Using blockchains to increase trust in AI

Wouldn’t it be great if AI applications could trust each other in the same way humans do? I trust my local bank to handle my account since I know its history and it has been doing business honestly since my grandparents were alive. I trust my friends even more, because I know more about their history. Trust is often based on a common history, and we now have a technology for recording and sharing history.

What if every instance of AI had access to a public ledger, which contained a detailed history of all other AI, and AI-to-AI interactions? From this immutable ledger, they could see which algorithms, versions and heuristics the other AI is using; everybody they have interacted with before; what parts they contain and even their history and so on. They would be able to process this information in milliseconds and make decisions about who to trust and to what extent. After some level of trust had been established, they could proceed to make binding contracts with the help of smart contracts.

This is possible with blockchain technology. Blockchain is a technology which enables complete strangers to engage in the distributed but joint production and maintenance of a database. It could also increase people’s trust in AI. Distributed ledgers could serve as reliable black boxes in the case of accidents. For example, if autonomous cars were to collide, we would want to know what happened in order to prevent a recurrence. If the cars were seriously damaged, the only sources of information would be their manufacturers, but can we really trust them to hand over all information provided by the cars’ AI? The companies may want to protect their reputations and hold certain information back, or even tamper with it, before handing it over to investigators. If the blockchain included hashes of the data sets, we could check whether the information provided was the same as the last data stream sent to the manufacturer by AI.

Blockchain, the technology behind Bitcoin, has given us a new tool for building trust on the basis of cryptographic techniques, and via authentication through huge computing power. After the success of cryptocurrencies, this new trust model has been considered for many applications in various domains. However, it seldom adds much value, since we already have working systems with their own trust models and a long history behind them. Above all, the average user likes the current, familiar methods of building trust.

We currently have the technology to make digital contracts, or even smart contracts, but the preferred way to make a contract is by handwritten signatures on physical paper and shaking hands. To be frank, this quite a handy approach. But what about AI, which tends to lack hands but still needs a way of building trust? Fortunately, AI is not burdened by old techniques and established practices, leaving us free to create new types of trust-building methods in situations where AI interacts with AI. Of course, we could try to use trusted third parties to grant certificates for trustworthy AI, rather like driving licenses for autonomous cars. However, who would be the trusted party?

Visa Vallivaara & Kimmo Halunen
Cyber Security

Based on the topic of Vallivaara’s panel discussion “Opportunities to shape future data research – blockchain and what is it for and what not” at the RDA EU Data Innovation Forum
https://rd-alliance.org/rdaeu-data-innov-forum-2018

 

Halunen ja Vallivaara 20180214_120451
Kimmo Halunen
Senior Scientist, VTT Cyber Security
kimmo.halunen(a)vtt.fi
@khalunen

Visa Vallivaara
Research Scientist, VTT Cyber Security
visa.vallivaara(a)vtt.fi

 

Based on the topic of Vallivaara’s panel discussion “Opportunities to shape future data research – blockchain and what is it for and what not” at the RDA EU Data Innovation Forum
https://rd-alliance.org/rdaeu-data-innov-forum-2018

More Information
vttresearch.com: VTT Cyber Security

 

Lohkoketjusta tekoälyn luottamuksen rakentaja?

Eikö olisi mukavaa, jos tekoäly voisi luoda luottamusta eri tilanteissa samalla tavoin kuin ihmiset tekevät? Luotan paikalliselle pankille tilini hallinnan, koska tunnen sen historian ja se on toiminut rehellisesti isovanhempieni ajoista lähtien. Luotan ystäviini enemmän, koska tunnen vielä tarkemmin heidän historiansa. Luottamus perustuu usein yhteiseen historiaan ja meillä on olemassa teknologia historian kirjaamisen ja jakamiseen.

Entä jos tekoälyllä olisi joka tilanteessa pääsy julkiseen rekisteriin, joka sisältää kaikkien muiden tekoälyjen aiemman toiminnan tarkan historian sekä vuorovaikutukset? Tästä julkisesta muuttumattomasta tietokannasta tekoäly näkisi muiden käyttämät algoritmit, niiden versiot ja heuristiikan; sekä osapuolet, joiden kanssa se on ollut vuorovaikutuksessa aiemmin; sekä mitä osia ne sisältävät ja jopa osien historian ja niin edelleen. Se pystyisi käsittelemään nämä tiedot millisekunneissa ja päättämään kehen luottaa ja kuinka paljon. Kun jonkinasteinen luottamus on saavutettu, ne voisivat edetä tekemään sitovia sopimuksia hyödyntäen lohkoketjujen älysopimuksia.

Lohkoketjuteknologian avulla tämä on mahdollista toteuttaa. Lohkoketju on tekniikka, jolla toisilleen vieraat toimijat voivat yhdessä tuottaa ja ylläpitää tietokantoja hajautetusti. Tämän lisäksi sillä voi myös lisätä ihmisten luottamusta tekoälyyn. Hajautetut lokikirjat voisivat toimia luotettavina mustina laatikoina onnettomuustilanteissa. Esimerkiksi älyautojen törmätessä haluamme selvittää, mitä tapahtui, jotta voimme estää sen toistumisen. Jos autot vahingoittuvat vakavasti, ainoat tietolähteet olisivat autojen valmistajat, mutta voimmeko todella luottaa niiden luovuttavan kaiken tekoälyn toimittavan tiedon. Yritykset saattavat haluta suojella mainettaan ja jättää tietyt tiedot ilmoittamatta tai jopa muuttaa niitä, ennen kuin ne luovutetaan tutkijoille. Jos lohkoketju sisältäisi tiivisteet datapaketeista, niin voisimme helposti vertailla, onko annettu tieto sama kuin tekoälyn viimeisin valmistajalle lähettämä datapaketti.

Lohkoketju, tekniikka Bitcoinin takana, on antanut meille uuden työkalun rakentaa luottamusta, joka luodaan kryptografisin menetelmin ja varmennetaan suurella määrällä laskentatehoa. Kryptovaluuttojen menestyksen jälkeen tätä uutta luottamusmallia on tarkasteltu monissa sovelluksissa eri aloilla. Se ei tosin yleensä tuo juurikaan lisäarvoa, koska meillä on käytössämme toimivat järjestelmät, joilla on jo omat luottamusmallinsa ja pitkä historia takanaan. Ja ennen kaikkea tavalliset käyttäjät pitävät nykyisistä tutuista luottamuksen rakentamismenetelmistä.

Tällä hetkellä meillä on olemassa teknologia digitaalisten tai jopa älykkäiden sopimusten tekemiseksi, mutta silti yleisin tapa sopia ovat käsinkirjoitetut allekirjoitukset ja kädenpuristus. Ja kyllähän se on melko kätevää. Mutta entä tekoäly, jolla ei yleensä ole käsiä, se tarvitsee kuitenkin myös keinon rakentaa luottamusta. Tekoälyillä ei ole onneksi taakkanaan vanhoja menetelmiä ja juurtuneita tapoja, joten niille voidaan vapaasti rakentaa luottamusmenetelmiä uusilla tavoilla niihin tilanteisiin, joissa erilaiset tekoälyt ovat vuorovaikutuksessa keskenään. Tietenkin voimme yrittää käyttää luotettavia kolmansia osapuolia antamaan sertifikaatteja luotettaville tekoälyjärjestelmille, kuten ajokortteja älyautoille. Mutta mikä olisi se luotettu taho?

 

Halunen ja Vallivaara 20180214_120451
Kimmo Halunen
Senior Scientist, VTT:n kyberturvallisuustiimi
kimmo.halunen(a)vtt.fi
@khalunen

Visa Vallivaara
Research Scientist, VTT:n kyberturvallisuustiimi
visa.vallivaara(a)vtt.fi

 

Kirjoitus perustuu Vallivaaran paneelikeskuteluun “Opportunities to shape future data research – blockchain and what is it for and what not” RDA EU Data Innovation Forumissa https://rd-alliance.org/rdaeu-data-innov-forum-2018

Lue lisää:
vttresearch.com: VTT Cyber Security

 

Robotit ymmärtävät pian mielemme liikkeet, mutta voimmeko luottaa niihin?

Tulevaisuudessa erilaiset koneet, robotit ja ohjelmat tunnistavat meidät yksilöinä ja ymmärtävät tunteitamme yhä paremmin. Mutta tunnemmeko me käyttäjät käyttämämme järjestelmät yhtä hyvin? Voimmeko luottaa niiden oikeaan toimintaan ja ennen kaikkea voimmeko ihmisaistein luotettavasti varmentaa erilaisten digitaalisten järjestelmien toimimisen haluamallamme tavalla?

Tiesitkö, että tekoälyn avulla voidaan aivojen toimintaa kuvaamalla muodostaa kuva siitä, mitä kyseiset aivot katselevat ruudulta? Ja kasvoista voidaan mikroilmeiden avulla päätellä henkilön tunnetiloja. Nämä ovat vain muutamia viimeaikaisia esimerkkejä siitä, miten uudet tulokset antavat enemmän ja enemmän mahdollisuuksia koneille ja tekoälyjärjestelmille päästä syvällisesti perille siitä, miten ihmiskäyttäjät toimivat. Monet uudet tekoälyn sekä lisätyn ja virtuaalisen todellisuuden sovellukset pyrkivätkin siihen, että järjestelmät ja koneet pystyisivät paremmin huomioimaan yksilöllisesti käyttäjien tarpeita ja tunteita.

VTT:n tutkimuksessa Human Verifiable Computing (ihmisaistein varmennettava laskenta) etsimme ratkaisuja ja rakensimme ensimmäisiä esimerkkejä luottamuksen rakentamiseksi ja tietoturvan helpoksi varmentamiseksi eri ihmisaistein. Avainasemassa projektissamme ovat olleet lisätyn ja virtuaalitodellisuuden teknologiat, kryptografisesti varmennettava laskenta, luottamuksen muodostaminen sekä eri aistein tapahtuva vuorovaikutus ihmisen ja koneiden välillä. Näiden avulla rakennamme varmennettavaa luottamusta erilaisiin sovelluksiin.

Erityisen tärkeä tutkimuksen kohde on kryptografisesti varmennettavan laskennan ulottaminen ihmiskäyttäjälle saakka. Nykyiset kryptografiset menetelmät ja protokollat toimivat lähes poikkeuksetta koneiden välisessä kommunikaatiossa. Ihmiskäyttäjä ei kuitenkaan voi saada varmistusta muuten kuin luottamalla päätelaitteensa (sekä mahdollisesti muiden toimijoiden) oikeaan toimintaan. Vain muutamat sovellukset pyrkivät ottamaan käyttäjän mukaan protokollaan ja nämäkin vain äärimmäisen rajoitetuissa käyttötapauksissa.

Myös ihmisen eri aistit ovat usein vähällä käytöllä digitaalisten palveluiden kohdalla. Näkö- ja kuuloaistia hyödynnetään paljon ja tuntoaistia (ns. haptiikkaa) jonkin verran. Kuitenkin myös muiden aistien kautta voisimme saada tietoa järjestelmistä. Lisäksi ihmisille jatkuva arviointi on luonnollista, kun taas digitaaliset järjestelmät tarjoavat usein vain yksittäisen, hetkellisen mahdollisuuden muodostaa käsitys järjestelmän tilasta.

Lisätyn todellisuuden ja virtuaalitodellisuuden avulla voimme paremmin hyödyntää eri aisteja ja tarjota mahdollisuuden jatkuvaan luotettavuuden arviointiin. Projektissamme onkin syntynyt jo kolme erilaista demonstraatiota siitä, minkälaisia toiminnallisuuksia voisimme tarjota ihmisaistein varmennettavalla laskennalla. Kuitenkin paljon työtä on vielä tehtävä niin tutkimuksen, järjestelmien ja sovellusten kehityksen kuin ihmisten käyttäytymisen ja luottamuksen ymmärtämisen suhteen.

Olemme kirjoittaneet projektimme löydöksistä ja kohtaamistamme tutkimusongelmista julkaisun, joka on vapaasti ladattavissa täältä. Yhdessä muiden tutkijoiden, yritysten ja yhteistyökumppaneiden kanssa voimme varmasti tulevaisuudessa tarjota helposti ymmärrettäviä ratkaisuja, joilla tavalliset käyttäjät voivat omin aistein varmentua käyttämiensä digitaalisten palveluiden ja heille tarjotun informaation luotettavuudesta ja turvallisuudesta.

Lue lisää:
www.vtt.fi/palvelut/digitaalinen-maailma
www.vtt.fi/julkaisut/2017/human-verifiable-computing-white-paper.pdf

Kimmo Halunen VTT

 

Kimmo Halunen 
Erikoistutkija, VTT
kimmo.halunen(a)vtt.fi

Tietoturvaa oppimassa – kantapään kautta vai ennakoiden harjoitellen?

Tietoturva on yhä tärkeämpi osa niin yksityisten ihmisten kuin yritysten ja organisaatioidenkin elämää. Tietoturvallisia toimintatapoja ja uhkien minimoimista voi opetella monin eri tavoin. On kuitenkin tärkeää miettiä, mitä kannattaa opetella ja miten näitä asioita oppii parhaiten.

Kyberturva

Omista virheistä oppiminen on vähintä mitä voi tehdä. Kun tietoturvauhka realisoituu, on savun hälvettyä tärkeää analysoida tilanne. Tästä analyysistä voi sitten vetää johtopäätöksiä ja parantaa omaa varautumistaan tulevaisuudessa. Tällaiset oppimiskokemukset ovat harmillisen usein yritykselle kalliita (tekniset korjaukset, sakot, korvausvaatimukset, oikeudenkäynnit) ja kiusallisia (maine). Tuleva EU:n yleinen tietosuoja-asetus voi nostaa näiden oppituntien hintaa vielä lisää.

Toisten virheistä oppiminen tulee usein halvemmaksi ja on myös vähemmän stressaavaa. Onkin tärkeää seurata oman alan tietoturvaan liittyvää uutisointia ja kerätä mielenkiintoisista ja omaan toimintaan kaikkein parhaiten sopivista tapauksista lisätietoa. Niitä kannattaa käydä myös läpi omassa organisaatiossa laajemmin sellaisten henkilöiden ja tahojen kanssa, jotka voisivat tapauksesta jotain oppia.

Organisaatioiden toiminta tulee yleensä perustua järkiperäiseen riskianalyysiin ja siinä löydettyihin tärkeimpiin tai suurimpiin riskeihin sovellettaviin toimiin, joista tietoturvaan liittyvät uhat ovat vain osa kokonaisuutta. Tarvittavat toimet voivat sisältää teknisiä, taloudellisia ja organisaation prosesseihin liittyviä toimenpiteitä. Suurenkin organisaation tietoturva voi riippua yksittäisen käyttäjän osaamisesta ja toiminnasta. Tietoturvan perustaidot kuuluvat kaikille ja ovat osa, jos ei vielä tämän päivän, niin ainakin tulevaisuuden yleissivistystä. Hyvän perustan päälle organisaation on mahdollista rakentaa omia tietoturvaohjeistuksiaan ja käytäntöjään.

Koulutus on hyväksi, mutta se ei saa olla ainoa tapa yrittää vastata tietoturvauhkiin. Toimivassa tietoturvajärjestelmässä tekniset työkalut tukevat käyttäjiä, auttavat heitä toimimaan oikein ja pystyvät rajaamaan vahinkoja käyttäjien tehdessä virheitä. Kaikesta koulutuksesta huolimatta virheitä sattuu, se on vain inhimillistä. Tämä on hyvä tiedostaa organisaation joka tasolla. Monet yritykset pitävät kyberuhkia vakavana ongelmana itselleen, mutta niistä harvat ovat kouluttaneet henkilöstöään riittävästi tai harjoitelleet toimintaa erilaisissa kuvitteellisissa kyberhyökkäyksissä.

Tämä on selkeästi ongelmallista, sillä harjoittelu on tärkeä osa oppimista. Ilman koulutusta ja harjoittelua työntekijöiden voi olla hankala ymmärtää miksi he olisivat kyberuhkien kohteena, millaisia hyökkäyksiä heidän tekemiensä virheiden kautta yrityksiä vastaan on mahdollista tehdä ja millaisia seuraamuksia niistä voi olla yritykselle. Mahdollisimman realistinen harjoittelu on yksi parhaita tapoja oppia itselle ja omalle organisaatiolle merkityksellisiä toimintamalleja sekä löytää mahdolliset heikot kohdat ennen kuin vahinko osuu omalle kohdalle. Organisaatioiden jokaisella tasolla toimivien henkilöiden olisi harjoiteltava kyberuhkia vastaan.

Eri tasoilla työskenteleville koulutusten ja harjoitusten sisältö on tietenkin erilaista ja niitä onkin tarjolla laidasta laitaan. Kurssit ja harjoitukset voivat keskittyä vain yhteen tiettyyn asiaan, esimerkiksi miten rajoittaa hyökkäyksissä hyödynnettävän tiedon määrää julkisissa palveluissa tai miten huomata sosiaalinen manipulointi. Niillä voidaan myös opettaa järjestelmien teknisten monitorointityökalujen käyttöä tai miten tehdä digitaalista rikostutkintaa. Koulutus voi olla luentotyyppistä tai kädestä pitäen näppäimistön edessä harjoittelua. Harjoituksissa ei aina opeteta pelkästään yhden organisaation omaa henkilöstöä, vaan niissä voidaan harjoitella tiedottamista niin organisaatioiden sisällä kuin niistä ulospäin sekä yhteistyötä eri organisaatioiden välillä. Tähän voi kuulua kommunikointi niin tietoturvayritysten, asiakkaiden, yhteistyökumppaneiden kuin Viestintäviraston Kyberturvallisuuskeskuksenkin kanssa. Suurimmissa harjoituksissa mukana voi olla useita eri maita ja niissä toimivia organisaatioita.

Mikään koulutus tai harjoittelu ei tietenkään takaa 100% toimivaa suojaa erilaisia hyökkäyksiä vastaan. Eikä mikään teknologia pysty torjumaan kaikkia kyberuhkia. Kuitenkin perustaidoiltaan hyvä henkilöstö tarjoaa paremman suojan monia hyökkäyksiä vastaan ja kriisitilanteita harjoitellut väki pystyy hoitamaan mahdollisen vakavamman tietomurron seuraukset paremmin kuin valmistautumaton organisaatio. On tärkeää pitää oman organisaation osaaminen ja valmistautuminen riittävällä tasolla muuttuvassa uhkaympäristössä. Opit kannattaa myös hakea etukäteen harjoittelemalla ja varautumalla eikä kantapään kautta suuremman kriisin jälkeen.

Lataa ja tutustu ilmaiseen kyberturvaraporttiimme, josta selviää miten yrityksen tietoturvatasoa voidaan parantaa ja kyberuhilta suojaudutaan.

Kimmo Halunen VTT

Kimmo Halunen
erikoistutkija
Twitter: @khalunen

Teemu Väisänen VTT

Teemu Väisänen
tutkija

Learning about information security – the hard way or through anticipation and practice?

Information security is an increasingly important part of the lives of both private individuals and companies and organisations. You can learn secure practices and ways to minimise threats in many ways. However, it is important to consider what you would need to learn and how you can best learn those particular matters.Kyberturva

The least you can do is learn from your own mistakes. When an information security threat is realised, it is important that, once the dust has settled, you analyse the situation. You can then draw conclusions from this analysis and improve your contingency planning in the future. Unfortunately, often such learning experiences become costly (technical repairs, penalty charges, claims for damages, trials) and awkward (reputation) for companies. The forthcoming EU General Data Protection Regulation (GDPR) may further increase the price of such lessons.

Learning from mistakes made by others is often cheaper and far less stressful. Therefore, it is important to follow media coverage related to information security within your sector and collect additional information on interesting cases and cases that best coincide with your own operations. It is also advisable to go through such coverage more extensively with the persons or parties who might have the most to learn from the cases.

Generally speaking, an organisation’s activities should be based on rational risk analysis and the measures to be applied to the most important or biggest identified risks, where threats related to information security are only part of the overall picture. The measures needed may include technical and financial measures, and steps related to the organisation’s processes. Even in a major organisation, the information security may depend on the actions of an individual IT system user. Basic information security skills belong to everyone, and they may not yet be part of general knowledge, but they certainly will be in the future. When the foundations are in order, each organisation can build its own information security guidelines and practices on top of them.

Training is useful, but it must not be the only way of trying to address information security threats. In a well-functioning information security system, technical tools support the users, help them operate correctly, and are capable of containing damage when a user makes a mistake. Despite all training, mistakes do happen – that is only human. This is good to acknowledge at all levels of the organisation. Many companies consider cyber threats a serious problem for themselves, but very few of them have provided sufficient training to their employees or practised how to operate under an imagined cyberattack situation.

This is clearly problematic, because practising is an important part of learning. Without training and practice, it may be difficult for the employees to understand why any cyberattacks would be targeted against them, what kind of attacks could be launched against companies through the mistakes they might make, and what kind of consequences these might have for the company. As realistic practising as possible is one of the best ways of learning operating models that best serve your own needs as well as those of your organisation, and to find potential weaknesses before the damage is done. Persons at every level of an organisation should practise against cyber threats.

Naturally, the content of training and practising is different for people working at different levels of the organisation, and therefore a wide range of training is provided. The courses and exercises may focus on a single theme only, such as how to limit the amount of data in public services that can be used for attacks or how to detect social manipulation. They can also teach the use of technical monitoring tools of various systems or how to conduct digital criminal investigation. Training can be given in the form of lectures or it can be hands-on training at the keyboard. In the exercises, the teaching is not always targeted to the staff of a single organisation only, but people can also practice communication both within organisations and with external actors, and cooperation between different organisations. This may include communication with information security companies, customers, partners and National Cyber Security Centre Finland of the Finnish Communications Regulatory Authority (FICORA). The largest exercises may involve several countries and organisations operating in them.

Of course, no kind of training can guarantee 100% functional protection against different attacks. And no technology can prevent all cyber threats. However, a staff with good basic skills provides better protection against many attacks, and people who have practised handling of crisis situations are better capable of managing the consequences of a possible serious data breach than an organisation that has not made any such preparations. It is important that you keep the level of your organisation’s competence and contingency planning at a sufficient level in the changing threat environment. You should also learn these things by practising them in advance rather than the hard way after a major crisis.

Download our new cyber security report for free and get acquainted with how companies can raise their cyber security level and protect themselves against cyber threats.  Kimmo Halunen VTT

Kimmo Halunen
Senior Scientist
Twitter: @khalunen 

Teemu Väisänen VTT

Teemu Väisänen
Research Scientist

Suomen uudet tiedustelulait – hyvät, pahat ja rumat?

Suomeen ollaan juuri nyt säätämässä uusia sotilas- ja siviilitiedustelulakeja. On kuitenkin hyvä pysähtyä miettimään, ovatko juuri nyt esitetyn kaltaiset valtuudet oikeanlaiset ja onko niissä löydetty hyvä tasapaino turvallisuusuhkien ja kansalaisten yksityisyydensuojan välille? Onko laki sellainen, että nukutte yönne hyvin, mikäli vallassa olisivat pahimman poliittisen painajaisenne henkilöt ja tahot?

Ei salauksen heikentämiselle eikä takaportteja ohjelmistoihin

Vastikään julkaistujen mietintöjen ehdottomasti parhaat puolet löytyvät siitä, mitä uudessa laissa EI OLLA vaatimassa. Viime vuosina on Yhdysvalloissa FBI:n ja Euroopassa mm. Saksan ja Ranskan sisäministerien sekä viimeksi EU:n oikeuskomissaarin voimin vaadittu salattujen viestintävälineiden salauksen heikentämistä niin, että viranomaiset voisivat halutessaan päästä käsiksi viestien sisältöön. Tätä nykyä useat suositut viestintäohjelmistot, kuten Whatsapp, salaavat viestisisällön lähettäjältä vastaanottajalle siten, että vain nämä tahot pystyvät viestinnän salauksen purkamaan. Tämä on herättänyt huolta rikostutkinnan ja tiedustelun mahdollisuuksista. Kuitenkin tilanne on sellainen, että mahdollisia lakeja tai asetuksia viestinnän salauksen heikentämisestä on liki mahdotonta valvoa ja lisäksi heikennykset salaukseen aiheuttaisivat enemmän haittaa tavallisille, lainkuuliaisille toimijoille kuin mitä mahdolliset hyödyt tiedustelussa ja rikostorjunnassa olisivat.

Myös erilaisten takaporttien vaatiminen ohjelmistoihin tai muihin järjestelmiin on huono ajatus, sillä se siirtäisi vain tällaisten järjestelmien valmistuksen muihin maihin ja täten haittaisi merkittävästi suomalaisia tietoturva-alan yrityksiä. Näin ollen on ilahduttavaa huomata, että Suomessa ei olla esittämässä tällaisia tuhoon tuomittuja ajatuksia uusiin tiedustelulakeihin.

Massavalvontaoikeudet voivat johtaa myös väärinkäytöksiin

Kuitenkaan nyt esitetyt uudet valtuudet puolustusvoimille ja suojelupolisiille eivät ole täysin ongelmattomia. Vaikka uusien lakien puolestapuhujat korostavat sitä seikkaa, että nyt esitetyt lait eivät mahdollista tietoliikenteen massavalvontaa, on kuitenkin selvää, että uusi järjestelmä tulee teknisesti vaatimaan mekanismin, joka mahdollistaa kaiken tietoliikenteen valvomisen. Mitenkään muuten ei ole mahdollista tarjota tiedusteluviranomaisille menetelmiä tehdä kohdennettuja hakuja millä tahansa hakutermeillä.

Tämä tosiseikka johtaa kysymykseen, jonka muutamat tahot ovat jo esittäneet uusiin lakeihin liittyen. Ovatko nämä lait ja erityisesti niihin kirjatut valvontamekanismit riittävät myös silloin, jos valtaan valitaan tahoja, jotka haluavat mahdollisesti käyttää näitä menetelmiä lain hengen vastaisesti? Esimerkiksi Edward Snowdenin paljastukset osoittavat, että Yhdysvalloissa tiedustelupalveluille tarkoitettuja valtuuksia on käytetty terrorismin ja muiden vakavien rikosten lisäksi myös tavanomaisempien rikosten tutkinnassa. Lisäksi tiedustelutietoja on hyödynnetty mm. kauppaneuvotteluissa ja muissa diplomaattisissa yhteyksissä. On siis ensiarvoisen tärkeää, että tiedusteluvaltuutettu sekä parlamentaarinen tiedusteluvaliokunta ottavat tarkkaan selvää tietojen hankinnasta ja käytöstä.

Myös kustannustehokkuutta on hyvä tarkastella. Järjestelmän pystyttämisen kustannusarvio liikkuu kymmenen miljoonan euron tienoilla ja lisäksi vuosittaiset kustannukset ovat n. 20 miljoonaa euroa joka vuosi. Varsinkin terrorismin ehkäisyn käyttäminen järjestelmän perusteena ei selviä tästä tarkastelusta, sillä ainakin vielä terrorististen tekojen kustannukset Suomessa ovat hyvin pienet elleivät olemattomat. Toisaalta muun tiedustelutoiminnan ja erityisesti vieraan vallan vaikutus- ja vakoilutoiminnan tarkkailun hyödyt saattavat hyvinkin oikeuttaa kymmenien miljoonien vuosikustannuksiin. Yhtenä ongelmana on, että valtuuksien – ja näin ollen myös kustannusten – vähentäminen tämän tyyppisistä laeista on poliittisesti vaikeaa. Näin ollen kustannustehokkuutta saatetaan hakea laajentamalla kerätyn tiedon hyödyntämisalaa.

Miten ehkäistä inhimillisiä virheitä?

Edelleen yhtenä ongelmallisena piirteenä voidaan nähdä inhimillisten väärinkäytösten mahdollisuus. Maailmalla tunnetaan jopa käsite LOVEINT, joka tarkoittaa sitä, että jotkut tiedustelualan työntekijät käyttävät valtuuksiaan tehdä hakuja henkilöistä ja organisaatioista omien läheistensä, esimerkiksi puolisoidensa, tietojen tarkistamiseen. Myös Suomessa on tapauksia, joissa viranomaistoimijat ovat ylittäneet valtuutensa nykyisten järjestelmien puitteissa selvittääkseen itselleen merkityksellisiä asioita ja henkilöitä.

Uusien valtuuksien myötä luotavissa järjestelmissä on luonnollisesti myös mahdollisuus inhimillisille väärinkäytöksille. Yhtenä mahdollisena keinona ehkäistä väärinkäytöksiä on tehdä järjestelmistä sellaisia, että hakujen tekeminen ei ole yhtä suoraviivaista kuin vaikkapa verkon hakukoneilla, vaan haku vaatii hakutermien lisäksi myös perustelut niiden käytölle. Edelleen voidaan ajatella, että hakujen tulokset eivät tule suoraan ruudulle, vaan haku käynnistää prosessin, jossa hakukriteerien lainmukaisuus arvioidaan. Vasta tämän prosessin jälkeen tulokset olisivat saatavilla – mahdollisesti takautuvasti haun kirjaushetkestä alkaen – tiedusteluviranomaiselle.

Tiedustelulait ovat varmasti tarpeen Suomessa, jotta viranomaiset ja päättäjät voivat saada ajantasaista tietoa Suomea koskevista uhkista. Lain laajuutta on kuitenkin hyvä arvioida kriittisesti. Lisäksi lain mahdollisesti tultua voimaan valvovien tahojen tulee tarkastella lain kirjaimen ja hengen toteutumista erittäin tarkasti. Näin voidaan välttää useiden muiden maiden virheet ja ylilyönnit tiedustelussa.

Lopuksi haluan esittää kysymyksen päättäjille, jotka lain säätämisestä viime kädessä päättävät. Onko laki mielestänne sellainen, että nukutte yönne hyvin, mikäli vallassa olisivat pahimman poliittisen painajaisenne henkilöt ja tahot? Jos ette voi vastata tuohon kysymykseen myöntävästi, niin miettikää, miten lakia tulisi muuttaa, ja esittäkää tarvittavat muutokset lakiin.

Kimmo Halunen VTT

Kimmo Halunen
Erikoistutkija
Twitter: @khalunen