Facebookin jättimäinen tietomurto – Mitä siitä pitää tietää? Viestintävirasto vastaa

Yhteisöpalvelu Facebookissa paljastui perjantaina tietomurto, joka koskee peräti 50 miljoonaa käyttäjää. Yle kysyi Viestintävirastolta, onko tavallisella Facebookin käyttäjällä syytä huoleen.

Facebook applikaatio auki puhelimessa.
Henrietta Hassinen / Yle

Johtaja Jarkko Saarimäki Viestintäviraston Kyberturvallisuuskeskuksesta, mitä tietomurrosta tiedetään?

– Tietojemme mukaan noin 50 miljoonan käyttäjän yksityisiä tietoja on varastettu. Facebookilla selvitystyöt ovat kuitenkin vielä kesken, joten ihan tarkkaa tietoa todellisista vaikutuksista meillä ei ole.

Mitä rikolliset tarkkaan ottaen tekivät?

Taustalla on viime vuonna palvelussa tehty ohjelmointivirhe, joka mahdollisti sen, että rikolliset pääsivät kirjautumaan palveluun ja varastamaan käyttäjätietoja.

Mihin rikolliset ovat käyttäneet varastamiaan tietoja?

– Asian selvittäminen on kesken. Yksityisiä tietoja voidaan hyödyntää erilaisten jatkorikosten tekemiseen, esimerkiksi huijaukseen tai uskottavuuden lisäämiseen. Lisäksi uhrien nimissä voidaan tehdä ostoksia verkkokaupoista.

Onko uhka nyt poistunut?

– Uhka ei ole poistunut. Nyt olisi tärkeä saada tietoja, minkälaisia tietoja uhreilta on lähtenyt. Tätä kautta uhrit saisivat mahdollisuuden pohtia, minkälainen uhka tämä on heille henkilökohtaisesti.

Joko Viestintävirastolle on tullut tietoja tapahtuneista vahingoista?

– Ainakaan toistaiseksi ei ole tullut. Seuraamme tilannetta.

Ovatko nämä rikolliset siis päässeet käsiksi kaikkiin samoihin tietoihin kuin Facebook-tilin käyttäjä itse?

– Se on mahdollista. Tällä hetkellä kukaan ei osaa sanoa laajuudesta mitään varmaa. Asian selvittäminen on äärimmäisen tärkeää.

Onko Viestintävirastolle tullut ilmoituksia hälyttävistä toimista suomalaistileillä?

– Facebookilla on paljon suomalaisia käyttäjiä, mutta meille ei ole tullut vielä tässä vaiheessa yksityiskohtaisia tietoja, että suomalaisiin olisi kohdistunut erityistä uhkaa.

Jos käyttäjä on laittanut kaverilleen esimerkiksi luottokorttinsa numeron, onko se voinut päätyä rikollisten käsiin?

– Se on ihan mahdollista. Niitä on voitu varastaa laajaltikin, koska vielä emme tiedä murron laajuutta. Tärkeätä on muistaa, että Facebookia käytetään myös moniin muihin palveluihin kirjautuessa. Tätä täytyy tutkia. Tämä huolettaa itseäni eniten.

Jarkko Saarimäki
Verkkoturvallisuutta seurataan "terveen epäluuloisesti", sanoo Kyberturvallisuuskeskuksen johtaja Jarkko Saarimäki.Jouni Immonen / Yle

Pitääkö ihmisten nyt vaihtaa salasanansa?

– Facebookin mukaan murrossa ei varastettu salasanoja, joten niitä ei tarvitse vaihtaa. Hyviä tietoturvakäytäntöjä pitää tietysti noudattaa, erityisesti siinä vaiheessa, kun palvelua ollaan ottamassa käyttöön. Esimerkiksi sivuston turvallisuusominaisuudet on hyvä selvittää. Tärkeää on myös tietää, että palvelun tarjoaja on kunniallinen ja valmis huolehtimaan käyttäjien turvallisuudesta. Vastuun turvallisuudesta on oltava palvelun tarjoajalla, kuluttajalla ei ole mitään mahdollisuuksia tehdä toimenpiteitä tietojensa suojaamiseksi tämäntyyppisissä palveluissa. Lisäksi salasanan on syytä olla tarpeeksi monimutkainen ja yhteiskäyttökoneilta pitää muistaa kirjautua ulos, kun käytön lopettaa.

Pitääkö aina käytön jälkeen kirjautua omallakin koneella ulos Facebookista?

– Itse en ainakaan tee sitä. Minulla on käytössä jatkuva kirjautuminen. Se ei ole uhka, koska minulla on kontrolli päätelaitteeseeni. Jos menetän kontrollin päätelaitteeseen, menetän kontrollin tiliin.

Uusia tietoturvaskandaaleja tulee vähän väliä. Kuinka huolestunut niistä pitää olla?

– Kyllä minua huolestuttaa tämä kokonaisuus erittäin paljon. Olemme yhteiskuntana niin riippuvaisia erilaisista digitaalisista palveluista, että niiden toimintavarmuus pitäisi varmistaa. Facebook ei ole kriittisin, vaan samanlaisia haasteita löytyy esimerkiksi sähkönsyötöstä, viestiliikenteestä ja maksuliikenteestä. Myös näiltä aloilta löytyy vastaavan tyyppisiä digitaalisia järjestelmiä.

Pitäisikö isoille yhtiöille olla uhkasakko sen varmistamiseksi, että ne toimivat säädösten mukaisesti?

– Tietosuoja-asetus antaa jo nyt viranomaisille mahdollisuuden langettaa sanktioita toimijoille, jotka eivät ole suojelleet tietojaan asiallisesti. Haasteena on tietoturvan rakentamisen monimutkaisuus, joten poikkeamia saattaa aina tulla. Tärkeämpää on tietyllä tavalla varautua siihen, että poikkeamat pystytään havaitsemaan ja niihin voidaan reagoida nopeasti. Esimerkiksi tässä tapauksessa havaitsemiseen meni ilmeisesti jonkin aikaa.

Onko eurooppalainen ja suomalainen lainsäädäntö suhteellisen kohdillaan?

– Varmasti kehittämisen varaa on. Säätely tulee väkisinkin perässä. Tietoturvassa ei ehkä pykälä ole paras ase. Kuluttajilla pitää olla osaamista ja ennen kaikkea palvelujen tarjoajilla täytyy jo mainesyistä olla halua pitää palveluistaan huolta.

Käytätkö itse Facebookia?

– Käytän, aktiivisesti, mutta pidän tarkkaan huolta siitä, millaisia tietoja sinne syötän.