Analyysi: Trafi-kohun suurin syy on se, että koko Suomi on toivottoman löperö

Pahantahtoisille tiedonhakijoille riittää rekistereitä ja tietopalveluja tongittavaksi, kirjoittaa analyysissaan taloustoimittaja Juha-Matti Mäntylä.

turvallisuus
Trafin ovet
Antti Aimo-Koivisto / Lehtikuva

Liikenteen turvallisuusvirasto Trafi sulki viikonloppuna kuljettajatietopalvelun, joka ehti synnyttää valtavan kohun. Tuosta palvelusta kuka tahansa saattoi tarkistaa kenen tahansa ajo-oikeudet.

Palvelu aukesi jo kesällä, mutta uutiseksi sen nosti vasta Tekniikka&Talous-lehden artikkeli (siirryt toiseen palveluun).

Kohu laajeni kuluvan viikon aikana ja tänään asiat päätyivät siihen pisteeseen, että Trafin pääjohtaja Mia Nykopp irtisanoutui.

Trafi perusteli kohuttua palvelua uudella liikennelailla, mutta kuten ministeriö sittemmin totesi (siirryt toiseen palveluun), laki ei Trafia palvelun avaamiseen velvoittanut. Enemmän kyse lienee siitä datan ja tiedon avoimuudesta (siirryt toiseen palveluun), jota tällä hallituskaudella on haluttu edistää.

Parhaimmillaan tiedon avoimuus parantaa palveluja ja synnyttää uutta liiketoimintaa. Tällä kertaa ongelma syntyi siitä, miten avoimuutta harjoitettiin.

Palvelun sulkeminen hankaloitti muita Trafin toimintoja. Esimerkiksi käytetyn auton myyminen (siirryt toiseen palveluun)on käynyt tuskallisen vaikeaksi ilman sähköisiä varmenteita.

Avoimuutta ilman kontrollia

Suomessa verotiedot ovat julkisia. Ne saadakseen kansalaisen on vierailtava verotoimistossa.

Kuljettajatiedot ovat myös julkisia. Uudessa palvelussa ne tarjottiin kuitenkin täysin vapaasti, vaivatta ja ilmaiseksi.

On vaikea uskoa, että ajokorttitiedoille olisi niin laajaa käyttöä, että ne kannatti avata näin suuressa mittakaavassa. Periaatteessa on hyvä, jos voit tarkistaa taksikuskisi ajo-oikeuden. Ensin on kuitenkin selvitettävä kuljettajan nimi tai henkilötunnus.

Ne taas saa helpoimmin selville muovisesta ajokortista, josta selviää ajo-oikeuskin.

Käytännössä kuljettajan ajo-oikeuden valvonta on työnantajan tai viranomaisen, ei suuren yleisön, tehtävä.

Ylimääräistä tietoa

Trafin palvelussa oli toinenkin ongelma. Se paljasti paljon muutakin kuin ajo-oikeuden. Palvelu kertoi esimerkiksi kotikunnan, ja ajoluvan myöntöhetken perusteella oli helppo arvata henkilön ikä.

Nämä eivät ole ajo-oikeuden kannalta olennaisia tietoja.

Lisäksi palvelun saattoi – ilmeisen suunnitteluvirheen vuoksi – valjastaa henkilötunnusten kalastukseen. Yle kertoi aiemmin tällä viikolla Lahdessa asuvasta Miikkasta, joka keksi miten kuljettajatietopalvelun avulla ongitaan satunnaisten suomalaisten henkilötunnuksia.

Henkilötunnusten päätyminen rikollisille olisi ongelma. Identiteettivarkaat voivat henkilötunnusten ja kotiosoitteen avulla tilailla tavaraa ja palveluita toisten nimiin.

Tämä tietosuoja-aukko nähtävästi tukittiin jo aiemmin syksyllä.

Bottiesteet eivät ole luotettavia

Liikenteen turvallisuusvirasto Trafista on kerrottu, ettei palvelussa ollut riskiä siitä, että tiedot voisi imuroida käyttöönsä automatisoidusti.

Palvelun käyttäjiä pyydettiin tunnistamaan numeroja, joita kone ei osaisi tulkita. Useimmat internetin käyttäjät ovat törmänneet näihin "en ole robotti" -kyselyihin muissakin yhteyksissä.

Toivottavasti Trafin palvelussa oli käytössä muitakin teknisiä esteitä. Käytännössä tekoälyllä varustettu robotti kykenee ohittamaan tämän ns. captcha-varmistuksen (siirryt toiseen palveluun).

Löperö Suomi

Virastossa karkasi mopo käsistä, kun se teki julkisesta tiedosta liian helposti saatavaa ja samalla mahdollisti tietojen onginnan. Tämä ei kuitenkaan olisi iso ongelma, ellei koko Suomi olisi niin löperö.

Ensinnäkin, henkilötunnusta ei pitäisi käyttää tunnistautumisen välineenä. Sitä ei ole tarkoitettu henkilöiden tunnistamiseen vaan heidän yksilöimiseensä.

Henkilötunnuksen ansiosta me tiedämme, kenestä Matti Meikäläisestä kulloinkin puhutaan. Henkilötunnuksen ilmoittaminen ei kuitenkaan todista, että olet Matti Meikäläinen.

Käytännössä näin kuitenkin toimitaan, eikä se ole Trafin vika.

Suomessa riittää tietoa

On myös syytä muistaa, että suomalaisista on saatavissa valtavasti tietoa ilman Trafin uutta palveluakin.

  • Jokaisen terveydenhuollon ammattilaisen ikä selviää JulkiTerhikistä (siirryt toiseen palveluun).
  • Yritysten vastuuhenkilöiden iät ja kotikunnat saa selville kaupparekisteriotteista (siirryt toiseen palveluun). (Muutama vuosi sitten sieltä löytyi myös henkilötunnus.)
  • Entä jätätkö autosi pölyttymään laivarantaan tai lentokentän parkkiin? Murtomies voi rekisteritunnuksen perusteella selvittää, missä auton omistaja asuu.
  • Oma lukunsa ovat ne, jotka ilmoittavat rikollisille poissaolonsa täyttämällä Facebook- tai Instagram-tilinsä kaukomaiden lomakuvilla.

Pahantahtoisille tiedonhakijoille ja muille uteliaille riittää Suomessa rekistereitä ja tietopalveluja tongittavaksi.

Lue myös:

Trafin pääjohtaja väistyy – Berner: En vaikuttanut johtajan lähtöön

Kenen tahansa ajokorttitiedot voi selvittää netissä ilmaiseksi – ihmiset huolestuivat, Trafi sulki palvelun

Miikka keksi, miten Trafin palvelusta ongitaan suomalaisten henkilötietoja – "Sehän on täydellinen identiteettivarkaus"

Berner Trafin verkkopalvelukohusta: Massaluovutusta ei näyttäisi tapahtuneen, mutta kaikkia tietoja ei vielä ole

Ministeriö pyytää selvitystä Trafin palvelujen tietosuojasta..

14.12. klo 10. Lisätty linkki Tekniikka&Talous-lehden artikkeliin.