2014-02-23

Luurivuotoa

Helsingin Sanomat kirjoittaa tänään (23.2.) Sunnuntai-osiossaan, kuinka Lumia-puhelimet vuotavat tietoja ulkomaille.

Tavallaan tämä ei ole edes uutinen: viimeistään viime kesän Snowden-paljastusten jälkeen ei pitäisi tulla kenellekään yllätyksenä, että puhelimia seurataan. Eikä tähän oikeastaan Snowdenia edes tarvittu: kaikki nykyiset älypuhelimet tukeutuvat innokkaasti pilvipalveluihin, ja ne pilvet sijaitsevat tyypillisesti jossain ihan muualla kuin Suomessa. Snowden lisäsi juttuun mausteeksi NSA:n, mutta tiedon siirtyminen ulkomaille oli jo ennestään selviö.

Mielenkiintoiseksi Helsingin Sanomien jutun tekevät sen sivujuonteet. Lehden saamien tietojen mukaan nimittäin Nokia on jo vuosien ajan toiminut sujuvassa yhteistyössä poliisin kanssa ja toimittanut puhelinten seurantatietoja tarpeen mukaan, turhia oikeuden määräyksiä kyselemättä.

Tietojen pyytäminen ja antaminen muistuttaa ainakin päällepäin viime syksyistä Kiakkovieras-tapausta, jossa poliisi pyysi keskustelupalstan ylläpitäjältä verkkokirjoittajien henkilötietoja. Tuolloin eduskunnan oikeusasiamies päätti (PDF), että tietojen kysely oli poliisilain mukaista, vaikka sitä ei aivan pienimpiin tarpeisiin pitäisikään käyttää.

Kiakkovieras-kysely perustui poliisilain 36. pykälään, jonka mukaan tietoja on mahdollista pyytää ja saada, jos poliisille kuuluvan tehtävän suorittaminen sitä edellyttää. Ympäripyöreän pykälän tavoitteena on ilmeisesti ollut lähinnä mahdollistaa yhteydenotto silloinkin, kun henkilön yhteystiedot eivät ole julkisia. Siitä on kuitenkin tullut myös tutkinnan väline, jolla kierretään poliisilain ja pakkokeinolain 5a luvun vaatimusta oikeuden päätöksestä.

Jos HS:n tiedot pitävät paikkansa, ollaan kuitenkin epäselvillä vesillä. Pahaksi onneksi nimittäin tuo mainittu 36 § sisältää rajauksen:

Telekuuntelusta, televalvonnasta ja tietojen hankkimisesta matkaviestimien sijainnista on voimassa, mitä niistä erikseen säädetään.

Nyt on käynyt niin, että niistä erikseen säädetään, että lupa pitäisi olla. Tietosuojavaltuutettu Reijo Aarnio on syystäkin huolissaan.

Viestintävirasto vesittyy

Itseäni huolestuttaa ehkä vieläkin enemmän Viestintäviraston rooli. HS:n mukaan Viestintäviraston tehtävä on valvoa viestisalaisuutta ja valtionhallinnon käyttämien laitteiden turvallisuutta.

Virasto ryhtyikin tarmokkaasti toimeen ja lähetti Nokialle selvityspyynnön kesäkuussa 2013, ensimmäisten Snowden-paljastusten jälkimainingeissa. Tähän saakka kaikki vaikuttaa hyvältä: huolestuttavaa tietoa saatuaan virasto otti kopin ja lähti selvittämään asiaa. Jos asia olisi edennyt tällä ladulla, kaikki olisi hyvin. Vaan kun ei:

Nokia ei pystynyt antamaan Viestintäviraston toivomaa vakuutusta puhelimiensa yksityisyydensuojasta.

Heinäkuussa 2013 Viestintävirasto vesitti alkuperäisen pyyntönsä ja teki uuden, entistä suppeamman pyynnön Nokialle. Nokia ei pystynyt vieläkään vastaamaan.

[...]

Viestintäviraston kolmannessa pyynnössä vakuutus rajattiin koskemaan suomalaisille myytäviä laitteistoja ja ohjelmistoja. Pyynnön ulkopuolelle rajattiin alihankkijoiden ja yhteistyökumppaneiden toimenpiteet.

Virasto, jonka tehtävänä on huolehtia laitteiden turvallisuudesta, laimensi siis selvityspyyntöään aina vain ohuemmaksi, kunnes päästiin sellaiseen sanamuotoon, jolla Nokia pystyi sen allekirjoittamaan. Ja silloinkin vain vaivoin:

Nokian tiedossa ei ole, että sen Suomessa myytäviin tuotteisiin olisi tarkoituksellisesti asennettu valmistusvaiheessa sellaisia toiminnallisuuksia tai komponentteja, jotka mahdollistavat käyttäjän yksityisten tietojen paljastumisen ulkopuolisille käyttäjän tietämättä.

Kuten Helsingin Sanomien jutussakin todetaan, Nokia ei tietenkään ole tässä tilanteessa yksin. Jos käytössä on Android, luuri huutelee tietojaan Googlen pilveen, iPhone puolestaan soittelee innolla Applelle. Nokia ja Microsoft eivät tässä joukossa ole välttämättä sen parempi tai huonompi valinta.

Olisi myös suureellista kuvitella, että Viestintäviraston kaltainen pienen maan pieni elin pystyisi selvityspyynnöillään jotenkin muuttamaan tilannetta, jos tietovuotoa tapahtuisi. Vaan jos selvityspyyntö joudutaan laimentamaan niin suppeaksi, että se ei vastaa tarkoitusperiään, sitä oli turha lähettää alunperinkään.

Suomen virallinen käyttöjärjestelmä

Jos valtionhallinnon tietoturvasta ollaan aidosti huolissaan, on tietysti paikallaan kysyä, mitä tilanteelle voisi tehdä. Pitäisikö valtionhallinnon lyödä viisaat päänsä yhteen ja tilata Tiedolta, Accenturelta, CGI:ltä tai joltain muulta virallisen leiman saaneelta konsulttitalolta kotimainen kännykkäkäyttöjärjestelmä?

Idea ei ole aivan mahdoton. Vaikka Google on monien mielestä siirtynyt pahisten joukkoon, Android on edelleen vähintäänkin oiva pohja vaikkapa jollekin CyanogenModin kaltaiselle käyttöjärjestelmälle. Amazon on sekin osoittanut, että kun halua riittää, Androidista voi kehittää Googlesta riippumattoman version. Haluttaessa puhelimet voitaisiin noutaa edelleen suoraan kaupasta, ohjelmistoksi vain pultattaisiin tietoturvallinen Findroid.

Hiukan maanläheisempi vaihtoehto on siirtyä käyttämään puhelimia, jotka eivät vuoda tietoja. Viestintäviraston tänään julkaiseman tiedotteen mukaan tietoturvaa koskeva vakuutuspyyntö lähetettiin myös Jollalle. Jos kyseessä on pyyntö, joka Nokiallekin alunperin lähetettiin, ja jos Jolla kykenee vastaamaan siihen myöntävästi, luulisi valtionhallinnossa piakkoin koittavan luurinvaihtoviikot.

P.S. Koska viittasin viime vuotisiin tapahtumiin, linkittelin selvyyden vuoksi vanhoihin lakeihin. Vuoden alusta on nimittäin tullut voimaan uusi poliisilaki (siinä katso 5. luku, salaiset tiedonhankintakeinot) ja uusi pakkokeinolaki (10. luku, salaiset pakkokeinot). Lakeja on siinä määrin teknistetty, että nyt puhutaan muun muassa tukiasematiedoista. Itse kukin voi miettiä, onko soluverkkoteknologian termistön tuominen lakiin kestävää kehitystä.

Ei kommentteja: