Suomen uudet tiedustelulait – hyvät, pahat ja rumat?

Suomeen ollaan juuri nyt säätämässä uusia sotilas- ja siviilitiedustelulakeja. On kuitenkin hyvä pysähtyä miettimään, ovatko juuri nyt esitetyn kaltaiset valtuudet oikeanlaiset ja onko niissä löydetty hyvä tasapaino turvallisuusuhkien ja kansalaisten yksityisyydensuojan välille? Onko laki sellainen, että nukutte yönne hyvin, mikäli vallassa olisivat pahimman poliittisen painajaisenne henkilöt ja tahot?

Ei salauksen heikentämiselle eikä takaportteja ohjelmistoihin

Vastikään julkaistujen mietintöjen ehdottomasti parhaat puolet löytyvät siitä, mitä uudessa laissa EI OLLA vaatimassa. Viime vuosina on Yhdysvalloissa FBI:n ja Euroopassa mm. Saksan ja Ranskan sisäministerien sekä viimeksi EU:n oikeuskomissaarin voimin vaadittu salattujen viestintävälineiden salauksen heikentämistä niin, että viranomaiset voisivat halutessaan päästä käsiksi viestien sisältöön. Tätä nykyä useat suositut viestintäohjelmistot, kuten Whatsapp, salaavat viestisisällön lähettäjältä vastaanottajalle siten, että vain nämä tahot pystyvät viestinnän salauksen purkamaan. Tämä on herättänyt huolta rikostutkinnan ja tiedustelun mahdollisuuksista. Kuitenkin tilanne on sellainen, että mahdollisia lakeja tai asetuksia viestinnän salauksen heikentämisestä on liki mahdotonta valvoa ja lisäksi heikennykset salaukseen aiheuttaisivat enemmän haittaa tavallisille, lainkuuliaisille toimijoille kuin mitä mahdolliset hyödyt tiedustelussa ja rikostorjunnassa olisivat.

Myös erilaisten takaporttien vaatiminen ohjelmistoihin tai muihin järjestelmiin on huono ajatus, sillä se siirtäisi vain tällaisten järjestelmien valmistuksen muihin maihin ja täten haittaisi merkittävästi suomalaisia tietoturva-alan yrityksiä. Näin ollen on ilahduttavaa huomata, että Suomessa ei olla esittämässä tällaisia tuhoon tuomittuja ajatuksia uusiin tiedustelulakeihin.

Massavalvontaoikeudet voivat johtaa myös väärinkäytöksiin

Kuitenkaan nyt esitetyt uudet valtuudet puolustusvoimille ja suojelupolisiille eivät ole täysin ongelmattomia. Vaikka uusien lakien puolestapuhujat korostavat sitä seikkaa, että nyt esitetyt lait eivät mahdollista tietoliikenteen massavalvontaa, on kuitenkin selvää, että uusi järjestelmä tulee teknisesti vaatimaan mekanismin, joka mahdollistaa kaiken tietoliikenteen valvomisen. Mitenkään muuten ei ole mahdollista tarjota tiedusteluviranomaisille menetelmiä tehdä kohdennettuja hakuja millä tahansa hakutermeillä.

Tämä tosiseikka johtaa kysymykseen, jonka muutamat tahot ovat jo esittäneet uusiin lakeihin liittyen. Ovatko nämä lait ja erityisesti niihin kirjatut valvontamekanismit riittävät myös silloin, jos valtaan valitaan tahoja, jotka haluavat mahdollisesti käyttää näitä menetelmiä lain hengen vastaisesti? Esimerkiksi Edward Snowdenin paljastukset osoittavat, että Yhdysvalloissa tiedustelupalveluille tarkoitettuja valtuuksia on käytetty terrorismin ja muiden vakavien rikosten lisäksi myös tavanomaisempien rikosten tutkinnassa. Lisäksi tiedustelutietoja on hyödynnetty mm. kauppaneuvotteluissa ja muissa diplomaattisissa yhteyksissä. On siis ensiarvoisen tärkeää, että tiedusteluvaltuutettu sekä parlamentaarinen tiedusteluvaliokunta ottavat tarkkaan selvää tietojen hankinnasta ja käytöstä.

Myös kustannustehokkuutta on hyvä tarkastella. Järjestelmän pystyttämisen kustannusarvio liikkuu kymmenen miljoonan euron tienoilla ja lisäksi vuosittaiset kustannukset ovat n. 20 miljoonaa euroa joka vuosi. Varsinkin terrorismin ehkäisyn käyttäminen järjestelmän perusteena ei selviä tästä tarkastelusta, sillä ainakin vielä terrorististen tekojen kustannukset Suomessa ovat hyvin pienet elleivät olemattomat. Toisaalta muun tiedustelutoiminnan ja erityisesti vieraan vallan vaikutus- ja vakoilutoiminnan tarkkailun hyödyt saattavat hyvinkin oikeuttaa kymmenien miljoonien vuosikustannuksiin. Yhtenä ongelmana on, että valtuuksien – ja näin ollen myös kustannusten – vähentäminen tämän tyyppisistä laeista on poliittisesti vaikeaa. Näin ollen kustannustehokkuutta saatetaan hakea laajentamalla kerätyn tiedon hyödyntämisalaa.

Miten ehkäistä inhimillisiä virheitä?

Edelleen yhtenä ongelmallisena piirteenä voidaan nähdä inhimillisten väärinkäytösten mahdollisuus. Maailmalla tunnetaan jopa käsite LOVEINT, joka tarkoittaa sitä, että jotkut tiedustelualan työntekijät käyttävät valtuuksiaan tehdä hakuja henkilöistä ja organisaatioista omien läheistensä, esimerkiksi puolisoidensa, tietojen tarkistamiseen. Myös Suomessa on tapauksia, joissa viranomaistoimijat ovat ylittäneet valtuutensa nykyisten järjestelmien puitteissa selvittääkseen itselleen merkityksellisiä asioita ja henkilöitä.

Uusien valtuuksien myötä luotavissa järjestelmissä on luonnollisesti myös mahdollisuus inhimillisille väärinkäytöksille. Yhtenä mahdollisena keinona ehkäistä väärinkäytöksiä on tehdä järjestelmistä sellaisia, että hakujen tekeminen ei ole yhtä suoraviivaista kuin vaikkapa verkon hakukoneilla, vaan haku vaatii hakutermien lisäksi myös perustelut niiden käytölle. Edelleen voidaan ajatella, että hakujen tulokset eivät tule suoraan ruudulle, vaan haku käynnistää prosessin, jossa hakukriteerien lainmukaisuus arvioidaan. Vasta tämän prosessin jälkeen tulokset olisivat saatavilla – mahdollisesti takautuvasti haun kirjaushetkestä alkaen – tiedusteluviranomaiselle.

Tiedustelulait ovat varmasti tarpeen Suomessa, jotta viranomaiset ja päättäjät voivat saada ajantasaista tietoa Suomea koskevista uhkista. Lain laajuutta on kuitenkin hyvä arvioida kriittisesti. Lisäksi lain mahdollisesti tultua voimaan valvovien tahojen tulee tarkastella lain kirjaimen ja hengen toteutumista erittäin tarkasti. Näin voidaan välttää useiden muiden maiden virheet ja ylilyönnit tiedustelussa.

Lopuksi haluan esittää kysymyksen päättäjille, jotka lain säätämisestä viime kädessä päättävät. Onko laki mielestänne sellainen, että nukutte yönne hyvin, mikäli vallassa olisivat pahimman poliittisen painajaisenne henkilöt ja tahot? Jos ette voi vastata tuohon kysymykseen myöntävästi, niin miettikää, miten lakia tulisi muuttaa, ja esittäkää tarvittavat muutokset lakiin.

Kimmo Halunen VTT

Kimmo Halunen
Erikoistutkija
Twitter: @khalunen 

Yritys, miten valitset tietoturvapalvelusi?

Kyberrikollisuus rehottaa, ja palvelunestohyökkäykset ja kiristyshaittaohjelmat yleistyvät verkossa. Onko yksityisyydensuojasi kunnossa ja elektroniikkalaitteesi suojattu?

Cyber security

Kyberturvallisuuden puutteet ja niistä johtuvat ongelmat näkyvät sekä digitaalisessa ympäristössä että reaalimaailmassa. Luottamus moniin nykyisiin järjestelmiin on rapistumassa. Erilaiset hyökkäykset ovat arkipäivää verkossa ja yksittäisen käyttäjän on usein vaikea tietää, mitä vaikutuksia näillä on, elleivät ne kohdistu juuri omaan toimintaan. Erityisesti välillisten vaikutusten ketjua voi olla vaikea arvioida.

Informaatiovaikuttamisen keinoin pyritään vaikuttamaan niin ruohonjuuritasolla – vrt. älypuhelimen käyttäjää tukevat tekoälysovellukset – kuin suurissa ympyröissä esimerkiksi vaalien aikana. Tietovuodot johtuvat hyvin usein järjestelmissä piilevistä aukoista, joita erilaiset hakkerit hyödyntävät. Vuodettuja tietoja voidaan käyttää useilla eri tavoilla riippuen hyökkääjän tavoitteista, joita voivat olla taloudelliset intressit, vakoilu, väärinkäytösten paljastaminen tai kohteen maineen pilaaminen. Palvelunestohyökkäykset lamauttavat järjestelmiä harva se päivä, ja rikolliset keräävät rahaa erilaisten kiristyshaittaohjelmien avulla.

Toimintamme ennustettavissa tiedonjyviä yhdistämällä

Myös yksityisyyden suoja on heikentynyt, koska yhtäältä valtiolliset ja toisaalta yksityiset kaupalliset toimijat ovat havainneet verkossa tapahtuvan kanssakäymisen tarjoavan paljon mahdollisuuksia. Tietojen keruu ja niiden hyödyntäminen ovat arkipäiväistä toimintaa nykymaailmassa ja mahdollistavat monia hienoja sovelluksia, jotka helpottavat arkeamme. Varjopuolena on se, että sinällään yksittäisistä tiedonjyväsistä voidaan muodostaa yhdistelemällä erittäin tarkka kuva meistä ja ennustaa hyvin pitkälle toimintaamme tulevaisuudessa. Ja tätä tietoa voidaan käyttää meidän ohjailemiseemme vaikkapa markkinoinnin tai äänestyskäyttäytymisen suhteen.

Tuleva kehitys vie meitä yhä enemmän kohti maailmaa, jossa erilaiset laitteet ovat yhteydessä internetiin ja toisiinsa. Tämä ensisijaisen tavoitteensa mukaisesti lisää taloudellista toimeliaisuutta, mutta tuo huomattavasti lisää mahdollisuuksia hyökkääjille. Esimakua tästä on saatu jo suurten palvelunestohyökkäysten kautta. Näissä on hyödynnetty huonosti suojattuja internetiin kytkettyjä laitteita, kuten valvontakameroita, ja näiden avulla luotu suuria määriä liikennettä uhria vastaan.

Lisäksi erilaisia kiristyshaittaohjelmia on suunnattu yksityishenkilöitä ja yrityksiä vastaan. Koska tiedolla on yhä suurempi arvo ja sen saatavuus esimerkiksi sairaaloissa on kriittisen tärkeää, uhrit saattavat olla taipuvaisia maksamaan lunnaat.

Mitä voimme tehdä?

Kuluttajien tulisi voida vaatia parempaa tietoturvaa. Valitettavasti kuluttajien on äärimmäisen vaikea saada tietoa laitteiden ja ohjelmistojen tietoturvasta. Usein ongelmat paljastuvat vasta jälkikäteen, jolloin ostopäätöstä on usein myöhäistä katua.

Teknologian kehittäjien tulisi tiedostaa tietoturvan merkitys. Laitteet ja ohjelmistot tulee suunnitella, valmistaa ja testata tietoturvallisuuden osalta riittävän huolellisesti. Täydellistä turvallisuutta ei voida saavuttaa, mutta on tärkeää, että hyökkääminen ei ole liian helppoa. On kuitenkin vaikea valita erilaisista palveluista ja tuotteista juuri se oikea, joka sopii parhaiten omaan käyttöön.

Tietoturvapalvelun ja -teknologian käyttöönotto herättää monia kysymyksiä eikä ole aina selvää, vastataanko näihin enemmän tunteella vai järkiperäisesti. Suomalaisesta ja eurooppalaisesta näkökulmasta erikoisena merkkinä voidaan pitää sitä, että eurooppalaisista organisaatioista alle 10 % valitsee eurooppalaisen palvelun.

Yhdessä tietoturvallisuuden asiantuntijakumppaniemme kanssa päätimme ottaa selvää, millaisin perustein tietoturvapalveluita ja -teknologioita yrityskäyttöön hankitaan. Osallistu tutkimukseen, joka alkaa huhtikuussa, ja kerro mielipiteesi – lisäämme linkin tännekin huhtikuussa. Vastaajille järjestämme informatiivisen mutta rennon palautetilaisuuden pääkaupunkiseudulla, todennäköisesti 8.6. – päivämäärä varmistetaan, kun kysely avautuu.

Päivitys 10.5. – tekstissä mainittu kysely löytyy täältä.

Kimmo Halunen VTT

Kimmo Halunen, erikoistutkija
Twitter: @khalunen 

Pekka Savolainen VTT

Pekka Savolainen, johtava tutkija