*

Jakamisen arvoisia asioita

Hakkeroinnin pysäyttäminen ei edellytä lainmuutosta

Hallitus puuhaa kansallisen kyberstrategian nimissä kiireellä uutta lainsäädäntöä, jossa viranomaisille taataan nykyisiä tuntuvasti laajemmat valmiudet muun muassa internetliikenteen seurantaan ja sähköiseen tiedusteluun¹. Käytännössä siis on, kenties Snowden-paljastusten ansiosta, herätty siihen millaista vakoilua monet länsimaat harjoittavat. Aiemmin tällaista on pidetty yleisesti tuomittavana ja mm. Ruotsin FRA-vakoilusta ollaan hallituksessakin oltu huolestuneita². Nyt suunta näyttää muuttuneen.

Keppihevosena asiassa käytetään julkisuudessa esillä ollutta Ulkoministeriöön kohdistunutta hakkerointitapausta. Siinä viranomaiset jäivät kiinni housut kintuissa. Tekijästä ei ole tietoakaan, eikä liioin siitä miten pitkään vakoilu on jatkunut ennen kuin se lopulta havaittiin. Argumenttina on, että nyt tarvitaan nämä uudet lait, jotta vakoiluun voitaisiin puuttua myös virka-ajan ulkopuolella.

Väite nettivakoilun tarpeellisuudesta hakkeroinnin estämisessä on tietysti asiaa tuntevalle aivan absurdi. Hakkerin tietoliikenne näyttää netissä aivan samalta kuin vaikkapa viaton webbisurffailu, eikä sitä voi nettivalvonnalla tunnistaa. Sen sijaan hakkerointiin voidaan jo nykyisenkin lain puitteissa aivan hyvin puuttua ministeriön sisällä täysipainoisesti, kunhan niin vaan päätetään tehdä.

Suomen tulee ensi tilassa perustaa tietoturvasta perillä oleva valmiuskeskus, joka on toiminnassa vuorokauden ympäri. Keskukseen tulee palkata ensisijaisesti todella kovan luokan tekijöitä (nk. valkohattuhakkereita), ei byrokraatteja. Paperia hallitus on tietoturva-asioista tuottanut tähänkin saakka, mutta on ilmeistä, ettei sillä ole hakkereita pysäytetty. Hakkerin pysäyttäminen vaatii ajattelua hakkerin tavoin ja aktiivista hyökkäysvektoreiden etsintää. Lisäksi hakkerin löytäminen edellyttää epätavallisuuksien tarkkailua työasematasolla, kaikkialla missä käsitellään luottamuksellista tietoa, siis mm. ulkoministeriön sisällä.

Keskuksen tehtäväksi jäisi pelkän hyökkäyksiin vastaamisen lisäksi pitää huolta, että tietoturva todella on kunnossa myös "rauhan aikana". Nykytilanne, jossa valtio joutuu, maidon jo ollessa maassa, kääntymään ulkopuolisen yrityksen puoleen, on täysin kestämätön.

Keskuksen tehtäviin ei tule kuulua vakoilu eikä kansalaisten valvonta, eikä tämän mahdollistavia lakeja tule säätää.

 

¹) http://www.hs.fi/kotimaa/Vertailu+Suomen+kyberlait+pahasti+muita+EU-maita+j%C3%A4ljess%C3%A4/a1383544453582

²) http://www.digitoday.fi/tietoturva/2007/05/07/teliasonera-tuo-suomalaisten-sahkopostit-takaisin-suomeen/200711067/66

Piditkö tästä kirjoituksesta? Näytä se!

1Suosittele

Yksi käyttäjä suosittelee tätä kirjoitusta. - Näytä suosittelija

NäytäPiilota kommentit (1 kommentti)

Janne P Hukkinen

Voisiko joku kertoa, minkälaiseen ymmärrykseen ja uhkakuvaan hallinnon vaatimukset oletettavasta verkkokyttäyksen lisäämisestä perustuvat?

Ruotsi on osa USA:n signaalitiedusteluverkostoa, kuten paljastuksista on käynyt ilmi. He luovuttavat dataa ja saavat vastapalveluksena jotain dataa ja/tai menetelmiä mitä lie.

Miksi Suomenkin pitäisi ryhtyä keräämään dataa ja ryhtyä vaihtamaan sitä muiden verkkotiedusteluvaltioiden kanssa?

Minusta kaikista oleellisin kysymys nyt – Snowden paljastusten jälkeisessä uudessa maailmassa – kuitenkin on se, pitääkö verkkotiedusteluviranomaisille sallia big-data-analytiikka ilman sen kummempaa oikeudellista valvontaa niin, että algoritminen valvonta voidaan kohdistaa kaikkeen dataan ja siten myös yksittäisen ihmisen tietoihin?

Tällaisesta keräämisestä voi yksinkertaistaen kyllä todeta, että se on henkilön kyttäämistä mutta ei välttämättä pahasta. Devil is in the details.

Snowden-paljastuksista käy ilmi paljon pahemmat valtuudet: yksittäinen tiedusteluanalyytikko voi tehdä hakuja kaikkeen kerättyyn dataan ja nähdä hakutuloksia yksittäisen sähköpostiosoitteen perusteella. Tämä on yksityisyyden suojan kannalta suuri ongelma, paljon suurempi kuin se, että algoritmisesti yritettäisiin tunnistaa suuresta datamäärästä sellaisia piirteitä, joilla ehkä voitaisiin jollain välttävällä todennäköisyydellä löytyää terrorismilta vaikuttavia aktiviteetteja.

Toki tällainenkin on luultavimmin kustannus/haitta ja hyöty -suhteeltaan kannattamatonta mutta silti eri asia kuin se, että yksittäisellä tiedusteluanalyytikolla on rajoittamaton pääsy kenen tahansa tietoihin.

Toimituksen poiminnat

Tämän blogin suosituimmat kirjoitukset