Suomen uudet tiedustelulait – hyvät, pahat ja rumat?

Suomeen ollaan juuri nyt säätämässä uusia sotilas- ja siviilitiedustelulakeja. On kuitenkin hyvä pysähtyä miettimään, ovatko juuri nyt esitetyn kaltaiset valtuudet oikeanlaiset ja onko niissä löydetty hyvä tasapaino turvallisuusuhkien ja kansalaisten yksityisyydensuojan välille? Onko laki sellainen, että nukutte yönne hyvin, mikäli vallassa olisivat pahimman poliittisen painajaisenne henkilöt ja tahot?

Ei salauksen heikentämiselle eikä takaportteja ohjelmistoihin

Vastikään julkaistujen mietintöjen ehdottomasti parhaat puolet löytyvät siitä, mitä uudessa laissa EI OLLA vaatimassa. Viime vuosina on Yhdysvalloissa FBI:n ja Euroopassa mm. Saksan ja Ranskan sisäministerien sekä viimeksi EU:n oikeuskomissaarin voimin vaadittu salattujen viestintävälineiden salauksen heikentämistä niin, että viranomaiset voisivat halutessaan päästä käsiksi viestien sisältöön. Tätä nykyä useat suositut viestintäohjelmistot, kuten Whatsapp, salaavat viestisisällön lähettäjältä vastaanottajalle siten, että vain nämä tahot pystyvät viestinnän salauksen purkamaan. Tämä on herättänyt huolta rikostutkinnan ja tiedustelun mahdollisuuksista. Kuitenkin tilanne on sellainen, että mahdollisia lakeja tai asetuksia viestinnän salauksen heikentämisestä on liki mahdotonta valvoa ja lisäksi heikennykset salaukseen aiheuttaisivat enemmän haittaa tavallisille, lainkuuliaisille toimijoille kuin mitä mahdolliset hyödyt tiedustelussa ja rikostorjunnassa olisivat.

Myös erilaisten takaporttien vaatiminen ohjelmistoihin tai muihin järjestelmiin on huono ajatus, sillä se siirtäisi vain tällaisten järjestelmien valmistuksen muihin maihin ja täten haittaisi merkittävästi suomalaisia tietoturva-alan yrityksiä. Näin ollen on ilahduttavaa huomata, että Suomessa ei olla esittämässä tällaisia tuhoon tuomittuja ajatuksia uusiin tiedustelulakeihin.

Massavalvontaoikeudet voivat johtaa myös väärinkäytöksiin

Kuitenkaan nyt esitetyt uudet valtuudet puolustusvoimille ja suojelupolisiille eivät ole täysin ongelmattomia. Vaikka uusien lakien puolestapuhujat korostavat sitä seikkaa, että nyt esitetyt lait eivät mahdollista tietoliikenteen massavalvontaa, on kuitenkin selvää, että uusi järjestelmä tulee teknisesti vaatimaan mekanismin, joka mahdollistaa kaiken tietoliikenteen valvomisen. Mitenkään muuten ei ole mahdollista tarjota tiedusteluviranomaisille menetelmiä tehdä kohdennettuja hakuja millä tahansa hakutermeillä.

Tämä tosiseikka johtaa kysymykseen, jonka muutamat tahot ovat jo esittäneet uusiin lakeihin liittyen. Ovatko nämä lait ja erityisesti niihin kirjatut valvontamekanismit riittävät myös silloin, jos valtaan valitaan tahoja, jotka haluavat mahdollisesti käyttää näitä menetelmiä lain hengen vastaisesti? Esimerkiksi Edward Snowdenin paljastukset osoittavat, että Yhdysvalloissa tiedustelupalveluille tarkoitettuja valtuuksia on käytetty terrorismin ja muiden vakavien rikosten lisäksi myös tavanomaisempien rikosten tutkinnassa. Lisäksi tiedustelutietoja on hyödynnetty mm. kauppaneuvotteluissa ja muissa diplomaattisissa yhteyksissä. On siis ensiarvoisen tärkeää, että tiedusteluvaltuutettu sekä parlamentaarinen tiedusteluvaliokunta ottavat tarkkaan selvää tietojen hankinnasta ja käytöstä.

Myös kustannustehokkuutta on hyvä tarkastella. Järjestelmän pystyttämisen kustannusarvio liikkuu kymmenen miljoonan euron tienoilla ja lisäksi vuosittaiset kustannukset ovat n. 20 miljoonaa euroa joka vuosi. Varsinkin terrorismin ehkäisyn käyttäminen järjestelmän perusteena ei selviä tästä tarkastelusta, sillä ainakin vielä terrorististen tekojen kustannukset Suomessa ovat hyvin pienet elleivät olemattomat. Toisaalta muun tiedustelutoiminnan ja erityisesti vieraan vallan vaikutus- ja vakoilutoiminnan tarkkailun hyödyt saattavat hyvinkin oikeuttaa kymmenien miljoonien vuosikustannuksiin. Yhtenä ongelmana on, että valtuuksien – ja näin ollen myös kustannusten – vähentäminen tämän tyyppisistä laeista on poliittisesti vaikeaa. Näin ollen kustannustehokkuutta saatetaan hakea laajentamalla kerätyn tiedon hyödyntämisalaa.

Miten ehkäistä inhimillisiä virheitä?

Edelleen yhtenä ongelmallisena piirteenä voidaan nähdä inhimillisten väärinkäytösten mahdollisuus. Maailmalla tunnetaan jopa käsite LOVEINT, joka tarkoittaa sitä, että jotkut tiedustelualan työntekijät käyttävät valtuuksiaan tehdä hakuja henkilöistä ja organisaatioista omien läheistensä, esimerkiksi puolisoidensa, tietojen tarkistamiseen. Myös Suomessa on tapauksia, joissa viranomaistoimijat ovat ylittäneet valtuutensa nykyisten järjestelmien puitteissa selvittääkseen itselleen merkityksellisiä asioita ja henkilöitä.

Uusien valtuuksien myötä luotavissa järjestelmissä on luonnollisesti myös mahdollisuus inhimillisille väärinkäytöksille. Yhtenä mahdollisena keinona ehkäistä väärinkäytöksiä on tehdä järjestelmistä sellaisia, että hakujen tekeminen ei ole yhtä suoraviivaista kuin vaikkapa verkon hakukoneilla, vaan haku vaatii hakutermien lisäksi myös perustelut niiden käytölle. Edelleen voidaan ajatella, että hakujen tulokset eivät tule suoraan ruudulle, vaan haku käynnistää prosessin, jossa hakukriteerien lainmukaisuus arvioidaan. Vasta tämän prosessin jälkeen tulokset olisivat saatavilla – mahdollisesti takautuvasti haun kirjaushetkestä alkaen – tiedusteluviranomaiselle.

Tiedustelulait ovat varmasti tarpeen Suomessa, jotta viranomaiset ja päättäjät voivat saada ajantasaista tietoa Suomea koskevista uhkista. Lain laajuutta on kuitenkin hyvä arvioida kriittisesti. Lisäksi lain mahdollisesti tultua voimaan valvovien tahojen tulee tarkastella lain kirjaimen ja hengen toteutumista erittäin tarkasti. Näin voidaan välttää useiden muiden maiden virheet ja ylilyönnit tiedustelussa.

Lopuksi haluan esittää kysymyksen päättäjille, jotka lain säätämisestä viime kädessä päättävät. Onko laki mielestänne sellainen, että nukutte yönne hyvin, mikäli vallassa olisivat pahimman poliittisen painajaisenne henkilöt ja tahot? Jos ette voi vastata tuohon kysymykseen myöntävästi, niin miettikää, miten lakia tulisi muuttaa, ja esittäkää tarvittavat muutokset lakiin.

Kimmo Halunen VTT

Kimmo Halunen
Erikoistutkija
Twitter: @khalunen 

Yritys, miten valitset tietoturvapalvelusi?

Kyberrikollisuus rehottaa, ja palvelunestohyökkäykset ja kiristyshaittaohjelmat yleistyvät verkossa. Onko yksityisyydensuojasi kunnossa ja elektroniikkalaitteesi suojattu?

Cyber security

Kyberturvallisuuden puutteet ja niistä johtuvat ongelmat näkyvät sekä digitaalisessa ympäristössä että reaalimaailmassa. Luottamus moniin nykyisiin järjestelmiin on rapistumassa. Erilaiset hyökkäykset ovat arkipäivää verkossa ja yksittäisen käyttäjän on usein vaikea tietää, mitä vaikutuksia näillä on, elleivät ne kohdistu juuri omaan toimintaan. Erityisesti välillisten vaikutusten ketjua voi olla vaikea arvioida.

Informaatiovaikuttamisen keinoin pyritään vaikuttamaan niin ruohonjuuritasolla – vrt. älypuhelimen käyttäjää tukevat tekoälysovellukset – kuin suurissa ympyröissä esimerkiksi vaalien aikana. Tietovuodot johtuvat hyvin usein järjestelmissä piilevistä aukoista, joita erilaiset hakkerit hyödyntävät. Vuodettuja tietoja voidaan käyttää useilla eri tavoilla riippuen hyökkääjän tavoitteista, joita voivat olla taloudelliset intressit, vakoilu, väärinkäytösten paljastaminen tai kohteen maineen pilaaminen. Palvelunestohyökkäykset lamauttavat järjestelmiä harva se päivä, ja rikolliset keräävät rahaa erilaisten kiristyshaittaohjelmien avulla.

Toimintamme ennustettavissa tiedonjyviä yhdistämällä

Myös yksityisyyden suoja on heikentynyt, koska yhtäältä valtiolliset ja toisaalta yksityiset kaupalliset toimijat ovat havainneet verkossa tapahtuvan kanssakäymisen tarjoavan paljon mahdollisuuksia. Tietojen keruu ja niiden hyödyntäminen ovat arkipäiväistä toimintaa nykymaailmassa ja mahdollistavat monia hienoja sovelluksia, jotka helpottavat arkeamme. Varjopuolena on se, että sinällään yksittäisistä tiedonjyväsistä voidaan muodostaa yhdistelemällä erittäin tarkka kuva meistä ja ennustaa hyvin pitkälle toimintaamme tulevaisuudessa. Ja tätä tietoa voidaan käyttää meidän ohjailemiseemme vaikkapa markkinoinnin tai äänestyskäyttäytymisen suhteen.

Tuleva kehitys vie meitä yhä enemmän kohti maailmaa, jossa erilaiset laitteet ovat yhteydessä internetiin ja toisiinsa. Tämä ensisijaisen tavoitteensa mukaisesti lisää taloudellista toimeliaisuutta, mutta tuo huomattavasti lisää mahdollisuuksia hyökkääjille. Esimakua tästä on saatu jo suurten palvelunestohyökkäysten kautta. Näissä on hyödynnetty huonosti suojattuja internetiin kytkettyjä laitteita, kuten valvontakameroita, ja näiden avulla luotu suuria määriä liikennettä uhria vastaan.

Lisäksi erilaisia kiristyshaittaohjelmia on suunnattu yksityishenkilöitä ja yrityksiä vastaan. Koska tiedolla on yhä suurempi arvo ja sen saatavuus esimerkiksi sairaaloissa on kriittisen tärkeää, uhrit saattavat olla taipuvaisia maksamaan lunnaat.

Mitä voimme tehdä?

Kuluttajien tulisi voida vaatia parempaa tietoturvaa. Valitettavasti kuluttajien on äärimmäisen vaikea saada tietoa laitteiden ja ohjelmistojen tietoturvasta. Usein ongelmat paljastuvat vasta jälkikäteen, jolloin ostopäätöstä on usein myöhäistä katua.

Teknologian kehittäjien tulisi tiedostaa tietoturvan merkitys. Laitteet ja ohjelmistot tulee suunnitella, valmistaa ja testata tietoturvallisuuden osalta riittävän huolellisesti. Täydellistä turvallisuutta ei voida saavuttaa, mutta on tärkeää, että hyökkääminen ei ole liian helppoa. On kuitenkin vaikea valita erilaisista palveluista ja tuotteista juuri se oikea, joka sopii parhaiten omaan käyttöön.

Tietoturvapalvelun ja -teknologian käyttöönotto herättää monia kysymyksiä eikä ole aina selvää, vastataanko näihin enemmän tunteella vai järkiperäisesti. Suomalaisesta ja eurooppalaisesta näkökulmasta erikoisena merkkinä voidaan pitää sitä, että eurooppalaisista organisaatioista alle 10 % valitsee eurooppalaisen palvelun.

Yhdessä tietoturvallisuuden asiantuntijakumppaniemme kanssa päätimme ottaa selvää, millaisin perustein tietoturvapalveluita ja -teknologioita yrityskäyttöön hankitaan. Osallistu tutkimukseen, joka alkaa huhtikuussa, ja kerro mielipiteesi – lisäämme linkin tännekin huhtikuussa. Vastaajille järjestämme informatiivisen mutta rennon palautetilaisuuden pääkaupunkiseudulla, todennäköisesti 8.6. – päivämäärä varmistetaan, kun kysely avautuu.

Päivitys 10.5. – tekstissä mainittu kysely löytyy täältä.

Kimmo Halunen VTT

Kimmo Halunen, erikoistutkija
Twitter: @khalunen 

Pekka Savolainen VTT

Pekka Savolainen, johtava tutkija

Calling all companies – how do you choose an information security service?

Cyber-crime is rampant; denial of service attacks and extortion malware are proliferating online. Is your protection in good shape, are your electronic devices protected?

Cyber security

Cyber ​​security weaknesses and the resulting problems are affecting both the digital environment and the real world. Trust in many current systems is weakening. Various kinds of attacks are commonplace online and, unless they are directly affected, individual users often find it difficult to understand the impacts of such attacks. Chains of indirect impacts are particularly difficult to grasp.

Information warfare seeks to have an impact at grassroots level (e.g. AI applications that support smartphone users) as well as on a larger scale, such as during elections. Information leaks are very often due to hidden vulnerabilities in systems, which are exploited by various hackers. Such information can be used in various ways, depending on the aims of the attacker: financial interests, espionage, whistle-blowing or engaging in smear campaigns. Systems are paralysed by denial of service attacks on a daily basis, and criminals use a range of malware to extort money from victims.

Anticipating our actions by combining data

Privacy has also been compromised, because both the private and public sectors have woken up to the potential of online interaction. The gathering and use of data are everyday activities in the modern world and enable a range of wonderful applications that make our everyday lives easier. The downside is that individual scraps of data can be combined to form a highly accurate picture of us and strongly anticipate our future actions. Such data could be used to manipulate us in terms of marketing or voting behaviour, for example.

Future development will propel us into a world where various appliances interact with each other and the internet. While this will increase business activity, which is the main idea behind it, it will also create many more opportunities for attackers. A foretaste of this has already been provided by large-scale denial of service attacks. These have exploited poorly protected online devices such as surveillance cameras, creating huge amounts of abusive traffic at the victim’s expense.

In addition, a range of extortion malware is targeted at individuals and businesses. Victims are often inclined to pay up, given the increasing value of data and its availability in critical environments such as hospitals.

What can we do?

Consumers should demand better security. Unfortunately, it is extremely difficult for consumers to obtain information on the security of devices and software. Problems are often only revealed in retrospect, when it is too late to have ‘buyer’s regret’.

Technology developers should become aware of the importance of information security. Devices and software should be designed, developed and tested with sufficient thoroughness from the information security perspective. Although complete security is unachievable, attackers should not be presented with easy targets. On the other hand, choosing just the right service and product for your own use can be difficult.

Many questions are raised by the adoption of information security and technology, and it is not always clear whether such questions meet with a more emotional or rational reaction. From the Finnish and European perspective, it is particularly interesting that under 10% of European organisations opt for a European service.

Together with our expert network and information security partners, we have decided to explore the criteria that businesses use when choosing security services and technologies. Participate in our survey which will be released in early April and give us your opinion – we will update the link to survey here. We will organise an informative but relaxed feedback session for respondents in the Helsinki metropolitan area, possibly on 8 June (the date will be confirmed when we launch the survey).

Update, 10 May 2017: you find the survey here.

Kimmo Halunen VTT

Kimmo Halunen, Senior Scientist
Twitter: @khalunen

Pekka Savolainen VTT

Pekka Savolainen, Principal Scientist

Koululaiset salaamisen mestareita? Tule testaamaan taitosi Tutkijoiden yöhön

Me VTT:n kyberturvatiimiläiset levitimme elokuun aikana kyberturvallisuuden sanomaa sekä ala- että yläkouluissa Oulun seudulla. Alakoululaiset saivat itse askarrella salauskiekkoja ja yläkoululaiset kokeilla täydellisen salauksen huijaamista.

Halusimme esitellä Tutkijoiden yö -tapahtumassa Heurekassa 30.9.2016 mukana olevia demojamme. Demonstroimme alakoululaisille yksinkertaista Ceasar-salausta – nimetty Julius Ceasarin mukaan – tätä tarkoitusta varten suunnitellun kiekon avulla. Ceasar-salauksessa aakkoston kirjaimia siirretään salattaessa eteenpäin sovittu määrä, esimerkiksi A->D, B->E, C->F jne. Luonnollisesti avaaminen tapahtuu siirtämällä salakirjoitetun tekstin kirjaimia taaksepäin sama määrä.

Täydellinen salaus on mahdollista käyttämällä ns. kertakäyttölehtiötä eli kirjoittamalla viestin kanssa yhtä pitkä, mutta täysin satunnainen merkkijono samasta aakkostosta ja yhdistämällä viesti ja satunnainen merkkijono. Tällöin lopputulema on myös täysin satunnainen, eikä siitä voi päätellä mitään alkuperäisestä viestistä. Kuitenkaan edes tällainen täydellinen salaaminen ei suojaa viestiä muutoksilta. Tehtävässämme yläkoululaiset pääsivät kokeilemaan, kuinka helposti aivan päässä laskemalla voi muuttaa täydellisesti salatusta viestistä esiintyvät nimikirjaimet omiksi nimikirjaimiksi.

Koululaiset olivat innokkaasti mukana. Aika monelle kyberturvallisuus ja salaaminen olivat ainakin termeinä tuttuja. Juttelimme myös hiukan siitä, millaisissa käytännön elämän sovelluksissa nämä asiat toteutuivat ja miksi ne ovat merkittäviä. Hyvä esimerkki, mitä moni ei tullut ajatelleeksi, on lasten oma puhelin ja sen käyttö. Mielestämme on tärkeää, että lapset ja nuoret ymmärtävät heille monesti melko näkymättömäksi jääviä, mutta silti meidän kaikkien elämäämme syvällisesti vaikuttavia asioita, kuten tarpeen kyberturvallisuudelle ja salaukselle. Myös näiden asioiden hyvistä ja huonoista puolista on hyvä keskustella jo varhain.

Erittäin onnistuneen kokeilumme jälkeen toivomme näkevämme innostuneita ja kiinnostuneita lapsia ja nuoria myös Tutkijoiden yö -tapahtumassa Heurekassa! Tervetuloa mukaan oppimaan!

Anni Karinsalo, tutkija

Kimmo Halunen, erikoistutkija; Twitter: @khalunen