Trafi, meillä on ongelma

Viime päivinä on kohistu Trafin sähköisen ajokorttitietopalvelun tietoturvasta. Ilmeisesti järjestelmästä ei ehditty louhia suuria määriä henkilötietoja, mutta yksittäisiä henkilötietoja on voitu käyttää identiteettivarkausrikoksissa. Sitä on mahdotonta tietää. Joka tapauksess aajokorttitietopalvelun tietoturvariskianalyysi on ollut puutteellinen, jos sellaista on ylipäätään tehty.

Trafin tapaus alleviivaa Suomen tuoreen tietosuojalain mielenkiintoista yksityiskohtaa. EU:n gdpr-asetus (general data protectionregulation) antaa jäsenvaltioille vapauden itse päättää, koskevatko tietoturvalaiminlyönneistä määrättävät hallinnolliset seuraamusmaksut paitsi yrityksiä myös julkishallinnon organisaatioita. Suomen tietosuojalain mukaan hallinnollinen seuraamusmaksu voidaan määrätä vain yritykselle, ei valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille eikä tasavallan presidentin kanslialle.

En mielelläni spekuloi, mutta yksi mahdollinen selitys julkishallinnon vapauttamiselle gdpr-seuraamusmaksuista saattoi paljastua viime torstain kyselytunnilla, kun liikenne- ja viestintäministeri Berner totesi: ”Trafin järjestelmät ovat tietoturvanäkökulmasta keskimääräistä parempia.” Arvio perustui Bernerin mukaan Trafin sähköisten palveluiden auditointiin.

Jos tämä pitää paikkansa, millä tasolla muiden viranomaisten sähköisten palveluiden tietoturva mahtaakaan olla? Jos Suomen gdpr-valvontaviranomainen eli tietosuojavaltuutettu pystyisi määräämään myös julkishallinnon organisaatioille hallinnollisia maksuja, hän ilmeisesti hukkuisi töihin.

Tai sitten Bernerin mainitsemat auditoinnit on auditoitava. Ovatko ne oikeasti olleet niistä maksetun hinnan arvoisia, jos Trafin edes ajokorttitietopalvelun ongelmaa ei oltu havaittu?

Trafin sähköisen ajokorttitietopalvelun tietoturvaongelmien paljastuminen on paljastanut myös paljon syvempiä ongelmia Trafin, mahdollisesti koko liikenne- ja viestintäministeriön tietohallinnossa. Ensinnäkään kukaan ei tunnu tietävän, koska tieto ongelmista tuli ministeriöön. Ministeri Berner kertoo kuulleensa asiasta vasta viime viikon sunnuntaina. Ministeriön kansliapäällikön mukaan ongelmista kuultiin jo lokakuussa, ja tietosuojavaltuutettu kertoo lähettäneensä ongelmista selvityspyynnön jo elokuussa.

Silti asiaan puututtiin vasta kun se joulukuussa tuli julkisuuteen mediassa. Jokin organisaatiossa on rikki, jos tieto tietoturvaongelmasta kulkee ainoastaan Tekniikka & Talouden välityksellä.

Kun ajokorttitietopalvelu lopulta päätettiin sulkea, se epäonnistui, ja lopulta kaikki Trafin sähköiset palvelut jouduttiin sulkemaan, eikä muita palveluita pystytty palauttamaan kuin vasta vajaa viikko myöhemmin. Tämä teki esimerkiksi käytettyjen autojen kaupasta hankalaa ellei mahdotonta.

Miten Trafi on voinut hyväksyä sovellusarkkitehtuurin, jossa yhden sähköisen palvelun sulkeminen on mahdotonta ilman kaikkien muiden sähköisten palveluiden sulkemista? Kuinka monen muun viranomaisen palvelut on rakennettu samalla periaatteella?

jyrkikasvi
Vihreät Espoo

Ex-pelijournalisti, ex-tutkija, ex-kansanedustaja.

Ilmoita asiaton viesti

Kiitos!

Ilmoitus asiattomasta sisällöstä on vastaanotettu