SIM-kortit

Julkaistu 27.2.2015

Aikanaan ulkoministeriöön kohdistunut hakkerointi-isku ja nyttemmin SIM-korttien valmistajan joutuminen tietomurron kohteeksi palauttaa mieleen klassisen kysymyksen; kuka on pahis? Luonnollisesti hakkeri ja hakkeroinnin takana olevat tahot rikkovat lakeja ja siitä pitäisi seurata tarvittavat seuraamukset.

Entäpä sitten uhri. Uhriltakin voidaan odottaa riittäviä – ei mahdottomuutensa johdosta täydellisiä – toimenpiteitä tietoturvasta huolehtimiseksi. Näin ollen tuosta velvoitteesta lähtien voidaankin havaita, että uhrina ovat myös ne kaikki kunnon kansalaiset, joiden tietoja on hakkeroitu. Miten heidän intressinsä pitäisi huomioida.

Kun tietoturvaloukkauksia tapahtuu, on usein reaktiona vaatia lisää verkkovalvontaa ja viranomaisille siihen liittyvien toimivaltuuksien kasvattamista. Kuitenkaan meidän ei pitäisi unohtaa korostaa ennakollisten toimenpiteiden merkitystä ja sitä vastuuta, joka rekisterinpitäjillä on rekisteröityjen tietoturvasta huolehtimiseksi.

Meillä ei ole vieläkään yleistä tietoturvalakia. Tietoturva on kuitenkin nykyaikana ensisijassa oikeudellinen ilmiö, ei siis vain tekniikkaa.

SIM-korttien hakkerointitapauksen yhteydessä ulkoministerimme vaati rikollisten rankaisemista. Kun me täältä tietosuojavaltuutetun toimistosta käsin tarkastelemme hakkerointitapauksia, näyttää tosiaankin siltä, että esimerkiksi asioita tutkivilla poliiseilla on vaikeuksia kohdistaa tutkinta suojausvelvoitteen laiminlyöntiä koskeviin kysymyksiin. Maamme eräässä ensimmäisistä hakkerointioikeudenkäynneistä tekijää ei voitu tuomita tietomurrosta siitä yksinkertaisesta syystä, ettei hänen oikeastaan tarvinnut edes murtautua mihinkään. Ovet olivat auki. Mutta toisaalta syytteitä ei kohdistettu myöskään rekisterinpitäjiin. Uhreina olivatkin tavalliset kansalaiset rekisteröityinä.

Mihin hakkerointi-isku sim-korttien kohdalla kohdistui? Minua kiinnostaisi tietää myös se, olivatko puheluiden salauksen lisäksi vaarassa esimerkiksi tunnistuspalveluissa käytettävät varmenteet tai jotkin muut tiedot, joita siruille voidaan tallettaa. Tämä johtaakin kysymään, oliko oikeastaan koko tietoyhteiskuntamme infrastruktuuri vaarassa.

Viestintävirasto selvitteli asiaa tapansa mukaan ripeästi. Samoin operaattorit ja korttienvalmistaja. Meille on kerrottu, ettei vaaraa ole ja että voimme käyttää puhelimiamme turvallisesti. Minua vastaus ei kuitenkaan tyydytä. Mikä avuksi? Rikostutkinta ei välttämättä ole se paras keino selvittää asia varsinkaan edellä mainitsemistani syistä. Sanotun johdosta esitin yleisenä käsityksenäni, että tällainen yhteiskunnan perustoimintoja uhkaava vaaratilanne pitäisi selvittää jonkin viranomaistahon toimesta. Muodollisesti siihen taipuisi jopa Onnettomuustutkintakeskuksen tehtävät ja toimivallat. Niissä minua viehättävät erityisesti se, ettei tuollaisessa tutkinnassa ole tarkoitus hakea syyllisiä, vaan syitä ja että tutkinnan avulla opittaisiin jotain vastaisen varalle. Valtioneuvosto ymmärtääkseni voisi myös asettaa erityisen tutkijalautakunnan selvittämään asiaa.