10.01.2017
Autojen sijaintitiedot vuotivat nettiin jo nyt
Yksi eilisen mielenkiintoisimmista jutuista oli Semelin toteuttaman, Soneran testikäytössä olleen Matkalainen -palvelun autojen mustien laatikoiden tietovuoto ja siitä liikkeelle lähtenyt uutisointi. Tapaus oli poikkeuksellinen, sillä se kosketti minua niin autoilijana, autoblogaajana kuin ammatillisestikin ohjelmistosuunnittelijana.
Kaikki alkoi siitä, kun Janne Paalijärvi kertoi blogissaan, kuinka hän oli päässyt melko helposti katsomaan autojen sijaintidataa. Tietojen ei pitäisi olla kenenkään ulkopuolisen nähtävissä, vaan vähintään sisäänkirjautumisen takana, mutta sivu oli löytynyt ilmeisen yksinkertaisella Google-haulla ja parilla valinnalla oli päässyt tutkimaan, missä yksittäinen auto on liikkunut.
Kirjoitus lähti nopeasti leviämään ja siitä uutisoivat monet eri verkkomediat. Eikä suotta! Asia on nyt erittäin ajankohtainen, sillä Liikenne- ja viestintäministeriö suunnittelee liikenneinfran yhtiöittämistä ja autoilun verojen korvaamista teiden käyttömaksuilla. Käyttöä voitaisiin seurata juurikin tällaisilla OBD-väylään kytkettävillä “mustilla laatikoilla”, jotka raportoivat järjestelmään auton sijainnin.
Autojen seuranta ja koko tiemaksusysteemi on saanut paljon vastustusta osakseen. Autoliiton joulukuussa teettämän tutkimuksen mukaan 69% autoilijoista vastusti paikannukseen perustuvia maksuja. Tutkimus tehtiin jo ennen kuin aiheesta alettiin uutisoida enemmän.
Tietoturvaongelmien paljastaminen juuri nyt on hyvin ajoitettu. Asia on nyt kuuma, joten paljastuksella saataneen lisää vastustajia hankkeelle. Onko se ollut tarkoituskin? Toisaalta ihmisten on myös saatava tietää mahdollisista uhista, koska se koskettaa meitä kaikki autoilijoita, mikäli autojen seurantaan perustuvat maksut todella toteutuvat.
Musta laatikko testissä Polossa.
Käytännössä itse paikannuslaitteesta ei ole löytynyt tietoturva-aukkoa, vaikka joistain uutisista onkin saattanut saada sellaisen käsityksen. Laitteessa on SIM-kortti ja se välittää tiedot auton sijainnista palvelimelle GSM-verkon yli. Varsinainen vika olikin siinä, että seurantalaitteiden ylläpitoon tarkoitettu liittymä oli jostain käsittämättömästä syystä avoinna julkiseen internetiin ilman mitään autentikointia! Tarvitsi vain tietää oikea osoite ja arvata auton kuusinumeroinen koodi.
Minua mietityttää se, miten asia tuli julkisuuteen. Ilmoitettiinko järjestelmässä olevasta reiästä ensin palveluntarjoajale eli Semelille, vai seikkailtiinko järjestelmässä ensin mielin määrin? Ehdottomastihan se pitäisi ekana ilmoittaa ja vasta asian korjaamisen jälkeen kirjoittaa juttu, mutta näin ehkä tapahtuu vain täydellisessä maailmassa. Iltasanomien haastattelussa Paalijärvi kertoi, että kyseisen sivun osoite oli pyörinyt somessa jo tyyliin viikon ajan ja Googlekin oli indeksoinut sen. Löysinkin netistä jo muutama päivä aiemmin julkaistuja keskusteluja aiheeseen liittyen. Sunnuntai-iltana Semel sulki sivun kuultuaan sen avoimuudesta Twitteristä, mutta luulisi että asia olisi tullut tietoon vähän nopeammin.
Maanantai-iltapäivällä Tivissä julkaistussa jutussa Semelin toimitusjohtaja Börje Nummelin myönsi, että kyseessä oli ihan heidän mokansa, sillä järjestelmä jäi vahingossa auki julkiseen verkkoon. Lisäksi sijaintitietojen ei olisi edes pitänyt näkyä siellä. Tupla-hups!
Nummelin ei kuitenkaan pitänyt ongelmaa kovin suurena, sillä järjestelmässä ei ollut mukana henkilötietoja, vaan pelkkiä sijaintitietoja, vaikka niistä voikin päätellä henkilön kotiosoitteen. Nummelinin mielestä kännykät ovcat paljon suurempi uhka, sillä niiden kautta voi vaikka salakuunnella käyttäjiä. Siihen nähden heidän järjestelmänsä on kuulemma superturvallinen, sillä siitä näkee vain, missä käyttäjä on käynyt... Käsittämätöntä vähättelyä!
Jos teiden yhtiöittäminen ja autojen seuranta todella toteutuvat, Semel on yksi vaihtoehto seurantajärjestelmän toimittajaksi. Tällainen julkisuus ja tietoturvaan suhtautuminen ei hirveästi luo luotoa siihen, että meidän autoilijoiden henkilökohtainen data olisi hyvässä tallessa.
Itse en todellakaan kannata liikenneverkon yhtiöittämistä enkä autoverojen muuttamista seurantaan perustuviksi tienkäyttömaksuiksi. Etenkään Bernerin esittämällä aikataululla, että homma olisi käytössä jo ensi vuoden alusta! Siinä on vielä aivan liian monta epäselvää asiaa. Tässä Autoliiton tiedotteessa niitä esitellään hyvin. Auton käytöstä maksetaan jo kätevästi polttoaineen mukana, joskin on totta, että sähköautojen verotus ei tällä tavalla toimi, sillä sähköä ei voi korvamerkitä. Mutta voisiko ajomäärät katsoa vaikka katsastuksen yhteydessä matkamittarista?
Keskustelu
Katsastuksen yhteydessä matkamittarista? Mites sitten me, jotka käydään omalla autolla ulkomailla ajamassa? Miten ne kilometrit sitten katsotaan? Pitääkö rajalla alkaa valokuvaamaan mittaria mennen/tullen ja sen jälkeen laskemaan katsastukseen ulkomailla ajettuja kilometrejä. Siitähän kunnon riidan verottajan/Trafin kanssa saisi aikaan, missä ja milloin on ajettu ne kilometrit, mitkä näkyy mittarissa!
Taitaa Jorma Ollila olla osakeomistajana seurantalaitteita valmistavassa firmassa, kun oli lobbarina kyseistä järjestelyä ideoimas.
Eikö olisi järkevämpi ottaa jo kansaivälisesti toimivat tietullit jossa maksetaan tulli maksu tietä käytettäessä.
Berner ei selvästi ole asiaa tutkinut muuta kuin virtuaali näkökannalta joka ei ole paras.
Jos tie tulli tulisi niin näin jokainen maksaisi oikeaan käyttöön perustuvan tullimaksun joka voisi olla tyyliin 0.10€
Sehän ei ole paljon mutta kun lasketaan vuositasolla nii summasta kertyy parempi.
Matkamittarin tarkastelu katsastuksessa ei ole kovin hyvältä kuulostava konsti. Minkä tahansa auton matkamittarin lukema on käpälöitävissä, osa helpommin ja osa vaikeammin (kalliimmin) mutta takuulla onnistuu kaikkiin.
Toisaalta ei tuo musta laatikkokaan kovin pätevä ajatus ole. Monien autojen OBD-liitäntää ei saa edes esille purkamatta ensin jotain pois edestä. Ja jos saakin, niin liitin on sellaisessa paikassa jossa siihen tökätty laite/kaapeli haittaa auton käyttöä. Muutamalla kympillä saa myös laitteita joilla GPS-signaalin voi joko blokata kokonaan tai syöttää haluamiaan sijaintitietoja.
Kuolleena syntyneitä ideoita joiden toteutuessa maksut olisi teknisesti naurettavan helppo kiertää.