På måndagen meddelade Terveystalo att bolagets tidsbokningstjänst hade utsatts för attacker och att brottslingar hade kommit över knappt tio personers namn och personbeteckningar.
Bedragare som kommer över en personbeteckning har möjlighet att till exempel beställa varor eller ta snabblån i en annan persons namn.
Enligt Ville Kontinen, informations- och säkerhetsexpert vid Cybersäkerhetscentret, borde personbeteckningen inte få ha en så stor betydelse.
— Beteckningen är endast ett sätt skilja mellan olika personer. Beteckningens slutdel är resultatet av en matematisk formel och är relativt enkel att räkna ut. Vi måste släppa tanken om att beteckningen ska gå att använda för att identifiera sig, säger Kontinen.
I dag är det ändå inte fallet. Enligt polisen kan en personbeteckning som hamnar i fel händer få allvarliga följder.
— Det är beklagligt att en så liten mängd information ska räcka för identitetsstöld.
Kontinen jämför det med att visa upp id. Då finns en person som kollar att bilden stämmer. Det krävs betydligt mer jobb för att förfalska en identitetshandling.
— På nätet finns det ingen som granskar ditt id. Hur kan man bekräfta att det är jag om jag enbart uppger min personbeteckning?
Om digitala tjänster inte skulle godkänna personbeteckningen som identifiering så skulle identitetsstöld bli betydligt svårare.
— Då skulle informationsvärdet vara på samma nivå som om någon kände till min hemadress.
Det är vanligt att brottslingar kommer över personuppgifter. Cybersäkerhetscentralen får anmälningar om att hackare har kommit över information så gott som varje vecka, men samtidigt tror Kontinen att en stor del av läckorna aldrig rapporteras. Terveystalo fick till exempel veta om läckan först då bolaget fick ett utpressningsbrev.
— Bolaget informerade självmant om händelsen genast och vi behövde inte få höra om det via omvägar. Jag vill uppmuntra till den sortens öppenhet.
LÄS OCKSÅ: Säkerhetsriskerna med Terveystalos bokningssystem kända sedan hösten — dataombudsmannen missnöjd