Aihearkisto: Tietosuoja

Brexit ja tietosuoja – kun pitäisi siirtää henkilötietoja Iso-Britanniaan

Disclaimer: Tämä ei ole lainopillinen neuvo, vaan kehotus kääntyä oman organisaation tietosuoja-asioista vastaavan puoleen. Tähän on nyt koottu pari havaintoa asiasta, mutta jokainen oikea tapaus täytyy tulkita erikseen.

Brexit on nyt ajakohtainen puheenaihe myös tietosuojakysymystensä puolesta. Britanniassa on erilaisia verkkoapalveuita ja vastaavia, joihin siirretään EU- tai ETA-alueelta henkilötietoja. Kun tai jos brexit tulee, niin mitä pitäisi tehdä?

Vaihtoehtoiset polut tästä päivästä (16.3.2019) katsoen näyttävät seuraavilta. Tilanne voi muuttua milloin tahansa, joten alla olevat tulkinnatkin voivat muuttua.

Ennen kuin brexit toteutuu tai koko brexit peruuntuu

  • Iso-Britanniassa on GDPR voimassa, minkä lisäksi on voimassa on kansallinen tietosuojalaki (Data Protection Act 2018) eikä nykytilanne muutu. EU:n tietosuojalainsäädännön mukaan henkilötietojen vapaa liikkuvuus taataan EU:n jäsenvaltioiden sekä EFTA-/ETA-valtioiden (Norja, Islanti, Liechtenstein ja Sveitsi) välillä.[1] Puhuttakoon tässä jatkossa tästä alueesta yksinkertaistaen ETA-alueena.

Tässä vaihtoehdossa ei siis ole välttämättä tarvetta tehdä mitään.

Brexit toteutuu EU:n kanssa sovitun erosopimuksen mukaisesti

  • Jos erosopimus astuu voimaan ja brexit toteutuu sitä kautta, alkaa tästä 31.12.2020 saakka kestävä siirtymäaika. Sen aikana EU-lainsäädäntö (mukaan lukien GDPR) on sovellettavaa oikeutta. Henkilötietoja voidaan siirtää Britanniaan siirtymäkauden aikana kuten tähänkin asti.[2]
  • Siirtymäkauden jälkeen EU-lainsäädäntöä ei enää sovelleta. On mahdollista, että Euroopan komissio antaa päätöksen Britannian tietosuojatason riittävyydestä (ns. adequacy decision) ennen siirtymäkauden päättymistä. Tällöin henkilötietojen siirto Britanniaan voisi jatkua kuten ennenkin [2]. Tällaisen komission päätöksen kanssa voi mennä aikaa, joten siirtymäkauden aikana olisi syytä varautua siihen, GDPR:n 5. luvun mukainen siirtomekanismi on käytössä [1][3]. Näitä siirtomekanismeja ovat esimerkiksi henkilön yksiselitteinen suostumus tai sopimus, jossa käytetään komission vahvistamia mallisopimuslausekkeita [4][5][6].

Jos siis erosopimus tulee hyväksytyksi ja berxit etenee sitä kautta, on aikaa vuoden 2020 loppuun ja riippuu komission päätöksistä, tarvitseeko erityisesti tehdä mitään. Varautuminen esimerkiksi mallisopimuslausekkeiden käyttöön kannattaa.

Brexit toteutuu ilman erosopimusta

  • Jos brexit toteutuu ilman sopimusta, Iso-Britanniasta tulee nk. kolmas maa eli Britannia on ETA-alueen ulkopuolinen maa. Silloin henkilötietojen siirto voi perustua em. GDPR:n 5. luvun mukainen siirtomekanismeille [3] kuten henkilön yksiselitteiselle suostumukselle tai mallisopimuslausekkeiden käyttöön.
  • Aina on olemassa se vaihtoehto, että palvelu ja tiedot, johon henkilötietojen käsittely liittyy, siirretään ETA-alueelle. Tällöin täytyy huomioida, että GDPR:ää noudatetaan myös silloin kun henkilötietojen käsittelijä [7] ei ole sijoittautunut EU-jäsenvaltioon, mutta sen suorittama henkilötietojen käsittely liittyy tavaroiden tai palvelujen tarjoamiseen unionissa sijaitseville rekisteröidyille tai rekisteröityjen käyttäytymisen seurantaan EU:n alueella.[8]

Käytännössä siis on huomattava, että jos palvelu ja tiedot ovat ETA-alueella, mutta ylläpitäjä kolmannessa maassa (kuten Britanniassa tässä tapauksessa), on noudatettava GDPR:n säädöksiä henkilötiedon käsittelystä ETA-alueen ulkopuolella. Siis mallisopimuslausekkeita, käyttäjien suostumuksia jne.

Brexit toteutuu jollain muulla tavalla (esim. jonkun muun sopimuksen kautta)

  • Tätä kirjoitettaessa tällainen näyttää hyvin epätodennäköiseltä, mutta mistäs sitä ikinä tietää. Tällaisessa tapauksessa ehdot voivat olla edellä poikkeavat ja asia pitäisi sitten selvittää erikseen.

Lähteitä:

[1] https://tietosuoja.fi/artikkeli/-/asset_publisher/miten-brexit-ilman-erosopimusta-muuttaisi-henkilotietojen-siirron-vaatimuksia-

[2] https://fondia.com/fi/blogsandnews/post-brexit-miten-brexit-muuttaa-henkilotietojen-siirron

[3] https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection_fi

[4] https://www.lexia.fi/fi/brexit-ja-gdpr/

[5] https://ec.europa.eu/info/law/law-topic/data-protection_en

[6] https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-gdpr/index_fi.htm

[7] https://tietosuoja.fi/henkilotietojen-kasittelijat

[8] https://tietosuoja.fi/henkilotietojen-kasittelijan-velvollisuudet

 

Pilviveikkauksia

Pilvipalveluista on viimeaikoina jälleen keskusteltu ja teeman ympärillä on parhaillaan tekeillä toimenpide jos toinenkin. Tässä tekstissä tarkastellaan muutamia esimerkkejä, arvioidaan niitä ja arvaillaan hieman tulevia käänteitä.

Viestintätoimisto Kreab Helsingin toimitusjohtaja Mikael Jungner (ex-Microsoft, ex-Yle, ex-kansanedustaja (sd.) jne.) arvioi, että Microsoft 365- tai Google Worksin kaltaisilla pilvipalveluilla voitaisiin Suomen julkisessa hallinnossa säästää vähintään 100 miljoonaa euroa joka vuosi.

Senja Larsen kirjoittaa Kauppalehdessä, että mikäli Suomi haluaa nyt olla pioneeri, sen tulee tähdätä pilvipalvelujen kärkimaaksi ja silloin pilviarkkitehdit ovat tämän uuden it-ajan avainosaajia.

Codenton Petri Aukia ennustaa blogissaan, mm. että Amazonin kaltaiset pilvipalvelut muuttuvat kaikissa tapauksissa halvemmaksi, kuin omien servereiden ostaminen ja käyttäminen ja niiden tietoturva paranee niin paljon, että palvelut siirretään niihin tietoturvasyistä.

Samaan aikaan EU tuomioistuin päätyi 6.10.2015 tekemässään päätöksessä C-362/14 toteamaan Safe Harbor -järjestelyn pätemättömäksi. Näin ollen Safe Harbor -järjestelyn nojalla ei voida enää siirtää henkilötietoja Yhdysvaltoihin.

Tähän keskusteluun on hyvä ottaa mukaan myös uutisointi suomalaisista datakeskuksista ja niihin liittyvistä hankkeista, vaikka on tiedossa etteivät konesalit yksinään kansantaloudelle merkittävästi tuloja tuota.

Tieteen tietotekniikkakeskus CSC:n toimitusjohtaja Kimmo Koski korostaa omassa kirjoituksessaan, että olennaisempaa työllisyydelle ja verotuloille on datakeskusten ympärille rakentuva ekosysteemi – tutkimus, koulutus, tietohallintopalvelut, ohjelmistot ja niiden kehitys, pilvipalvelut, data-analyysi, näitä hyödyntävä yritystoiminta, datakeskusrakentaminen ja monet muut toiminnot. Hän huomauttaa myös, että em. Safe Harbor -päätös saattaa tuplata jo aiemminkin isot tämän alan kasvuennusteet ja etsikkoaika tämän hyödyntämiseen on nyt.

Tähän pakettiin pitää nyt liittää myös uutinen, jonka mukaan Suomen ja Saksan välille avaava merikaapelihanke on edennyt asennusvaiheeseen. Tämän odotetaan auttavan tuomaan Suomeen yksityisiä datakeskusinvestointeja 2-3 miljardin euron verran seuraavan noin 10 vuoden aikana ja kehittämään noita ekosysteemejä.

Kiirettä on siis pitänyt. Miksipäs toisaalta ei olisi, sillä talous, arkkitehtuurit, osaaminen, ekosysteemit ja infrastruktuurit ovat osa sitä alustaa, minkä päällä digitalisaatio elää ja toimii.

Hopealuodit toisaalla

Arvioidaan hieman muutamaa asiaa.

Jungnerin esittämä arvio tai arvaus 100 miljoonan säästöpotentiaalista on perusteltavissa, mutta mistään hopealuodista ei ole kyse, eikä noita säästöjä kannata ensi vuoden budjetissa odotella elleivät ne siellä jo ole. Säästöjä olisi odotettavissa kenties vaalikauden lopulla tai sen jälkeen.

Näin ihan siksi, että esimerkiksi valtionhallinnossa on jo alkanut perustietotekniikan keskittäminen ja valtionhallinnon n. 90 000 työasemasta 60 000 on menossa uusiksi. Kestoltaan 3 vuotisessa projektissa käytetään pilvipalveluita hyväksi ja sen “toivotaan tuovan kymmenien miljoonien eurojen säästöt”. Tulevan projektin hintaa uutinen ei kerro, mutta kyseessä on mittavasta investoinnista, sillä ilmaiseksi ne palvelut eivät sinne pilveen siirry, eivätkä käyttäjät saa hommaa ilman tukea käyttöön.

Toisaalta valtionhallinto ei ole koko julkinen sektori. Esimerkiksi kunnissa oli pari vuotta sitten noin 216 000 laitetta (Kuntien tietotekniikkakartoitus, PDF) ja kuntien kokonaismenoista tietotekniikkaan kului vuonna 2013 noin 1,3 prosenttia ja kokonaisuudessaan 831 miljoonaa euroa. Kuntien IT-menot tosin ovat reaaliarvolla mitattuna menot kääntyneet laskuun vuoden 2010 jälkeen ja kuntasektorin IT-henkilöstöstä on jo vähennetty tuollaiset 20 %.

Julkishallinnon pilvihaaveiden kohdalla kannattaa aina muistaa, että siellä on isoja käyttäjäryhmiä kuten poliisi, puolustusvoimat sekä sosiaali- ja terveysorganisaatiot, joiden käsittelemiä tietoja ei laillisesti ulkomaisissa pilvissa voi käsitellä. Osa opettajistakin käsittelee salassa pidettävää materiaalia.

Kuten Larsen kommentissaan toteaa, IT-busineksessa on ollut iso murros jo jonkin aikaa johtuen infrastruktuuriin liittyvästä liiketoimintamallien ja teknologioiden uudistumisesta pilvimaailmaan. Voi tietysti kysyä, milloin IT-maailmassa ei ole ollut jotain murrosta? Tosin digitalisaation myötä on tultu vaiheeseen, jossa IT ei enää käynnistä tai johda murroksia, vaan ne ovat lähtöisin toimintamallien uudistamisen tarpeista tai ideoista.

On ilmiselvää, että liiketoimintamalliltaan pilvipalvelumalli on massapalveluissa (olkoot ne nyt sitten infraa, sovelluksia tai jotain muuta) tehokkaampi kuin paikallinen pientuotanto. Niin se on kaikessa muussakin busineksessa. Ei autoja käsityönä kannata tehdä, jos haluaa tehdä niitä paljon ja kohtuuhintaan.

Kaikkea IT:ssäkään ei tosin voi eikä kannata tehdä massatuotantona ja siksi pilviarkkitehti tarvitsee joko-tai -näkökulman tilalle sekä-että -ajattelua. Tätä voi kutsua myös hybridimalliksi.

Tietosuojassa erilaisia lähestymistapoja

Kun pilvipalveluilla tarkoitetaan globaalien toimijoiden infrastruktuureja, on syytä huomata, että  Yhdysvalloissa ja Euroopassa tilanne tietosuojan ja lainsäädännön osalta on varsin erilainen. Se mikä on yhdysvaltalaiselle kotimaista pilvipalvelua, on euroopplaiaselle toimintaa, jossa käyttäjän tietosuojaa ei voida välttämättä turvata.

Suomen tietosuojavaltuutettu kirjoittaa:”Yhdysvalloissa on omaksuttu tietosuojaan erilainen lähestymistapa kuin Euroopassa. Yhdysvalloissa ei ole yleistä tietosuojalainsäädäntöä, vaan siellä käytetään alakohtaista lähestymistapaa, jossa yhdistyvät lainsäädäntö, sääntely ja itsesääntely.

Safe Harborin päätyminen pätemättömäksi ei sinänsä ole mikään yllätys tai edes iso uutinen, sen verran ilmiselvästä ongelmasta on ollut kyse. Eikä tuomioistuimen päätös edes tarkoita sitä, että kaikki henkilötietojen siirtäminen Yhdysvaltoihin olisi laitonta. Edellä linkitetyn tietosuojavaltuutetun tiedotteen mukaisesti “Henkilötietojen siirtäminen Euroopasta Yhdysvaltoihin on sallittua vain tietoja koskevan henkilön nimenomaisella suostumuksella, erityisellä tietosuojan tason takaavalla sopimuksella, ns. mallisopimuslausekkeita käyttämällä tai BCR-prosessin mukaisen sopimuksen nojalla“.

Lisäksi on tietysti niin, että EU ja Yhdysvallat ovat neuvottelemassa koko kuviota uusiksi ja intressiristiriitoja varmasti ilmaantuu. Aikaa menee, mikä kuluttajapalveluissa on hankalaa, mutta isommat organisaatiot ovat jo ennalta hoitaneet sopimuksissaan asian niin, että joko käytetään noita mallisopimuslausekkeita tai sopimuksella velvoitetaan pitämään data Euroopassa.

Pilviä haaveillessa on syytä pitää saappaat savessa.

Halvempaa kyllä, mutta onko se toimivaa?

Codenton Petri Aukian ennusteen mukaisesti Amazonin kaltaisista pilvipalveluista varmastikin tulee omia laitteita halvempia (ellei jo ole tullut) edellyttäen, että palvelutuotantoa on myös lainsäädännön kannalta soveliaissa paikoissa kuten EU-alueella ja esim. terveystietojen osalta Suomessa.

Kuten Aukia kirjoittaa, uusi sukupolvi kehittäjiä ei muutaman vuoden päästä enää edes osaa asentaa palveluita muualle kuin pilveen. Näin kaiketi on myös siksi, että pilvipalvelu tuotantomallina yleistyy pienemmissäkin tuotantoympäristöissä. Voi ennustaa, että muutaman vuoden päästä käytössä olevat konesalitkin ovat ottaneet käyttöönsä erilaisia pilvipalveluiden tuotantomalleja ja -teknologiaa konesalin koosta riippumatta. Voi siis olla, ettei uusille kehittäjille edes ole tarjolla juuri muuta ja siksipä niistä vanhoista palvelimista on helppo kieltäytyä.

Jos Amazon (tai miksipäs ei Microsoft tai vaikka Google) saisi aikaiseksi tietoturvallisen pilvipalvelun, niin se olisi luonnollisesti hyvä asia. Kehitystä tähän suuntaan on jo olemassa.

Pulma ei ole teknisessä tietoturvassa, vaan luottamuksessa ja hallinnollisessa tietoturvassa. Niin kauan kuin yhdysvaltalaiset toimijat on velvoitettu oman lainsäädäntönsä nojalla toimittamaan tietoja yhdysvaltalaisille viranomaisille myös eurooppalaisista käyttäjistä (ilman, että yritys edes saa kertoa siitä seurannan kohteille), teknisellä tietoturvalla on vain rajallinen merkitys.

Sumu on lähellä

Oma pulmansa onkin sitten big data ja esimerkiksi massiivisen tutkimusdatan syntyvaiheet, jolloin data pitää saada jonnekin talteen raakadatana ennen sen käsittelyä. Pilvi voi olla liian kaukana vielä viidenkin vuoden päästä järkevällä hinnalla käytettävissä olevilla verkkoyhteyksillä jne. Käytännössä tällainen data kannattaa tai täytyy tallentaa myös lähellä.

Viiden vuoden päästä tutkimusdatan tallennustarpeiden kohdalla puhutaan rutinoituneesti petatavuista ja uumoillaan exatavuista (merkittäköön tämä muistiin tämän blogin pitäjän ennusteena).

Datan määrän kasvu ja käyttötapojen muutos onkin yksi asia, joka pitäisi pilviarkkitehtuureja kehitellessä huomioida, mutta massapalveluiden mukanaan tuoman innostuksen huumassa herkästi unohtuu.

Esimerkiksi voidaan ottaa autot. Accenturen Connected Transport ja IoT-praktiikan johtaja Marcello Tamietti arvioi Teknikka ja talous-lehdessä kesällä 2015 (Tekniikka ja Talous 23/2015), että jo vuonna 2020 on sata miljoonaa autoa kytketty internetiin ja että ne tuottavat 1070 prosessia päivässä.

On ilmeistä, että tuollainen määrä prosesseja synnyttää sellaisen määrän dataa, että sitä ei ole järkevää tai edes mahdollista siirtää pilveen, joten osa datasta on analysoitava, suodatettava ja käytettävä ensin autossa paikaillisella tasolla. Tämä siis pelkästään autoissa. Ympärillämme on koko joukko muitakin prosesseja, joista syntyvä data tallennetaan jonnekin ja käsitellään jossain.

Tässä yhteydessä voisi tietysti sanoa, että tuo analysointi tehdään paikallisilla palvelimilla, mutta ehkä se on hieman harhaanjohtava ajatus, koska “palvelin” jo nykyään olla melkeinpä missä tahansa missä on prosessori.

Kun dataintensiivisyys leviää yhä laajemmalle, tällainen fog computing-termin alle sopiva toimintatapakin tulee yhä yleisemmäksi. Dataa siis käsitellään tulevaisuudessakin lähellä eikä vain pilvessä. Myös asioiden internet tai kaiken internet vaatinevat käytännössä myös datan käsittelyä nk. paikallisella tasolla.

Varastoitava tai jaettava osa tästä datasta päätynee pilveen, mutta esimerkiksi tutkimusdatan kohdalla se on kohtalaisen pieni osa määrällisestä kokonaisuudesta.

Teknogiakin kehittyy

Pilvipalvelukeskustelussa hieman häiritsee yksi yllättävä seikka. Siinä ei juuri analysoida sitä miten teknologian kehitys vaikuttaa asioihin. Tämä tosin on ymmärrettävää digitalisaation mukanaan tuoman paradigman muutoksen vuoksi.

Veikkaus tuskin menee kovin paljoa pieleen, jos arvelee teknologian kehittyvän seuraavan kymmenen vuoden kuluessa vähintäänkin samaa tahtia kuin viimeisen kymmenen vuoden aikana ellei sitten enemmänkin. Lisäksi tulevat ne hypyt, joista vielä emme oikein saa sanoa tarkasti mitään.

Otetaan esimerkki. Normaali nykyinen kiintolevy palvelimissa on 6 teratavun 7200 kierrosta per minuutti pyörivä pyörivä levy. Nyt on kuitenkin esitelty uudella 3D-tekniikalla toimiva SSD-levy, jossa kapasiteettia on peräti 16 teratavua. Kun tähän lisätään vielä se, että uusien levyjen hinta on halvempi, niin voidaan puhua jo merkittävästä uudistuksesta.

Näin radikaalit muutokset voivat tarkoittaa myös uusia konsepteja eli esimerkiksi jatkossa palvelimet eivät enää ole  sähkönkulutukseltaan, kooltaan tai konseptiltaankaan samankaltaisia kuin nykyään. Siksipä voi olla hieman haastavaa verrata pilvipalvelua tuleviin palvelimiin.

Sovellustensa puolesta se olisi sinänsä jo nyt mahdollista, mutta ei ehkä tietoturvallista tai muuten käytännöllistä, mutta tulevaisuudessa esimerkiksi jokainen mobiililaite voisi toimia palvelimena. Kun tämä yhdistetään uuden sukupolven mobiilivrkkoihin, pilvikonsepteihin ja toimintatapoihin, voi syntyä jotain ihan muuta kuin se mihin nyt varaudutaan tai halutaan mennä. Ja niin edelleen.

Lopuksi

Pilviin liittyy useampia näkökulmia, jotka arkkitehtuurissa on otettava ennemmin tai myöhemmin huomioon, vaikka asioita haluttaisiinkin yksinkertaistaa. Massatuotannon kustannusteokkuus ei tee pilvestä käyttökelpoista kaikkiin tarkoituksiin lainsäädännöllisista, toiminnallisista tai teknologisistakaan syistä johtuen. Samalla pilvipalvelu toimintatapana on muutakin kuin massiivisissa kansainvälisissa datakeskuksissa sijaitsevia resursseja, ne voivat olla ihan läheltäkin saatavia palveluita.

Kun kaiken edellä olevan vetää jotenkin yhteen voi arvioida, että tulevaisuus ei ole suoraviivaista pilveen siirtymistä, vaan todennäköisemmin hybridia, missä paikalliseen toteutukseen otetaan eväitä pilvipalveluiden toimintamalleista ja teknologioistakin.

Mitä erilaisiin ennusteisiin tulee, niin arvatenkin ne menevät kaikki enemmän tai vähemmän pieleen. Se voi tosin olla niiden hyvä puoli.

 

Luottamus internetiin on koetuksella

Kuka muistaa aikaa, jolloin WWW:n käyttö kaikkine foorumeineen oli vielä nuorta? Siis joskus 1990-luvun puolivälissä.

Silloin (ja jo ennen koko WWW:tä muilla areenoilla) puhuttiin netiketistä ja internet-yhteisön itseohjautuvuudesta. Siis siitä, että on löyhästi yhdessä sovitut tavat toimia ja käyttäytyä verkossa. Kyseessä oli ajatus yhteisöstä, joka osaisi itse säädellä omaa toimintaansa.

Tuollainen toimintamalli onnistuakseen vaatii paljon luottamusta.

Luottamusta vaati sekin, että tuohon aikaan ei netissä ollut kovinkaan kummoisesti käytössä salaustekniikoita tai suojauksia, toisin kuin nykyään.

Itse itseään säätelevä yhteisöllisyys ei toteutunut ja netiketit on korvattu lainsäädännöllä ja muilla säädöksillä.

Luottamus on sekin kadonnut.

Edward Snowdenin paljastusten myötä on julkisuudessa kerrottu, että

“Pari sataa miljoonaa euroa vuodessa maksavassa Bullrun-ohjelmassa amerikkalaisagentit muun muassa painostavat ja lahjovat teknologiayrityksiä ujuttamaan murtokohtia ohjelmiinsa.”

Teknologiaa tuntevat tietävät, että tuo on mahdollista ja että periaatteessa takaportit tai vastaavat on mahdollista pistää sovellusten koodiin niin, että siitä kiinni jääminen on epätodennäköistä.

Kun valtiot ja niiden organisaatiot käyttävät kaikkia keinoja murtaakseen VPN:n ja SSL:n kaltaisia tekniikoita, murretaan samalla luottamusta. Luottamusta koko internetiin ja sen kanssa toimiseen, ei pelkästään joihinkin valtioihin tai organisaatioihin.

Jos luottamus menetetään, menetetään paljon mahdollisuuksia, joita internetillä on ollut erilaisten palveluiden toteuttamisessa.

Ajatellaan nyt vaikka verkkopankkeja. Ne on suojattu SSL:llä, jolla suojattua tietoliikennettä jutun mukaan “tiedustelupalvelut voivat lukea reaaliajassa”. Verkkopankkien tarjoamaan TUPAS-tunnistautumistahan me käytämme nykyään esimerkiksi veroilmoituksissa jne. Kaiketikaan käyttäjät nyt eivät näitä palveluita suin päin hylkää, mutta varautuminen ja esimerkiksi pankkitoiminnan luottamuksellisuuden turvaaminen uusin keinoin voi olla hyvinkin hidasta ja kallista puuhaa. Yksinkertaisemmista asioista puhumattakaan.

Kyse ei ole siitä onko meillä yksilöinä jotain salattavaa vai ei, vaan siitä, että meillä on oikeus pitää asioita omana tietonamme. Meillä on oikeus luottaa siihen, että myös järjestelmä kunnioittaa meidän perustavaa laatua oikeuksiamme. Voimmeko luottaa edes siihen?

 

Pilvi ja vakoiluskandaali

Kesän kuluessa esiin pompannut nettivakoiluskandaali (kts. linkit artikkelin lopusta) ei ole esimerkiksi yliopistojen kannalta aivan sivuseikka, vaikka julkisuuden perusteella voisikin kuvitella, että asia koskettaa enimmäkseen valtioita ja niiden turvallisuusorganisaatioita.

Skandaalissa on kyse siis siitä, että jo pitempään uumoitu ja tiedetty turvallisuusviranomaisten toteuttama – laillinen tai laiton – nettiliikenteen urkinta sai todisteita.

Netin käyttäjien toimia seurataan ja voidaan seurata erilaisin automaattisin menetelmin. Käyttäjiä voidaan profiloida ja sen peruteella poimia tarkempaan seurantaan. Dataa tallennetaan huikeita määriä ja analysoidaan huikealla vauhdilla. Esimerkiksi USA:n käytettävissä olevat resurssit ovat hyvin mittavat.

Menemättä yksityiskohtiin, niin tietojen urkintaa tehdään ainakin kahdella tavalla, todennäköisesti useammallakin. Ensinnäkin verkossa on palvelimia ja solmukohtia, joiden läpi menevää liikennettä seurataan ja toisaalta esimerkiksi Facebookin, Googlen, Microsoftin jne. palveluihin ja dataan on tiedusteluviranomaisilla omat pääsynsä. Näillä keinoin valtaosa esimerkiksi tavallisesta sähköpostiliikenteestä, tiedostojen jakopalveluista, yleisesti käytettävistä pilvipalveluista tai sosiaalisen median palveluista on tämän urkinnan piirissä.

Miten tämä sitten koskettaa esimerkiksi yliopistoja?

Yliopistoissa pohditaan ja harkitaan erilaisten pilvipalveluiden käyttöä ja IT-palveluiden ulkoistamista pilveen. Keskeinen argumentti tässä harkinnassa näyttää olevan raha sekä pilvipalveluista saatava palveluntarjonta. Eräät palveluntarjoajat kun tarjoavat maksutta palveluitaan pilvestä ja joskut varsin huokeasti. Yritykset, jotka tuottavat merkittävää voittoa vuodesta toiseen eivät ilman jonkinlaista liiketoimintamallia annan palveluitaan ilmaiseksi käyttäjille.

Yksi argumentti pilvipalveluiden käyttämisen puolesta on ollut se, että palvelun tarjoajat ovat sitoutuneet Safe Harbour -kriteereihin, jolloin esim. USA:ssa tuotettua palvelua voitaisiin käsitellä kuin se olisi EU:ssa tuotettua. Muuten hyvä, mutta tiedusteluasiat eivät kuulu Safe Harbourin piiriin.

Laajemmin pilvipalveluiden käytön problematiikkaa on tässä blogissa käsitelty jo aikaisemmin (https://blogs.helsinki.fi/avtenhun/2012/03/28/pilven-reunoja/), joten ei niistä nyt sen enempää.

Jos esimerkiksi yliopisto hankkii sähköpostit ja kalenteripalvelut sekä tiedostonjakopalveluita pilvipalveluista, samalla yliopisto tulee antaneeksi kaikkien käyttäjiensa (opiskelijoiden, opettajien, tutkijoiden ja muiden) datan näiden maiden turvallisuusviranomaisten analysoitavaksi, profiloitavaksi ja arkistoitavaksi.

Joku voisi todeta, että mitäs sillä nyt on väliä, ei minulla ole mitään salattavaa. Ei ehkä juuri nyt eikä ehkä juuri yliopiston palvelussa, mutta ainakin seuraavat näkökohdat on huomioitava:

  • Tiedusteluviranomaiset yms. kykenevät yhdistelemään eri lähteistä saamiaan tietoja, jolloin he voivat nähdä asioita, joita muuten käyttäjä ei kenties haluaisi kertoa.
  • Yliopistot kouluttavat esimerkiksi Suomessa tulevaisuuden virkamiehet, valtiojohdon tai vaikkapa sotilasjohtoa. Se mitä tietoja heistä nyt kerätään voi vaikuttaa asioiden kulkuun vasta vuosikymmenten päästä. Tuskin tarvitsee olla terroristikandidaatti päästäkseen tiedusteluviranomaisten seurantaan. Tiedossahan on se, että esim. USA vakoilee EU:ta jne.
  • Yliopistoissa tehdään myös merkittäviä keksintöjä, joissa voi olla kyse jatkossa hyvinkin mittavista taloudellisista arvoista ja immateriaalioikeuksista. Skandaalin keskellä on noussut esiin myös epäilyvä siitä, että tietoja vuotaa kansallisilta tieodusteluviranomaisilta kyseisen maan yrityksille. Ehkä tutkimuksessa ja kehityksessä on olemassa oma dopingjärjestelmänsä, jonka seurauksena toisten yritysten tuotekehitys on tehokkaampaa kuin toisten.
  • Lopuksi kyse on ihmisen perusoikeuksista eli oikeudesta luottamukselliseen viestintään  ja oikeutta olla suojassa valvonnalta ilman yksilöityä rikosepäilyä. Nämä eivät ole yksilön oikeuksia, jotka voidaan sivuuttaa esimerkiksi yksittäisen organisaation taloudellisilla näkemyksillä.

Tällä hetkellä pilvipalveluiden paletti on sekä periaatteellisella tasolla että poliittisesti varsin sekaisin. Ei riitä, että esimerkiksi yhdysvaltalaiset yritykset vakuuttavat hyviä pyrkimyksiään ja lojaalisuuttaan asiakkaille, sillä myös se vaatii luottamusta, joka on skandaalin myötä saanut pahan kolauksen.

Suomen valtion ja toisaalta EU:n on tuotava omat linjauksensa ja toimensa esiin.

Nykyisessä tilanteessa on helppoa olla TY:n tietoturvapäällikkö Mats Kommosen kanssa samaa mieltä: “Olen sitä mieltä, että varsinkaan oppilaitokset tai kunnat eivät saa siirtää palveluitaan amerikkalaispilveen; uusia sopimuksia ei kertakaikkiaan saa tässä tilanteessa tehdä ennenkuin EU on tehnyt puolestamme jotain merkittävää ja uskottavaa.”

Linkkejä: