Onko minulla jotakin salattavaa?

On. Minulla on salattavaa ja niin on sinullakin.

Teksti: Satu Rantakokko [English version below]

 

”Minulla ei ole mitään salattavaa” ei ole koskaan ollut järkevä lähestymistapa yksityisyydensuojaan. Silti vieläkin sitä kuulee ja usein höystettynä rehellisyyslisällä; vain rikollisilla on salattavaa. Kirjoitin aiheesta Vaasan yliopiston Väitöskuiskaaja-blogiin marraskuussa 2020 pian Vastaamon tietomurron tultua julki (https://blogs.uwasa.fi/thesis/minulla-ei-ole-mitaan-salattavaa/). Tuolloin yli 30 000 ihmisen psykoterapiamerkintöjä käytettiin kiristämisen välineenä ja sittemmin myös julkaistiin. Mukana menivät henkilötiedot, mukaan lukien henkilötunnus. Rikoksesta tuomitun Aleksanteri Kivimäen rangaistusta korotettiin hovioikeudessa helmikuussa kuukautta vaille maksimiin;

6 vuotta 11 kuukautta maamme historian laajimmasta ja julmimmasta tietomurrosta kiristyksineen.

Kun tapaus tuli julki 21.10.2020, se sai aikaan valtavan mediajulkisuuden ja paljon vaatimuksia, toiveita ja pyrkimyksiäkin mennä parempaan suuntaan tietoturvassa, kun karuimmalla tavalla oli käynyt ilmi, miten konkreettinen ja kaikkia koskeva uhka tietoturvan lipsuminen on. Erityisen voimakkaasti vaadittiin, ettei henkilötunnusta enää käytettäisi tunnistamisen välineenä, kuten ei olisi pitänyt käyttää silloinkaan, sillä henkilötunnus on tarkoitettu vain yksilöintiin, ei tunnistamiseen.

Vastaamon tapauksessa satuttavinta varmasti oli yksityisten ja arkaluontoisten, terapiassa kerrottujen asioiden käyttäminen kiristämisen välineenä, niiden julkaiseminen, sekä siitä seurannut pelko ja huoli, että ihmiset saavat tietää kaikkein satuttavimmat asiat ja niitä voidaan ehkä käyttää itseä vastaan. Silti jo niinkin pienestä asiasta kuin henkilötunnuksen vuotamisesta seurasi silloin ja seuraa yhä edelleen melkoisesti harmia, vaivaa ja vahinkoa siitäkin.

Viimeksi muutama päivä sitten minut ”tunnistettiin” puhelimessa henkilötunnuksella ja osoitteella. Kyseessä oli terveydenhuollon toimija. Hiljattain näin toimi myös teleoperaattori tehdessäni tilausta. Rekisterinpitäjä ei saa käyttää pelkästään henkilötunnusta asiakkaan tunnistamiseen, mutta ei osoitteen kysyminen lisää turvallisuutta kuin korkeintaan marginaalisesti. Esimerkiksi Vastaamon tietomurrossa osoitteet menivät tietysti samalla kuin henkilötunnuksetkin, mutta henkilötunnuksella saa kyllä yleensä tietoonsa ihmisen osoitteenkin halutessaan. Viime vuosina muistan vain hyvin harvoja tapauksia puhelinasioinnissa, joissa tunnistaminen on tehty siten, että koen tulleeni aidosti tunnistetuksi.  Vahva tunnistaminen on tietysti paras, mutta myös kyselemällä on välillä satsattu kysymyksiin, joita ei ihan jokainen voisi helposti selvittää, ellei juuri kyseinen rekisteri olisi vuotanut.

Vastaamon tietomurron yhteydessä uhreille selvisi nopeasti, että kattavaa ja hyvää ohjeistusta tarvittaviin toimenpiteisiin ei oikein ollut saatavilla. Netissä käytiinkin paljon keskustelua siitä, mitä pitäisi tehdä ja uhrit auttoivat toisiaan jakamalla muillekin, mitä olivat saaneet selville. Nyt tarjolla on viranomaisyhteistyössä toteutettu, mielestäni aika näppärä tietopaketti tietomurron uhreille tai uhriksi joutumista epäileville. Oppaassa ohjeistetaan erilaisissa tapauksissa siihen, miten voi huomata henkilötietojen väärinkäytön, mitä kieltoja kannattaa tehdä ja miten voi minimoida vahingot ja estää väärinkäytökset. Opas löytyy täältä: https://www.suomi.fi/oppaat/tietovuoto?a=552a&a=b1da ja siihen kannattaa tutustua, vaikka ei juuri nyt epäilisikään joutuneensa tietomurron uhriksi.

Henkilötunnuksen vuotamisesta opas neuvoo tekemään seuraavat toimet:

1. Pankkitilien ja laskujen tarkkailu, sillä rikolliset saattavat tehdä verkko-ostoksia saamansa tiedon avulla.
2. Rikosilmoitus, jos joutuu petoksen, tietomurron tai kiristyksen kohteeksi.
3. Suojautuminen väärinkäytöksiltä esimerkiksi henkilökohtaisella luottokiellolla, estämällä muuttoilmoituksen tekeminen, rajaamalla tilinumeron ilmoittaminen veronpalautuksen maksua varten vain OmaVeroon ja tekemällä rekisteröintikielto PRH:lle kauppa-, yhdistys- ja säätiörekisteriin.
4. Yhteystietojen luovutuskielto Digi- ja väestövirastolle sekä omalle teleoperaattorille.
5. Tietoturvasta huolehtiminen vaihtamalla verkkopalveluiden salasanat.
6. Rajoittamalla hakukoneilla itsestä löydettäviä tietoja.
7. Ilmoittamalla tietoturvaloukkauksesta Kyberturvallisuuskeskukselle. Ja
8. Hakemalla tukea jaksamiseen, jos asian selvittely käy yli voimien.

Se on aikamoinen urakka pelkästään siitä, jos henkilötunnus vuotaa jossakin tietomurrossa, vaikka henkilötunnusta ei pitäisi edes voida käyttää henkilöllisyyden todistamiseen, eikä sen vuotamisesta siten pitäisi voida seurata mitään. Eikä urakka ole edes kertaluonteinen, sillä esimerkiksi henkilökohtainen luottokielto vaikuttaa tavalliseen elämään toistuvasti ja vaatii myös uusimista kahden vuoden välein. Väärinkäytöksiä voi tapahtua vielä vuosienkin jälkeen, joten ostotietojen tarkkailu ei lopu oikeastaan koskaan. Yhteystietojen luovutuskielto aiheuttaa ylimääräistä työtä esimerkiksi muuttaessa, koska uusi osoite on sitten muistettava itse ilmoittaa tarvittaville tahoille.

Toisaalta nuo toimenpiteet olisi hyvä tehdä jokaisen jo ennen kuin tulee tietomurron uhriksi ja minimoida haitat näin ennalta. Uusia, laajoja tietomurtoja tulee ilmi usein ja tietomurron paljastuminenkin voi tulla pitkällä viiveellä. Vastaamon tietomurrot olivat tapahtuneet vuosina 2018 ja 2019 ja ne tulivat ilmi vasta lokakuussa 2020, kun Vastaamo sai kiristysviestin asiasta.

Maailmanlaajuisesti tietomäärä kaksinkertaistuu kahden vuoden sykleissä ja pilvipalveluiden käyttö kasvaa vauhdilla. Tietomurroista on tullut samalla yhä yleisempiä, monimutkaisempia ja taloudellisesti vahingollisempia. Vähän poimintoja tietomurtodatasta (lähde: https://www.datastackhub.com/insights/data-breach-statistics/)

• Viime vuonna organisaatioilla kesti keskimäärin 197 päivää tunnistaa tietomurto ja 74 päivää eristää se.
• Maailmanlaajuisesti viime vuonna rekisteröitiin 3200 julkisesti ilmoitettua murtoa, joiden vaikutukset koskivat miljardeja tietoja. 46 % näistä tapahtui pilvi- tai hybridiympäristöissä.
• Joka toinen yritys on kokenut ainakin yhden tietomurron viimeisen 12 kuukauden aikana ja yli neljännes useita.
• 40 % tietomurroista aiheutuu inhimillisistä virheistä ja vääristä asetuksista.

Olen vahvasti sillä kannalla, että jokaisella on salattavaa – jo henkilötunnuksesta alkaen – sen vuoksi, että sitä väärinkäytetään tunnistamisen välineenä. Muissakaan asioissa oma rehellisyys ja kunnollisuus ei takaa muiden olevan samanlaisia, vaan hyvinkin harmittomia tiedonpalasia voidaan käyttää väärin ja yhdistellä toisiinsa saaden selville yllättävän paljon asioita. Siitä tulevissa blogeissa enemmän. Vaikka omasta tietoturvastaan voi ja kannattaa huolehtia mahdollisimman hyvin, meistä kerätään organisoidustikin paljon sellaista tietoa, jonka turvallisuuteen emme pysty vaikuttamaan. Näin on esimerkiksi juuri terveydenhuollon suhteen, kuten Vastaamon tapauksessakin.

Mahdolliseen tietomurron uhriksi joutumiseen kannattaa siis varautua ennalta niissä määrin, kuin se itselle on mahdollista, jotta haitat jäisivät mahdollisimman pieniksi, sillä todennäköisyys uhriksi joutumiselle kasvaa jatkuvasti.

 

*******

Do I have something to hide?

Yes. I have things to hide—and so do you.

“I have nothing to hide” has never been a sensible approach to privacy. Yet it is still heard, often reinforced with a claim of honesty: only criminals have something to hide. I wrote about this topic in the University of Vaasa’s Väitöskuiskaaja blog in November 2020, shortly after the Vastaamo data breach became public (https://blogs.uwasa.fi/thesis/minulla-ei-ole-mitaan-salattavaa/). At that time, the psychotherapy records of more than 30,000 people were used as a tool for blackmail and were later also published. Personal data, including personal identity codes, were exposed. The sentence of Aleksanteri Kivimäki, who was convicted of this crime, was increased by the Court of Appeal in February to nearly the maximum: 6 years and 11 months for the most extensive and cruel data breach in Finland’s history, including extortion.

When the case became public on October 21, 2020, it generated enormous media attention and many demands, hopes, and efforts to improve data security, as it revealed in the harshest possible way how concrete and universal the threat of failing data protection is. There were particularly strong calls to stop using personal identity numbers as a means of identification, as they should never have been used for that purpose in the first place—they are meant only for distinguishing individuals, not for verifying identity.

In the Vastaamo case, the most painful aspect was undoubtedly the use of private and sensitive information shared in therapy as a tool for blackmail, its publication, and the resulting fear and concern that others would learn deeply personal and hurtful things and possibly use them against the individuals. However, even something as seemingly minor as the leakage of a personal identity code caused—and still causes—a significant amount of harm, inconvenience, and damage.

Just a few days ago, I was “identified” over the phone using my personal identity code and address. The caller was a healthcare provider. Recently, a telecom operator did the same when I placed an order. A data controller is not allowed to rely solely on a personal identity number to identify a customer, but asking for an address adds only marginal security. For example, in the Vastaamo breach, addresses were naturally leaked along with personal identity numbers. Moreover, with a personal identity number, it is usually possible to find out a person’s address if one wishes. In recent years, I can recall only very few phone interactions where I truly felt properly identified. Strong authentication is, of course, the best option, but sometimes such additional questions are used that are not easily answered by a culprit unless a specific database has been compromised.

After the Vastaamo breach, victims quickly realized that there was no comprehensive or clear guidance available on what actions to take. There was a great deal of online discussion, and victims helped each other by sharing what they had learned. Now there is a practical information package created in cooperation with authorities for victims of data breaches or those who suspect they may be victims. The guide explains how to detect misuse of personal data, what types of restrictions to set, and how to minimize damage and prevent abuse. You can find the guide here: https://www.suomi.fi/oppaat/tietovuoto?a=552a&a=b1da — it’s worth reading even if you don’t currently suspect that you’ve been a victim.

If a personal identity number has been leaked, the guide recommends the following actions:

1. Monitor bank accounts and invoices, as criminals may make online purchases using the information obtained.
2. Report the crime if you are a victim of fraud, data breach, or extortion.
3. Protect yourself against misuse, for example by setting a personal credit ban, preventing unauthorized change-of-address notifications, restricting the reporting of your bank account number for tax refunds to the official tax service, and placing a registration ban with the Finnish Patent and Registration Office’s commercial, association, and foundation registers.
4. Prohibit the release of your contact information through the Digital and Population Data Services Agency and your telecom operator.
5. Take care of your data security by changing passwords for online services.
6. Limit the amount of information about you that can be found through search engines.
7. Report the data security breach to the National Cyber Security Centre.
8. Seek support if dealing with the situation becomes overwhelming.

This is quite an undertaking just because a personal identity code has been leaked in a data breach—even though PI code should not be usable for identity verification, and its leakage should not, in principle, lead to any consequences. Nor is this a one-time effort: for example, a personal credit ban affects everyday life repeatedly and must be renewed every two years. Misuse can occur even years later, so monitoring accounts and purchases never truly ends. Restricting the release of contact information creates extra work when moving, as you must remember to notify your new address yourself to relevant parties.

On the other hand, it would be wise for everyone to take these measures even before becoming a victim of a data breach to minimize harm proactively. New large-scale data breaches are frequently discovered, and the discovery of a breach may be significantly delayed. The Vastaamo breaches occurred in 2018 and 2019 but were not revealed until October 2020, when the company received a blackmail message.

Globally, the amount of data doubles every two years, and the use of cloud services is growing rapidly. At the same time, data breaches have become more common, more complex, and more financially damaging. Some data breach statistics (source: https://www.datastackhub.com/insights/data-breach-statistics/):

• Last year, organizations took an average of 197 days to detect a data breach and 74 days to contain it.
• Globally, 3,200 publicly disclosed breaches were recorded last year, affecting billions of data records. 46% of these occurred in cloud or hybrid environments.
• Every second company has experienced at least one data breach in the past 12 months, and more than a quarter have experienced several.
• 40% of data breaches are caused by human error or misconfigurations.

I strongly believe that everyone has something to hide—starting with their personal identity number—because it is misused as a means of identification. In other matters as well, your honesty and integrity do not guarantee the same from others. Even seemingly harmless pieces of information can be misused and combined to reveal surprising amounts of detail. I will write more about this in future blog posts. Although we can and should take care of our own data security as well as possible, a great deal of information about us is also collected in organized systems over which we have no control. This is particularly true in healthcare, as demonstrated by the Vastaamo case.

It is therefore advisable to prepare in advance for the possibility of becoming a victim of a data breach, as much as one can, so that the harm remains as limited as possible—because the likelihood of becoming a victim is continuously increasing.