Electronic Frontier Finland ry

Transkriptio

1 Effin lausunto turvallisuuskomitean toimittamasta kyberturvallisuuden toimeenpano ohjelman luonnoksesta Electronic Frontier Finland ry

2 Electronic Frontier Finland ry (Effi) kiittää mahdollisuudesta lausunnon antamiseen. Vaikka kyberturvallisuuden merkityksestä on käyty jo kohtuullisesti julkista keskustelua, aihepiirin tärkeys ei ole selvästikään noussut vielä sen tarvitsemalle tasolle. Kyse ei ole nimittäin enää muusta yhteiskunnasta irrallisesta ilmiöstä, vaan toiminnoista, jotka ovat yhteiskunnallisen turvallisuuden kovimmassa ytimessä. Turvallisuuden suojaamiseksi on oikeutettua suorittaa perusteltuja, tarkasti kohdennettuja, tilannekohtaisia toimenpiteitä kyberympäristössä. Mikäli valvontaa halutaan tehdä, sen tulee täyttää 13 kriteeriä, jotka ovat listattuna täällä: fi.necessaryandproportionate.org/text. Effi ei hyväksy mallia, jossa valtiovalta tahtoo massavalvoa verkkoliikennettä havainnoimalla dataa suoraan yhteisestä tietoliikenneinfrastruktuurista samalla tavoin kuin tietyt ulkomaiden epäeettiset tiedusteluelimet tekevät. Effi ei siis todellakaan hyväksy paradigmaa, jossa turvallisuuden nimissä toimivat viranomaiset katsovat omistavansa oikeuden ihmisten elämän yksityisyyttä loukkaavaan tarkkailuun, joka on väistämätön sivuvaikutus massavalvonnasta. Ajatus "haitallisen verkkoliikenteen torjumisesta rajoilla" on epäyhteensopiva koko Internetin perusluonteen kanssa. Tavoitteeseen ei voitaisi päästä kuin asentamalla kaikkiin tietoliikenteen "rajanylityspaikkoihin" valvonta- ja suodatusjärjestelmät. Selvää on myös, että jos sellaisia järjestelmiä otetaan käyttöön, ne eivät jää vain digitaalisen maanpuolustuksen työkaluiksi, vaan "valvontayhteiskunnan porttiteorian" mukaan seuraavaksi eri viranomaiset ovat hakemassa lupaa tietojen käyttöön rikostutkinnassa, "vääriä mielipiteitä" omaavien ihmisten profilointiin, rahapelimonopolia uhkaavien ulkomaisten palveluiden sulkemiseen ja niin edelleen. Minkäänlaista massavalvontajärjestelmää ei tule ottaa käyttöön; ne eivät yksinkertaisesti kuulu demokraattisiin yhteiskuntiin, joissa yksilöllä on oikeus omalla toiminnallaan rajata itsensä yhteiskunnan seurannan ulkopuolelle. Hyväksyttävää kyberturvatoimintaa on se, että valtionhallinnon organisaatioissa valvotaan organisaation omiin tietojärjestelmiin tulevaa dataa. Esimerkkitoimenpiteinä palomuurit, turvallisten ohjelmistojen hankkiminen ja organisaation päivittäisen toiminnan sisäiset tietoturvakäytännöt. Huomattakoon, että kaikki tämä on mahdollista jo nykyisen lainsäädännön pohjalta. Luonnollisestikin "organisaation omat tietojärjestelmät" täytyy tässä ymmärtää suppeana 2

3 käsitteenä, eli esimerkiksi kaikkien valtion sisällä olevien tietoliikennekaapelien kokonaisuus ei ole "valtio-organisaation oma järjestelmä, jota saa surutta valvoa", vaan organisaationa ymmärretään esimerkiksi yksittäinen virasto selvästi rajattuine toimipisteineen. Otetaan esimerkkinä v uutisoitu ulkoministeriöön kohdistunut verkkohyökkäys, jota on yleisesti käytetty esimerkkinä lainsäädännön laajentamiselle. Vastaavien hyökkäysten ehkäisyyn tarvitaan parempi tietoturva ministeriön itsensä sisälle, mutta ei missään tapauksessa voida sallia koko "Suomen Internetin" urkintaoikeuksia viranomaisille käyttäen tekosyynä valtioelinten turvallisuuden parantamista. Vertailukelpoista olisi, jos murto olisi tapahtunut "perinteisesti" sorkkaraudalla, ja tämän seurauksena jokaiseen kotiin asennettaisiin valvontakamera. Effin näkökulmasta Ruotsin FRA-laki, joka antaa viranomaisille oikeuden maan rajojen ylittävän tietoliikenteen massavalvontaan, on huolestuttava ja epäyhteensopiva pohjoismaisen yhteiskuntamallin kanssa. Suomen ei pidä missään nimessä pyrkiä kohti FRA-tyylistä lainsäädäntöä tai toimintamallia. Tietoja ei myöskään pidä käyttää "kauppatavarana" ulkomaiden tiedustelupalveluiden kanssa, vaikka tämä houkuttaakin sinänsä ymmärrettävästi valvontaviranomaisia: yle.fi/uutiset/supo_haluaisi_seuloa_nettiliikennetta_suomessa_- _tietoja_voitaisiin_vaihtaa_nsan_kanssa/ Kansallisen turvallisuuden varjolla ei tule markkinoida kansalaisten valvonnan jatkuvaa laajentamista. Kyse ei ole teoreettisesta uhasta, sillä esimerkkejä ei tarvitse kaukaa hakea: passeja varten kerättyjä sormenjälkiäkin tallennetaan keskitettyyn tietokantaan ja poliisijohdon mielestä valtion taholta pakotettavaksi kaavailtu autopaikannus olisi mukava lisä rikostutkinnan keinoihin. "Kansallinen turvallisuus" olisi myönteinen asia, jos sillä aidosti tarkoitettaisiin kansalaisten suojaamista, mutta Suomessa on nähtävissä haluja jalon perusteen väärinkäyttämiseksi arveluttavia päämääriä varten. Oikeus puolustautumiseen Valtiolla täytyy toki olla mahdollisuus aktiiviseen puolustautumiseen kyberhyökkäyksiä vastaan huoltovarmuuden ja muiden ydintoimintojen suojaamisessa. Kyberpuolustustoimintaa suunniteltaessa tulisi kuitenkin ymmärtää, että kyberturvallisuustoiminta, joka voimakkaasti 3

4 korostaa reaktiivista hyökkäyksen havaitsemista ja sen aktiivista rajoittamista, on riskialttiimpi perusoikeuksien toteutumisen kannalta kuin ennaltaehkäisevä ja järjestelmien hyökkäyskestävyyttä korostava strategia. Reaktiivinen hyökkäysten havaitseminen ja verkkotiedustelu edellyttävät reaaliaikaista tietoliikenteen seurantaa ja profilointia. Proaktiivinen järjestelmien hyökkäyskestävyyden lisääminen taas keskittyy järjestelmien parantamiseen niitä kehitettäessä, jolloin järjestelmien lisääntynyt tietoturva samalla lisää myös niiden tietosuojaa. Reaktiivinen havainnointi ja aktiiviset vastatoimet eivät välttämättä todellisessa konfliktitilanteessa auta, sillä hyökkääjä saattaa käyttää hyväksi nollapäivähaavoittuvuuksia, joita joko ei havaita tai joiden vaikutukset ovat liian nopeita, että niihin ehdittäisiin edes automaattisesti adaptoituvin keinoin pureutua. Erilaiset valvonta- ja torjuntajärjestelmät ovat kuitenkin tietoturvatuoteyritysten leipäpuu. Niitä edistävä lobbaus on siksi kiihkeämpää kuin ohjelmistojen turvallisen kehityksen edistäminen, joka ei välttämättä vaatisi suuria sijoituksia järjestelmiin mutta sitäkin enemmän koulutus- ja prosessi-investointeja. Proaktiivinen turvallisuustyö, esimerkiksi uusimman VAHTI-sovelluskehitysturvallisuusohjeen (1/2013) vaatimusten mukainen työ, tehostaisi järjestelmien passiivista puolustettavuutta ja vähentäisi nollapäivähyökkäysten riskiä. Ohjelmistojen kehityksen ja sovelluskehityksen turvallisuuden nostaminen strategisesti suurempaan rooliin hyödyttäisi siis todennäköisesti sekä perusoikeuksien että paremman kyberturvallisuustilanteen toteutumista. Suomen Internetistä löytyy tuhansia suojaamattomia automaatiojärjestelmiä (research.comnet.aalto.fi/public/aalto-shodan-raportti-julkinen.pdf). Kun mietitään keinoja kyberturvallisuuden parantamiseen, jolla ei loukata kansalaisten perusoikeuksia, tässä on yksi paikka aloittaa lainsäädäntötyö. On perusteltua laajentaa valtion oikeutta tutkia olemassa olevaa verkkoa etsien suojaamattomia ja huonosti suojattuja järjestelmiä, siten että tästä vastuussa olevalla taholla on oikeus selvittää kyseisen osoitteen omistaja ja vaatia tätä korjaamaan ongelma. Kyberpuolustuksen yleiset periaatteet Effi edellyttää, että lainsäädäntötyössä huomioidaan seuraavat periaatteet: 4

5 1. Kyberturvallisuus on henkilökohtaista turvallisuutta. Kyberturvallisuuspolitiikka keskittyy usein elintärkeiden infrastruktuurien kuten voimalaitosten ja vesilaitosten suojeluun. Mutta kyberturvallisuuteen liittyy myös toinen tärkeä aihe: kansalaisten ja heidän arvokkaimpien ja intiimeimpien tietojensa suojelu. Olisi katastrofi, jos miljoonien eurooppalaisten arkaluonteiset ja arvokkaat tiedot (kuten viestintä-, lääkintä- tai paikkatiedot) paljastettaisiin tahattomasti. 2. Kyberturvallisuuden täytyy kunnioittaa perusoikeuksia. Kyberturvallisuustoimenpiteet vaikuttavat usein toistuvasti perusoikeuksiimme. Euroopan ihmisoikeustuomioistuin on useissa tapauksissa antanut päätöksen, että perusoikeuksien syvintä ydintä ei saa loukata. Seurauksena tästä täytyy uusien kyberturvallisuustoimenpiteiden tarpeellisuus, suhteellisuusperiaatteeseen sopivuus, päätöksenteon läheisyysperiaatteeseen sopivuus ja tehokkuus aina osoittaa etukäteen. Tämä tarkoittaa, että toimenpiteet täytyy räätälöidä sitä ongelmaa varten, joka niillä yritetään ratkaista. 3. Kyberturvallisuus vaatii läpinäkyvyyttä. Kyberturvallisuuspolitiikalla voi olla kauaskantoisia yhteiskunnallisia vaikutuksia muun muassa perusoikeuksiin ja Internetin toimintaan liittyen. Juuri tästä syystä kyberturvallisuuspolitiikan julkinen valvonta on välttämätöntä ja läpinäkyvyys tällä alueella on pakollista. Politiikan täytyy perustua todellisiin ja todistettavissa oleviin uhka- ja riskianalyyseihin (niin ennen politiikan käyttöönottoa kuin myös säännöllisesti sen jälkeen) ja sen täytyy keskittyä siihen täsmälliseen riskiin, johon sen väitetäänkin olevan kohdistettu. 4. Täydellistä kyberturvallisuutta ei ole olemassa. Vaikka kyberturvallisuus on tärkeä päämäärä politiikkaa laadittaessa, täydellistä turvaa ei voida koskaan saavuttaa. Turvallisuus yleisesti on määritelmänsä mukaan kustannus-hyöty-analyysin tulos. Kyberturvallisuuden alueella tässä analyysissa otetaan huomioon se, että jo pieni ihmisryhmä suhteellisen vähällä rahalla voi aiheuttaa valtavaa vahinkoa esimerkiksi valmistamalla kehittyneitä haittaohjelmia kuten Stuxnet. Tietysti riskejä voidaan ehkäistä mahdollisuuksien rajoissa tarjoamalla perustason turvallisuustoimenpiteet, hajauttamalla riskejä mahdollisimman paljon ja tarjoamalla varamekanismeja. Kuitenkin meidän tulee hyväksyä, että kaikkia kyberturvallisuusriskejä ei voida ikinä poissulkea, koska ehkäisemisen kustannukset ovat yksinkertaisesti liian korkeat (mitattuina sekä euroina että vaikutuksena, joka ehkäisytoimenpiteillä olisi perusoikeuksiimme). 5. Avoimuus johtaa parempaan tietoturvaan. Tietoteknisten järjestelmien turvallisuutta arvioitaessa on tärkeää huomata, että joissakin asioissa salailu heikentää turvallisuutta. Erityisesti kryptografiaan perustuvissa menetelmissä tunnetusti tilanne on se, että vaikka 5

6 käytettyjen avainten huolellinen salassapito on ensiarvoisen tärkeää, käytetyn tekniikan julkisuus on lähes aina turvallisuutta parantava tekijä. Näin siksi, että mitä useampi tekniikan tuntee, sitä todennäköisemmin sen heikkoudet on löydetty ja korjattu, ja avainten vaihtaminen on aina paljon helpompaa kuin teknisten perusratkaisujen. 6. Paras keino ehkäistä tietomurtoja on olla keräämättä tietoa. Monet viranomaisten tietojärjestelmät sisältävät eri tavoin arkaluontoista tietoa: poliisin järjestelmät, potilastietojärjestelmät (hyvin houkuttelevia esimerkiksi kiristykseen sopivia uhreja etsiville), erilaiset biotietopankit, DNA- ja sormenjälkirekisterit, kaikki ihmisten liikkeitä rekisteröivät järjestelmät, valvontakamerat jne. Mitään järjestelmää ei kuitenkaan voida suojata sataprosenttisesti tämä ei onnistunut edes NSA:lta. Tehtiin tietojärjestelmien suojaamiseksi mitä tahansa, kriittisen tietovuodon todennäköisyys kasvaa aina suoraan suhteessa kerättävän ja säilytettävän tiedon määrään. Siten pitäisi ottaa periaatteeksi välttää arkaluontoisten tietojen keräämistä enempää kuin on aivan välttämätöntä. Koska kaikilla tietoa käsittelevillä toimijoilla on luonnollinen taipumus luottaa itseensä liikaa ja kerätä tietoa ''varmuuden vuoksi'' enemmän kuin oikeasti olisi tarpeen ja perusteltua, olisi parasta yleisenä linjana kallistua mieluummin liian vähän kuin liian paljon tiedon keruun suuntaan. Tämä koskee niin tiedonkeruumekanismeja kuin kerätyn tiedon tallentamistakin. Silloin kun tietoa kuitenkin kerätään, toimenpiteet sen suojaamiseksi pitää mitoittaa arvioiden sen arkaluontoisuutta ja vuotoherkkyyttä myös eritasoisissa poikkeusoloissa. Tämän lisäksi Effi korostaa, että lakia valmisteleva työryhmä edustaa valitettavan kapeaa näkemystä yhteiskuntaan. Kyberturvallisuus koskettaa kaikkia yhteiskunnan sektoreita ja sen ei todellakaan tule kuulua vain virkamiesten käsiin. Vaikka tätä ongelmaa voidaankin korjata rajoitetusti asiantuntijakuulemisilla, on täysin selvää, että tämä ei korvaa konkreettista mahdollisuutta vaikuttaa lopputulokseen työryhmän sisältä varsinkin kun työryhmän kokoonpano näyttää ainakin ulospäin siltä, että sillä on haluttu varmistaa jo etukäteen haluttu lopputulos. Kyberturvallisuudessa ja pilvipalveluissa voisi olla Suomen IT-teollisuuden tulevaisuus. Älkää pilatko meiltä sitä. 6