tietosuoja

Palvelut minulle, data Applelle ja Googlelle

kirjoittaja

Mielipidekirjoitus, julkaistu Keskisuomalaisessa 9.10.2025.

Keskisuomalainen avasi hyvin 5.10.2025 sitä, miten käyttäjätiedot vaeltavat sosiaalisen median palveluista ympäri maailmaa. Effi ja muut yksityisyysaktivistit ovat yrittäneet koko 2000-luvun herätellä tietoisuutta siitä, miten eri toimijat pääsevät käsiksi tietoihimme ja miten niitä voidaan hyödyntää myös väärinkäytöksiin.

Lehtijuttu oli kirjoitettu sosiaalisen median palvelujen näkökulmasta, mutta dataa kerätään muissakin palveluissa.

Lähes kaikki käyttävät älypuhelinten sovelluksia päivittäisessä elämässään: sähköinen tunnistautuminen, pankki- ja vakuutuspalvelut, ostokset, kulttuuri- ja liikuntaedut, auton tankkaus, lataus tai pysäköinti, Kelan tai eläkelaitoksen palvelut… Suurin osa yrittää kerätä pakollisen tiedon lisäksi monenlaista muuta dataa.

Suomalaisen yhteiskunnan peruspalvelut ovat toistaiseksi saatavilla myös muilla tavoilla kuin pelkän ”äppiksen” avulla, mutta joskus vaihtoehtoinen reitti voi olla monimutkainen tai lähes mahdoton.

Olen ottanut monia sovelluksia käyttöön vain sen takia, etten ole jaksanut selvittää, miten jonkin asian voisi muuten hoitaa. Jos minä en asiaan perehtyneenä ja IT-alalla työskentelevänä ota näistä välillä selvää, miten muka alan toimintatapoja ymmärtämätön voisi?

Älypuhelinten ja tablet-laitteiden käyttöjärjestelmissä on Googlen ja Applen duopoli. Lähes kaikki ovat tästä syystä suhteessa vähintään toiseen näistä amerikkalaisyrityksistä. Nekin olivat, Pasi Moilasta artikkelista lainaten, 20 vuotta sitten melko erilaisia.

Mobiilisovellusten alustat Android ja iOS seuraavat käyttäjän toimintaa ja lähettävät käyttötietoja valmistajille. Vaikka olen kytkenyt puhelimestani lähes kaiken datankeruun pois päältä, se yrittää silti ottaa säännöllisesti yhteyksiä Googlen telemetriapalvelimille.

Mikäli joku haluaa vältellä älypuhelimen houkutuksia, tai asiakkuutta Googlen tai Applen kanssa, miten hänen tulisi toimia? Mikäli yritykset antavat hänelle porttikiellon, voiko hän edelleen käyttää muita palveluja? Miten varmistetaan, ettei yhteiskunnan täysivaltaista jäsenyyttä jatkossakaan osteta pelkästään asiakasdatalla tai asiakassuhteella näihin kahteen yritykseen?

Avoimuus lisää parhaiten tietoturvaa

kirjoittaja

Mielipidekirjoitus, julkaistu Keskisuomalaisessa 22.9.2022.

S-Pankki on tällä hetkellä isosti julkisuudessa tietomurron takia, jossa virheellisesti toiminut ohjelmistokomponentti oli sallinut käyttäjän toimimaan toisen henkilön nimissä. Pienemmillä otsikoilla on selvinnyt Wilma-järjestelmä, joka sulki API-rajapintansa kolmannen osapuolen ohjelmistoilta. Niiden kautta oli saatavilla liian laajoja tietoja oppilasryhmien kokoonpanoista ilmeisesti ohjelmointivirheen takia.

Samalla kun yhteiskuntamme verkottuu yhä tiiviimmin, myös tietomurrot ja läheltä piti -tilanteet lisääntyvät. Vastaamon tapauksesta ovat kaikki kuulleet, mutta nopealla uutishaulla otsikoissa ovat olleet pelkästään muutaman viime kuukauden sisällä mm. STT, Päijät-Sote, Wärtsilä, Valtra ja Turun yliopisto.

Monia tapauksia yhdistää yksi asia: julkisuuteen ei ole kerrottu murron tarkkoja yksityiskohtia. Tästä on seurannut, ettei muilla alan toimijoilla ole ollut mahdollisuutta kuin arvailla, onko omissa järjestelmissä tai prosesseissa vastaavia virheitä.

Toivon, että S-Pankki samoin kuin muutkin organisaatiot Suomessa ottavat tavaksi julkaista tutkinnan edetessä avoimesti järjestelmissä tai prosesseissa olleet virheet, joista tietoturvapoikkeama on johtunut. IT-alalla on olemassa tähän kansainvälisesti vakiintunut käytäntö: julkinen post mortem -raportointi. Tämä auttaa muita toimijoita välttämään tai korjaamaan samankaltaiset ongelmat ja lisää näin kaikkien turvallisuutta.

Post mortemit ovat sukua liikenneonnettomuuksien tutkintaselostuksille. Niiden päämääränä ei ole osoittaa syyllisiä, vaan käydä läpi tapahtumat neutraalisti ja oppia toimimaan jatkossa paremmin. Raporteissa ei selosteta pelkästään sitä, mikä on mennyt pieleen, vaan pohditaan, miten asiat olisi voinut tehdä toisin ja mitä tapahtuneesta on opittu.

Julkiset post mortemit ovat jo monissa yrityksissä vakiokäytäntö. Suuret toimijat, kuten Google, Cloudflare, Amazon ja Spotify julkaisevat yksityiskohtaiset tiedot järjestelmän vakauteen ja tietoturvaan vaikuttaneista virheistä, niiden selvitysprosesseista ja korjauksista. He toimivat näin myös mielipidevaikuttajina: Monet tietoturvaparannukset ovat suoraan syntyneet näiden raporttien parannusehdotusten myötä. Raportteja tehdään myös itse havaituista tietoturva-aukoista, joita ei välttämättä ole edes hyödynnetty, jälleen tiedon jakamisen nimissä.

Avoin ja ajantasainen tiedottaminen lisää luottamusta organisaatioon. Yksityiskohtien paljastaminen auttaa myös muita välttämään samat virheet. Tietoturva lisääntyy parhaiten, kun kaikki toimivat yhdessä saman tavoitteen eteen.