Huonosti tehty web-sovellus aiheutti lähes miljoonan euron sakon Sambla Groupille
Lainahakemusten käsittelyyn tehty web-sovellus käytti tietojen jakamisessa yksilöllisiä url-osoitteita, joiden käyttö ei edellyttänyt minkäänlaista tunnistautumista. Asiakkaiden tietoja oli myös systemaattisesti kalasteltu pyrkimällä arvaamaan osoitteita. Tietosuojavaltuutettu puuttui tähän toimintaan varsin nopeasti, koska ilmoitus asiasta oli annettu sille keväällä 2024. Vastaavia tapauksia lienee myös paljon muita, koska yksilöllisten url-osoitteiden käyttö tietojen, kuvien ja muiden materiaalien kohdalla on varsin yleinen käytäntö.
Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt 950 000 euron seuraamusmaksun lainojen vertailupalveluja tarjoavalle Sambla Groupille, sillä heikon tietoturvan vuoksi asiakkaiden lainahakemusten tiedot olivat olleet ulkopuolisten saatavilla asiakkaille tarkoitettujen henkilökohtaisten linkkien kautta. Linkit eivät yrityksen mukaan enää ole käytössä. Yritys määrättiin ilmoittamaan tapahtuneesta asiakkailleen.
Lähde: Tietosuojavaltuutetun toimisto.
Tässäkin toki on kyse asiasta joka ei ole täysin mustavalkoinen. Yksilölliset linkit voivat joskus olla hyvä tapa jakaa tietoja tarkasti vain niille, jotka tietävät kyseisen linkin. Tässä tapauksessa tehtiin kuitenkin kaksi merkittävää virhettä.
Ensimmäinen virhe oli jakaa linkkien kautta hyvin täsmällisiä henkilötietoja, jotka hakijat olivat antaneet. Jos kyse on henkilötiedoista, joita voi käyttää identiteettivarkauksiin, ei pitäisi koskaan käyttää tällaisia julkisia linkkejä. Toinen virhe oli teknisessä toteutuksessa, joka lienee ollut todella huono, jos kerran yksilöllisiä linkkejä oli mahdollista arvailla. Ilmeisesti arvailua oli tehty myös koneellisesti, eivätkä tätä vastaan tehdyt vastatoimet olleet toimineet.
Voi tietysti myös pohtia, onko tällainen ”salainen linkki” koskaan riittävän suojattu ja tarpeeksi vaikeasti arvattava. Paraskin linkki voi vuotaa ulkopuolisten tietoon ja levitä minne tahansa.
Vähintään tällaisten linkkien tulisi olla lyhytikäisiä, jolloin niiden kautta eivät tiedot voi ainakaan levitä kovin pitkään. Tätäkään ei tosin voi pitää hyvänä ratkaisuna, koska näissäkin tilanteissa tiedot ovat internetissä julkisia ainakin jonkin aikaa – ja mikäli joku on oppinut osoitteiden muodostamisen systeemin, on uudet osoitteet löydettävissä nopeastikin.
Vain erikseen toimitettu tunnus tai koodi on riittävä taso
Jos kyse on henkilötiedoista, pitäisi aina olla jonkinlainen tunnus tai koodi, joka on vain luotettujen henkilöiden saatavilla. Tämä koodi voi olla perinteinen käyttäjätunnus ja salasana, tai vaihtoehtoisesti tilapäinen koodi toimitettuna henkilökohtaiseen sähköpostiin tai puhelinnumeroon.
Jos kyse on asioista, jotka eivät saa levitä, pitäisi aina käyttää muita tapoja kuin tällaisia yksilöllisiä linkkejä.
Tässä tapauksessa Tietosuojavaltuutetun toiminta saa kehuja. Nopea reagointi on saanut Sambla Groupin lopettamaan kyseisten linkkien käytön, ja edessä lienee merkittävää remontointia siihen, miten kyseisen firman web-sovellukset jatkossa toimivat.
Sambla Group tekee useiden miljoonien eurojen tulosta vuosittain erilaisilla lainoilla ja pikavipeillä, mutta silti lähes miljoonan euron sakko kirpaisee varmasti heitäkin.
Teknisellä laadulla on väliä
Yhä useampi firma hyödyntää nykyisin liiketoiminnassaan erilaisia räätälöityjä web-sovelluksia, mutta harva tuntuu kovin paljon panostavan näiden laadukkaaseen tekniseen toteutukseen. Esimerkiksi tällaiset yksilölliset linkit ovat varsin tyypillinen tapa jakaa tilausten, hakemusten ja erilaisten sopimusten tietoja. Ja kuten tässäkin tapauksessa huomattiin, voi ongelmaa pahentaa vielä merkittävästi, jos tekniset toteuttajat eivät tiedä mitä tekevät.
Perttu Tolvanen
Perttu on Vierityspalkin päätoimittaja ja kirjoittaja.
Perttu Tolvanen on digitaalisten palveluiden suunnittelun, arkkitehtuuriratkaisujen ja kumppanivalintojen asiantuntija. Perttu on konsulttiyhtiö North Patrol Oy:n konsultti ja toinen perustaja. North Patrol on digitoimistoista ja järjestelmätoimittajista riippumaton konsulttiyhtiö, joka suunnittelee digitaalisia palveluita ja auttaa asiakkaita onnistumaan uudistushankkeissaan. Ota yhteyttä Perttuun!
