Kiitos. — Puhemies, tarkentaisitteko, mikä on tämän esittelypuheenvuoron maksimipituus. 

No niin. — Arvoisa puhemies! Melkeinpä tasan vuosi sitten lokakuun lopulla 22.10. minulle tuli ikävä puhelinsoitto. Sain tiedon, että minua koskevia henkilökohtaisia tietoja on vuotanut julkisuuteen terapiakeskus Vastaamon tietovuodossa. Olin yhden kerran käynyt Vastaamon asiakkaana. Olin yhteydessä keskusrikospoliisiin, ja siellä tutkinnanjohtaja neuvoi minua tekemään rikosilmoituksen ja etsimään tietoa Kyberturvallisuuskeskuksen sivuilta muun muassa luotonestokiellon tekemisessä. Näin tietenkin teinkin. Tiedon löytäminen ei ollut ihan helppoa, mutta sain sitten luotonestokiellon tehtyä. Se pitää muuten tehdä kahteen eri paikkaan, ja se on maksullinen palvelu ja voimassa vain tietyn ajan. Eli tämä luotonestokielto tarkoittaa sitä, että yleensä en pysty tämän jälkeen tekemään pelkillä luottokorttitiedoilla verkko-ostoksia, ellei palveluntarjoajalla ole käytössään pankin varmennusta luottokortin tukena. No, saman viikon lauantai-iltana sain sitten vielä kiristysviestin, jossa kehotettiin maksamaan 500 euron edestä bitcoineja, tai muuten tietoni vuodettaisiin verkkoon. Sinänsä toki tämä uhkaus oli vähän outo, koska tämä tietovuoto oli jo tapahtunut. En tietenkään näitä lunnaita maksanut. Toivottavasti kukaan muukaan ei niin tehnyt. 

Joka tapauksessa minun ja satojen tai jopa kymmenientuhansien suomalaisten tiedot oli vuodettu tai olivat vaarassa vuotaa niin sanottuun pimeään verkkoon, dark webiin, tai Tor-verkkoon. Omat tietoni olivat siellä todistettavasti olleet luettavissa, mutta ainakin välillä ne olivat ilmeisesti olleet poistettuna. Ongelma kuitenkin on, että vaikka tietovuotaja olisi tiedot poistanut, on joku muu voinut ne sieltä kopioida talteen ja voi julkaista ne milloin tahansa uudelleen. Tämän ikävän tosiasian edessä me kaikki tietovuodon uhrit olemme lopun ikäämme. Itse en niinkään välitä niiden tietojen kohtalosta, joita käynnillä oli kirjattu, vaan eniten huolestuttaa henkilötunnuksen vuotaminen. Monien osalta terapeutille kerrottujen tietojen vuotaminen saattaa tietenkin olla se kaikkein ikävin asia, sillä tällaisessa tilanteessa saatetaan kertoa niitä kaikkein arimpia ja henkilökohtaisimpia asioita. 

Sain valtavasti yhteydenottoja kerrottuani oman kokemukseni tietomurron ja kiristyksen kohteeksi joutumisesta. Käymissäni keskusteluissa ja yhteydenotoissa tietovuodon uhrien kanssa tuli esiin useita ongelmia, ja samalla toivottiin, että eduskunnassa puututaan epäkohtiin. Niinpä tein hallitukselle kirjallisen kysymyksen ja toimenpidealoitteen ja valmistelin nämä kaksi lakialoitetta, jotka ovat tänään lähetekeskustelussa. Tämä siis noin vuosi sitten. 

Kun satojen ja jopa tuhansien kansalaisten henkilötunnukset paljastuvat verkossa, pakottaa se meitä lainsäätäjiä pohtimaan pelkän henkilötunnuksen käytön kieltämistä tunnisteena ilman vahvaa tunnistautumista. Tällä hetkellä pelkän nimen ja henkilötunnuksen avulla on mahdollista tehdä muun muassa verkko-ostoksia ja ottaa pikavippejä. Myös viranomaisten verkkoasioinnissa on pelkästään näillä tiedoilla mahdollista tehdä esimerkiksi aiheeton osoitteenmuutos tai ilmoittaa toinen ihminen vaikkapa yrityksen vastuuhenkilöksi. Tuntuu aika käsittämättömältä, että tämmöinen on 2000-luvun digitalisoituneessa yhteiskunnassa vielä mahdollista. 

Toimenpidealoitteessani ehdotin, että hallitus ryhtyy toimenpiteisiin potilasrekisterien tietoturvan ja valvonnan varmistamiseksi, identiteettivarkauden uhrien suojaamiseksi ja tietoturvalainsäädännön ajantasaistamiseksi muun muassa velvoittamalla henkilötunnuksen sijasta vahvan tunnistautumisen käyttöä muun muassa luottokaupassa ja viranomaisasioinnissa. Olenkin todella iloinen siitä, että pääministeri Marinin hallitus on viemässä eteenpäin ja toteuttamassa esittämiäni toimia. On hyvä, että hallitus osoittaa linjauksillaan kuulleensa meitä Psykoterapiakeskus Vastaamon tietomurron uhreja käydessään korjaamaan näitä esiin nousseita lukuisia epäkohtia. Näitä toimenpiteitä, joita ehdotin ja joita nyt ollaan valmistelemassa, ovat muun muassa vahvan tunnistamisen vaatimuksen laajentaminen luottokauppaan, jota työryhmä nyt pohtii, samaten sähköisen vahvan tunnistamisen vaatimus sähköiseen viranomaisasiointiin sekä yhtenäinen turvatoimien toimintakieltojärjestelmä siten, että luottokielto, rekisteröintikielto, osoitteenmuutoskielto ja osoitetietojen suojaus ovat saatavissa samasta paikasta. 

Vastaamon tietomurto on osoittanut, että yhteiskuntamme ei ole vielä riittävästi varautunut kyberrikollisuuteen. Siksi on tärkeää, että keskustelua kyberturvallisuuden parantamisesta jatketaan. Lisäksi on tärkeätä seurata hallituksen vuosi sitten linjaamien toimenpiteiden vaikutuksia esimerkiksi asiakas- ja potilasrekisterien valvonnan ja tietoturvan laadun osalta. 

Arvoisa puhemies! Tässä asiakohdassa käsiteltävän lakialoitteen 92 vuoden 2020 valtiopäiviltä pääasiallinen sisältö on se, että sähköisestä asioinnista viranomaistoiminnassa annettuun lakiin lisättäisiin uusi 6 §, jonka mukaan sähköinen asiointi viranomaisessa edellyttää vahvaa tunnistamista. 

Eli todellakin tämä Psykoterapiakeskus Vastaamon tietomurto osoittaa, että emme ole yhteiskuntana riittävästi varautuneet kyberrikollisuuteen, kun näin suuri joukko ihmisiä joutuu tietovuodon seurauksena alttiiksi identiteettivarkauksille. Todellakin tämä tietovuoto herättää aika paljon erilaisia kysymyksiä lainsäädännön muutostarpeiden pohjalta. Tosiaan ainakin vielä sillä hetkellä, kun tein tämän aloitteen, tilanne oli sellainen, että henkilötunnus eli tämä yksilön identiteettinumero — siitähän on kysymys, se on identiteettinumeromme — riittää monissa yhteyksissä, muun muassa postissa, Patentti- ja rekisterihallituksessa, Digi- ja väestötietovirastossa sekä verkkokaupassa, tunnistautumisen välineeksi. Nyt saattaa olla niin, että tilanne Digi- ja väestötietoviraston kohdalta on jo muuttunut — ainakin kun itse yritin tehdä osoitteenmuutoksia, niin minun mielestäni siellä oli jo muutoksia tapahtunut. Mutta joka tapauksessa lainsäädäntömuutosta ei ole vielä tehty. 

Kun tämmöisiä isoja määriä — satojentuhansien ihmisten — henkilötunnuksia paljastuu verkossa, niin on todellakin aivan välttämätöntä pohtia pelkän henkilötunnuksen käytön kieltämistä, eli se lainsäädännöllisesti sitten kiellettäisiin, niin että siihen pitää yhdistää tämä vahva tunnistaminen. Eli jokaisella kansalaisella pitäisi olla oikeus siihen, että heitä koskevia tietoja voi viranomaisen rekisterissä muuttaa ainoastaan vahvan tunnistamisen kautta. Esimerkiksi tosiaan osoitteenmuutoksen on voinut tehdä ja henkilön on voinut ilmoittaa yrityksen vastuuhenkilöksi ilman, että henkilö itse tietää. Elikkä on välttämätöntä, että viranomaisten rekistereissä olevien omien tietojen muuttamista ja luovuttamista koskevat pyynnöt ja kiellot voisi tehdä sähköisessä asioinnissa ainoastaan vahvaa tunnistautumista käyttäen. 

Todellakin tässä ehdotuksessa esitän, että sähköisestä asioinnista viranomaistoiminnassa annetun lain kumotun 6 §:n tilalle säädettäisiin uusi 6 §, jossa sitten sanottaisiin, että sähköinen asiointi viranomaisessa edellyttää vahvaa tunnistamista. Tosiaan valtioneuvosto on tehnyt periaatepäätöksen tämän Vastaamo-tapauksen tiimoilta viime vuoden kesäkuussa siitä, että tietoturvaa ja tietosuojaa parannetaan yhteiskunnan kriittisillä toimialoilla, ja siellä sitten on myöskin tuotu esille lakisääteisten tietoturvavaatimusten tarkentaminen. Elikkä käsittääkseni nämä asiat ovat mahdollisesti menossa eteenpäin, mutta pidän aivan välttämättömänä, että tämä vahva tunnistautuminen vaaditaan.