Skip to content
Aineistot

Tietoturva

Hallinnollinen pääsy ja vuotoriski

Miksi hallintojen kesken jaettu tietokanta on hunajapurkki: se moninkertaistaa inhimilliset pääsypisteet ja voi tehdä yhdestä vuodosta katastrofaalisen.

Päivitetty

Lyhyt vastaus

Hallintojen kesken jaettu tietokanta on jo lähtökohtaisesti erittäin arvokas kohde: hunajapurkki. Mitä suurempi, arvokkaampi ja haettavampi tietokanta on, sitä enemmän hyökkääjät panostavat siihen ja sitä tuhoisampi yksittäinen vuoto on. MiCA:n, DORA:n ja GDPR:n alaiset säännellyt kryptovarapalveluntarjoajat (CASP:t) ovat valvottuja, sanktioitavissa olevia ammattilaisia, joilla on taloudellinen kannustin suojella asiakkaitaan. DAC8 tekee päinvastoin: se siirtää tietoja hallinnollisiin raportointiverkostoihin, joissa pääsy on laajempaa ja vastuunalaisuus vaikeampi käyttäjien arvioitavaksi. Kokonaisuuden turvallisuus on tällöin vain yhtä vahva kuin sen heikoin lenkki. Tietojen minimointi on siis turvakontrolli, ei pelkkä oikeudellinen periaate: turvallisin tietokanta on se, jota ei tarvitse olla olemassa.

Keskeiset faktat

TunnuslukuLuku tai fakta
Valtuutetut CASP:t (nykyinen malli, ilman DAC8:aa)noin 100-200 riippumatonta yksikköä
Vuoto pysyi rajattuna (Waltio-esimerkki)50 000 asiakasta
DAC8-malli1 keskitetty tietokanta × 27 hallintoa = 27 vastaavaa kohdetta
Yhden hallinnon työntekijät (Ranska, DGFiP)noin 100 000
MiCA voimassa30. joulukuuta 2024 alkaen
DORA voimassatammikuusta 2025 alkaen (merkittävästä häiriöstä ilmoitettava 4 tunnin kuluessa, täysi raportti 72 tunnin kuluessa)
GDPR-sanktiotjopa 20 M€ tai 4 % maailmanlaajuisesta liikevaihdosta
Sakko hallinnolle (Bulgaria, 2019)2,9 M€, jonka bulgarialaiset veronmaksajat maksoivat Bulgarian valtiolle

Periaate: älä keskitä kohdetta

Valtavien arkaluonteisten henkilöllisyystietomäärien keskittäminen yhteen paikkaan muuttaa nämä tietokannat erittäin houkutteleviksi kohteiksi, “hunajapurkeiksi”, hakkereille ja identiteettivarkaille.

Breached.company, The Digital Honeypot, syyskuu 2025

Tietokanta ei koskaan ole pelkkä tekninen kohde. Sitä ympäröivät hallinnoijat, virkailijat, toimittajat, alihankkijat, tarkastajat, tukiprosessit ja pääsynhallinta. Mitä suurempi ja arvokkaampi tietokanta on, sitä enemmän hyökkääjät panostavat siihen ja sitä tuhoisammat ovat vuodon seuraukset. DAC8-kohde on yksi Euroopan arvokkaimmista.

Inhimillinen riski

Jaetun tietokannan turvallisuus riippuu jokaisesta myönnetystä pääsystä. Mitä useampi hallinto, järjestelmä ja henkilö on mukana, sitä suurempi on virheen, väärinkäytön tai vaarantumisen todennäköisyys. Kun dataa vaihdetaan lainkäyttöalueiden välillä, sitä koskettavien ihmisten ja järjestelmien määrä kasvaa: yksi vaarantunut tili, korruptoitunut sisäpiiriläinen tai yksinkertainen operatiivinen virhe voi paljastaa erittäin suuresta väestöstä kerätyt tiedot.

DAC8/CARF-verkostossa riski ei ole vain ulkoinen hakkerointi. Se on myös sisäinen pääsy: väärinkäyttöinen tarkastelu, poiminta, jälleenmyynti, korruptio, virhekonfigurointi tai vaarantunut toimittaja.

CASP:t: valvottuja ja kannustettuja ammattilaisia

MiCA:n mukaisesti valtuutetut CASP:t ovat tiukan kehyksen alaisia:

  • MiCA (30. joulukuuta 2024 alkaen): ICT-riskienhallinta, asiakasvarojen erottelu, vahva tunnistautuminen, jatkuva valvonta;
  • DORA (tammikuusta 2025 alkaen): tunnistaminen, suojaaminen, havaitseminen, reagointi ja palautuminen; merkittävistä häiriöistä ilmoitettava 4 tunnin kuluessa, täysi raportti 72 tunnin kuluessa; sietokykytestaukset ja riippumattomat auditoinnit;
  • GDPR: sanktiot jopa 20 M€ tai 4 % maailmanlaajuisesta liikevaihdosta.
KannustinYksityinen CASPVeroviranomainen
Toimiluvan menetys vuodon jälkeenKyllä (MiCA)Ei sovellettavissa
Asiakkaiden menetysVahva (kilpailu)Kiinni jäänyt asiakaskunta
Kaupallinen maineOlemassaoloa uhkaava riskiRajallinen
Taloudelliset sanktiotJopa 4 % liikevaihdosta (GDPR)Usein symbolisia
Johdon vastuunalaisuusMLRO, Compliance OfficerHajautunut
KyberturvallisuusinvestoinnitJatkuviaUsein jäljessä

Hyökkäyspinta vertailussa

  • Nykyinen malli (ilman DAC8:aa): noin 100-200 valtuutettua CASP:ia, kullakin omat järjestelmänsä. Suurimman osan haltijoista vaarantaminen vaatisi kymmenien riippumattomien yksiköiden hakkerointia; vuoto pysyy rajattuna (Waltio: 50 000 asiakasta).
  • DAC8-malli: 1 keskitetty tietokanta × 27 hallintoa = 27 vastaavaa kohdetta, joissa miljoonat virkailijat ja toimittajat ovat mahdollisesti alttiina maailmanlaajuisesti (DGFiP: noin 100 000). Yksi epäonnistuva hallinto voi vaarantaa kaikki oman lainkäyttöalueensa haltijat.

27 hallintoa jakavat tiedot. Kokonaisuuden turvallisuus on vain yhtä vahva kuin sen heikoin lenkki.

Miksi yksi vuoto riittää

Kryptotietovuoto voi olla vakavampi kuin tavallisen hallinnollisen tiedon vuoto. Jos se yhdistää henkilöllisyyden, osoitteen, historian ja taloudellisen arvon, sitä voidaan käyttää ihmisten fyysiseen kohdentamiseen.

Ongelma on epäsymmetrinen: yksi heikko kohta riittää paljastamaan suuren joukon ihmisiä, mutta jokainen uhri joutuu sitten selviämään seurauksista yksin. Mitä arvokkaampi ja haettavampi tietokanta on, sitä vahingollisempi yksi vuoto on.

Minimointiperiaate

Paras turvallisuus ei ole vain suuren tietokannan suojaaminen. Se on suuren tietokannan luomisen välttäminen, kun tavoite voidaan saavuttaa kohdennetulla pyynnöllä. Keskittäminen ei poista riskiä: se keskittää sen.

Tietojen minimointi on siis turvakontrolli, ei pelkkä abstrakti oikeudellinen periaate. Turvallisin tietokanta on se, jota ei tarvitse olla olemassa.

Aiheeseen liittyvät sivut

Breached.company, The Digital Honeypot, syyskuu 2025 · Cyfrin, Global Relay, Unit21 (MiCA / DORA) · NRA Bulgaria, 2019.