Tietoturva
Hallinnollinen pääsy ja vuotoriski
Miksi hallintojen kesken jaettu tietokanta on hunajapurkki: se moninkertaistaa inhimilliset pääsypisteet ja voi tehdä yhdestä vuodosta katastrofaalisen.
Päivitetty
Lyhyt vastaus
Hallintojen kesken jaettu tietokanta on jo lähtökohtaisesti erittäin arvokas kohde: hunajapurkki. Mitä suurempi, arvokkaampi ja haettavampi tietokanta on, sitä enemmän hyökkääjät panostavat siihen ja sitä tuhoisampi yksittäinen vuoto on. MiCA:n, DORA:n ja GDPR:n alaiset säännellyt kryptovarapalveluntarjoajat (CASP:t) ovat valvottuja, sanktioitavissa olevia ammattilaisia, joilla on taloudellinen kannustin suojella asiakkaitaan. DAC8 tekee päinvastoin: se siirtää tietoja hallinnollisiin raportointiverkostoihin, joissa pääsy on laajempaa ja vastuunalaisuus vaikeampi käyttäjien arvioitavaksi. Kokonaisuuden turvallisuus on tällöin vain yhtä vahva kuin sen heikoin lenkki. Tietojen minimointi on siis turvakontrolli, ei pelkkä oikeudellinen periaate: turvallisin tietokanta on se, jota ei tarvitse olla olemassa.
Keskeiset faktat
| Tunnusluku | Luku tai fakta |
|---|---|
| Valtuutetut CASP:t (nykyinen malli, ilman DAC8:aa) | noin 100-200 riippumatonta yksikköä |
| Vuoto pysyi rajattuna (Waltio-esimerkki) | 50 000 asiakasta |
| DAC8-malli | 1 keskitetty tietokanta × 27 hallintoa = 27 vastaavaa kohdetta |
| Yhden hallinnon työntekijät (Ranska, DGFiP) | noin 100 000 |
| MiCA voimassa | 30. joulukuuta 2024 alkaen |
| DORA voimassa | tammikuusta 2025 alkaen (merkittävästä häiriöstä ilmoitettava 4 tunnin kuluessa, täysi raportti 72 tunnin kuluessa) |
| GDPR-sanktiot | jopa 20 M€ tai 4 % maailmanlaajuisesta liikevaihdosta |
| Sakko hallinnolle (Bulgaria, 2019) | 2,9 M€, jonka bulgarialaiset veronmaksajat maksoivat Bulgarian valtiolle |
Periaate: älä keskitä kohdetta
Valtavien arkaluonteisten henkilöllisyystietomäärien keskittäminen yhteen paikkaan muuttaa nämä tietokannat erittäin houkutteleviksi kohteiksi, “hunajapurkeiksi”, hakkereille ja identiteettivarkaille.
Tietokanta ei koskaan ole pelkkä tekninen kohde. Sitä ympäröivät hallinnoijat, virkailijat, toimittajat, alihankkijat, tarkastajat, tukiprosessit ja pääsynhallinta. Mitä suurempi ja arvokkaampi tietokanta on, sitä enemmän hyökkääjät panostavat siihen ja sitä tuhoisammat ovat vuodon seuraukset. DAC8-kohde on yksi Euroopan arvokkaimmista.
Inhimillinen riski
Jaetun tietokannan turvallisuus riippuu jokaisesta myönnetystä pääsystä. Mitä useampi hallinto, järjestelmä ja henkilö on mukana, sitä suurempi on virheen, väärinkäytön tai vaarantumisen todennäköisyys. Kun dataa vaihdetaan lainkäyttöalueiden välillä, sitä koskettavien ihmisten ja järjestelmien määrä kasvaa: yksi vaarantunut tili, korruptoitunut sisäpiiriläinen tai yksinkertainen operatiivinen virhe voi paljastaa erittäin suuresta väestöstä kerätyt tiedot.
DAC8/CARF-verkostossa riski ei ole vain ulkoinen hakkerointi. Se on myös sisäinen pääsy: väärinkäyttöinen tarkastelu, poiminta, jälleenmyynti, korruptio, virhekonfigurointi tai vaarantunut toimittaja.
CASP:t: valvottuja ja kannustettuja ammattilaisia
MiCA:n mukaisesti valtuutetut CASP:t ovat tiukan kehyksen alaisia:
- MiCA (30. joulukuuta 2024 alkaen): ICT-riskienhallinta, asiakasvarojen erottelu, vahva tunnistautuminen, jatkuva valvonta;
- DORA (tammikuusta 2025 alkaen): tunnistaminen, suojaaminen, havaitseminen, reagointi ja palautuminen; merkittävistä häiriöistä ilmoitettava 4 tunnin kuluessa, täysi raportti 72 tunnin kuluessa; sietokykytestaukset ja riippumattomat auditoinnit;
- GDPR: sanktiot jopa 20 M€ tai 4 % maailmanlaajuisesta liikevaihdosta.
| Kannustin | Yksityinen CASP | Veroviranomainen |
|---|---|---|
| Toimiluvan menetys vuodon jälkeen | Kyllä (MiCA) | Ei sovellettavissa |
| Asiakkaiden menetys | Vahva (kilpailu) | Kiinni jäänyt asiakaskunta |
| Kaupallinen maine | Olemassaoloa uhkaava riski | Rajallinen |
| Taloudelliset sanktiot | Jopa 4 % liikevaihdosta (GDPR) | Usein symbolisia |
| Johdon vastuunalaisuus | MLRO, Compliance Officer | Hajautunut |
| Kyberturvallisuusinvestoinnit | Jatkuvia | Usein jäljessä |
Hyökkäyspinta vertailussa
- Nykyinen malli (ilman DAC8:aa): noin 100-200 valtuutettua CASP:ia, kullakin omat järjestelmänsä. Suurimman osan haltijoista vaarantaminen vaatisi kymmenien riippumattomien yksiköiden hakkerointia; vuoto pysyy rajattuna (Waltio: 50 000 asiakasta).
- DAC8-malli: 1 keskitetty tietokanta × 27 hallintoa = 27 vastaavaa kohdetta, joissa miljoonat virkailijat ja toimittajat ovat mahdollisesti alttiina maailmanlaajuisesti (DGFiP: noin 100 000). Yksi epäonnistuva hallinto voi vaarantaa kaikki oman lainkäyttöalueensa haltijat.
27 hallintoa jakavat tiedot. Kokonaisuuden turvallisuus on vain yhtä vahva kuin sen heikoin lenkki.
Miksi yksi vuoto riittää
Kryptotietovuoto voi olla vakavampi kuin tavallisen hallinnollisen tiedon vuoto. Jos se yhdistää henkilöllisyyden, osoitteen, historian ja taloudellisen arvon, sitä voidaan käyttää ihmisten fyysiseen kohdentamiseen.
Ongelma on epäsymmetrinen: yksi heikko kohta riittää paljastamaan suuren joukon ihmisiä, mutta jokainen uhri joutuu sitten selviämään seurauksista yksin. Mitä arvokkaampi ja haettavampi tietokanta on, sitä vahingollisempi yksi vuoto on.
Minimointiperiaate
Paras turvallisuus ei ole vain suuren tietokannan suojaaminen. Se on suuren tietokannan luomisen välttäminen, kun tavoite voidaan saavuttaa kohdennetulla pyynnöllä. Keskittäminen ei poista riskiä: se keskittää sen.
Tietojen minimointi on siis turvakontrolli, ei pelkkä abstrakti oikeudellinen periaate. Turvallisin tietokanta on se, jota ei tarvitse olla olemassa.
Aiheeseen liittyvät sivut
- Tietovuodot ja DAC8
- Keskittäminen vai hajauttaminen
- DAC8, MiCA ja DORA
- Perheet vaarassa
- Kohdennetut tietopyynnöt
Breached.company, The Digital Honeypot, syyskuu 2025 · Cyfrin, Global Relay, Unit21 (MiCA / DORA) · NRA Bulgaria, 2019.