ByteToBreach-nimellä tunnettu hakkereiden ryhmä on julkaissut lähdekoodin, jonka se väittää varastaneensa CGI:n Ruotsin-yksiköltä. Väitetysti murrettujen järjestelmien joukossa on myös Ruotsin veroviraston BankID-kirjautumisia tukeva koodipohja.

Se on ryöstetty arkistokaappi sellaisen maan rakenteiden sisällä, joka digitalisoi itsensä täysin ja huomasi sitten, mitä se maksoi.

BankID on yhtenäinen tunnistautumistapa, jota ruotsalaiset käyttävät lähes kaikkeen: viranomaispalveluihin, pankkiasiointiin, digitaalisiin allekirjoituksiin ja veroilmoitusten tekemiseen.

Yli 8,6 miljoonaa ihmistä maassa, jonka väkiluku on hieman yli 10 miljoonaa, hoitaa digitaalista arkeaan tämän järjestelmän kautta. Kyseessä on kansallinen riippuvuus, yksittäinen vikakohta, joka on naamioitu infrastruktuurin modernisoinniksi.

Tietovuoto julkaistiin Breached-sivustolla.

Dagens Nyheterin toimittajat tarkastelivat osia vuotaneesta materiaalista ja kertoivat löytäneensä lähdekoodia, salasanoja ja salausavaimia. Breached-sivusto suljettiin viikonlopun aikana osana kyberturvallisuusoperaatiota, mikä rajoitti riippumattoman todentamisen mahdollisuuksia.

Myös ruotsalaisten kansalaisten henkilötietoja ja sähköisiä allekirjoitusasiakirjoja sisältäviä tietokantoja on tiettävästi myyty erikseen. Tietomurto paljastaa monitasoisen haavoittuvuuden.

CGI vahvistaa asian, mutta esittää sen suppeasti

CGI vahvisti tapauksen. ”Tapaus koskee kahta sisäistä testipalvelinta Ruotsissa. Palvelimia ei käytetä tuotantokäytössä, vaan ne on tarkoitettu testaukseen ja ne on kytketty palveluun, jota käyttää rajoitettu määrä asiakkaita”, yhtiön tiedotteessa todettiin.

CGI:n mukaan hyökkääjät pääsivät käsiksi vanhempaan versioon lähdekoodista, ja ”tällä hetkellä ei ole viitteitä siitä, että asialla olisi vaikutusta asiakkaiden tuotantoympäristöihin, tuotantotietoihin tai operatiivisiin palveluihin. Päinvastaiset tiedot eivät pidä paikkaansa.”

Ruotsin verovirasto antoi samanlaisen vakuutuksen. ”Suhtaudumme kaikkiin tapauksiin vakavasti, mutta emme näe tällä hetkellä mitään, mikä vaikuttaisi meihin”, sanoi Ruotsin veroviraston IT-johtaja Peder Sjölander.

”Testipalvelimet” -käsitteeseen on syytä suhtautua kriittisesti. Testausympäristöt jäljittelevät tuotantoarkkitehtuuria. Lähdekoodin paljastuminen ei näy tietoturvaloukkausraportissa välittömänä vaikutuksena asiakkaille, mutta se paljastaa hyökkääjille tarkalleen, miten todennusprosessit on rakennettu, missä istuntotunnukset luodaan ja miltä tuotantojärjestelmä näyttää sisäpuolelta. Tällaisesta tietoturvaloukkauksesta aiheutuva haitta kasvaa huomaamatta.

Tältä keskitetty digitaalinen identiteetti todellisuudessa näyttää paineen alla

Hallitukset ympäri maailmaa pyrkivät tällä hetkellä kiireesti ottamaan käyttöön keskitettyjä digitaalisia tunnistusjärjestelmiä. Esimerkkeinä mainittakoon EU:n digitaalinen tunnistuslompakko, Ison-Britannian digitaalisen henkilötunnuksen suunnitelmat sekä ehdotukset Kaakkois-Aasiassa, Latinalaisessa Amerikassa ja Persianlahden maissa.

Ruotsia pidetään esikuvana. BankID:tä mainitaan todisteena siitä, että yhtenäinen digitaalinen identiteetti toimii. Siitä, mitä Ruotsi on kokenut kuluneen vuoden aikana, puhutaan näissä keskusteluissa harvoin.

Viime vuonna kohdennettu DDoS-hyökkäys lamautti BankID-palvelun useiksi tunneiksi. Yli 8,6 miljoonaa ihmistä ei pystynyt samanaikaisesti siirtämään rahaa, käyttämään viranomaisten palveluja tai todentamaan henkilöllisyyttään verkossa. Tietoja ei varastettu.

Järjestelmä lakkasi toimimasta. Tämä on toinen keskittämisen aiheuttama haavoittuvuus: kyse ei ole pelkästään tietomurroista, vaan myös käyttökatkoksista, jotka vaikuttavat kaikkiin yhtä aikaa, koska kaikki ovat riippuvaisia samasta yhteydestä.

Keskitetyn digitaalisen henkilöllisyystunnuksen kannattajat esittävät sen tehokkuuden ja osallisuuden nimissä. Yksi kirjautumistunnus, joka toimii kaikkialla. Ei enää hajanaisia tunnistetietoja. Ruotsin tapaus havainnollistaa tämän yhtälön kääntöpuolen: kun henkilöllisyys on keskitetty, myös vahingot ovat suuret, jos jokin menee pieleen.

Käyttäjät, jotka kirjautuvat sisään yhden järjestelmän kautta, voivat jäädä ulos kyseisestä järjestelmästä laajamittaisesti. Heidän tunnistetietojaan voidaan yhdistää palveluiden välillä, joiden linkittämiseen he eivät ole koskaan suostuneet.

Heidän viralliset henkilötunnuksensa, pankkitietonsa, verotietonsa ja digitaaliset allekirjoituksensa sijaitsevat samassa ekosysteemissä, jota infrastruktuurin hallinnoija voi hakea ja johon kuka tahansa pääsee käsiksi.