Sveitsiläisen Protonin tilaama tutkimus nostaa esiin merkittäviä puutteita suomalaisten kansanedustajien kyberhygieniassa. Virallisia @eduskunta.fi-sähköpostiosoitteita on käytetty laajasti kolmannen osapuolen palveluissa, ja seurauksena lähes puolen kansanedustajista tiedot ovat päätyneet tietovuotoihin.
Tutkimuksessa tunnistettiin yhteensä 442 tietovuotoa, jotka liittyivät kansanedustajien eduskuntatyössä käyttämiin sähköpostiosoitteisiin. Keskimäärin yhdellä edustajalla oli viisi vuotoa, ja yhteensä löytyi 81 vuotanutta salasanaa. Näistä 49 oli selväkielisiä, eli suoraan hyödynnettävissä ilman purkua. Yhdeltä edustajalta löytyi peräti seitsemän tällaista salasanaa.
Vuotojen taustalla on tyypillisesti se, että virallista sähköpostiosoitetta on käytetty palveluissa, jotka ovat myöhemmin joutuneet tietomurron kohteeksi. Suurin yksittäinen lähde oli LinkedIn, jossa 68 kansanedustajaa oli käyttänyt eduskunnan sähköpostiosoitettaan. Merkittävä osa tiedoista on peräisin vuoden 2021 laajasta LinkedIn-vuodosta, jossa paljastui noin 700 miljoonan käyttäjän tiedot.
Tietoja löytyi myös muista palveluista, mukaan lukien deittisivustot, MyHeritage-sukututkimuspalvelu sekä useat kryptovaluutta-alustat. Tämä viittaa siihen, että virallisia sähköpostiosoitteita on käytetty laajasti myös palveluissa, joilla ei ole suoraa yhteyttä edustajan työhön.
Tietoturvan näkökulmasta ongelma ei ole yksittäinen vuoto, vaan käytäntöjen kokonaisuus. Sama sähköpostiosoite toimii usein käyttäjätunnuksena useissa palveluissa, ja jos salasanoja kierrätetään, yksittäinen tietovuoto voi avata pääsyn useisiin eri järjestelmiin. Erityisen ongelmallista tämä on henkilöille, joilla on pääsy arkaluonteiseen tietoon tai vaikutusvaltaa päätöksenteossa.
On kuitenkin syytä huomioida, että suuri osa löydetyistä salasanoista on peräisin vanhoista tietovuodoista, eikä se välttämättä tarkoita, että tilit olisivat tällä hetkellä suoraan vaarantuneita. Sen sijaan löydökset kertovat ennen kaikkea pitkäaikaisista puutteista tunnusten hallinnassa ja riskien ymmärtämisessä.
Tutkimus on Protonin tilaama, ja yhtiö tarjoaa itse tietoturva- ja salasanojen hallintaratkaisuja, mikä on hyvä huomioida tulosten tulkinnassa. Tästä huolimatta havainnot ovat linjassa laajemman kehityksen kanssa: julkisuudessa toimivat henkilöt ovat yhä houkuttelevampia kohteita sekä rikollisille että valtiollisille toimijoille.
Kokonaisuutena tulokset korostavat yksinkertaista mutta usein laiminlyötyä perusasiaa: virallisia sähköpostiosoitteita ei tulisi käyttää laajasti kolmannen osapuolen palveluissa, eikä samoja salasanoja tulisi kierrättää eri järjestelmissä.
Kuva: Suomen eduskunta
