torstai 26. tammikuuta 2012

EU:n komission 25.1.2012 ehdotus uusituksi tietosuojakäytännöksi

(Koonti tämän artikkelin lopussa.)

EU:n komissio julkaisi keskiviikkona 25.1.2012 ehdotuksensa uusituiksi tietosuojasäännöiksi unionille. Näistä ehkä huolestuttavin oli "mahdollisuus siirtää omat henkilötietonsa yhdeltä verkkokauppiaalta toiselle".

Lisäksi EU:n komissio ehdottaa, että siirto pitäisi eri verkkokauppojen välillä suorittaa 24 tunnin sisällä.

Ajatellaanpa hetki, millaisen riskin ja mahdottomuuden edellä mainitut ehdotukset toteutuessaan sisältäisivät.

Samoja käyttäjätunnuksia ja salasanoja käytetään eri järjestelmissä

Viimeaikaiset tietoturvamurtoaallot ovat osoittaneet, että hyvin moni käyttää samaa käyttäjätunnusta ja salasanaa eri paikassa. Sama asia voi olla myös kuluttajapuolen verkkokauppojen kanta-asiakasjärjestelmissä. 

Sain jokin aika sitten sähköpostia eräältä suomalaiselta verkkojärjestelmän ylläpitäjältä, että heidän kaikki salasanansa on viety ja että minun pitäisi vaihtaa oma salasanani. Sama tieto oli myös em. yrityksen järjestelmän etusivulla. 

Olin tietenkin ilahtunut siitä, että verkkojärjestelmän ylläpitäjä vihdoin tiedotti asiasta myös minun sähköpostilaatikkooni, mutta olin lukenut tästä samasta uutisesta noin viikkoa aikaisemmin lehdestä, ja päivien kuluessa minut valtasi epäusko, että eivätkö he todella aio tehdä mitään asialle tai tiedottaa tästä lainkaan loppukäyttäjiään. 

En tiedä tarvitsivatko he viikon järjestelmäpäivitysten ajamiseen ja testaamiseen, mutta järjestelmän teknisen ylläpidon laatu sekä tiedottaminen eivät kyllä siinä vaiheessa enää herättäneet mitään luottamusta. 

Otetaan seuraavaksi esimerkki siitä, millä tavalla edellä mainittua EU:n komission ehdotusta olisi mahdollista käyttää väärin.

Henkilötietojen siirto järjestelmästä toiseen rikollisessa mielessä: näin se tehdään

1. Oletetaan, että joku murtautuu johonkin heikosti ylläpidettyyn tietojärjestelmään ja saa sieltä ladattua itselleen listan järjestelmässä olevista käyttäjätunnuksista ja salasanoista. 

2. Listan lataamisen jälkeen murtautuja perustaa itselleen verkkokaupan. Siellä voi myydä vaikkapa purkitettua esikypsennettyä ja maustettua kinkkua, jota herkkua kutsutaan englantia puhuvissa maissa nimellä "Spam" (tulee muuten sanoista "SPiced HAM"). 

3. Sen jälkeen kun murtautujalla on käytössään spamia myyvä verkkokauppa, niin hän lähtee järjestelmällisesti kokeilemaan muita verkkokauppoja murtautujalla hallussaan olevilla käyttäjätunnuksilla ja salasanoilla. Kuten edellä oli kerrottu, niin ihmiset käyttävät samoja käyttäjätunnuksia ja salasanoja eri järjestelmissä. 

4. Aina kun oikea käyttäjätunnus/salasana-pari löytyy johonkin toiseen verkkokappajärjestelmään ja murtautuja pääsee kirjautumaan sisään uhrin tunnuksilla, niin murtautuja esittää sisään pääsemässään järjestelmässä vaatimuksen, että kaikki hänen käyttäjätietonsa tulee siirtää toiseen verkkokauppaan EU:n komission tietosuojasäännön mukaisesti.

Käyttäjätiedon kohdeverkkokaupaksi murtautuja valitsee tietenkin oman verkkokauppansa, jonka kaikkiin asiakastietoihin hän pääsee järjestelmän ylläpitäjänä käsiksi. 

5. Tämän jälkeen murtautujalla saa omaan verkkokauppaansa mukavan tietokannan, joka sisältää nimien lisäksi käyttäjien itsensä syöttämiä yhteystietoja sekä muutakin sensitiivistä tietoa. Näiden avulla murtautuja voi lähteä tehtailemaan lisää rikoksia haltuunsa saaneiden identiteettien avulla

EU:n komissio ehdottaa tietojen siirron aikarajaksi 24:ää tuntia

Edellä mainitun rikollisia tarkoitusperiä mahdollistavan käytännön lisäksi EU:n komissio vaatii, että käyttäjätietojen siirto kahden eri järjestelmän välillä pitäisi tapahtua 24 tunnin sisällä. Suomalaisessa lehtikirjoittelussa tätä asiaa on verrattu melko kevein perustein "puhelinnumeron siirtoon". 

Haluaisin nähdä kaksi sellaista teleoperaattoria, jotka pystyisivät siirtämään lankanumeron tai matkapuhelinnumeron 24 tunnin sisällä kahden operaattorin välillä, vaikka heillä on taatusti käytettävissään alan paras tekniikka. Me kaikki numerosiirron joskus tehneet tiedämme, että siinä menee aikaa työviikkoja.  

Lisäksi teleoperaattoreita on yleensä maakohtaisesti huomattavasti vähemmän kuin verkkokauppoja. Esimerkiksi Suomessa on kolme teleoperaattoria: TeliaSonera, Elisa ja DNA. Verkkokauppoja sen sijaan on maassamme jo tuhansia ja määrä kasvaa päivittäin. 

Kuka määrittelee tarkemmin sen järjestelmän, jonka avulla tuhannet ympäri Suomea toimivat verkkokaupat voivat siirtää käyttäjiensä tietoja verkkokauppajärjestelmästä toiseen 24 tunnin sisällä? Kuka tämän kaiken koodaa? Kuka vastaa teknisen ratkaisun toimivuudesta?

Onko EU:n komissiolla alkeellistakaan ymmärrystä siitä, miten mahdottomasta hankkeesta tässä on kyse reaalimaailmassa?

Näin ollen vaatimus tietojen siirtämisestä 24 tunnin sisällä on täysin mahdoton, eikä sitä vaadita EU:n sisällä edes teleoperaattoreille, joten miksi verkkokauppatoimittajat yritetään saada tällaiseen vastuuseen? 

Koonti

  • EU:n komissio ehdotti 25.1.2012 unionille uusitun tietosuojasäännöksen
  • näistä huolestuttavin oli "mahdollisuus siirtää omat henkilötietonsa yhdeltä verkkokauppiaalta toiselle"
  • lisäksi verkkokauppojen pitäisi toteuttaa siirto 24 tunnin sisällä
  • edellä mainittu käsittely sisältää mahdollisuuden rikolliseen toimintaan johtuen siitä, että samoja käyttäjätunnuksia ja salasanoja käytetään eri järjestelmissä
  • 24 tunnin aikaraja siirrolle ei tulisi koskaan toimimaan käytännössä teknisistä syistä.