.fi/uutiset/3-10556716?origin=rss
X
Ilmoita asiaton viesti
”Ilmeisesti järjestelmästä ei ehditty louhia suuria määriä henkilötietoja”
Toivon todellakin että tämä on tieto eikä arvelu ja perustuu esimerkiksi johonkin todennettavaan tietojärjestelmän lokiin.
Ilmoita asiaton viesti
Alustavaan…
Ilmoita asiaton viesti
Parantamisen varaa varmasti on, etenkin vanhoissa järjestelmissä, joita määriteltäessä gdpr:stä ei oltu edes kuultu
Ilmoita asiaton viesti
Toteat : ”Trafi , meillä on ongelma.”
Jyrki kuvaat hyvin mikä ongelma on. mutta Trafi ei suuressa kuvassa ole se mikä Teitä voi auttaa. On vain Te itse siellä eduskunnassa, jotka voitte tilanteen parantaa….
Muuten oletko havainnut – nyt jo aika kauan istuessasi liikenne ja viestintävaliokunnassa täysvaltaisena jäsenenä , että Teidän valiokuntanne todellinen ongelma on se että saatte sinne puutteellista tietoa, minkä takia teette myös puutteellisia päätöksiä siitä, miten asioita Liikenne ja viestintäministeriössä tulee hoitaa.
Mielestäni asian korjaamiseksi tarvitaan kaksi eri toimintaa :
1) Liikenneministeriön erottaminen viestintä ministeriöstä. Ja tehdä kaksi eri virastoa. ja kaksi eri valiokuntaa eduskuntaan . Viestintä valiokunta ja Liikennevaliokunta. Koska asiat joita niissä käsitellään ovat aivan liian kaukana toisistaan. – Ei vähiten siksi että liikenteen asioista puhuu media lähes pelkästään LVM:n suulla , ja muodostaa mielipiteitä liikenneasioiden tulevaisuuden rakentamisiksi. Mahdollisuus median virheelliseen käyttöön poliittisten -ja ministeriön oman agendan ajamisiin – on selkeästi olemassa. -erityisesti siksi, että liikenne ja viestintäministeriö jakaa myös lehdistö ja tv tuet.
2) Yksinkertaistaa, selventää , lyhentää ja valvoa tehtyjä päätöksiä ja rakennettuja komentoketjuja päätöksen teon , hallinnon , raportoinnin , tutkimuksen ja toimeenpanon alueilla.
Nyt Viestintä ja Liikenne asioiden ammattisiilot ja ammattilaiset pääsevät tekemään omaa työtänsä em alueiden hoitamiseksi vasta organisaatioiden tasoilla 12-13 . ja tästä on erityisesti liikenteen puolella selkeät esimerkit miten tutkimuksia rajataan ja miten niistä tehdyt johtopäätökset esitellään puutteellisesti eduskunnalle, median myötäillessä. http://www.sisävesi.fi
Kun lähdetään laskemaan Liikenne ja viestintäministeriön hallinnon alan päätöksiä eduskunnan täysistunnosta alkaen, tulee mukaan laskea seuraavat tasot
kun EU ja muita kansainvälisiä sopimuksia ei oteta huomioon
1. Liikenne (ja viestintä)poliittinen selonteko ( huom ! minkä rakentamisesta puutteellisin tiedoin on mm oikeuskansleri huomauttanut)
2.Valtiovarainvaliokunta
3.Valtiovarainvaliokunnan liikennejaos
4.Liikennevaliokunta
5.Hallitusohjelma ja pääministeri
6.Liikenneministeri
7.Liikenneministeriön johtoryhmä
8.LVM kansliapäällikkö
9.LVM osastopäälliköt
10.Trafi,Liikennevirasto Viestintävirasto
11.Pääjohtajat
12.Virastojen toimintastrategiat
13Virastojen eri osastot ja niiden päälliköt
14.Asiantuntija taso.
Ilmoita asiaton viesti