Monthly Archives: August 2013

Pilvi ja vakoiluskandaali

Kesän kuluessa esiin pompannut nettivakoiluskandaali (kts. linkit artikkelin lopusta) ei ole esimerkiksi yliopistojen kannalta aivan sivuseikka, vaikka julkisuuden perusteella voisikin kuvitella, että asia koskettaa enimmäkseen valtioita ja niiden turvallisuusorganisaatioita.

Skandaalissa on kyse siis siitä, että jo pitempään uumoitu ja tiedetty turvallisuusviranomaisten toteuttama – laillinen tai laiton – nettiliikenteen urkinta sai todisteita.

Netin käyttäjien toimia seurataan ja voidaan seurata erilaisin automaattisin menetelmin. Käyttäjiä voidaan profiloida ja sen peruteella poimia tarkempaan seurantaan. Dataa tallennetaan huikeita määriä ja analysoidaan huikealla vauhdilla. Esimerkiksi USA:n käytettävissä olevat resurssit ovat hyvin mittavat.

Menemättä yksityiskohtiin, niin tietojen urkintaa tehdään ainakin kahdella tavalla, todennäköisesti useammallakin. Ensinnäkin verkossa on palvelimia ja solmukohtia, joiden läpi menevää liikennettä seurataan ja toisaalta esimerkiksi Facebookin, Googlen, Microsoftin jne. palveluihin ja dataan on tiedusteluviranomaisilla omat pääsynsä. Näillä keinoin valtaosa esimerkiksi tavallisesta sähköpostiliikenteestä, tiedostojen jakopalveluista, yleisesti käytettävistä pilvipalveluista tai sosiaalisen median palveluista on tämän urkinnan piirissä.

Miten tämä sitten koskettaa esimerkiksi yliopistoja?

Yliopistoissa pohditaan ja harkitaan erilaisten pilvipalveluiden käyttöä ja IT-palveluiden ulkoistamista pilveen. Keskeinen argumentti tässä harkinnassa näyttää olevan raha sekä pilvipalveluista saatava palveluntarjonta. Eräät palveluntarjoajat kun tarjoavat maksutta palveluitaan pilvestä ja joskut varsin huokeasti. Yritykset, jotka tuottavat merkittävää voittoa vuodesta toiseen eivät ilman jonkinlaista liiketoimintamallia annan palveluitaan ilmaiseksi käyttäjille.

Yksi argumentti pilvipalveluiden käyttämisen puolesta on ollut se, että palvelun tarjoajat ovat sitoutuneet Safe Harbour -kriteereihin, jolloin esim. USA:ssa tuotettua palvelua voitaisiin käsitellä kuin se olisi EU:ssa tuotettua. Muuten hyvä, mutta tiedusteluasiat eivät kuulu Safe Harbourin piiriin.

Laajemmin pilvipalveluiden käytön problematiikkaa on tässä blogissa käsitelty jo aikaisemmin (https://blogs.helsinki.fi/avtenhun/2012/03/28/pilven-reunoja/), joten ei niistä nyt sen enempää.

Jos esimerkiksi yliopisto hankkii sähköpostit ja kalenteripalvelut sekä tiedostonjakopalveluita pilvipalveluista, samalla yliopisto tulee antaneeksi kaikkien käyttäjiensa (opiskelijoiden, opettajien, tutkijoiden ja muiden) datan näiden maiden turvallisuusviranomaisten analysoitavaksi, profiloitavaksi ja arkistoitavaksi.

Joku voisi todeta, että mitäs sillä nyt on väliä, ei minulla ole mitään salattavaa. Ei ehkä juuri nyt eikä ehkä juuri yliopiston palvelussa, mutta ainakin seuraavat näkökohdat on huomioitava:

  • Tiedusteluviranomaiset yms. kykenevät yhdistelemään eri lähteistä saamiaan tietoja, jolloin he voivat nähdä asioita, joita muuten käyttäjä ei kenties haluaisi kertoa.
  • Yliopistot kouluttavat esimerkiksi Suomessa tulevaisuuden virkamiehet, valtiojohdon tai vaikkapa sotilasjohtoa. Se mitä tietoja heistä nyt kerätään voi vaikuttaa asioiden kulkuun vasta vuosikymmenten päästä. Tuskin tarvitsee olla terroristikandidaatti päästäkseen tiedusteluviranomaisten seurantaan. Tiedossahan on se, että esim. USA vakoilee EU:ta jne.
  • Yliopistoissa tehdään myös merkittäviä keksintöjä, joissa voi olla kyse jatkossa hyvinkin mittavista taloudellisista arvoista ja immateriaalioikeuksista. Skandaalin keskellä on noussut esiin myös epäilyvä siitä, että tietoja vuotaa kansallisilta tieodusteluviranomaisilta kyseisen maan yrityksille. Ehkä tutkimuksessa ja kehityksessä on olemassa oma dopingjärjestelmänsä, jonka seurauksena toisten yritysten tuotekehitys on tehokkaampaa kuin toisten.
  • Lopuksi kyse on ihmisen perusoikeuksista eli oikeudesta luottamukselliseen viestintään  ja oikeutta olla suojassa valvonnalta ilman yksilöityä rikosepäilyä. Nämä eivät ole yksilön oikeuksia, jotka voidaan sivuuttaa esimerkiksi yksittäisen organisaation taloudellisilla näkemyksillä.

Tällä hetkellä pilvipalveluiden paletti on sekä periaatteellisella tasolla että poliittisesti varsin sekaisin. Ei riitä, että esimerkiksi yhdysvaltalaiset yritykset vakuuttavat hyviä pyrkimyksiään ja lojaalisuuttaan asiakkaille, sillä myös se vaatii luottamusta, joka on skandaalin myötä saanut pahan kolauksen.

Suomen valtion ja toisaalta EU:n on tuotava omat linjauksensa ja toimensa esiin.

Nykyisessä tilanteessa on helppoa olla TY:n tietoturvapäällikkö Mats Kommosen kanssa samaa mieltä: “Olen sitä mieltä, että varsinkaan oppilaitokset tai kunnat eivät saa siirtää palveluitaan amerikkalaispilveen; uusia sopimuksia ei kertakaikkiaan saa tässä tilanteessa tehdä ennenkuin EU on tehnyt puolestamme jotain merkittävää ja uskottavaa.”

Linkkejä: