Coupangin tietomurto: Kun kuluttajien yksityisyydestä tulee geopolitiikkaa

Kun tietomurrosta tulee muutakin kuin pelkkä tietomurto

Eteläkorealaisen verkkokauppajätti Coupangin tietomurto on paljastanut 33,7 miljoonan käyttäjän henkilötiedot. Pelkkä luku on pysäyttävä. Mutta se, mitä murron jälkeen tapahtui, on muuttanut kuluttajien yksityisyyteen liittyvän tapauksen joksikin paljon epätavallisemmaksi: geopoliittiseksi vastakkainasetteluksi kahden läheisen liittolaisen välillä.

Raporttien mukaan Yhdysvaltain hallitus antoi ymmärtää, että se saattaa jarruttaa korkean tason diplomaattisia neuvotteluja ja puolustusneuvotteluja Etelä-Korean kanssa, ellei Soul takaa, että Coupangin perustaja Bom Kim – Yhdysvaltain kansalainen – ei joudu oikeudellisten seuraamusten kohteeksi murron vuoksi. Vastauksena Etelä-Korea on käynnistänyt laajamittaisen hallinnollisen toiminnan, johon kuuluu muun muassa poliisin tekemiä kotietsintöjä ja parlamentaarisia kutsuja Coupangin johtajille.

Murron aiheutti entinen työntekijä, mikä tekee siitä sisäpiiriuhkaan liittyvän tapauksen ulkoisen hakkeroinnin sijaan. Tällä erottelulla on merkitystä tapahtumien ymmärtämisen kannalta, mutta se ei muuta lopputulosta niiden kymmenien miljoonien ihmisten osalta, joiden tiedot paljastuivat ilman heidän suostumustaan.

Vastuukysymys, josta kukaan ei halua puhua

Yksi tämän tapauksen selvimmistä opeista on se, kuinka nopeasti vastuu voi haihtua, kun pelissä ovat suuret intressit. Useimmissa tietomurtotapauksissa murron kohteeksi joutuneet käyttäjät odottavat jännittyneenä, joutuuko vastuussa oleva yritys merkittäviin seuraamuksiin. Viranomaisten määräämien sakkojen, johdon vastuullisuuden ja pakollisten tietoturvaparannusten pitäisi tarjota jonkinlainen vakuutus siitä, että yritykset suhtautuvat tietosuojaan vakavasti.

Kun diplomaattinen paine astuu kuvaan, tämä vastuujärjestelmä muuttuu kuitenkin hauraaksi. Jos ulkomaisen hallituksen lobbauksen kautta poistetaan uskottava uhka johtajien oikeudellisista seuraamuksista, tietosuojalainsäädännön pelotevaikutus heikkenee huomattavasti. Yritysten, jotka käsittelevät suuria määriä henkilötietoja, on ymmärrettävä, että vakavat murrot johtavat vakaviin seurauksiin. Kun geopolitiikka oikosulkee tämän prosessin, tavalliset käyttäjät maksavat hinnan.

Kyse ei ole hypoteettisesta huolesta. Ne 33,7 miljoonaa ihmistä, joiden tiedot paljastuivat tässä murrollissa, ovat todellisia henkilöitä. Heidän nimensä, yhteystietonsa, ostohistoriansa ja mahdollisesti muut arkaluonteiset tietonsa ovat nyt kateissa. Heidän yläpuolellaan tapahtuva diplomaattinen manööverointi ei millään tavoin pienennä heidän riskiään.

Mitä tämä tarkoittaa sinulle

Jos teet ostoksia kansainvälisillä verkkokauppa-alustoilla, tämä tapaus on hyödyllinen muistutus siitä, kuinka vähän näkyvyyttä sinulla on siihen, minne tietosi menevät ja kuka on vastuussa niiden suojaamisesta sen jälkeen, kun olet luovuttanut ne.

Kun luot tilin Coupangin kaltaiselle alustalle, luotat kyseiselle yritykselle henkilötietojasi. Käytännössä luotat myös siihen, että kaikilla lainkäyttöalueilla, joilla alusta toimii, on toimivat ja täytäntöönpanokelpoiset tietosuojasäännöt. Tämä tapaus osoittaa, että jopa vahva kansallinen valvonta voi kohdata häiriöitä maan rajojen ulkopuolelta.

VPN ei olisi suojannut Coupangin käyttäjiä tältä murrollta. Tiedot olivat yrityksen itsensä hallussa eikä niitä kaapattu siirron aikana. VPN peittää internet-liikenteesi internet-palveluntarjoajaltasi ja muilta verkkopalvelun tason tarkkailijoilta, mutta sillä ei ole mitään vaikutusta siihen, mitä yritys tekee tiedoilla, jotka olet jo luovuttanut heille. Kuka tahansa, joka väittää muuta, liioittelee VPN-teknologian mahdollisuuksia.

Merkitystä on sillä, mille alustoille ylipäätään luotat tietosi. Joitakin käytännön toimia kannattaa harkita:

• Käytä eri alustoille eri sähköpostiosoitteita tai -aliaksia, jotta yhden palvelun tietomurto ei leviä muihin.
• Vältä maksukorttitietojen tallentamista verkkokauppoihin, ellei siihen ole selkeää ja jatkuvaa tarvetta.
• Seuraa tietomurtoilmoituspalveluja, jotka ilmoittavat sinulle, kun tunnistetietosi ilmestyvät vuodettuihin tietoaineistoihin.
• Tarkista sovellustesi ja alustojesi käyttöoikeudet säännöllisesti ja poista tilit, joita et enää käytä.
• Suhtaudu epäilevästi kanta-asiakasohjelmiin ja valinnaiseen tietojen jakamiseen, jotka tarjoavat pieniä etuja syvemmän profiloinnin vastineeksi.

Rajat ylittävässä tietosuojassa on rakenteellisia heikkouksia

Tämä tapaus tuo esiin myös todellisen puutteen siinä, miten kansainvälinen tietosuoja toimii. Euroopan GDPR:n ja Etelä-Korean henkilötietosuojalain kaltaiset lait on suunniteltu pitämään yritykset vastuullisina tietyillä lainkäyttöalueilla. Niitä ei kuitenkaan ole laadittu silmällä pitäen tilanteita, joissa vieras valtio aktiivisesti painostaa täytäntöönpanon keskeyttämiseksi.

Kun yhä useammat yritykset toimivat maailmanlaajuisesti ja yhä useammat käyttäjät jakavat tietoja yli rajojen, kysymys siitä, kuka on viime kädessä vastuussa näiden tietojen suojaamisesta, muuttuu vaikeammaksi vastata. Sääntelykehykset, jotka toimivat hyvin eristyksissä, voivat epäonnistua törmätessään diplomaattisiin suhteisiin, kauppaneuvotteluihin tai turvallisuusliittoihin.

Kuluttajien kannalta rehellinen vastaus on, että mikään yksittäinen työkalu tai tapa ei suojaa sinua täysin maailmassa, jossa tiedot virtaavat vapaasti rajojen yli ja vastuu voidaan vaihtaa pois diplomaattisissa neuvotteluissa. Tietoon perustuva epäilevyys sen suhteen, kuka pitää hallussaan tietojasi ja miksi, on kuitenkin kohtuullinen lähtökohta. Coupangin tietomurto muistuttaa, että kuluttajien yksityisyys ei ole pelkästään tekninen ongelma. Se on myös poliittinen, ja tavalliset käyttäjät ansaitsevat ymmärtää tämän eron.