Trafi, meillä on ongelma

Viime päivinä on kohistu Trafin sähköisen ajokorttitietopalvelun tietoturvasta. Ilmeisesti järjestelmästä ei ehditty louhia suuria määriä henkilötietoja, mutta yksittäisiä henkilötietoja on voitu käyttää identiteettivarkausrikoksissa. Sitä on mahdotonta tietää. Joka tapauksess aajokorttitietopalvelun tietoturvariskianalyysi on ollut puutteellinen, jos sellaista on ylipäätään tehty.

Trafin tapaus alleviivaa Suomen tuoreen tietosuojalain mielenkiintoista yksityiskohtaa. EU:n gdpr-asetus (general data protectionregulation) antaa jäsenvaltioille vapauden itse päättää, koskevatko tietoturvalaiminlyönneistä määrättävät hallinnolliset seuraamusmaksut paitsi yrityksiä myös julkishallinnon organisaatioita. Suomen tietosuojalain mukaan hallinnollinen seuraamusmaksu voidaan määrätä vain yritykselle, ei valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille eikä tasavallan presidentin kanslialle.


CC 2.0 Attribution Josh Hallett.

En mielelläni spekuloi, mutta yksi mahdollinen selitys julkishallinnon vapauttamiselle gdpr-seuraamusmaksuista saattoi paljastua viime torstain kyselytunnilla, kun liikenne- ja viestintäministeri Berner totesi: ”Trafin järjestelmät ovat tietoturvanäkökulmasta keskimääräistä parempia.” Arvio perustui Bernerin mukaan Trafin sähköisten palveluiden auditointiin.

Jos tämä pitää paikkansa, millä tasolla muiden viranomaisten sähköisten palveluiden tietoturva mahtaakaan olla? Jos Suomen gdpr-valvontaviranomainen eli tietosuojavaltuutettu pystyisi määräämään myös julkishallinnon organisaatioille hallinnollisia maksuja, hän ilmeisesti hukkuisi töihin.

Tai sitten Bernerin mainitsemat auditoinnit on auditoitava. Ovatko ne oikeasti olleet niistä maksetun hinnan arvoisia, jos Trafin edes ajokorttitietopalvelun ongelmaa ei oltu havaittu?

Trafin sähköisen ajokorttitietopalvelun tietoturvaongelmien paljastuminen on paljastanut myös paljon syvempiä ongelmia Trafin, mahdollisesti koko liikenne- ja viestintäministeriön tietohallinnossa. Ensinnäkään kukaan ei tunnu tietävän, koska tieto ongelmista tuli ministeriöön. Ministeri Berner kertoo kuulleensa asiasta vasta viime viikon sunnuntaina. Ministeriön kansliapäällikön mukaan ongelmista kuultiin jo lokakuussa, ja tietosuojavaltuutettu kertoo lähettäneensä ongelmista selvityspyynnön jo elokuussa.

Silti asiaan puututtiin vasta kun se joulukuussa tuli julkisuuteen mediassa. Jokin organisaatiossa on rikki, jos tieto tietoturvaongelmasta kulkee ainoastaan Tekniikka & Talouden välityksellä.

Kun ajokorttitietopalvelu lopulta päätettiin sulkea, se epäonnistui, ja lopulta kaikki Trafin sähköiset palvelut jouduttiin sulkemaan, eikä muita palveluita pystytty palauttamaan kuin vasta vajaa viikko myöhemmin. Tämä teki esimerkiksi käytettyjen autojen kaupasta hankalaa ellei mahdotonta.

Miten Trafi on voinut hyväksyä sovellusarkkitehtuurin, jossa yhden sähköisen palvelun sulkeminen on mahdotonta ilman kaikkien muiden sähköisten palveluiden sulkemista? Kuinka monen muun viranomaisen palvelut on rakennettu samalla periaatteella?

Tagged with: ,
8 comments on “Trafi, meillä on ongelma
  1. Jonne says:

    Oliko ongelma Trafin järjestelmässä lopulta lainkaan?

    Lainsäätäjä on määritellyt ajokorttitiedot julkiseksi ja Trafi toteutti lainsäätäjän päätöksen.

    Kritiikki pitäisi kohdistaa ensi sijassa lain säätäneisiin poliitikkoihin -ei sen toimeenpanneisiin viranomaisiin.

  2. Anne Backman says:

    “Tai sitten Bernerin mainitsemat auditoinnit on auditoitava. Ovatko ne oikeasti olleet niistä maksetun hinnan arvoisia, jos Trafin edes ajokorttitietopalvelun ongelmaa ei oltu havaittu?”

    Konsultointi on tässä varmaan avainsana. Vaan kuka konsultoisi konsutteja, että tällaista ei sattuisi tulevaisuudessa???

  3. Anon says:

    “Trafin järjestelmät ovat tietoturvanäkökulmasta keskimääräistä parempia.”
    Eli voimme olettaa tapahtuvan kohta isompiakin tietovuotoja viranomaisten järjestelmistä??
    Nyt kiireellä tarkistamaan kaikki kannat ja suomi.fi:iit!

  4. Sisko says:

    Eihän ne auditoinnit vastaa kuin siihen mitä pyydetään selvittämään. Ja tarjotut viitekehykset, joiden mukaan auditoinnit tehdään, ovat enemmän teknisiä alustaan kohdistuvia kuin maalaisjärjellisiä.

  5. anonyymi says:

    Suomessa on kansainvälisesti korkeatasoista tietoturvaosaamista.(*) Miksei sitä käytetä? Eikös niitä nyt ole ainakin Nixut ja F-Securet ja kokonainen rypäs vastaavia siinä ympärillä?

    Vai arvataanko taas masentavasti, että heitettiin tukku rahaa Tiedolle tai Accenturelle, joka sitten teki ison organisaation ketteryydellä ja kekseliäisyydellä pienen työn ja ison kasan byrokraattista ja ympäripyöreätä paperia, joka ei kelpaa edes takapuolen pyyhkimiseen?

    Miksei valtiolla ole omaa tietoteknistä instanssia, kun kerran julkiselle puolelle halutaan jatkuvasti kaikenlaista softaa? Entä tekeekö SuPo tai Puolustusvoimat mitään arviointia tai konsultointia muulle hallinnolle, ei toki tässä asiassa, mutta muuten?

    (*) Eikös Suomessa ole periaatteessa myös korkeatasoista ydinvoimaosaamista? Joku hyötö- tai toriumreaktoriklusteri alusta loppuun olisi todella kannattavaa polkaista pystyyn. Suomella on myös hyvä maine asioiden tekemisessä oikein (kuten laitosten rakentamisessa) ja tarkasti – etenkin ydinvoimassa. Sen päälle olisi hyvä rakentaa. (Lisäksi kun olisi tarpeeksi ovela Onkalon kanssa ja vuokraisi sieltä tilaa ja mahdollistaisi sopimuksissa sekä käytännössä sen jätteen takavarikoimisen polttoaineeksi..)

    • Anon says:

      Suomalainen “tietoturvaosaaminen”, mukaanlukien Nixu ja F-Secure kärsii siitä että edellämainittu ei ymmärrä prosesseista ja liiketoiminnasta riittävästi ja jälkimmäinen taas on kuitenkin tuotetalo, eikä tähän Trafi-caseen satu löytymään sopivaa tuotetta minkä lisensoida.

      Tämä koko ongelma olisi voitu välttää 1) käyttämällä hitusen järkeä 2) tarjoamalla ulos pienin mahdollinen määrä informaatiota, kuten nyt vaikka vain niiden jotka ovat taksilupaa hakeneet ja sen saaneet.

  6. anonyymi says:

    Näyttääkö muuten muilla soininvaara.fi 403:a?

Leave a Reply

Your email address will not be published. Required fields are marked *

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.