Uskomaton sähläys Ruotsissa: Viranomaiset avasivat ovet sotasalaisuuksiin – kukaan ei tiedä vahinkojen laajuutta
On vain ajan kysymys, milloin Suomessakin töpeksitään, varoittaa asiantuntija.
Ruotsia ravistelevan tietoturvaskandaalin mittaluokka alkaa pikkuhiljaa selvitä. Ulkopuolisilla henkilöillä on kahden vuoden ajan ollut mahdollisuus päästä käsiksi lähes kaikkiin Ruotsin kuljetushallituksen (Transportstyrelsen) tietokantoihin.
Viranomaisilla ei kuitenkaan ole tällä hetkellä tietoa siitä, missä kaikkialla ja keiden hallussa kuljetushallituksen tietoja on.
Kaikki yksityiskohdat eivät ole vielä selvillä.
Varmaa kuitenkin on, että massiivinen määrä erittäin arkaluontoista dataa on vaarantunut. Väärissä käsissä se voi vaarantaa kymmenien tuhansien ihmisten yksityisyyden tai jopa hengen ja uhata Ruotsin valtion turvallisuutta.
Vaarantuneisiin tietoihin kuuluu ainakin Ruotsin ajokorttirekisteri kuvineen ja osoitetietoineen, samoin ajoneuvorekisteri omistajatietoineen sekä ainakin osia puolustusvoimien ajoneuvorekisteristä.
Autojen lisäksi tietokantoihin on listattu myös muut rekisteröidyt ajoneuvot, esimerkiksi pienlentokoneet ja niiden lentolupakirjat.
Hävittäjälentäjien kotiosoitteet voidaan selvittää.
Ajoneuvo- ja ajokorttirekisterit ovat pääosin julkista tietoa. Niissä on kuitenkin myös salattuja osia, joiden sisältö on erittäin arkaluonteista.
Rekisterin salattujen osien avulla on mahdollista selvittää esimerkiksi ruotsalaisten hävittäjälentäjien kotiosoitteet.
Osoitetiedot ovat salaisia, koska niitä voitaisiin käyttää kriisitilanteessa lentäjien maalittamiseen tai painostamiseen esimerkiksi näiden perheitä uhkaamalla.
Kuljetushallituksen rekisterin avulla salaisen kotiosoitteen saa selville, jos lentäjällä on myös siiviilipuolen lentolupakirja.
Ruotsalaislehti Expressenin haastatteleman entisen lentäjän mukaan siviililentoluvan omistaminen on hävittäjälentäjien parissa erittäin yleistä.
Aineisto sisältää myös tiedot kaikkien Ruotsin teiden ja siltojen kantavuuksista. Tiedot olisivat erittäin haluttuja, mikäli jokin valtio suunnittelisi hyökkäystä Ruotsiin.
Kantavuustietojen avulla voidaan suunnitella joukkojen kulkureittejä, ennakoida puolustajan liikkeitä tai päätellä ilmavoimien sodan ajan maantietukikohtien sijainteja.
Vääriin käsiin on päätynyt mahdollisesti myös tietoja henkilöistä, joille on myönnetty peitehenkilöllisyys esimerkiksi todistajansuojeluohjelmaan kuulumisen, puolustusvoimien erikoisjoukoissa palvelemisen tai salaisen poliisin peitetehtävissä työskentelyn vuoksi.
Jos tällaisella henkilöllä on ajokortti, voidaan hänen oikea henkilöllisyytensä ja asuinpaikkansa selvittää kuljetushallituksen tietokantojen avulla.
Ja jos eri rekistereiden tietoja yhdistelee, on mahdollista selvittää myös esimerkiksi se, millainen auto henkilöllä tai hänen kanssaan samassa taloudessa asuvilla on.
Kuljetushallituksen järjestelmän kautta on päässyt käsiksi myös kahteen poliisin tietokantaan. Toiseen niistä on listattu rikoksista tuomittuja ja toiseen rikoksista epäiltyjä henkilöitä.
Epäiltyjen listalla on henkilöitä, jotka eivät vielä tiedä olevansa poliisitutkinnan kohteena. Niinpä rekisterin leviäminen paitsi loukkaa yksityisyydensuojaa voi myös vaikeuttaa käynnissä olevia poliisitutkintoja.
Lisäksi joidenkin lähteiden mukaan vuoto on mahdollistanut pääsyn myös Ruotsin viranomaisten sisäiseen suojattuun verkkoon. Mahdollisesti samalla on vaarantunut myös kaikkien EU-maiden viranomaisten salattu sisäverkko.
Tätä viranomaistahot eivät kuitenkaan ole toistaiseksi vahvistaneet.
Kustannussäästöt, ulkoistus, kiire…
Massiivinen skandaali ei oikeastaan edes ole tietomurto sanan varsinaisessa merkityksessä.
Kenenkään ei ole tarvinnut murtautua mihinkään. Kaikki on aiheutunut viranomaisten huolimattomuudesta.
Soppa sai alkunsa vuonna 2015, kun Ruotsin kuljetushallitus päätti ulkoistaa tietojärjestelmänsä.
Päätöstä näyttivät ohjanneen lähinnä kustannussäästöt ja kiire.
Tietoturva jäi tai jätettiin sivuosaan.
Ulkoistuksessa kuljetushallituksen tiedot siirrettiin ”pilveen”, eli käytännössä it-yritys IBM:n ja sen alihankkijoiden ylläpitämille palvelimille.
Suomeksi: arkaluonteinen data siirrettiin kuljetushallituksen omista käsistä muun muassa Tšekkiin ja Serbiaan – eli Ruotsin ja jopa EU-alueen ulkopuolelle.
Ulkoistussopimuksessa sovittiin, että kuljetushallituksen palvelimia huoltavat ja ylläpitävät yritysten paikalliset työntekijät, joille annettiin täysi pääsy tietokantoihin ja lokitiedostoihin.
Jostain käsittämättömästä syystä heille ei kuitenkaan teetetty minkäänlaisia turvallisuusselvityksiä tai taustatarkistuksia.
Lopputuloksena kuljetushallituksen tietokantoihin on siis kahden vuoden ajan päässyt käsiksi ihmisiä, joiden taustoista ruotsalaisilla viranomaisilla ei ole mitään tietoa.
Työntekijät ovat käsitelleet materiaalia, jonka voi olettaa kiinnostavan esimerkiksi Venäjän sotilastiedustelua.
Ulkoistuksen kohdemaista Serbia tunnetaan Venäjän läheisenä liittolaisena. Maiden on myös epäilty vaihtavan tiedustelutietoja keskenään.
Salatun tiedon vuotamisesta vieraiden valtioiden käsiin ei ole todisteita. Mutta yhtä vähän viranomaiset voivat todistaa sitä, ettei tietoja olisi vuotanut.
On siis mahdollista, että esimerkiksi peitetehtävissä olevia henkilöitä on seurattu heidän tietämättään jopa kahden vuoden ajan.
Varomattoman ulkoistuksen jälkeen kuljetushallitus jatkoi tilanteen pahentamista. Maaliskuussa 2016 se lähetti ajoneuvorekisterin tietoja yrityksille, jotka olivat tilanneet niitä markkinointikäyttöä varten.
Tässä ei vielä ole mitään kummallista. Suomen tavoin myös Ruotsissa valtaosa ajoneuvorekisteristä on julkista tietoa, jota kuka tahansa voi pyytää viranomaiselta.
Ruotsin kuljetushallitus kuitenkin lähetti pyytäjille vahingossa koko rekisterin täysin sensuroimattomana. Mukaan päätyivät myös esimerkiksi tiedot peiteidentiteetin saaneista henkilöistä.
Huomattuaan virheensä kuljetushallitus päätti pahentaa tilannetta vielä entisestään. Se lähetti asiakkailleen uuden viestin, jossa osoitti, mitkä rekisterin osat olivat salattuja, ja pyysi vastaanottajia itse poistamaan ne.
Koko viestivaihto käytiin salaamattomalla sähköpostilla. Niinpä kuka tahansa viestin kaapannut on myös pystynyt lukemaan sen.
Viestin lähettäjä ei myöskään pysty mitenkään päättelemään, onko viesti päätynyt ulkopuolisten käsiin.
Ministerit panttasivat tietoja vuodoista.
Ruotsin viranomaiset ovat siis järjestäneet itsensä tilanteeseen, jossa heillä ei ole tietoa siitä, missä tai kenen hallussa kuljetushallituksen salattuja ja arkaluonteisia tietoja on.
Julkisuuteen skandaali pomppasi heinäkuun 2017 alussa.
Kuljetushallituksen johtaja Maria Ågren oli eronnut tehtävästään tammikuussa 2017. Eron syyksi ilmoitettiin tuolloin näkemyserot hallituksen kanssa. Tietovuodosta ei puhuttu mitään.
Heinäkuussa Ågren sai kaikessa hiljaisuudessa noin 7 700 euron sakot arkaluonteisen tiedon huolimattomasta käsittelystä.
Tuomio sai tiedotusvälineet kiinnostumaan.
Kävi ilmi, että maan korkeimmat poliitikot olivat tienneet tietoturvaongelmista, mutta pitäneet asian tietoisesti poissa julkisuudesta.
Pääministeri Stefan Löfven oli saanut tietää asiasta tammikuussa 2017, puolustusministeri Peter Hultqvist ja sisäministeri Anders Ygeman jo vuotta aiemmin.
Kun vuoto ja siitä tietojen panttaaminen paljastuivat, edessä oli nopeasti hallituskriisi.
Tähän mennessä eroamaan ovat joutuneet sisäministeri Ygeman sekä infrastruktuuriministeri Anna Johansson.
Asia ei kuitenkaan ole vielä loppuun käsitelty.
Oppositio on vaatinut myös puolustusministeri Hultqvistin eroa. Epävarmaa on myös se, pystyykö Löfvenin hallitus ylipäänsä jatkamaan.
Kuljetushallituksen uusi johtaja Jonas Bjelfenstam on vakuuttanut, ettei ole näyttöä siitä, että materiaalia olisi todella joutunut vääriin käsiin.
Todisteita ei kuitenkaan ole myöskään päinvastaisesta. Viranomaisilla ei yksinkertaisesti ole mitään keinoa osoittaa, ettei tietoja olisi vuotanut.
Ainoa vaihtoehto on toimia olettaen, että pahin on tapahtunut ja kaikki mahdollinen tieto on levinnyt julkiseksi.
Turvallisuusviranomaiset joutuvat pohtimaan, kuinka suuri osa niiden kriisiajan suunnitelmista on muuttunut käyttökelvottomiksi ja kuinka monen ihmisen turvallisuus on vaarantunut.
Kaiken huipuksi tilanne on ilmeisesti edelleen päällä.
Bjelfenstam on antanut ymmärtää, että ongelmat saadaan korjattua vasta syksyllä. On siis mahdollista, että kuljetushallituksen datan avointen ovien päivät jatkuvat vielä kuukausia.
Suomessa perusasioiden pitäisi olla kunnossa.
Myös Suomessa valtionhallinnon it-palveluita on ulkoistettu maan ulkopuolella toimiville yrityksille. Tikittääkö meilläkin aikapommi, joka vain odottelee laukeamistaan?
”Ei ulkoistus itsessään ole vielä mikään mörkö”, vastaa erityisasiantuntija Kristian Selén Viestintävirastosta. Hän muistuttaa, että it-yritysten tietoturvaosaaminen voi hyvin olla paremmalla tasolla kuin ulkoistuksen tilaavalla viranomaisella.
”Mutta jos ulkoistuksia päättää tehdä, pitää tilaajan tietää, mitä on tekemässä. Mitä tietoa on, missä ne ovat, kuinka arkaluontoisia ne ovat ja miten ne tulee suojata.”
Suomessa yleinen käytäntö on, että viranomaisen ja palvelua tarjoavan yrityksen välillä solmitaan palvelusopimus. Siinä määritellään myös kaikki tietoturvaan liittyvät vaatimukset.
Turvallisuusmääräysten tulee olla täysin samanlaiset riippumatta siitä, käsitteleekö tietoja viranomaisen vai ulkoistuskumppanin palkkalistoilla oleva henkilö.
Perusasioiden pitäisi siis olla kunnossa.
Silti Selén muistuttaa huolellisuudesta. Lauseet paperilla eivät pelasta, jos tietoturvaan ei suhtauduta vakavasti myös käytännön tasolla.
”Tietojen suojaamista pitäisi miettiä kaikissa hankkeissa alusta asti. Riskinä on, että keskitytään lähinnä säästöihin ja tehokkuuteen. Tietoturvasta lätkäistään kylkeen vasta viime vaiheessa jotain.”
”Pitää muistaa, että vaikka palvelun voi ulkoistaa, siihen liittyvää vastuuta ei koskaan.”
”Suomelle tämä on ennen kaikkea varoittava esimerkki”, sanoo sähköisiä kansalaisoikeuksia puolustavan Electronic Frontier Finland -kansalaisjärjestön (Effi) puheenjohtaja Timo Karjalainen.
”Ruotsissa viranomaiset eivät suhtautuneet riittävän vakavasti ihmisten tietoihin ja niiden säilyttämiseen.”
Karjalainen ei ole vakuuttunut siitä, että Suomi olisi suojassa vastaavalta kriisiltä.
”Emme ehkä ole juuri tällä tavalla töpeksineet, mutta on vain ajan kysymys, milloin joku vuoto tapahtuu meilläkin. Jos rekistereissä on tietoja, niin jollain tavalla ne aina tuppaavat päätymään vääriin käsiin.”
Karjalainen muistuttaa erityisesti inhimillisten virheiden mahdollisuudesta. Olivatpa järjestelmät viranomaisten omia tai ulkoistettuja, niitä käyttävät aina ihmiset.
Huolellisuutta ja tietoturvasta huolehtimista tarvitaan. Paras vastatoimi olisi Karjalaisen mielestä kuitenkin ajattelutavan muutos.
”On väärin ajatella, että rekisteröidään, kun ei siitä haittaakaan ole. Pitäisi lähteä siitä, että tietoja rekisteröidään vain niiltä osin, kun se on aidosti välttämätöntä.”
”Ainoa taatusti vuotamaton rekisteri on sellainen, jota ei ole olemassa.”