Tietoturva-arjen kysymyksiä ja vastauksia kirjan perusteella
Ohje: Lue alla oleva johdanto ja valitse nimikoimaton tehtävä sen alla olevasta luettelosta. Nimikoi tehtävä eli kirjoita nimesi sen alkuun numeron jälkeen ja nimen jälkeen toteutuskerran tunnus muodossa (201*-x), missä x=s tai k. Tämän voit tehdä jo ennen kuin edes saat kirjaa haltuusi. Laadi noin 150 sanan mittainen vastaus määräaikaasi mennessä tehtävän alle. Jos käytät myös jotain muuta kuin omaa ja kirjan tietämystä, merkitse lähdeviite.
Hanna Nikkanen: Verkko ja vapaus
Tämä kirja ei näyttäisi kuuluvan tietoturvan ydinalueeseen. Tavanomaista tietoturva-asiaa on vain 10-sivuinen liite Oman viestinnän turvaaminen. Tietoturva-arjen opiskelijalle, joka ei aio jättää taitojaan pelkästään omaan käyttöönsä, kirja on kuitenkin erinomainen ajatusten herättäjä. Uusille tietoturvallisen viestinnän malleille on vielä tilaa ja uudelle liiketoiminnalle mahdollisuuksia, kunhan ymmärtää millaiseen maailmaan niitä pitää kehittää. Alla olevat tehtävät eivät välttämättä tuo näkyviin tärkeimpiä vastauksia tässä suhteessa mutta jättävät toivottavasti mieleen tärkeitä kysymyksiä. Yritä silti löytää omaan vastaukseesi tietoturvan kehittämiseen (tai murtamiseen) liittyvä näkökulma.
1. Leo Juurinen (2018-k) Selitä kirjan kokonaisjuoni, jota kuvaavat muualta lainatut osien nimet Uusi toivo, Imperiumin vastaisku ja Jedin paluu.
Kirjan ensimmäinen osa, Uusi toivo, kertoo internetin tuomasta toivosta, erityisesti kehittyviin maihin. Internet levisi ihmisille käyttöön nopeammin kuin mikään aikaisempi media. Useilla köyhilläkin alueilla on pääsy internet-kahviloihin ja täten yhdistämään samojen ajatusten takana olevia ihmisiä. Nikkanen antaa esimerkkejä, kuinka Egyptissä hyödynnettiin flickriä poliisiväkivaltaa vastaan, Wikileaksin vuodoista USA:n sotarikoksista ja avoimen lähdekoodin hyödyistä Brasiliassa, missä Linux-koneita myydään enemmän kuin Windows-koneita.
Toisessa osassa tarkastellaan valtioiden, niin demokratioiden kuin diktatuurien, toteuttamaa internetin ja median kontrollointia. Esille tulee, kuinka 9/11 muutti käsityksemme yksityisyyden turvasta, ja kuinka sen nojalla heikennettiin kansalaisten useita yksityisyyden suojia. Myös siitä on puhe, kenen tulisi valvoa käyttäjiä, jääkö se eri yritysten tai palveluntarjoajien tehtäviksi, vai valtion omaksi toimeksi.
Kirjan viimeisessä osassa katsotaan tulevaisuuteen. Tai lähinnä vuoden 2012 Islantiin, jossa perustuslakia ollaan luomassa uusiksi ja kansalliskirjasto siirtymässä verkkoon. Nikkanen myös pohtii, mistä Suomi voisi ottaa mallia Islannissa ja Virossa, ja kuinka Suomen pitäisi uskaltaa ottaa kantaa ja tuoda ongelmakohtia esille myös EU:ssa.
2. Pekko Vilpola (2018-s): Mitä keinoja on tehostaa organisoidun väkivallan uhrien itse harjoittamaa ja heidän hyväkseen tehtävää vaikuttamista, kun perusvälineenä on kuvien ja muiden tietojen taltiointi ja levittäminen?
Autoritäärisillä alueilla kansalaisten sananvapauteen liittyy usein vakavia epäkohtia. Internet ja sen tarjoama reaaliaikainen viestintä on tuonut mahdollisuuden aikaisemmin äänettömille kansanryhmille ja yksilöille julkaista tietoa kokemistaan vääryyksistä tai väkivallanteoista.
Kolikon kääntöpuolina toimii valvonta, julkaisemisen kontrolli ja tiedon oikeudellisuuden vahvistamisen vaikeus. Valtio voi tarkkailla kansalaistensa toimia ja kerätä heistä tietoa, mikä voi johtaa tietoturvan ja yksilönvapauden vaarantumiseen. Pahimmillaan saattaa paljastua sellaista tietoa, jota diktatuurisen valtion valtaapitävät voivat käyttää kansalaistensa tuomitsemiseksi. Tällöin myös ihmishenkiä saattaa olla vaarassa. Tästä herää kysymys, mikä vastuu on kansainvälisillä yrityksillä niiden toimiessa maailmalla ja toisaalta taas, voidaanko tietoturvalakeja säädellä kansainvälisesti saman standardin mukaisesti poliittisen tilanteen eroavaisuuksien yhteiskunnissa ollessa niin suuria? Voidaanko valtion hallinnon tiedotuksiin maan tilanteesta luottaa?
Sananvapauden turvaamiseksi pitäisi kansainvälisellä tasolla toimia Internetin saatavuuden ja vapaan käytön edistämiseksi. Kansainväliset suuryritykset tulisi saattaa vastuuteen toiminnastaan tai toimintansa puutteista. Netin rajoittaminen kansalaisilta tai suhteeton kansalaisten toiminnan valvonta tulisi tuomita, ja tähän tarvitaan tuki myös vaikutusvaltaisilta mailta ja suuryrityksiltä. Valtioiden tulisi noudattaa avoimempaa politiikkaa toimistaan ja ihmisoikeusrikkomuksia tehneitä maita voisi painostaa esimerkiksi kauppasaarroilla tai muilla vastaavilla sanktioilla. Tieto on vapautta.
3. Annamari (2018-k) Millaisia nettivastustuksen keinot ovat, kun kyse on korruptiosta ja viranomaisten muista väärinkäytöksistä?
Nikkasen mukaan netin vahvuus väärinkäytöksiä ja korruptiota vastaan on käytännössä se, että netin kautta tietoa saadaan vuodettua koko maailmalle nopeasti ja anonyymisti. Siinä missä ennen tiedon vuotaminen on ollut hidasta ja epävarmaa, nykyään kuka tahansa voi vuotaa väärinkäytöksiin ja korruptioon viittaavia todisteita ilman suurta henkilökohtaista riskiä esimerkiksi vuotosivustojen kautta.
Vuotosivustojen lisäksi myös sosiaalinen media on erittäin suuressa roolissa. Enää ei tarvita toimittajia välikäsiksi, vaan jokainen voi jakaa kuvia, videoita ja oman kantansa nettiin kaikkien nähtäville ja jaettavaksi. Kun nettiin kerran vuotaa jotain, ei sitä enää saa sieltä pois. Tämä on lisännyt nettivastustuksen vaikuttavuutta. Mitä useampi ihminen saa netin välityksellä tiedon esimerkiksi korruptiosta, sitä vaikeampi sitä on peitellä.
Nettivastustuksen keinojen monipuolistuessa ja yleistyessä tiedon kulku on parantunut. Lieveilmiönä tiedon valtava määrä tuottaa myös välillä ongelmia merkityksellisen tiedon hukkuessa tulvaan. Myös väärän tiedon levittäminen on helpompaa ja yhtenä nettivastustuksen keinona rikokseen syyllistynyt henkilö tai vastustava taho voi saada netin välityksellä paljonkin vihollisia.
4. Leena (2018-k) Mitä argumentteja Nikkanen tuo esille sen puolesta, että yksityisyyden aika saattaa olla ohi?
Nikkasen mukaan yksityisyyskäsitys on väljentynyt yhteiskunnassamme. Oman elämän yksityisimmätkin asiat tuodaan nykyään esille sosiaalisessa mediassa, koska internetistä saa tukea, vastauksia ja empatiaa.
Nikkanen kirjoittaa, että jos kuluttaja lukisi jokaisen käyttämänsä verkkopalvelun yksityisyyspolitiikan, häneltä kuluisi siihen vuodessa 25 vuorokautta. Käytännössä siis kuluttajat hyväksyvät yksityisyyssopimuksia lukematta niitä. Yksityisyyssopimuksia myös rikotaan. Lupauksena voi olla, että asiakkaista kerätyt tiedot eivät ole yksilöitävissä, mutta myöhemmin saattaa kuitenkin ilmetä, että tiedot ovat sittenkin yksilöitävissä.
Tiedonkeruun vastustaminen on työlästä. Luopumalla yksityisyydestä saamme vastineeksi arkea helpottavaa teknologiaa. Mieluummin esimerkiksi valitsemme henkilökohtaisen ladattavan bussikortin kuin käteismaksun.
Nykyään tiedon julkaiseminen ja tallennuskapasiteetti on halpaa. Vuoden 2001 terrori-iskujen jälkeen maailmassa elettiin poikkeustilanteessa, jolloin poikkeusmenettelyt olivat sallittuja. Asennettiin esimerkiksi mustia laatikoita, joilla pystyy jäljittämään kaiken liikenteen. Poikkeusolon jälkeen jäi kuitenkin päivittämättä viranomaisten lähes rajaton valvontavalta.
Nikkasen mukaan kansalaiset vaativat johtajilta ja valtioilta läpinäkyvyyttä. Hän kyseenalaistaa sen, onko meillä yksilöinä oikeus silti vaatia itsellemme yksityisyyttä.
5. Sanna Rajala (2016-s) Mikä on standardoinnin merkitys vakoilulle?
Standardoinnin merkitys vakoilulle on korostunut varsinkin vuoden 2001 syyskuun 11. päivän terrori-iskujen jälkeen. Erilaisten valvontastandardien yleisyys on kasvanut hurjasti viimeisen 15 vuoden aikana. Esimerkiksi, maailmalla toimivien teleoperaattorien on noudatettava toimimissaan maissa paikallisten hallitusten säätämää laillisen valvonnan standardia (toimiluvan edellytys). Tällaisia standardeja ovat laatineet Euroopassa standardoimisjärjestö ETSI, Venäjällä taas on käytössä SORM, USA:ssa CALEA ja kansainvälisesti 3G-verkkoja koskeva 3GPP. Käytännössä standardien noudattaminen edellyttää siis sitä, että operaattorit asentavat verkkoihinsa "mustia laatikoita", eli verkkolaitteita, joilla verkossa liikkuvaa puhetta, tekstiviestejä ja dataa ylipäänsä voi valvoa ja lukea.
Standardoinnin voisi oikeastaan sanoa olevan "tekosyy", jonka varjolla esimerkiksi hallitukset, ja toisaalta myös yritykset voivat harjoittaa kansalaisten vakoilua laajassakin mittakaavassa. Standardit ovat uudentyyppisiä lakeja, sillä ne määrittävät muun muassa sitä, miten teknisten toteutusten tulisi toimia, ja sitä kautta vaikuttavat siihen, mitä ihmiset voivat tehdä. En väitä, ettäkö kaikki standardointi ja sitä kautta dataliikenteen seuraaminen on pahasta. Mikä valvontastandardien kehityksessä on kuitenkin huolestuttavaa, on se, että niitä pyritään kehittämään yhä rajoittavampaan suuntaan. Mikäli viranomaisten standardoinnista saamaan "lupaan" valvoa kansalaisiaan ei aseteta selkeitä rajoituksia tai sääntöjä, tulevat standardit antavat yhä enemmän oikeuksia ja valtaa sellaistenkin asioiden valvomiseen, joiden ei alunperin ole edes tarkoitettu kuuluvan standardien asettamien rajojen sisään.
6. Tommi Honkanen (2016-s) Millainen on valvonnan ja urkinnan markkinatilanne?
Valvonnan markkinat ovat kansainväliset, ja alalla toimii useita satoja yrityksiä, jotka kertovat tuotteistaan valtavilla messuilla asiakkainaan mm. turvallisuuspalveluita, armeijoita ja poliisivoimia. Nykyään valvontatekniikkaan erikoistuneet yritykset ovat nihkeitä antamaan haastatteluja uudesta teknologiasta tai markkinoista, sillä yleinen mielipide kansalaisia kohtaan suoritetusta valvonnasta ja sillä tehtävästä bisneksestä on kiristynyt ajan saatossa. Tämä on johtanut yritysten hiljaisuuden lisäksi myös siihen, että suuret verkkotekniikkayritykset ovat irroittaneet omat vakoilutekniikkasektorinsa emoyhtiöstä omiksi yrityksikseen, joihin sijoittajien, kansan ja median kritiikki ei vaikuta. Merkittävänä markkina-alueena toimii Lähi-Itä, jossa rahaa teknologian ostoon on paljon ja jossa viranomaisilla on hyvin laajat ja rajaamattomat keinot hyödyntää valvontaa. Alan yrityksiin kuuluu mm. Amesys (Ranska), Trovicor (Saksa/Suomi, irti Nokia Siemens Networksista) ja FinFisher (Britannia).
Yritykset kertovat toiminnastaan asiakkailleen messuilla jaettavan mainosmateriaalin avulla. Viranomaisten asettamia velvoitteita avoimuuteen ja tiedottamiseen alan yrityksillä ei yleisesti ottaen ole. Tuotteet rakennetaan laillisen valvonnan standardien (mm. ETSI ja SORM) päälle, jotka takaavat keinot suorittaa valvontaa kaikkialla maailmassa. Markkinoiden kannattavin toiminta keskittyy valvonnan automatisointiin ja tiedon analyysiin, esimerkiksi äänten tunnistamiseen puheluista. Tekniikoilla vähennetään valvonnasta muodostuvia kustannuksia. Kaupankäynnille on asetettu hyvin vähän rajoituksia, ja mm. diktatuureihin tapahtuva myynti sotii usein yritysten julkisia eettisyysperiaatteita vastaan. Lailliset standardit takaavat sen, että kauppaa on vaikea todentaa laittomaksi, vaikka moraali olisi kyseenalainen. Tämä on selvästi alue, johon pitää tulevaisuudessa puuttua paremmin mm. lainsäädännön keinoin. Toistaiseksi esim. Euroopan parlamentin päätöslauselma vakoiluteknologian myynnistä ihmisoikeusloukkauksiin on tehoton, sillä yritysten ei ole pakko kertoa kaupoista etukäteen, ja valvonta on jäsenmaiden vastuulla.
7. Millainen digidemokratian edelläkävijä Suomi voisi olla, jos se saisi kiinni Islannin ja Viron? Kaksi tehtävää: Tarkastele asiaa
(a) lainsäädännön ja yhteiskunnan yleisen kulttuurin kannalta
(b) teknologisen innovoinnin kannalta. (Ei tarvitse ruveta innovoimaan. Toisaalta sellaiseksi riittävät kyllä kirjasta johdetut ideat tietoturvaopintojen sisällöksi.)
7 a, Aku (2019-k)
Kirja esittää Islannin ja Viron digidemokratian mallimaina, jotka uskaltavat kulkea omia polkujaan digitaalisuuden sekä siihen liittyvän politiikan ja lainsäädännön saralla. Suomella on paljon opittavaa näiltä mailta, ja parantaminen on mahdollista. Kirjan mukaan Suomella on esimerkiksi paljon valtaa kansainvälisen tietoyhteiskunnan rakentamisessa, mutta sitä ei haluta käyttää, sitä käytetään väärin tai sitä käytetään muuten liian passiivisesti.
Kirjassa painotetaan erityisesti Islannin ja Viron edistyksellisyyttä suoran demokratian oikeanlaisessa hyödyntämisessä ja yksityisyydensuojan edistämisessä. Suoran demokratian edelleen kehittäminen Suomessa mahdollistaisi digilainsäädännön nopeamman päivittämisen vastaamaan jatkuvasti muuttuvaa yhteiskuntaa ja siten monien ongelmien välttämisen. Eräs kirjan mainitsema esimerkki suoran demokratian edistämiseen on nykyisen kankean suomalaisen digitaalisen kansalaisaloitteiden mallin muovaaminen vastaamaan enemmän islantilaista mallia, jolla voitaisiin parantaa kansalaisten osallisuutta ja vaikutusmahdollisuuksia demokratiassa.
Yksi islantilaisten kirjassa mainittu innovaatio liittyy Islannin kansalliskirjaston digitalisoitumiseen. Nykyisin kansalliskirjasto toimii vahvasti verkossa mahdollistaen kansalaisten helpon pääsyn erilaisiin arkistoihin ja siten heidän pysymisensä tietoisina yhteiskunnallisista asioista. Kansalliskirjasto myös haravoi aktiivisesti islantilaisia verkkosivustoja ja ottaa tietoa talteen tulevia sukupolvia varten siltä varalta, että tieto jossain vaiheessa katoaisi Internetistä. Kansalliskirjaston voidaankin nähdä olevan merkittävä tekijä islantilaisen tiedon saatavuuden turvaamisessa ja kansalaisten digitaalisessa tiedottamisessa.