Lausunto hallintovaliokunnalle Suomen kyberturvallisuusstrategiasta

Lausunto VNS 6/2012 vp ja UTP 2/2013 vp Suomen kyberturvallisuusstrategiasta

7.3.2013
Electronic Frontier Finland ry
www.effi.org

Yleistä

Turvallisuus- ja puolustuspolitiikka liittyy Electronic Frontier Finlandin (Effi) alaan lähinnä siltä osin kuin se koskettaa tietotekniikkaa ja ihmisoikeuksia, ja keskitymme tässä lausunnossa erityisesti tähän puoleen. Tämän lisäksi järjestöllä on muutamia yleisempiä kommentteja.

Yhteistyöllä eteenpäin

Effin näkemyksen mukaan Suomen kyberturvallisuusstrategian parasta antia on sen voimakkaasti alan eri toimijoiden yhteistyötä korostava luonne. Kyberturvallisuuden varmistaminen edellyttää hyvin laaja-alaista yhteistyötä ja huomioiden, että valtiolla ei ilmeisesti ole mahdollisuuksia tarjota varsinaisia taloudellisia resursseja, se tarvitsee kiistatta ulkopuolista apua. Tässä Effi toivoo, että Suomi ottaisi vakavasti Viron tarjoamat yhteistyömahdollisuudet alueelta.

Johtajuuden puute

Effi yhtyy esitettyyn kritiikkiin, jonka mukaan kyberstrategian suurin ongelma on selkeän vastuutahon puuttuminen. Valtioneuvosto voi toki kuulostaa hyvältä taholta johtamaan kyberturvallisuutta, kun kuitenkin huomioidaan, että vastuuta ei ole määritelty millekään yksittäisellä ministeriöllä, lopputuloksena on kaikella todennäköisyydellä tilanne, jossa kukaan ei kanna vastuuta.

Kyberturvallisuus on toki alue, jossa tarvitaan poikkihallinnollista koordinaatiota, mutta tämän lisäksi tarvittaisiin yksi selkeä taho, jonka vastuulla on Suomessa kyberturvallisuuden toteutuminen. Ehdotettu kyberturvallisuuskeskus ei ole (varsinkaan nyt puhuttujen resurssien valossa) riittävä tähän tehtävään.

Perinteinen näkemys viranomaisjaosta

Effin näkemyksen mukaan nyt olisi erittäin järkevä hetki miettiä kokonaan uusiksi perinteinen jako poliisivoimien (ml SUPO ja KRP) ja puolustusvoimien välillä. Yhä digitaalisemmassa maailmassa perinteiset mallit, rajanvedot ja ovat monessa kohtaa aikansa eläneitä. Valitettavasti tällainen todellinen kokonaisuudistus ei ole poliittisesti realistinen, mutta sen tulisi kuitenkin olla mukana edes pitkän tähtäimen visioissa.

Kyberpuolustukseen periaatteet

Effin suosittelee seuraavia askelta huomioitavaksi kybersuunnitelman toteuttamisessa.

a. Kyberturvallisuus on henkilökohtaista turvallisuutta.
Kyberturvallisuuspolitiikka keskittyy usein elintärkeiden infrastruktuurien kuten voimalaitosten ja vesilaitosten suojeluun. Mutta kyberturvallisuuteen liittyy myös toinen tärkeä aihe: kansalaisten ja heidän arvokkaiden ja/tai henkilökohtaisten tietojensa suojelu. Olisi katastrofi, jos miljoonien eurooppalaisten arkaluonteiset ja arvokkaat tiedot (kuten viestintä-, lääkintä- tai paikkatiedot) paljastettaisiin tahattomasti.

b. Kyberturvallisuuden täytyy kunnioittaa perusoikeuksia.
Toistuvasti ehdotetut kyberturvallisuustoimenpiteet vaikuttavat usein perusoikeuksiimme. Esimerkiksi ”Internetin sammutusnappula” rajoittaisi perusoikeutta viestinnän vapauteen. Internet-liikenteen kattava valvonta rajoittaa yksityisyyttämme vakavasti. Sellaiset toimenpiteet ovat siis mahdottomia hyväksyä: Euroopan ihmisoikeustuomioistuin on eri tapauksissa antanut päätöksiä, joiden mukaan perusoikeuksien syvintä ydintä ei saa loukata. Seurauksena tästä täytyy uusien kyberturvallisuustoimenpiteiden tarpeellisuus, suhteellisuusperiaatteeseen sopivuus, päätöksenteon läheisyysperiaatteeseen sopivuus ja tehokkuus aina osoittaa etukäteen. Tämä tarkoittaa, että toimenpiteet täytyy räätälöidä sitä ongelmaa varten, joka niillä yritetään ratkaista.

c. Kyberturvallisuus vaatii läpinäkyvyyttä.
Kyberturvallisuuspolitiikalla voi olla kauaskantoisia yhteiskunnallisia vaikutuksia muun muassa perusoikeuksiin ja Internetin toimintaan liittyen. Juuri tästä syystä kyberturvallisuuspolitiikan julkinen valvonta on välttämätöntä ja läpinäkyvyys tällä alueella on pakollista. Politiikan täytyy perustua todellisiin ja todistettavissa oleviin uhka- ja riskianalyyseihin (niin ennen politiikan käyttöönottoa kuin myös säännöllisesti sen jälkeen) ja sen täytyy keskittyä siihen täsmälliseen riskiin, johon sen väitetäänkin olevan kohdistettu.

d. Täydellistä kyberturvallisuutta ei ole olemassa.
Vaikka kyberturvallisuus on tärkeä päämäärä politiikkaa laadittaessa, täydellistä turvaa ei ole olemassa. Turvallisuus yleisesti on määritelmänsä mukaan kustannus-hyöty-analyysin tulos. Kyberturvallisuuden alueella tässä analyysissa otetaan huomioon se, että jo pieni ihmisryhmä suhteellisen vähällä rahalla voi aiheuttaa valtavaa vahinkoa esimerkiksi valmistamalla kehittyneitä haittaohjelmia kuten Stuxnet. Tietysti riskejä voidaan ehkäistä mahdollisuuksien rajoissa tarjoamalla perustason turvallisuustoimenpiteet, hajauttamalla riskejä mahdollisimman paljon ja tarjoamalla varamekanismeja. Kuitenkin meidän tulee hyväksyä, että milloinkaan kaikkia kyberturvallisuusriskejä ei voida poissulkea, koska ehkäisemisen kustannukset ovat yksinkertaisesti liian korkeat (mitattuina sekä euroina että vaikutuksena, joka ehkäisytoimenpiteillä olisi perusoikeuksiimme).

Avoimuus vastaan salaisuus

Tietoteknisten järjestelmien turvallisuutta arvioitaessa on tärkeää huomata, että joissakin asioissa salailu heikentää turvallisuutta. Erityisesti kryptografiaan perustuvissa menetelmissä tunnetusti tilanne on se, että vaikka käytettyjen avainten huolellinen salassapito on ensiarvoisen tärkeää, käytetyn tekniikan julkisuus on lähes aina turvallisuutta parantava tekijä, Näin siksi, että mitä useampi tekniikan tuntee, sitä todennäköisemmin sen heikkoudet on löydetty ja korjattu, ja avainten vaihtaminen on aina paljon helpompaa kuin teknisten perusratkaisujen. Asiaa ei tuoda riittävästi esille strategiassa, vaikka sen tulisi olla yksi sen keskeinen rakennuskivi.

Tietovuodot

Monet viranomaisten tietojärjestelmät sisältävät eri tavoin arkaluontoista tietoa: poliisin järjestelmät, potilastietojärjestelmät (hyvin houkuttelevia esimerkiksi kiristykseen sopivia uhreja etsiville), erilaiset biotietopankit, DNA- ja sormenjälkirekisterit, kaikki ihmisten liikkeitä rekisteröivät järjestelmät, valvontakamerat jne.

Mitään järjestelmää ei kuitenkaan voida suojata sataprosenttisesti. Esimerkkejä poliisinkin tietojärjestelmien vuodosta viime aikoina löytyy mm. Ruotsista ja Britanniasta, ja huippuviroissakin olevat ihmiset ovat alttiita kiristykselle ja lahjonnalle – vaarallisimmat tietomurrot ovat ainakin osittain sisäpiiriläisten tekemiä. Tehtiin tietojärjestelmien suojaamiseksi mitä tahansa, kriittisen tietovuodon todennäköisyys kasvaa aina suoraan suhteessa kerättävän ja säilytettävän tiedon määrään.

Siten pitäisi ottaa periaatteeksi välttää arkaluontoisten tietojen keräämistä enempää kuin on aivan välttämätöntä.

Koska kaikilla tietoa käsittelevillä toimijoilla on luonnollinen taipumus luottaa itseensä liikaa ja kerätä tietoa ”varmuuden vuoksi” enemmän kuin oikeasti olisi tarpeen ja perusteltua, olisi parasta yleisensä linjana kallistua mieluummin liian vähän kuin liian paljon tiedon keruun suuntaan. Tämä koskee niin tiedonkeruumekanismeja kuin kerätyn tiedon tallentamistakin.

Silloin kun tietoa kuitenkin kerätään, toimenpiteet sen suojaamiseksi pitäisi tietenkin mitoittaa arvioiden sen arkaluontoisuutta ja vuotoherkkyyttä myös eritasoisissa poikkeusoloissa.

Terrorismi

Terrorismia vastustettaessa tulisi muistaa, että varsinainen vihollinen ei ole ihmiset, jotka terroria harjoittavat, vaan järjestelmän muutos, jota he yrittävät saada aikaan. Puolustettavana eivät ole ne ihmiset, jotka nyt ovat vallassa, vaan vallitseva järjestelmä – jonka olennainen osa on vapaus ja ihmisoikeudet.

Viranomaisten luonnollinen reaktio terrorismin uhkaan on lisätä valvontaa ja rajoittaa väärinkäytölle alttiita kansalaisoikeuksia. Tämä on kuitenkin yksi terroristien nimenomaisista tavoitteista, koska he hyvin tietävät niiden yleensä kääntyvän alkuperäistä tarkoitusta vastaan. Monet terrorisminvastaiset toimet kun ovat tylppiä aseita, jotka osuvat myös sivullisiin, ja helposti tekevät näistäkin vihollisia. Samalla ne vahvistavat terroristien sisäistä motivaatiota.

Tämä koskee etenkin puuttumista sananvapauteen, myös ja etenkin tietoverkoissa. Esimerkiksi ajatus terrorismisivujen suodattamiseen netistä voi tuntua ensi alkuun houkuttelevalta, mutta käytännössä siitä on enemmän haittaa kuin hyötyä, vaikkei edes välitettäisi sananvapaudesta periaatteena.

Ihmisoikeudet ja kansalaisten vapaus toimia itsenäisesti ovat myös olennainen tekijä terrorisminkestävässä yhteiskunnassa, eivät vain haitta tehokkaan viranomaistoiminnan tiellä.

Riippuvuus ulkopuolisista toimijoista

Effin näkemyksen mukaan kyberstrategiassa ei huomioida riittävästi keskeisten tietojärjestelmien riippuvuutta yksittäisistä, usein ulkomaisista toimijoista ja suljetuista, oman tietoturva-auditoinnin ulottumattomiin jäämistä ohjelmistoista. Pahimmassa tapauksessa voisi käydä niin, että pääsy omiin dokumentteihimme tai järjestelmiimme olisi katkaistavissa yhden ulkomaalaisen yrityksen päätöksellä ilman ennakkovaroitusta. Tämä pitäisi ottaa huomioon etenkin huoltovarmuutta arvioitaessa.

Kaikkien tärkeiden dokumenttien ja ohjelmien osalta tulisikin ottaa vaatimukseksi avointen, standardoitujen ja usean erimaalaisen toimittajan tukemien formaattien ja protokollien käyttö, ja vaatia aina tärkeimpien ohjelmistojen lähdekoodia itse auditoitavaksi.

Electronic Frontier Finland ry:n puolesta,

Mikko Kenttälä
Tietoturva-asiantuntija