Aihearkisto: Tietoturva

Luottamus internetiin on koetuksella

Kuka muistaa aikaa, jolloin WWW:n käyttö kaikkine foorumeineen oli vielä nuorta? Siis joskus 1990-luvun puolivälissä.

Silloin (ja jo ennen koko WWW:tä muilla areenoilla) puhuttiin netiketistä ja internet-yhteisön itseohjautuvuudesta. Siis siitä, että on löyhästi yhdessä sovitut tavat toimia ja käyttäytyä verkossa. Kyseessä oli ajatus yhteisöstä, joka osaisi itse säädellä omaa toimintaansa.

Tuollainen toimintamalli onnistuakseen vaatii paljon luottamusta.

Luottamusta vaati sekin, että tuohon aikaan ei netissä ollut kovinkaan kummoisesti käytössä salaustekniikoita tai suojauksia, toisin kuin nykyään.

Itse itseään säätelevä yhteisöllisyys ei toteutunut ja netiketit on korvattu lainsäädännöllä ja muilla säädöksillä.

Luottamus on sekin kadonnut.

Edward Snowdenin paljastusten myötä on julkisuudessa kerrottu, että

“Pari sataa miljoonaa euroa vuodessa maksavassa Bullrun-ohjelmassa amerikkalaisagentit muun muassa painostavat ja lahjovat teknologiayrityksiä ujuttamaan murtokohtia ohjelmiinsa.”

Teknologiaa tuntevat tietävät, että tuo on mahdollista ja että periaatteessa takaportit tai vastaavat on mahdollista pistää sovellusten koodiin niin, että siitä kiinni jääminen on epätodennäköistä.

Kun valtiot ja niiden organisaatiot käyttävät kaikkia keinoja murtaakseen VPN:n ja SSL:n kaltaisia tekniikoita, murretaan samalla luottamusta. Luottamusta koko internetiin ja sen kanssa toimiseen, ei pelkästään joihinkin valtioihin tai organisaatioihin.

Jos luottamus menetetään, menetetään paljon mahdollisuuksia, joita internetillä on ollut erilaisten palveluiden toteuttamisessa.

Ajatellaan nyt vaikka verkkopankkeja. Ne on suojattu SSL:llä, jolla suojattua tietoliikennettä jutun mukaan “tiedustelupalvelut voivat lukea reaaliajassa”. Verkkopankkien tarjoamaan TUPAS-tunnistautumistahan me käytämme nykyään esimerkiksi veroilmoituksissa jne. Kaiketikaan käyttäjät nyt eivät näitä palveluita suin päin hylkää, mutta varautuminen ja esimerkiksi pankkitoiminnan luottamuksellisuuden turvaaminen uusin keinoin voi olla hyvinkin hidasta ja kallista puuhaa. Yksinkertaisemmista asioista puhumattakaan.

Kyse ei ole siitä onko meillä yksilöinä jotain salattavaa vai ei, vaan siitä, että meillä on oikeus pitää asioita omana tietonamme. Meillä on oikeus luottaa siihen, että myös järjestelmä kunnioittaa meidän perustavaa laatua oikeuksiamme. Voimmeko luottaa edes siihen?

 

Pilvi ja vakoiluskandaali

Kesän kuluessa esiin pompannut nettivakoiluskandaali (kts. linkit artikkelin lopusta) ei ole esimerkiksi yliopistojen kannalta aivan sivuseikka, vaikka julkisuuden perusteella voisikin kuvitella, että asia koskettaa enimmäkseen valtioita ja niiden turvallisuusorganisaatioita.

Skandaalissa on kyse siis siitä, että jo pitempään uumoitu ja tiedetty turvallisuusviranomaisten toteuttama – laillinen tai laiton – nettiliikenteen urkinta sai todisteita.

Netin käyttäjien toimia seurataan ja voidaan seurata erilaisin automaattisin menetelmin. Käyttäjiä voidaan profiloida ja sen peruteella poimia tarkempaan seurantaan. Dataa tallennetaan huikeita määriä ja analysoidaan huikealla vauhdilla. Esimerkiksi USA:n käytettävissä olevat resurssit ovat hyvin mittavat.

Menemättä yksityiskohtiin, niin tietojen urkintaa tehdään ainakin kahdella tavalla, todennäköisesti useammallakin. Ensinnäkin verkossa on palvelimia ja solmukohtia, joiden läpi menevää liikennettä seurataan ja toisaalta esimerkiksi Facebookin, Googlen, Microsoftin jne. palveluihin ja dataan on tiedusteluviranomaisilla omat pääsynsä. Näillä keinoin valtaosa esimerkiksi tavallisesta sähköpostiliikenteestä, tiedostojen jakopalveluista, yleisesti käytettävistä pilvipalveluista tai sosiaalisen median palveluista on tämän urkinnan piirissä.

Miten tämä sitten koskettaa esimerkiksi yliopistoja?

Yliopistoissa pohditaan ja harkitaan erilaisten pilvipalveluiden käyttöä ja IT-palveluiden ulkoistamista pilveen. Keskeinen argumentti tässä harkinnassa näyttää olevan raha sekä pilvipalveluista saatava palveluntarjonta. Eräät palveluntarjoajat kun tarjoavat maksutta palveluitaan pilvestä ja joskut varsin huokeasti. Yritykset, jotka tuottavat merkittävää voittoa vuodesta toiseen eivät ilman jonkinlaista liiketoimintamallia annan palveluitaan ilmaiseksi käyttäjille.

Yksi argumentti pilvipalveluiden käyttämisen puolesta on ollut se, että palvelun tarjoajat ovat sitoutuneet Safe Harbour -kriteereihin, jolloin esim. USA:ssa tuotettua palvelua voitaisiin käsitellä kuin se olisi EU:ssa tuotettua. Muuten hyvä, mutta tiedusteluasiat eivät kuulu Safe Harbourin piiriin.

Laajemmin pilvipalveluiden käytön problematiikkaa on tässä blogissa käsitelty jo aikaisemmin (https://blogs.helsinki.fi/avtenhun/2012/03/28/pilven-reunoja/), joten ei niistä nyt sen enempää.

Jos esimerkiksi yliopisto hankkii sähköpostit ja kalenteripalvelut sekä tiedostonjakopalveluita pilvipalveluista, samalla yliopisto tulee antaneeksi kaikkien käyttäjiensa (opiskelijoiden, opettajien, tutkijoiden ja muiden) datan näiden maiden turvallisuusviranomaisten analysoitavaksi, profiloitavaksi ja arkistoitavaksi.

Joku voisi todeta, että mitäs sillä nyt on väliä, ei minulla ole mitään salattavaa. Ei ehkä juuri nyt eikä ehkä juuri yliopiston palvelussa, mutta ainakin seuraavat näkökohdat on huomioitava:

  • Tiedusteluviranomaiset yms. kykenevät yhdistelemään eri lähteistä saamiaan tietoja, jolloin he voivat nähdä asioita, joita muuten käyttäjä ei kenties haluaisi kertoa.
  • Yliopistot kouluttavat esimerkiksi Suomessa tulevaisuuden virkamiehet, valtiojohdon tai vaikkapa sotilasjohtoa. Se mitä tietoja heistä nyt kerätään voi vaikuttaa asioiden kulkuun vasta vuosikymmenten päästä. Tuskin tarvitsee olla terroristikandidaatti päästäkseen tiedusteluviranomaisten seurantaan. Tiedossahan on se, että esim. USA vakoilee EU:ta jne.
  • Yliopistoissa tehdään myös merkittäviä keksintöjä, joissa voi olla kyse jatkossa hyvinkin mittavista taloudellisista arvoista ja immateriaalioikeuksista. Skandaalin keskellä on noussut esiin myös epäilyvä siitä, että tietoja vuotaa kansallisilta tieodusteluviranomaisilta kyseisen maan yrityksille. Ehkä tutkimuksessa ja kehityksessä on olemassa oma dopingjärjestelmänsä, jonka seurauksena toisten yritysten tuotekehitys on tehokkaampaa kuin toisten.
  • Lopuksi kyse on ihmisen perusoikeuksista eli oikeudesta luottamukselliseen viestintään  ja oikeutta olla suojassa valvonnalta ilman yksilöityä rikosepäilyä. Nämä eivät ole yksilön oikeuksia, jotka voidaan sivuuttaa esimerkiksi yksittäisen organisaation taloudellisilla näkemyksillä.

Tällä hetkellä pilvipalveluiden paletti on sekä periaatteellisella tasolla että poliittisesti varsin sekaisin. Ei riitä, että esimerkiksi yhdysvaltalaiset yritykset vakuuttavat hyviä pyrkimyksiään ja lojaalisuuttaan asiakkaille, sillä myös se vaatii luottamusta, joka on skandaalin myötä saanut pahan kolauksen.

Suomen valtion ja toisaalta EU:n on tuotava omat linjauksensa ja toimensa esiin.

Nykyisessä tilanteessa on helppoa olla TY:n tietoturvapäällikkö Mats Kommosen kanssa samaa mieltä: “Olen sitä mieltä, että varsinkaan oppilaitokset tai kunnat eivät saa siirtää palveluitaan amerikkalaispilveen; uusia sopimuksia ei kertakaikkiaan saa tässä tilanteessa tehdä ennenkuin EU on tehnyt puolestamme jotain merkittävää ja uskottavaa.”

Linkkejä: