Digi- ja väestötietovirasto vakuuttaa suomalaisten tietojen olevan turvassa. Kansalaisten sähköisiä oikeuksia ajava järjestö ei ole asiasta yhtä varma.

Digi- ja väestötietoviraston (DVV) tavasta käsitellä suomalaisten tietoja on puhjennut oikeusriita. Ihmisten oikeuksia digitaalisessa maailmassa ajava Electronic Frontier Finland eli Effi ry valitti Helsingin hallinto-oikeuteen DVV:n päätöksestä olla kertomatta, miten suomalaisten tiedot on suojattu Amazon Web Services -palvelussa (AWS).

Yhdysvaltalainen AWS on maailman suurimpiin teknologiayrityksiin kuuluvan Amazonin pilvipalveluihin erikoistunut tytäryhtiö. Se myös vastaa Suomi.fi-portaalin tuotannosta.

Suomi.fi on portti lukuisiin erilaisiin kansalaisten sähköisiin palveluihin ja rekistereihin. AWS-alustalla käsitellään muun muassa henkilötunnuksia, nimiä, osoitteita, sähköpostiosoitteita, tietoja henkilön tekemistä valtuutuksista ja kansalaisuustietoja.

– Suomi.fi -palveluiden kohdalla on kyse tiedosta, jonka avulla pystyy hankkimaan hyvin merkittävää ja kattavaa tiedustelutietoa suomalaisesta yhteiskunnasta ja kansalaisista, Effin varapuheenjohtaja Elias Aarnio kirjoitti Helsingin hallinto-oikeudelle lokakuun lopussa.

Aivan kaikkien suomalaisten tietoja ei ole AWS:ssä. Jos henkilö ei käytä Suomi.fi-palveluita, hänen tietonsa eivät missään vaiheessa kulje AWS:n kautta.

Väestötietojärjestelmän (VTJ) tietokannat ovat Suomessa, eikä niitä tallenneta AWS:n alustalle. Sähköiset palvelut kuitenkin perustuvat väestötietojärjestelmän tietosisältöön, mutta DVV:n mukaan VTJ-tietoja hyödynnetään aina minimimäärä.

Palvelusta riippuen tieto ei myöskään välttämättä varsinaisesti sijaitse Amazonin palvelimilla. Vaikka tietoa käsitellään pilvialustalla, pilviympäristöön ei tällöin muodostu varsinaista tietokantaa.

DVV ei kommentoi salauksessa käytettyjä tekniikoita. Viraston mielestä yksityiskohtien paljastaminen saattaisi vaarantaa Suomi.fi-palvelun tietoturvan ja tämän vuoksi ne ovat lain nojalla salassa pidettäviä.

Effin mielestä modernin salausteknologian perusajatus on, että käytetyt salausmenetelmät ovat julkisia, jotta niiden turvallisuus voidaan puolueettomasti todeta.

Aarnion mukaan AWS:n EU-alueen tietojenkäsittelyehdot vaarantavat suomalaisten tietoja.

– Niissä on kohta, joka on muotoiltu huolellisesti ottaen huomioon Yhdysvaltojen tiedustelulainsäädännön ja avaa mahdollisuuden sille, että Suomen kansalaisten henkilötietoja vuotaa laajamittaisesti Yhdysvaltain tiedusteluohjelmien kautta sen viranomaisille.

Digi- ja väestötietovirasto vakuuttaa IS Digitodaylle, että suomalaisten tiedot ovat turvassa Amazonin palvelimilla. Viraston mukaan NSA tai muut Yhdysvaltain tiedusteluelimet eivät pääse käsiksi sellaisiin tietoihin, joita DVV käsittelee rekisterinpitäjänä.

Miksi suomalaisten tiedot on kuitenkin laitettu Amazonin pilveen, jonne amerikkalaisilla tiedusteluelimillä on tiettävästi yleisavaimet?

– DVV:n käsittelemät suomalaisten tiedot ovat salattuna, ja salattuun dataan ei pääse käsiksi ilman DVV:n hallussa olevia salausavaimia, DVV:n lakiasiainjohtaja Noora Kallio vastaa.

DVV:n käsittelemät suomalaisten tiedot ovat salattuna, ja salattuun dataan ei pääse käsiksi ilman DVV:n hallussa olevia salausavaimia.

Suomalaisten tiedot on siis Kallion mukaan suojattu erikseen sellaisella salauksella, jonka avain on ainoastaan DVV:n hallinnassa.

Valtiollisilla hyökkääjillä on paljon rahaa ja osaamista käytössään suojausten ohittamiseksi. Kestääkö salaus myös ulkovaltojen tietomurtoyritykset?

– Kyllä. Valitut salausalgoritmit täyttävät suomalaisten viranomaisten asettamat vaatimukset, Kallio sanoo.

DVV ei toistaiseksi kommentoi Effin väitteitä tarkemmin, koska asian käsittely on viraston sisällä kesken. Virasto on kuitenkin luottavainen, että sen toiminta täyttää Euroopan yleisen tietosuoja-asetuksen gdpr:n vaatimukset. Tämä on yksi niistä seikoista, joista Effi ei ole vakuuttunut.

Toteutuuko gdpr:n noudattaminen toiminnassanne täysimääräisesti?

– Kyllä. Arvioimme vaatimustenmukaisuuttamme jatkuvasti sekä sisäisesti että ulkoisten riippumattomien auditoijien toimesta, ja teemme jatkuvaa parannusta. Tämä koskee myös tietosuoja-asetuksen vaatimuksia.