Helsingin tietomurrossa vuotaneita henkilötunnuksia ei voi vaihtaa
Haastattelimme DVV:n palvelujohtaja Timo Salovaaraa selvittääksemme, minkälainen suomalaisen henkilötunnuksen tulevaisuus on ja mitkä sen vuotamisen vaarat ovat.
Max Lehtinen
20.6.2024

Helsingin tietomurto oli oiva muistutus henkilötietojen riittävästä tietoteknisestä turvaamisesta, mutta myös siitä, että tietojen väärinkäyttöön on hyvä varautua etukäteen. Keskitymme tässä artikkelissa nimenomaisesti suomalaisen henkilötunnuksen vuotamiseen liittyviin riskeihin sekä yksilön että ryhmän tasolla.

Mihin kaikkeen henkilötunnusta käytetään ja minkälaisia vaaroja sen leviämiseen liittyy? Entä voisiko kaikkien tietomurrolle altistuneiden henkilötunnukset muuttaa? 

Kysyimme Digi- ja väestötietoviraston palveluosaston ylijohtaja Timo Salovaaralta nämä kysymykset ja pohdimme myös, mihin aiemmin julkisuudessakin puitu hanke tietoneutraalista henkilötunnuksesta on jäänyt. 

Yksilöintitunnus, ei tunnistamisen väline

Henkilötunnuksen idea perustuu Suomessa 1960-luvun alussa käyttöön otettuun työeläkenumeroon, jota hyödynnettiin uusissa digitaalisissa järjestelmissä palkansaajat yksilöivänä tunnuksena. 

Työeläkenumero ei kestänyt aikaa, mutta 1960-luvun loppuun mennessä Suomen kansalaisilla oli laajasti käytössä henkilökohtainen tunnus – sama kuin nytkin. Henkilötunnusta tarvitaan yhä esimerkiksi eläkkeiden ja muiden etuuksien hakemisessa sekä palkanmaksussa. Lisäksi se on tärkeä väline viranomaisasioinnissa. 

Henkilötunnuksen tehtävä digitaalisten järjestelmien apuvälineenä on kuitenkin hämärtynyt merkittävästi ajan saatossa. Sen jälkeen kun sitä ryhdyttiin hyödyntämään passeissa ja ajokorteissa, yksilöinti sekoittui tunnistautumiseen. Tämä on henkilötunnuksen tahaton käyttökohde.

“Uskosta, että henkilötunnus on tunnistautumisväline, pitäisi päästä pois”, toteaa Salovaara. 

Lainmukaisia tapoja tunnistaa henkilö ovat joko tunnistus paikan päällä passin tai henkilökortin avulla tai sähköisesti vahvan tunnistautumisen kautta. Moniin henkilöihin ja ulkomaisiin toimijoihin juurtunut usko on kuitenkin vaikea kitkeä pois. 

Tämä on suuri harmi, sillä henkilötunnuksen vuotamisen tuottamat vaarat liittyvät Salovaaran mukaan lähinnä yritysten, kuten luotontarjoajien, huolimattomuuteen tunnistamisessa. 

Tilauspetokset ovat yleisiä, ja ne johtuvat kehnoista tunnistautumisprosesseista. Niiden muuttamiseen olisi siis syytä panostaa, Salovaara toteaa. 

Henkilötunnukset väärissä käsissä – missä tietoneutraalius?

Helsingin tietomurtoa Salovaara kommentoi toteamalla, että henkilötunnusten sijaan suurempi riski väärinkäyttöön löytyy arkaluontoisista tiedoista, kuten terveys- ja oppimisvaikeuksista kertovista dokumenteista. 

Viattomalta tuntuvat tunnisteet, syntymäpäivä ja sukupuoli, voivat kuitenkin myös aiheuttaa harmia väärissä käsissä. On esimerkiksi hyvin tunnettu fakta, että syntymäpäivä eksyy todella usein ihmisten salasanoihin. 

Hyvä algoritmi arvaa silloin tällöin oikean salasanan, kun on kyse suuresta määrästä henkilöiden nimiä ja syntymäpäiviä. 

Toinen ongelma, joka henkilötunnusten vuotamiseen liittyy, on siinä ilmenevien tietojen käyttäminen huijausviesteissä tai -sivustoilla. Hakkerit voivat esimerkiksi luoda hieman uskottavamman huijauksen syntymäpäiväpalkinnon voittamisesta. 

Riskit eivät ole valtavat, mutta nämäkin väärinkäytökset voitaisiin estää erilaisella henkilötunnuksella, jolla on toki muitakin hyötyjä. Salovaaran mukaan idea henkilötietoneutraalista yksilöintitunnuksesta nousikin esiin viime hallituksen aikana, ja asiaa puitiin laajasti sekä julkisuudessa että virkamiestasolla. 

Tällöin tarkoitusperänä oli myös henkilötunnusmuutosten tarpeen poistaminen sukupuolen vahvistamisen yhteydessä. 

“Asia käytiin huolella läpi koko yhteiskunnan kannalta. Katsottiin vaikutukset asiakkaan ja muiden toimijoiden näkökulmasta. Lopputulos oli, että muutos aiheuttaisi haasteita ja huomattavat kustannukset, vaikka se voisi olla hyödyllinen”, Salovaara sanoo. 

Lopulta asia jäi kesken, kun hallitus vaihtui. 

Jos hanke halutaan herättää tulevien hallitusten aikana henkiin, Salovaara uskoo rinnasteisen järjestelmän olevan ensimmäinen askel kohti muutosta. Toisin sanoen vanha henkilötunnusjärjestelmä ei katoaisi heti, vaan erilaiset toimijat, kuten pankit ja viranomaiset, voisivat käyttää tunnisteetonta tunnusta aluksi vapaaehtoisesti. 

Laaja uudistus estäisi turhien tietojen jakamisen henkilötunnuksen käytön yhteydessä, kuten poliisin kanssa asioidessa. 

Tällä hetkellä uudistuksen tulevaisuus näyttää kuitenkin melko hataralta – samoin kuin Suomen kyky peruuttaa Helsingin tietomurron aiheuttamia uhkia. 

Vaihtaako vai eikö vaihtaa?

Helsingin tietomurron jälkimainingeissa on vaikeaa palauttaa tilannetta täysin normaaliin, mutta yrittää voisi. Arkaluontoisten tietojen, kuten terveystietojen, lunnasvaatimusriskiä on mahdotonta enää estää. Asuinpaikkatiedotkin ovat menetetty tapaus. Osoitetta on järjetöntä lähteä vaihtamaan. 

Voisiko siis edes henkilötunnukset muuttaa? Salovaaran mukaan ei. 

Henkilötunnuksen muuttamisen vaikeus on hänen mukaansa täysin tarkoituksenmukaista. Henkilötunnus on käytössä paitsi DVV:n väestötietorekisterissä – josta se voidaan kyllä helposti muuttaa – myös pankeissa, henkilökorteissa, apteekeissa ja muissa tärkeissä dokumenteissa sekä palveluissa. 

Henkilötunnusmuutoksen yhteydessä pitää päivittää kaikki rekisterit ja asiakirjat, mikä kuluttaa sekä yksilön että yhteiskunnan resursseja. 

Lisäksi vaikka muutos estäisi väärinkäytön lyhyellä aikavälillä, samat väärinkäyttöriskit lepsusti toimivien luotontarjoajien osalta ovat olemassa myös uudelle henkilötunnukselle. 

“Vaikka yksilön kannalta henkilötunnuksen vuotaminen on ikävä tilanne, henkilöön tai tämän omaisuuteen kohdistuvaa suoraa uhkaa ei sinänsä ole, koska esimerkiksi perittäviä tilauspetosmaksuja ei kuulu maksaa vaan ilmoittaa asiasta poliisille. Tilauspetoksen kohteeksi päätyminen aiheuttaa toki paljon selvitettävää ja stressiä uhrille, ja näitä rikoksia pitäisi pystyä tehokkaammin estämään”, Salovaara sanoo.

Henkilötunnuksen voi kuitenkin muuttaa vain erittäin painavasta syystä: sukupuolen varmistuksen yhteydessä tai jatkuvan väärinkäytön vuoksi. Sama pätee myös altistuneisiin Helsingin tietomurron uhreihin. 

Merkittävän väärinkäytön tai uhan takia henkilötunnuksia muutetaan Salovaaran mukaan keskimäärin vain yksi vuosittain.

Kysymys siitä, pitäisikö henkilötunnuksia ylipäätään pystyä vaihtamaan matalammalla kynnyksellä esimerkiksi tietomurtotapausten yhteydessä, on sellainen, johon Salovaaran on vaikea antaa kyllä tai ei -vastausta. Periaatteessa tällainen ominaisuus olisi hyödyllinen, mutta esteitä riittää.

Asiakirjojen välistä yhtenäistä järjestelmää ei yksinkertaisesti ole olemassa. Se pitäisi rakentaa, mikä tulisi kalliiksi. 

Reformin aloittaminen on tällä hetkellä ylitsepääsemättömän kynnyksen takana, eikä suurta tarvetta sille toisaalta ole ollutkaan – ainakaan vielä.

Suositellut

Uusimmat