Voidaanko tietoni varastaa, toimiiko väärennös, pääseekö kaverin passilla baariin? Kokosimme tiedot koronapassin turvallisuudesta

Eduskunta hyväksyi koronapassin perjantaina, ja passi otettiin käyttöön heti vuorokauden vaihtuessa lauantaiyönä. Yle kokosi tiedot passien tietoturvallisuudesta.

Helsingin keskustassa useiden Mannerheimintiellä sijaitsevien ravintoloiden eteen oli kokoontunut suuria ihmisjoukkoja jonottamaan sisäänpääsyä perjantaina 16. lokakuuta. Kuva: Silja Viitala / Yle

Koronarajoitukset ovat jatkossa ohi baareilta, ravintoloilta ja tapahtumajärjestäjiltä, jotka vaativat asiakkailtaan koronapassia.

Eduskunta hyväksyi koronapassin perjantaina 15. lokakuuta äänin 105–33. Esimerkiksi osa yökerhoista otti sen käyttöön heti vuorokauden vaihtuessa.

Ulkomailla koronatodistuksiin on liittynyt huijauksia ja väärennöksiä. Yle kysyi asiantuntijoilta, onko Suomen koronapassijärjestelmässä uhkia väärinkäytöksistä tai esimerkiksi tietojen varastamisesta.

Voidaanko henkilötietojani varastaa passin kautta?

Esimerkiksi baarin tai museon henkilöstö tarkastaa koronatodistuksen sovelluksella, josta vastaa Terveyden ja hyvinvoinnin laitos THL.

Passin sovelluksella tarkastavalle portsarille tulee nähtäväksi vain henkilön nimi ja tieto siitä, onko koronasuoja voimassa.

Mikäli suoja löytyy, lukijasovellus näyttää vihreää valoa. Jos taas esimerkiksi tuoreeseen negatiiviseen koronatestiin perustuva todistus on vanhentunut, lukijasovellus näyttää punaista valoa eli koronapassi ei tällöin ole voimassa.

Passin qr-koodin takaa kuitenkin löytyy muutakin tietoa, vaikka THL:n koodilukija ei niitä esille tuo, sanoo tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppönen.

Qr-koodiin on kirjattu passinhaltijan koko nimi, syntymäaika ja tieto siitä, perustuuko koronasuoja esimerkiksi tuoreeseen negatiiviseen koronatestiin vai rokotuksiin. Rokotuksista on myös kirjattu tieto, minkä valmistajan rokotteet henkilö on saanut ja milloin.

Hyppösen mukaan näihin tietoihin pääsee käsiksi jo "vähänkin harjaantunut naapurin nörtti", joka osaa purkaa qr-koodin. Koronapassin käyttäjälle Hyppösen neuvo on selkeä:

– Nettiin tai someen ei kannata laittaa qr-koodin kuvaa, kuten sinne ei kannata laittaa muussakaan muodossa omia henkilötietojaan.

Syntymäaikaa ja koko nimeä voisi Hyppösen mukaan käyttää esimerkiksi identiteettivarkauden osana. Oleellista on, että koko henkilötunnusta koodin takaa ei kuitenkaan saa haltuunsa.

– Identiteettivarkauteen pitäisi olla muitakin tietoja käytössä, ei näillä tiedoilla yksin vielä pitkälle pötkitä, Hyppönen toteaa.

Koronatodistuksen esittelyssä kannattaa silti noudattaa varovaisuutta.

– Koronapassin käyttäjän kannalta tärkeintä on hahmottaa, että koronatodistus sisältää henkilötietoja ja sen näyttämistä kannattaa miettiä samaan tapaan kuin, että kenelle näytät passia, ajokorttia tai muuta henkilötödistusta, sanoo Traficomin Kyberturvallisuuskeskuksen johtava asiantuntija Juhani Eronen.

Qr-koodin tietoja saatetaan yrittää varastaa myös koronatodistuksen lukijasovelluksen kautta.

– Huijassovelluksia on ollut liikkeellä. Ravintoloitsijan ja tapahtumajärjestäjän pitää varmistaa, että lataa virallisen sovelluksen luotettavasta sovelluskaupasta. Pitää osata varoa rikollisia sovelluksia, joiden taustalla voi olla saatujen tietojen hyödyntäminen, varoittaa Eronen.

Voiko koronapassin väärentää?

Kyllä ja ei.

Virallista koronatodistusta ulkoisesti muistuttavan todistuksen kyllä pystyy tekemään, mutta sen qr-koodi ei mene läpi portsarilta tai museon lipuntarkastajalta.

Väärennetystä qr-koodista puuttuu viranomaiselta aitoon koronatodistukseen tuleva digitaalinen allekirjoitus. Passia tarkastava portsari saa siis qr-koodin lukijasovellukseen tiedon, että todistus ei kelpaa. Sama koskee sekä paperille tulostettuja passeja että puhelimen ruudulta näytettäviä passeja.

Toimivan passin väärentäminen ei F-securen Hyppösen mukaan onnistu, koska valheellisen digitaalisen allekirjoituksen tekeminen on lähes mahdotonta.

– Digitaalisen allekirjoituksen mekanismilla suojattu passi on yhtä turvallinen kuin suomalainen verkkopankki.

Toimimattomia, väärennettyjä koronatodistuksia on yhtä kaikki myynnissä Suomessakin. Myyntikanavana on viestisovellus Telegram, jossa myyjiä on jo kymmenisen tuhatta, tietoturvayhtiö Check Pointin selvityksessä arvioidaan.

Sitä ei ole kyetty selvittämään, onko väärennöksiä suomalaistodistuksista myös ostettu.

– Näemme myynti-ilmoitukset, mutta sen jälkeen kaupankäynti siirtyy julkiselta foorumilta piiloon, käytännössä suoriin yksityisviesteihin Telegram-sovelluksessa, sanoo Check Pointin tietoturva-asiantuntija Jarno Ahlström.

Mitä jos "lainaa" koronatodistustaan kaverille baariin?

Huono ajatus, vaikka teknisesti toisen henkilön koronapassin lainaaminen onkin helppoa.

Koronapassista voi ottaa esimerkiksi älypuhelimella ruutukaappauksen tai kopioida paperisen koronapassin ja antaa sen sitten tuttavansa käyttöön. Passia tarkastava tapahtumanjärjestäjä ei suoraan näe onko kyse henkilön omasta todistuksesta.

Tarkastuksessa tulee kuitenkin näkyviin passinhaltijan nimi. Tässä kohtaa vilpillisen sisäänpyrkijän pitäisi jäädä kiinni.

– Tarkistajan pitää varmistaa, että koronantodistuksen haltija ja sen esittäjä ovat sama henkilö. Toisin sanoen koronapassin esittäjällä pitää olla mukana myös henkilöllisyystodistus, sanoo Eronen.

Vilpillisesti baariin pyrkivällä pitäisi siis olla kaverilta lainatun passin lisäksi myös saman henkilön kuvallinen henkilöllisyystodistus ja vieläpä kuvaa muistuttava ulkonäkö.

Kaverinsa rokotetodistuksella ja henkilökortilla baariin pyrkivälle ei silti tule sanktioita, vaikka jäisi kiinni, sanoo Helsingin yliopiston rikosoikeuden professori Kimmo Nuotio.

– Tästä käydään keskustelua aika ajoin, mutta sitä ei ole kriminalisoitu, että vaikkapa kaupan kassalle tai portsarille näyttää lainattuja papereita.

Väärennetyn dokumentin käyttäminen ja laatiminen sen sijaan on laitonta. Samoin laitonta on, jos lainattua koronatodistusta näyttäisi viranomaisille, kuten poliisille.

Keräävätkö baarit tai viranomaiset tietoja passinkäyttäjän liikkeistä?

Ravintolat, konserttijärjestäjät ja muut vastaavat tahot eivät pysty keräämään tietoja siitä, kuinka usein tietyn koronapassin käyttäjä käy teatterissa tai vaikkapa oluella.

Viranomaiset sen sijaan keräävät tietoa koronapassien käytöstä, mutta kyse on anonymisoidusta tilastotiedosta.

Passien käytöstä kerätään ainoastaan tieto siitä, kuinka suuri määrä tarkastuksia tehdään. Näistä tiedoista ei näy, kenen passia on käytetty ja missä.

Lue lisää: