maanantai 16. syyskuuta 2013

Turhaa salailua viranomaisilta?

Viestintävirasto julkisti 13.9 varoituksen tietomurtojen sarjasta, jossa suomalaisten käyttäjätunnuksia ja salasanoja on joutunut sivullisten tietoon. Ensimmäinen kysymys oli ainakin itsellä, että mitkä palvelut ja sivustot olivat kohteena? Tunnuksia ja salasanoja kun on useille kymmenille sivustoille, eikä käytännössä ole mahdollista vaihtaa kaikkia aina, kun jossain uutisoidaan mahdollisesta tietomurrosta. Viestintäviraston tiedossa on kuitenkin ainakin osa kohteista ja heitä asiasta on viestitty. Mutta ei käyttäjiä. Kuitenkin viestintäviraston sivuilla lukee:

"Viestintävirasto on rohkea viestintämarkkinoiden ja -palvelujen valvoja ja edistäjä kansalaisten ja elinkeinoelämän hyväksi. Viestintävirasto huolehtii siitä, että Suomessa on monipuoliset, toimivat ja turvalliset viestintäyhteydet." (Lähde: Viestintäviraston esittely)

Kansalaiset mainitaan ennen elinkeinoelämää, mutta siitä huolimatta kansalaiset saavat tiedon vasta, kun palveluntarjoaja itse ehtii laatia tiedotteen. Tällainen tiedon panttaaminen tuntuu ainakin itsestä siltä, että se vaan heikentää luottamusta palveluntarjoajiin ja sähköisiin palveluihin yleisesti. Lisäksi se lisää ihan turhaa ja tarpeetonta mystiikkaa jälleen turvallisuusasioiden ympärillä. Asioissa, joissa vuorovaikutus, avoimuus ja kehittyminen on tärkeää. 

Entä jos viestintävirasto julkaisee heti tiedon saatuaan julkiset listat niistä palveluntarjoajista, jotka ovat joutuneet tietomurron kohteeksi? Vaikutukset:
  • Käyttäjät - siis kansalaiset - tietävät heti, vaikuttaako tapahtuma minuun
  • Ilmoitus pakottaa palveluntarjoajat toimiin mahdollisimman nopeasti
  • Kansalaisilla on mahdollisuus valita luotettavimpia palveluntarjoajia
  • Palveluntarjoajien on pakko alkaa panostamaan palveluiden laatuun
Tätä kautta palveluntarjoajien, yhteisöjen ja ylläpitäjien on asiakastyytyväisyyden vuoksi panostettava enemmän ongelmien ennaltaehkäisyyn. Seurauksena laadukkaammat palvelut, avoimempi viestintäkulttuuri ja vähemmän ongelmia. Luottamus sähköisiin palveluihin kasvaisi todellisen turvallisuuden tason nousun kautta, eikä vain tietämättömyyden tai väärien mielikuvien vuoksi. Ja ehkä se tulevaisuudessa keventäisi viranomaisenkin taakkaa jatkossa palveluiden laadun parantumisen kautta. Saattaisipa jopa säästää muutamia veroeuroja.

1 kommentti:

  1. Kirjoitus herätti kysymyksen, että josko väärinkäytösten mahdollisuus kasvaa ja tunnukset leviävät laajemmalle, mikäli tieto julkistetaan heti.

    Melko monesti tunnusten vuoto havaitaan vasta jälkikäteen ja ne ovat saattaneet olla jopa kuukausia jaossa. Ja usein ovat vielä pitkään jälkeenpäinkin. Toisaalta en ehdottanut julkaistavaksi itse tunnustietoja tai niiden lähdettä, vaan ainoastaan tiedon tietoturvapoikkeamasta. Lisäksi kaikki palveluntarjojat eivät sulje vuotaneita tunnuksia (jos ne edes ovat tiedossa). Tiedotteet - olivat ne kenen tahansa - eivät myöskään tavoita kaikkia, koska osa jättää rekisteröintitietonsa puutteellisina tai eivät vaan lue sähköpostejaan joka päivä. Ja vaikka tunnukset kyseiseen palveluun vaihdetaan, muistaako käyttäjä vaihtaa saman tunnus/salasanaparin joka paikkaan? Ja ne jotka tunnuksia keräävät (jos se edes oli päätavoite), ovat jo kuitenkin saaneet, mitä tarvitsevat, joten vahinko on jo tapahtunut.

    Tietysti peruslähtökohta on se, että viranomainenkin saa käyttää järkeä ja jos julkistamisesta aiheutuisi suurempi haitta kuin mitä itse tapahtumasta, maalaisjärkikin sanoo mitä kannattaa tehdä. Mutta nykyinen kulttuuri, jossa monet hoitavat aika usein hommat vain keskinkertaisesti ja luottavat viranomaisen korjaavan jäljet ja kantavan vastuun siitä, mikä kuuluisi palveluntarjoajalle, ei ole mielestäni oikea tapa sekään. Vähän kuin autokauppa myisi jarruttoman auton ja Trafi kiirehtisi sitten vahingon tapahduttua korjaamaan jälkiä julkisilla varoilla. Ei tämä Internet enää niin uusi keksintö ole, etteikö voisi jo alkaa edellyttää suurempaa vastuuta siellä toimijoilta?

    VastaaPoista