Hallitus kokoontui tänään Säätytalolle pohtimaan, miten Vastaamon tietomurron uhreja voitaisiin auttaa.
Pääministeri Sanna Marin (sd) kertoi medialle, että hallitus käy muun muassa läpi uhrien henkilötunnusten muuttamista.
Vastaamoon tehdyn tietomurron yhteydessä tuhannet yrityksen asiakkaat menettivät henkilötunnuksensa vääriin käsiin.
Uusi henkilötunnus saattaa kuulostaa helpolta ratkaisulta tukalaan ongelmaan, mutta se saattaakin aloittaa pitkän ongelmien ketjun.
Miksi uusien henkilötunnusten antaminen voi olla huono idea?
Henkilötunnuksen vaihtaminen voi tuoda käytännön ongelmia.
Henkilötunnuksen tarkoituksena on yksilöidä henkilö, kun hän asioi esimerkiksi viranomaisten, laitosten tai virastojen kanssa.
Henkilötunnuksen varassa ovat osittain myös esimerkiksi henkilön pankkitili ja puhelinliittymä.
Suomessa henkilötunnusjärjestelmän ongelma on, että se ei tue kovin hyvin henkilötunnuksen vaihtamista, koska esimerkiksi eri viranomaisten järjestelmät eivät enää tämän jälkeen jaa henkilöön liittyviä tietoja keskenään.
Toisin sanoen, jos henkilölle asetetaan johonkin järjestelmään uusi henkilötunnus, tämä uusi henkilötunnus pitäisi asettaa kaikkiin muihinkin järjestelmiin.
Se on todella hankalaa, varsinkin suuren ihmisjoukon kanssa, kun henkilöllisyyttä ei voida varmistaa muuta kuin paikan päällä henkilöllisyystodistuksella.
Millaisissa tilanteissa voisi syntyä ongelmia uuden henkilötunnuksen kanssa?
Ongelmia voi syntyä, kun uuden henkilötunnuksen saanut henkilö menee esimerkiksi terveyskeskukseen.
Tällöin henkilöstä ei saada tietoon aiempia, vanhan henkilötunnuksen takana olevia terveystietoja.
Henkilö on siis tässä valossa terveyskeskuksessa täysin uusi henkilö ja eri ihminen.
Henkilö kohtaa todennäköisesti ongelmia myös pankkiasioinnissa, puhelinoperaattorin kanssa ja jopa ammattipätevyyden kanssa, kun koulutuksesta saadun todistuksen hetu ei vastaa uutta hetua.
Miksi järjestelmä ei salli henkilötunnuksen vaihtamista?
Järjestelmiä suunniteltaessa ei ole otettu huomioon esimerkiksi internetissä tapahtuvia identiteettivarkauksia.
Tietojärjestelmät eivät siis yksinkertaisesti taivu henkilötunnusten vaihtamiseen siten, että vanhan tunnuksen takana olevat tiedot siirtyvät uuden henkilötunnuksen alle.
Onko OK, että yrityksiä vain kiellettäisiin käyttämästä henkilötunnuksia asiakkaiden tunnistautumiseen?
Kieltäminen voi tuottaa joillekin yrityksille ongelmia.
Nykyistä hetu-järjestelmää on kritisoitu siitä, että liian monet yritykset pyytävät palveluissaan asiakkaan henkilötunnusta.
Osa asiantuntijoista on sitä mieltä, ettei ole mitään syytä, miksi tunnistautumiseen ei voisi käyttää vahvaa tunnistautumista esimerkiksi pankkitunnuksilla tai mobiilivarmenteella.
Vahva tunnistautuminen maksaa kuitenkin yrityksille tällä hetkellä noin kymmenen senttiä yhtä tunnistautumista kohden. Lisäksi monet yritykset haluavat asioinnin olevan hyvin helppoa digipalveluissa.
Juttua varten on haastateltu tietojohtamista tutkinutta väitöskirjatutkija Juha Lemmettiä ja EK:n yrityslainsäädännön asiantuntijaa Sanna-Maria Bertelliä.
Kuuntele Takaisin Pasilaan -podcastista, millaisia virheitä kyberrikolliset usein tekevät.
Lisää aiheesta:
Keskustelu on avoinna 29.10. klo 23 asti.