Lausunto LIO 3/2013 vp Suomen kyberturvallisuusstrategiasta
4.3.2013
Electronic Frontier Finland ry
www.effi.org
Yleistä
Turvallisuus- ja puolustuspolitiikka liittyy Electronic Frontier Finlandin (Effi) alaan lähinnä siltä osin kuin se koskettaa tietotekniikkaa ja ihmisoikeuksia, ja keskitymme tässä lausunnossa erityisesti tähän puoleen. Tämän lisäksi järjestöllä on muutamia yleisempiä kommentteja.
Yhteistyöllä eteenpäin
Effin näkemyksen mukaan ehdotuksen parasta antia on sen voimakkaasti alan eri toimijoiden yhteistyötä korostava luonne. Kyberturvallisuuden varmistaminen edellyttää hyvin laajalaista yhteistyötä ja huomioiden, että valtiolla ei ilmeisesti ole mahdollisuuksia tarjota varsinaisia taloudellisia resursseja, se tarvitsee kiistatta ulkopuolista apua. Tässä Effi toivoo, että Suomi ottaisi vakavasti Viron tarjoamat yhteistyömahdollisuudet alueelta.
Johtajuuden puute
Effi yhtyy esitettyyn kritiikkiin, jonka mukaan kyberstrategian suurin ongelma on selkeän vastuutahon puuttuminen. Valtioneuvosto voi toki kuulostaa hyvältä taholta johtamaan kyberturvallisuutta, Kun kuitenkin huomioidaan, että vastuuta ei ole määritelty millekään yksittäisellä ministeriöllä, lopputuloksena on kaikella todennäköisyydellä tilanne, jossa kukaan ei kanna vastuuta.
Kyberturvallisuus on toki alue, jossa tarvitaan poikkihallinnollista koordinaatiota, mutta tämän lisäksi tarvittaisiin yksi selkeä taho, jonka vastuulla on Suomessa kyberturvallisuuden toteutuminen. Ehdotettu Kyberturvallisuuskeskus ei ole (varsinkaan nyt puhuttujen resurssien valossa) riittävä tähän tehtävään.
Perinteinen näkymys viranomaisjaosta
Effin näkemyksen mukaan nyt olisi erittäin järkevä hetki miettiä kokonaan uusiksi perinteinen jako poliisivoimien (ml SUPO ja KRP) ja puolustusvoimien välillä. Yhä digitaalisemmassa maailmassa perinteiset mallit, rajanvedot ja ovat monessa kohtaa aikansa eläneitä. Valitettavasti tällainen todellinen kokonaisuudistus ei ole poliittisesti realistinen, mutta sen tulisi kuitenkin olla mukana edes pitkän tähtäimen visioissa.
Avoimuus vs. salaisuus
Tietoteknisten järjestelmien turvallisuutta arvioitaessa on tärkeää huomata, että joissakin asioissa salailu heikentää turvallisuutta. Erityisesti kryptografiaan perustuvissa menetelmissä tunnetusti tilanne on se, että vaikka käytettyjen avainten huolellinen salassapito on ensiarvoisen tärkeää, käytetyn tekniikan julkisuus on lähes aina turvallisuutta parantava tekijä, Näin siksi, että mitä useampi tekniikan tuntee, sitä todennäköisemmin sen heikkoudet on löydetty ja korjattu, ja avainten vaihtaminen on aina paljon helpompaa kuin teknisten perusratkaisujen. Asiaa ei tuoda riittävästi esille strategiassa, vaikka sen tulisi olla yksi sen keskeinen rakennuskivi.
Tietovuodot
Monet viranomaisten tietojärjestelmät sisältävät eri tavoin arkaluontoista tietoa: poliisin järjestelmät, potilastietojärjestelmät (hyvin houkuttelevia esimerkiksi kiristykseen sopivia uhreja etsiville), erilaiset biotietopankit, DNA- ja sormenjälkirekisterit, kaikki ihmisten liikkeitä rekisteröivät järjestelmät, valvontakamerat jne.
Mitään järjestelmää ei kuitenkaan voida suojata sataprosenttisesti. Esimerkkejä poliisinkin tietojärjestelmien vuodosta viime aikoina löytyy mm. Ruotsista ja Britanniasta, ja huippuviroissakin olevat ihmiset ovat alttiita kiristykselle ja lahjonnalle – vaarallisimmat tietomurrot ovat ainakin osittain sisäpiiriläisten tekemiä. Tehtiin tietojärjestelmien suojaamiseksi mitä tahansa, kriittisen tietovuodon todennäköisyys kasvaa aina suoraan suhteessa kerättävän ja säilytettävän tiedon määrään.
Siten pitäisi ottaa periaatteeksi välttää arkaluontoisten tietojen keräämistä enempää kuin on aivan välttämätöntä.
Koska kaikilla tietoa käsittelevillä toimijoilla on luonnollinen taipumus luottaa itseensä liikaa ja kerätä tietoa ”varmuuden vuoksi” enemmän kuin oikeasti olisi tarpeen ja perusteltua, olisi parasta yleisensä linjana kallistua mieluummin liian vähän kuin liian paljon tiedon keruun suuntaan. Tämä koskee niin tiedonkeruumekanismeja kuin kerätyn tiedon tallentamistakin.
Silloin kun tietoa kuitenkin kerätään, toimenpiteet sen suojaamiseksi pitäisi tietenkin mitoittaa arvioiden sen arkaluontoisuutta ja vuotoherkkyyttä myös eritasoisissa poikkeusoloissa.
Terrorismi
Terrorismia vastustettaessa tulisi muistaa, että varsinainen vihollinen ei ole ihmiset, jotka terroria harjoittavat, vaan järjestelmän muutos, jota he yrittävät saada aikaan. Puolustettavana eivät ole ne ihmiset, jotka nyt ovat vallassa, vaan vallitseva järjestelmä – jonka olennainen osa on vapaus ja ihmisoikeudet.
Viranomaisten luonnollinen reaktio terrorismin uhkaan on lisätä valvontaa ja rajoittaa väärinkäytölle alttiita kansalaisoikeuksia. Tämä on kuitenkin yksi terroristien nimenomaisista tavoitteista, koska he hyvin tietävät niiden yleensä kääntyvän alkuperäistä tarkoitusta vastaan. Monet terrorisminvastaiset toimet kun ovat tylppiä aseita, jotka osuvat myös sivullisiin, ja helposti tekevät näistäkin vihollisia. Samalla ne vahvistavat terroristien sisäistä motivaatiota.
Tämä koskee etenkin puuttumista sananvapauteen, myös ja etenkin tietoverkoissa. Esimerkiksi ajatus terrorismisivujen suodattamiseen netistä voi tuntua ensi alkuun houkuttelevalta, mutta käytännössä siitä on enemmän haittaa kuin hyötyä, vaikkei edes välitettäisi sananvapaudesta periaatteena.
Ihmisoikeudet ja kansalaisten vapaus toimia itsenäisesti ovat myös olennainen tekijä terrorisminkestävässä yhteiskunnassa, eivät vain haitta tehokkaan viranomaistoiminnan tiellä.
Riippuvuus ulkopuolisista toimijoista
Effin näkemyksen mukaan kyberstrategiassa ei huomioida riittävästi keskeisten tietojärjestelmien riippuvuutta yksittäisistä, usein ulkomaisista toimijoista ja suljetuista, oman tietoturva-auditoinnin ulottumattomiin jäämistä ohjelmistoista. Pahimmassa tapauksessa voisi käydä niin, että pääsy omiin dokumentteihimme tai järjestelmiimme olisi katkaistavissa yhden ulkomaalaisen yrityksen päätöksellä ilman ennakkovaroitusta. Tämä pitäisi ottaa huomioon etenkin huoltovarmuutta arvioitaessa.
Kaikkien tärkeiden dokumenttien ja ohjelmien osalta tulisikin ottaa vaatimukseksi avointen, standardoitujen ja usean erimaalaisen toimittajan tukemien formaattien ja protokollien käyttö, ja vaatia aina tärkeimpien ohjelmistojen lähdekoodia itse auditoitavaksi.
Muutamia uhkaskenaarioita
Seuraavassa on hahmoteltu muutamia uhkaskenaarioita, joiden perusteella voidaan miettiä, kuinka hyvin kyberturvalllisuusstrategia toimii käytännössä.
Vaalien sähköistäminen: Mikäli Suomessa siirryttäisiin kokonaan eletroniseen äänestysjärjestelmään, jo kohtuullisilla resursseilla varustettu ulkopuolinen toimija voisi vaikuttaa Suomen vaaleihin tietoteknisten järjestelmien heikkouksien kautta. 2008 kunnallisvaaleissa käytetyn järjestelmän olisi voinut kaapata hyvinkin pieni määrä ihmisiä (jopa ilman yhtään suomalaista salaliittolaista). Suomen vaalijärjestelmän erityispiirteet tekevät ongelmasta vielä paljon pahemman kuin esimerkiksi Yhdysvalloissa
GPS-pohjaiset ruuhkamaksujärjestelmät: Kuinka arvokasta vieraan vallan asiamiehille tai terroristeille olisikaan ajantasainen tieto Suomen johtohenkilöiden (poliittisten tai yrityselämän) liikkeistä? Kuten passien kohdalla, lähdetäänkö tässäkin keräämään tietoa varmuuden vuoksi? Vai olisiko parasta toteuttaa järjestelmät siten, että vältytään keräämästä turhaa tietoa vuotoalttiisiin keskusvarastoihin?
Sähköiset terveysrekisterit: Pelkästään potilaiden suostumuksen pyytäminen tietojen siirtoon ei auta paljoa, heidän ei voi olettaa pystyvän arvioimaan eri riskien suhdetta — tiedon nopea saaminen voi olla myös tietyissä tapauksissa kriittinen edellytys oikealle hoidolle. Tietoturva pitäisi rakentaa järjestelmän perusominaisuudeksi ja miettiä samalla, miten esimerkiksi estetään terveydenhuoltojärjestelmän tietojen vaivihkaiseen korruptoimiseen tähtäävät kyberhyökkäykset.
Electronic Frontier Finland ry:n puolesta,
Ville Oksanen
Tutkija, FT (teknologiaoikeus), Aalto Yliopisto.