Suomalaisfirma kehuu luoneensa huipputurvallisen viestipalvelun: vuotaa käyttäjätietoja kenen tahansa saataville

Foilchat-nimistä palvelua markkinoidaan erityisesti yrityksille.
Kotimaa 10.5.2018 07:32

Ruutukaappaus Foilchatin verkkosivuilta. Yhtiö mainostaa muun muassa palvelunsa GDPR-yhteensopivuutta.

Tietomurrot, vuodot ja vääriin käsiin levinneet käyttäjätiedot ovat historiaa. Niin lupaa suomalainen Foilchat, erityisesti yrityskäyttöön suunniteltu viestisovellus.

Foilchatia markkinoidaan organisaatioille, jotka haluavat pitää salaisuutensa itsellään. Sovellus on kuin kaikilla laitteilla toimiva WhatsApp, mutta suunnattu kuluttajamarkkinoiden sijaan organisaatioille. Tosin myös kuka tahansa yksittäinen ihminen voi käyttää sovellusta. Rekisteröityminen vaatii vain toimivan sähköpostiosoitteen. 

Ilmaisessa kuluttajaversiossa on vähemmän ominaisuuksia kuin maksullisessa, mutta kummankin tietoturva on sovelluksen kehittäneen yrityksen mukaan aukoton.

Lisäksi kehittäjät lupaavat, että palvelu noudattaa EU:n uutta GDPR-tietosuoja-asetusta, joka tiukentaa henkilörekisterien pitäjien vastuuta henkilötietojen käsittelystä. Asetusta aletaan soveltaa 25. toukokuuta 2018 ja sen rikkomisesta voidaan määrätä jopa 20 miljoonan euron sakot. 

Sovellusta mainostaa muun muassa yrityksen hallituksessa istuva kyberturvallisuuden professori Jarno Limnéll.

Huipputurvallisena markkinoituun sovellukseen on kuitenkin jäänyt aukko, jonka yritys huomasi vasta asiakkaan kerrottua asiasta toukokuussa 2018.

Kuka tahansa  palveluun rekisteröitynyt käyttäjä pystyy kokoamaan palvelun muista käyttäjistä nimi- ja sähköpostirekisterin. 

Se on EU:n tietosuoja-asetuksen ja  Suomen henkilötietojen suojaa koskevan lainsäädännön vastaista. Niiden mukaan rekisterinpitäjän olisi estettävä asiaton pääsy rekisterin tietoihin.

 

Foilchatia on myyty vuoden 2018 helmikuusta asti. Palvelun asiakkaana on nyt neljä yritystä, 30:n kanssa neuvottelut ovat loppusuoralla.

Suomen Kuvalehden tietojen mukaan sovellusta on myyty lisäksi ainakin yhdelle puolueelle.

Brittiläinen Barclays-pankki testaa sovellusta sisäisessä viestinnässään. Jos käy hyvin, pankki ostaa palvelun. Vaikka se ei ostaisi, se voi omilla kehitysehdotuksillaan auttaa kehittämään sovellusta.

Yrityksen toimitusjohtaja Henrik Resmanin mukaan FoilChatia käyttää vähän alle 10 000 henkeä, ja käyttäjämäärä kasvaa hurjaa vauhtia: EU:n tietosuoja-asetus ja uutiset erilaisista tietovuodoista ovat kasvattaneet kotimaisen, tietosuoja-asetuksen mukaisen viestipalvelun kysyntää.

”Foilchat on ihan valmis tuote markkinoille, ja meillä porukka juoksee nyt kovaa vauhtia myymässä tätä. Toimintaympäristö on aika otollinen tälle tuotteelle. Ihan yllätyin, miten yritykset ovat jättäneet miettimättä tietoturva-asioita GDPR:n valossa”, Resman sanoo.

Yritys ei kuitenkaan ole teetättänyt palvelulleen virallista tietoturva-auditointia, eli mahdollisten tietoturva-aukkojen kartoitusta.

Niinpä käyttäjien yhteystietojen salaamista koskevat ongelmat paljastuivat yritykselle vasta kun asiakas ilmoitti niistä.

Resman ei osaa sanoa, miten sovelluksen käyttäjien tiedot ovat päätyneet kenen tahansa nähtäville.

”Vahinkohan se on ollut.”

Se ei taida olla aivan GDPR-yhteensopiva ominaisuus?

”Siinä valossa se pitää paikkansa. Mutta ei pääse siihen sisältöön kiinni, luojan kiitos.”

Yritys korjaa aukkoa parhaillaan. Resman lupaa, että valmista tulee siihen mennessä, kun EU:n tietosuoja-asetus astuu voimaan 25. toukokuuta.

”Tarkoitus on rakentaa järjestelmä, jossa henkilötiedot ovat suojatussa ympäristössä. Lähdetään siitä, että se on oletusasetus, eikä omia tietoja tarvitse erikseen piilottaa”, Resman sanoo.

Nykyisellään Foilchat ei kuitenkaan täytä omaa lupaustaan GDPR-yhteensopivuudesta.

Asetuksen mukaan yrityksen on voitava kertoa rekisteriin kuuluville, minne ja mihin tarkoitukseen hänen tietojaan on luovutettu.

Kun käyttäjien nimet ja sähköpostiosoitteet ovat kenen tahansa saatavilla, on mahdotonta valvoa mihin ne saattavat joutua.

”Rekisterithän ovat kauppatavaraa, jota käytetään markkinoinnissa ja huijausviestien massajakelussa.”

Foilchat lupaa tietoturvaa ilman kompromisseja. Sellaiselle onkin kysyntää. 

Yritykset käsittelevät paljon arkaluontoista tietoa, jota ne eivät halua luovuttaa ulkopuolisille.

EU:n tietosuoja-asetus vahvistaa henkilön tietosuojaa ja koventaa henkilörekisterin pitäjien vastuuta ja sen laiminlyönnistä koituvia sanktioita.

Rekisterin pitäjälle, esimerkiksi yritykselle, voi seurata ongelmia siitä jos se säilyttää tietojaan EU- tai ETA-maiden ulkopuolella toimivassa pilvipalvelussa, jonka tietosuoja on heikompi kuin unionin alueella.

Suurin osa markkinoilla olevista viestipalveluista toimii EU-alueen ulkopuolella.

Henrik Resmanin mukaan Foilchatin tärkeä kilpailuvaltti on, että se toimii Euroopassa.

”Sitä ei voi tarpeeksi korostaa.” 

 

Mikään palvelu ei saa jakaa käyttäjiensä nimi- tai osoitetietoja kertomatta sitä käyttäjille, Itä-Suomen yliopiston informaatio- ja julkisoikeuden professori Tomi Voutilainen sanoo.

Hän ei tunne Foilchatin tietosuojatilannetta, mutta kommentoi tietosuoja-asioita yleisellä tasolla.

”Ei tämä mikään hirveän iso tietosuojaongelma ole, mutta ongelma kuitenkin. Ei nimilistoja voi noin vain julkistaa. Käyttäjiltä pitäisi kysyä ja heille pitäisi ilmoittaa siitä, että heidän yhteystietonsa ovat saatavilla.” 

Sähköposti- ja nimitietojen julkisuus altistaa käyttäjät esimerkiksi roskapostille ja sähköpostihuijausyrityksille.  

”Rekisterithän ovat kauppatavaraa, jota käytetään markkinoinnissa ja huijausviestien massajakelussa. Ei kuulosta hyvältä, eikä ole hyvä, että sähköpostiosoitteiden listoja pidetään saatavilla.”

Käyttäjätietoaukko on ongelmallinen myös tietosuojan kannalta. Käyttäjälle tulisi selvästi ilmaista, että hänen tietojaan julkaistaan käytännössä rajoittamattomalle yleisölle. Lisäksi julkaisemisen tulisi olla tarkoituksenmukaista, siis selvästi perusteltavissa.

 

Voutilaisen mukaan yritysten pitäisi myös kiinnittää huomiota siihen, ettei 25. toukokuuta 2018 ole mikään rajapyykki, johon mennessä tietosuoja-asioiden tulisi olla kunnossa.

”Sanon suoraan, että nämä IT-yritykset eivät raukat ymmärrä, että meillä on ollut tietosuoja-asetuksen mukaiset säännökset voimassa vuodesta 1999 lähtien, osa jo vuodesta 1988 lähtien. Asioiden olisi pitänyt olla kunnossa jo pari vuosikymmentä sitten.”

GDPR-asetuksen hallinnolliset sakkomaksut ovat saaneet rekisterinpitäjät kiinnostumaan tietosuoja-asioista uudella innolla.

Voutilaisen mukaan se on kuumentanut tietosuoja-asiantuntijapalveluiden markkinat.

”Tietosuoja-asiantuntijoita on pullahtanut kuin sieniä sateella, mutta kun katselee niiden kirjoituksia tuolla verkossa, niin päätä joutuu pyörittämään. Monen asiantuntijan kohdalla voisi kysellä kuluttajasuojan perään, että mistä ne ovat oppinsa hankkineet.”