Identiteettivarkaus puuttuu lainsäädännöstä

Yleisen tietoturvallisuuslain puute saa aikaan sen, että tietoturvavahingoista ei saada oikeita tahoja vastuuseen. Tietosuojavaltuutettu Reijo Aarnio haluaisi sysätä vastuun organisaatioille ja tietorekisterien pitäjille. Tällä hetkellä kansalainen on liikaa vastuussa omasta tietoturvastaan.

Kotimaa
Tietosuojavaltuutettu Reijo Aarnio.
Tietosuojavaltuutettu Reijo Aarnio.YLE

Henkilötietojen luvaton tai aiheeton julkaiseminen saattaa olla kohtalokasta, jos tiedot päätyvät rikollisten tai pahantahtoisten haltuun.

Suomessa on tietoturvavaltuutettu Reijo Aarnion mukaan liian paljon palveluita, joihin tunnistaudutaan pelkällä nimellä ja henkilötunnuksella.

- Näitä palveluita on laidasta laitaan esimerkiksi terveydenhoitoalalla. Jos esimerkiksi tietää työkaverin henkilötunnuksen, voi käydä tekemässä erilaisia sopimuksia, perumassa tai varaamassa lääkärinvastaanottoaikoja sekä tehdä erilaista kiusaa ja haittaa, Aarnio luettelee.

Nettiympäristöön liittyy kalastelu ja ammattirikollisten toiminta.

- Näyttää valitettavasti siltä, että se on tullut jäädäkseen.

Reijo Aarnio peräänkuuluttaakin vastuuta tietoja kerääville tahoille. Lisävastuuta ei saa vierittää Aarnion mielestä kansalaisille.

Vuotaneita tietoja vaikea poistaa

Tietovuotojen sattuessa julkisuuteen vuotanutta tietoa voi olla vaikea saada pois.

- Toimintaympäristö on tänä päivänä niin kovasti digitaalinen, kun verkkoon joku tieto lipsahtaa, niin on melkein mahdotonta sitä tietoa sieltä pois saada, Aarnio toteaa.

Aarnio ihmettelee, että edelleenkin päätöksiä mm. uusista järjestelmistä tehdään väärän tiedon perusteella tai ilman tarpeellista tietoa tietoturvasta.

"Lakeja pohdittu jo toistakymmentä vuotta"

Tietosuojavaltuutetun lainvalvontaviranomaisena pitäisi ohjein ja neuvoin saada lainvastainen toiminta loppumaan, jos tapahtuma tai laiminlyönti on törkeä syyttäjälle tutkittavaksi.

Aarnio ihmettelee, että Suomessa ei ole kunnollista identitettivarkautta koskevaa lainsäädäntöä. Myös yleisen tietoturvallisuuslain puuttuminen johtaa Aarnio mukaan siihen, että syytettyä etsitään väärältä tasolta.

- Puutteen johdosta syytettyä etsitään usein väärältä tasolta, kun mennään atk-käyttöhenkilöstön tasolle. Vastuu pitäisi viedä johtoportaaseen asti. Ikävä puute lainsäädännössä.

- Lakeja on nyt pohdittu toistakymmentä vuotta eikä tunnu valmista tulevan, Aarnio kuvaa tilannetta.

Pitäisikö itsensä googlettaa?

Jyväskylän yliopistossa tapahtunut tietovuoto paljastui, kun opiskelijat panivat oman nimensä googleen.

- Maailma on muuttunut, on hyvä itsekin katsoa henkilötietojensa perään. Tarvittaessa vaikka googlata aika ajoin, Aarnio sanoo.

Euroopan Unionin suunnalta on tulossa paineita siihen, että kaikissa tietoturvaloukkaustilanteissa järjestelmän ylläpitäjän pitäisi ilmoittaa asianomaisille.

- Yhdysvalloissa lainsäädäntö on kehittynyt, yhtiöiden ylin johto on panostanut tietoturva-asioihin, eikä ole jäänyt enää atk-tukihenkilöiden päänsäryksi.

Yleinen käsitys on onneksi se, että suomalainen internet -ympäristö on eurooppalaisittain ja maailmanlaajuisesti varsin turvallinen paikka. Suomalaisten suojana ovat kielimuuri ja suomalaisen henkilötunnuksen muoto.

- Valitettavasti näitä kuitenkin tapahtuu ja mielestäni liian usein, Aarnio summaa.

Lähteet: YLE Tampere