Verkkovalvonnasta

Electronic Frontier Finland – Effi ry:n näkökulmasta puolustusministeriön työryhmän mietintö asettaa vastakkain kaksi tärkeää eettistä kysymystä. On selvää, että erilaiset tiedustelutoimet ovat aina keskeinen osa maanpuolustusta, myös rauhan aikana. Parhaimmillaan hyvälaatuinen tiedustelutieto voi kriisitilanteessa säästää ihmishenkiä sekä Suomessa että muissa maissa. Toisaalta huonosti toteutettuna tällainen tiedustelu voi olla, ja käytännössä usein on ollut, räikeää ihmisoikeuksien loukkausta, erityisesti länsimaisesta demokraattisesta arvomaailmasta katsottuna.

Selvästikin tiedustelutoimien on edellämainituista syistä oltava tarkoituksenmukaisia, erittäin tarkasti rajattuja ja tarkoin valvottuja. On sinänsä hyvä asia, että toiminta tulee lainsäädännön piiriin, jotta pelisäännöt tulevat huolellisesti harkituiksi ja valvonta vakaalle pohjalle. Tietoyhteiskunnan turvallisuutta edistävä lainsäädäntö on Suomelle tärkeä ja mietinnössä on paljon hyviä kohtia, kuten se, että yrityksiltä ei aiota jatkossakaan vaatia takaportteja tietojärjestelmiin viranomaisia varten. Lisäksi mietinnössä ei haluta heikentää kansalaisten mahdollisuuksia suojautua valvonnalta käyttäen esimerkiksi tietoliikenteen salaamista.

Liikenne- ja viestintäministeriö huomauttaa, että tietoliikennetiedustelu on verkkovalvontaa, ja verkkovalvonnasta käytetään myös termiä massavalvonta. Puolustusministeriön työryhmän mietinnössä tämän termin käyttöä vältellään, mutta se kuvaa mainiosti heidän ehdottamaansa toimintaa. Effi ei hyväksy mallia, jossa valtiovalta tahtoo massavalvoa verkkoliikennettä havainnoimalla dataa suoraan yhteisestä tietoliikenneinfrastruktuurista samalla tavoin kuin tietyt ulkomaiden tiedusteluelimet tekevät. Vaikka mietinnössä puhutaan tietoliikennetiedustelusta sekä tiedustelun kohdentamisesta, silti tiedustelupalvelulle tulisi tosiasiassa pääsy kaikkeen solmukohtien tietoliikenteeseen. Tämä on yksiselitteisesti Euroopan ihmisoikeussopimusten vastaista sekä erityisesti Suomen perustuslain vastaista. Effi ei hyväksy paradigmaa, jossa turvallisuuden nimissä toimivat viranomaiset katsovat omistavansa oikeuden ihmisten elämän yksityisyyttä loukkaavaan tarkkailuun, jota massavalvonta väistämättä on. Valvonnan automaattisuus ei myöskään vähennä sen loukkaavuutta eikä väärinkäytösten riskiä.

Mietinnössä uusien tiedusteluoikeuksien lisäämistä on perusteltu maanpuolustuksellisilla tavoitteilla. Pääasialliseksi ratkaisuksi näihin tavoitteisiin on ehdotettu puolustusvoimille oikeutta massavalvoa kaikkea Suomen rajat ylittävää internet-liikennettä – siis myös Suomen kansalaisten internet-liikennettä – silloin, kun se kulkee jonkin ulkomaan reitittimen kautta. Käytännössä merkittävä osa Suomen “sisäisestäkin” liikenteestä, esimerkiksi erilaisista palveluista kuten sosiaalisesta mediasta ja suomalaisten keskinäisestä sähköpostista, kiertää ulkomaiden kautta, joten ne joutuisivat valvonnan kohteeksi. On epäselvää, miksi raportti päätyy juuri tähän tekniseen ratkaisuun.

Lähes kaikkeen tietoliikenteeseen epäilyä yksilöimättä kohdistuva verkkovalvonta ei myöskään selvästikään täytä välttämättömyys- ja suhteellisuusperiaatetta. YK:n ihmisoikeustoimikunnan mukaan “ei riitä, että keinot on kohdistettu tiettyjen neulojen etsimiseen heinäsuovasta; oikea kriteeri on niiden vaikutus heinäsuopaan suhteessa uhattuun haittaan; ovatko ne välttämättömiä ja suhteellisia.”

Yli 400 järjestön allekirjoittama, tietoliikennevalvonnan reunaehdot kiteyttävä Necessary and Proportionate – julkilausuma (International Principles on the Application of Human Rights to Communications Surveillance) kieltää myös yksiselitteisesti viestinnän massavalvonnan.

Effi kiittää liikenne- ja viestintäministeriön jättämää eriävää lausuntoa, jossa hyvin analysoidaan esitetyn verkkovalvonnan ongelmia. Effi haluaa nostaa esiin viisi suurinta mietinnön ongelmakohtaa.

1. Tehotonta

Massavalvonta on todettu tehottomaksi. Valkoisen talon nimittämä NSA:n toimia tutkinut komitea totesi jopa NSA:n laajamittaisen, teknisesti hienostuneen valvonnan olleen tarpeetonta kansallisten uhkien torjunnassa. On huomattava, että Ruotsi otti vastaavan valvontamallin käyttöön aikana, jolloin internet-liikennettä oli vähemmän ja se oli pääosin salaamatonta. Tämän jälkeen esimerkiksi HTTPS-salauksen käyttöön siirtyminen on ollut keskeistä tietoturvan parantamiseksi. Tämän seurauksena myös massavakoilun toimivuus on heikentynyt entisestään, koska kehittyneet tiedustelupalvelutkaan eivät pysty purkamaan kaikkea salatusta liikenteestä.

2. Suomen perustuslain vastainen

Esitetty malli lähtee siitä, että Suomen perustuslain luottamuksellisen viestinnän laki joudutaan ainakin osittain kumoamaan. Effin mielestä lähtökohtana pitäisi olla perustuslain noudattaminen eikä perusoikeuksien murtaminen.

Perusoikeudet perustuslaissa: 10 § “Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton.”

Lisäksi massavalvonta on kielletty sellaisten ihmisoikeussopimusten nojalla, joita Suomi on sitoutunut noudattamaan.

Yleismaailmallinen ihmisoikeuksien julistus: Artikla 12: “Älköön mielivaltaisesti puututtako kenenkään yksityiselämään, perheeseen, kotiin tai kirjeenvaihtoon älköönkä loukattako kenenkään kunniaa ja mainetta. Jokaisella on oikeus lain suojaan sellaista puuttumista tai loukkausta vastaan.”
Myös Euroopan unionin ja kansainvälisten tuomioistuimien päätökset tukevat näkemystä, että massavalvontaa ei voida sallia. EU-tuomioistuin on julistanut pätemättömäksi unionin vuoden 2006 direktiivin, joka määritteli oikeuden kerätä ja säilyttää kansalaisten viestintätietoja rikollisuuden, muun muassa terrorismin, torjuntaa varten.

Perustuslaissa säädetystä viestinnän luottamuksellisuudesta voidaan poiketa vain, kun on kohdennettu perusteltu epäilys riittävän vakavasta rikoksesta. Kaikkien kansalaisten viestintää ei voida “varmuuden vuoksi” tarkkailla.

3. Ei paranna tietoturvaa Suomessa

Esitetty malli ei vastaa kyberturvallisuuden oikeita tarpeita Suomessa. Effi haluaa kehittää Suomesta tietoturvan mallimaan. Esitetyt valvontakeinot eivät ole pelkästään eettisesti vääriä, vaan ne ovat myös teknisesti vääriä. Esitetyin toimin ei voitaisi millään tavalla suojautua esimerkiksi viimeaikaisilta Osuuspankin palvelunestohyökkäyksen kaltaisilta toimilta, eikä niistä olisi ollut apua taannoisen ulkoministeriön tietomurron tapauksessa. Sen sijaan esitetyn kaltainen kaiken tietoliikenteen valvonnalle avaava mekanismi on altis vahingoille ja väärinkäytöksille, ja siten omiaan aiheuttamaan uusia uhkia. Täydellistä tietoturvaa ei olekaan, mutta se tiedetään, että mitä enemmän tietoa kerätään ja analysoidaan, sitä enemmän sitä myös joutuu vääriin käsiin. Effi korostaa, että tietoturvaa pitää kehittää laaja-alaisesti eikä monimutkaisiin ongelmiin pidä tarjota näennäisratkaisuksi massavalvontaa.

4. Mietintö unohtaa toimivat vaihtoehdot

Mietintö tarjoaa massavalvontaa ratkaisuksi kuvailemiensa uhkakuvien havaitsemiseen ja torjunnan mahdollistamiseksi. Mietintö ei arvioi vaihtoehtoisia ratkaisumalleja tavoitteen saavuttamiseksi. Kuitenkin konkreettiset toimet rikosten torjunnasta vaativat aivan muita keinoja. Suomessa poliisilla on laajamittaiset ja riittävät keinot kohdistaa tekninen tarkkailu tiettyyn henkilöön. Tällöin tietyn rikoksesta epäillyn henkilön internet-liittymää voidaan salaa kuunnella. Tämä keino on tehokkaampi, halvempi ja mahdollinen jo nykyisen lain puitteissa. Suomessa yksittäisillä organisaatioilla on valtuudet tarkastella omaa liikennettään. Tämä mahdollistaa mietinnössä esitettyä keskitettyä ratkaisua paremman kyvykkyyden uhkien torjuntaan, on uhkaan nähden suhteellista ja on olemassa olevien lakien sallimaa.

Effi haluaa muistuttaa, että on olemassa muitakin uhkien torjuntakeinoja ja myös tiedustelukeinoja, joilla voidaan luoda hyvin tarkkoja viranomaisille tarpeellisia tilannekuvia loukkaamatta ihmisoikeuksia. Näitä, mainitaksemme vain yhden, on Open Source Intelligence (OSINT) automaattisesti suurdatan avulla. Tällainen tiedustelu seuloisi ja analysoisi suuria julkisia verkkomateriaaleja automatisoidusti läpi, mahdollisesti yhdistellen niitä viranomaisten omiin tietoihin, ja tarjoaisi nopeaa tilannetietoa erilaisista ilmiöistä. Tämä on uusi tiedustelusuunta, jonka kehitystä esimerkiksi Yhdysvaltojen puolustusministeriö rahoittaa voimakkaasti. Taustalla on myös yleinen tarve saada ymmärrystä julkisista suurista aineistoista. Meillä on Suomessa tämän alan huippuosaamista ja tällaiseen tiedusteluun panostaminen todella nostaisi Suomen verkkoturvallisuuden kärkimaaksi. Se myös tukisi yksityisen sektorin tarpeita.

5. Tekniset mielettömyydet

Järjestelmä olisi kallis ja hyvinkin toteutettuna se seuraisi lopulta tahattomastikin tavallisten kansalaisten viestintää. Siltikään tällä mallilla ei voida puuttua sellaisiin kyberturvallisuusuhkiin, jotka ovat todellisia jo tänään. Effi ehdottaakin teknisesti toimivien keinojen käyttämistä ulkoministeriön vakoilutapauksen kaltaisten uhkien torjumiseksi ja palvelunestohyökkäysten estämiseksi. Massavakoilulla saadaan vain rajoitetusti kerättyä salaamatonta viestintää ja metadataa lähinnä omien kansalaisten jokapäiväisistä toimista. Myös henkilö, joka tarkkailun lopulta tekisi, saa sivutuotteena käsiinsä myös tavallisten kansalaisten viestintää. Mikä pahinta, on mahdotonta valvoa, että tarkkailua suorittava henkilö noudattaisi annettuja reunaehtoja. Myöskään vakoilun rajaaminen vain ulkomaille suuntautuvaan viestintään ei juurikaan paranna tilannetta: suurin osa suomalaisten nettiliikenteestä on rajat ylittävää.

Effi kysyykin, ollaanko tässä luomassa suurta, kallista, tarpeetonta ja tehotonta joukkovakoilukoneistoa. Suomessa on paalutettu lujasti perustuslakiin massavakoilun kieltävä viestinnän luottamuksellisuuden suoja. Effi haluaa tehokkaita toimia tietoturvan parantamiseksi ja uskoo tämän edistävän Suomen asemaa tietoturvan kärkimaana. Effi myös kannustaa kansalaisia osallistumaan yhteiskunnalliseen keskusteluun asiasta.

Timo Karjalainen
puheenjohtaja, Electronic Frontier Finland – Effi ry
timo.karjalainen@effi.org
050 590 3763

Juha Nurmi
Electronic Frontier Finland – Effi ry:n jäsen
Kyberturvallisuusasiantuntija. Tor Project:n kehittäjäjäsen.

Linkkejä:

Työryhmän mietintö sekä LVM:n eriävä mielipide: http://www.defmin.fi/files/3016/Suomalaisen_tiedustelulainsaadannon_suuntaviivoja.pdf

Ulkoministeriön vakoilutapaus: http://www.hs.fi/kotimaa/a1404264100388

YK:n ihmisoikeustoimikunta 30.6.2014: http://www.un.org/ga/search/view_doc.asp?symbol=A/HRC/27/37, kappale 25.

Necessary and Proportionate – julkilausuma: https://fi.necessaryandproportionate.org/text