Terveystalon tietojenkalastelu on malliesimerkki ongelmista, joiden kanssa firmat ja tavalliset ihmiset kamppailevat digitaalisuuden ihmeellisessä maailmassa, kirjoittaa Ilta-Sanomien digitoimittaja Henrik Kärkkäinen.

Terveystalon sähköinen ajanvarausjärjestelmä vuosi asiakkaiden henkilötunnusten loppuosia tietojenkalastelijoille. Asia havaittiin viime torstaina, ja asiasta kerrottiin eilen sunnuntaina.

Tämä on monellakin tapaa malliesimerkki siitä, mitä elämä on vuonna 2020.

Terveystalo on hyvä esimerkki siitä, miten asioiden helpottuminen tekniikan myötä lisää epävarmuutta. On helppo tehdä ajanvaraus netissä, mutta sen kääntöpuoli on tietojen altistuminen.

Se on myös esimerkki siitä, miten ostaessaan ohjelmiston firmat tulevat ostaneeksi samalla ohjelmistovirheitä eli bugeja. Käytännössä niitä on aina ja kaikkialla, sillä ohjelmakoodi on pitkää ja monimutkaista. Harva meistä kirjoittaa virheetöntä tekstiäkään. Vastuussa on silti yleensä ohjelmiston ostaja.

Suuri kysymys on, kuka haavoittuvuudet löytää. Sana ”hakkeri” tarkoittaa alun perin ihmistä, joka saa kohteensa toimimaan odottamattomalla tavalla lähestymällä tätä uudenlaisesta näkökulmasta. Riippuen siitä, käyttääkö hakkeri niin sanotusti mustaa tai valkoista hattua, hän kirjoittaa kohteelleen joko kiristyskirjeen tai bugiraportin (selvityksen virheestä ja sen toiminnasta).

Terveystalon tapauksessa kyseessä oli verkkopalvelun heikkous. Tämäntapaiset hyökkäykset toteutetaan usein sillä tavoin, että hyökkääjä syöttää esimerkiksi verkkolomalleen nimikenttään jotain muuta kuin pitäisi, yleensä ohjelmakoodia. Pahimmassa tapauksessa hän pääsee tällä tavoin antamaan käskyjä palvelimelle ja saa sen tekemään asioita, joita ei pitäisi tapahtua.

Ihmismielen luovuutta vuonna 2020.

Kolmanneksi Terveystalon kalastelu on hyvä esimerkki vuodesta 2020, sillä tärkein asia – potilastiedot – olivat suojassa. Asiansa osaavat yritykset suojaavat jo kriittisen informaationsa.

Se ei tarkoita sitä, etteikö sellaiseen voisi päästä käsiksi. Mutta harvoin enää verkkolomakkeella vuonna 2020.

Neljänneksi se on hyvä esimerkki siitä, että kalastelusta, murroista ja hakkeroinneista kertovat yritykset eivät ole enää harvoja poikkeuksia.

Tähän vaikuttaa pitkälti sääntely. Terveystaloa sitovat pörssitiedottamisen säännöt. Tämän lisäksi EU:n gdpr-tietosuoja-asetus määrää yrityksiä ilmoittamaan valvontaviranomaiselle 3 vuorokauden kuluessa henkilötietojen tietoturvaloukkauksesta isojen sakkojen uhalla.

Vielä kun saisi tästä tiedottamisesta aidosti vapaaehtoista kaikissa tapauksissa. Harva vieläkään tunnustaa julkisesti joutuneensa rikoksen kohteeksi. Tässä olisi vielä monella opeteltavaa.

Ja me muut, jotka emme näitä palveluita koodaa tai osta: meidän on vain siedettävä niihin liittyvää epävarmuutta ja tehdä tietosuojaamme parantavia valintoja silloin, kun se on mahdollista (älä anna itsestäsi enempää tietoa kuin on tarpeen).

Ja totuteltava tietovuotouutisiin. Niiden määrä ei ainakaan ole vähenemässä.