Electronic Frontier Finland ry

Samankaltaiset tiedostot
Electronic Frontier Finland ry

Electronic Frontier Finland ry

Electronic Frontier Finland ry

Varmaa ja vaivatonta viestintää

Ulkoasiainvaliokunta LAUSUNTOLUONNOS. kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnalle

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Electronic Frontier Finland ry

Tuntematon uhka Mikä se on ja miten siltä suojaudutaan

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

TEEMME KYBERTURVASTA TOTTA

1 Johdanto. 2 Eritasoisten tilanteiden ristiriitaiset turvallisuusuhat. ASIA: VNS 1/2009 vp Suomen turvallisuus- ja puolustuspolitiikka

KASVAVAN KYBERTURVAMARKKINAN PELINTEKIJÄ

Digitalisaatio ja kyberpuolustus

Tiedustelulainsäädäntö. eduskuntaan. Tiedotustilaisuus

TEEMME KYBERTURVASTA TOTTA

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

Haettavan tuen määrät sisäisen turvallisuuden rahaston kansallisissa tavoitteissa haussa

MTS:n puheenjohtajana minulla on ilo ja kunnia toivottaa teidät kaikki. omasta ja suunnittelukunnan puolesta lämpimästi tervetulleiksi tänä

Sisäisen turvallisuuden ja Ulko- ja turvallisuuspoliittinen selonteko Talousvaliokunta,

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Suomen tahtotila reaaliaikatalouden osalta Johtava asiantuntija Olli-Pekka Rissanen

Miksi verkoissakin pitää tiedustella? Vanajanlinna, Poliisijohtaja Petri Knape

TIETOPAKETTI EI -KYBERIHMISILLE

VISIO YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN. Väestön elinmahdollisuudet. Yhteiskunnan turvallisuus. Valtion itsenäisyys

LAPIN YLIOPISTO Yhteiskuntatieteiden tiedekunta POLITIIKKATIETEET VALINTAKOE Kansainväliset suhteet ja valtio-oppi.

Tiedonhankintalakityöryhmä PLM004:00/2013. Tässä tiivistelmässä selostetaan työryhmän saamia lausuntoja ja kirjallisia kannanottoja.

Kyberturvallisuus kiinteistöautomaatiossa

Tietojärjestelmien varautuminen

Luonnos valtioneuvoston selonteoksi "Eettistä tietopolitiikkaa tekoälyn aikakaudella"

Mobiililaitteiden ja sovellusten tietoturvallisuus mihin tulee kiinnittää huomiota?

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Sisäisen turvallisuuden ja Ulko- ja turvallisuuspoliittinen selonteko

Kyber uhat. Heikki Silvennoinen, Miktech oy /Safesaimaa

TEEMME KYBERTURVASTA TOTTA

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Vesihuolto päivät #vesihuolto2018

Kohti Suomi strategiaa. Pääjohtaja, OTT/Tuomas Pöysti

Sisäministeriön hallinnonalan konsernistrategia

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Väestönsuojien rakentamista koskevia strategisia linjauksia selvittäneen työryhmän raportti

Siviilitiedustelulainsäädäntö. Marko Meriniemi lainsäädäntöneuvos

Kybersairauden tiedostaminen! Sairaanhoitopiirien kyberseminaari Kari Wirman

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Tietoverkkotiedustelu ja lainsäädäntö. Kybertalkoot

Kohti sisäisen turvallisuuden strategiaa

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

Asukkaan oikeus omaan dataan ja GDPR asuntoosakeyhtiössä. Ilmastoviisaat taloyhtiöt työpaja 1 Asukkaan MyData

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

HE kansallisen turvallisuuden huomioon ottamista alueiden käytössä ja kiinteistönomistuksissa koskevaksi lainsäädännöksi (HE 253/2018 vp.

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

TILINPÄÄTÖS 2014 JA NÄKYMÄT

FI Moninaisuudessaan yhtenäinen FI A8-0245/253. Tarkistus

Tietoturvan haasteet grideille

SAKU-strategia

Kertomusluonnoksesta annetut lausunnot 6/2018 Kuntatalouden ohjaus 121/51/2017

YRITTÄJÄKYSELY 2017 TUTKIMUSRAPORTTI: TIETOTURVA

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

Luottamusta lisäämässä. Toimintasuunnitelma

Vastuullisuusmallin tausta ja tavoitteet

YHTEISKUNNNAN TURVALLISUUSSTRATEGIA 2010

Suomen kyberturvallisuusstrategia ja toimeenpano-ohjelma Jari Pajunen Turvallisuuskomitean sihteeristö

Tietoturva ja viestintä

FI Moninaisuudessaan yhtenäinen FI A8-0278/2. Tarkistus. Christel Schaldemose ja muita

Digitaaliset palvelut kaikille Saavutettavuusdirektiivi verkkopalvelut ja sisällöt kaikille sopiviksi

Mitä mieltä olette viittomakieltä käyttävän määritelmästä?

Hallituksen esitys 34/2018 vp. Liikenneviraston liikenteenohjaus- ja hallintapalveluiden muuttamisesta osakeyhtiöksi

Tietosuojaseloste. Trimedia Oy

YKSITYISYYS JA OMAISUUDEN SUOJA STANDARDI

Tietoturvan nykytila tietoturvaloukkausten näkökulmasta. Jussi Eronen Erityisasiantuntija CERT-FI

Sisäisen turvallisuuden kokonaiskuvan rakentaminen Valtakunnallinen turvallisuusseminaari , Järvenpää

Round table -neuvottelu eduskunnassa

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

Asiakaskilpailuja koskeva tietosuojaseloste

Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen

Nuoret ja turvallisuus , Eduskunta

Varmaa ja vaivatonta viestintää kaikille Suomessa

Tietoturvapalvelut huoltovarmuuskriittisille toimijoille

TIETOTILINPÄÄTÖS TILINTARKASTAJAN SILMIN. Ylijohtaja Marjatta Kimmonen VTV

Mitä huomioida viestittäessä tietosuojakysymyksistä. Irene Leino, yritysvastuuasioidenpäällikkö, Suomen UNICEF

50 vuotta JUHTAA ja VAHTIA -juhlaseminaari

Älykäs, palveleva kunta

Kansallinen palveluarkkitehtuuri digitalisoituvan yhteiskunnan selkärankana

VARAUTUMISSEMINAARI VARAUTUMINEN ALUEHALLINNON UUDISTUKSESSA

Kansallinen varautuminen kriiseihin. Yleissihteeri, Jari Kielenniva

Suojaamattomia automaatiolaitteita suomalaisissa verkoissa

TIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?

Rekisteri- ja tietosuojaseloste

Yhteiskunnan turvallisuusstrategian perusteet

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

Suunnitelma oppilaiden suojaamiseksi väkivallalta, kiusaamiselta ja häirinnältä

SUOMEN KYBERTURVALLISUUS- STRATEGIA 2019

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

Espoon kaupunki Tietoturvapolitiikka

TURVAA LIIKETOIMINTASI KAIKKIALLA. Protection Service for Business

Onko harvaan asutuilla seuduilla sijaa sisäisen turvallisuuden ohjelmassa?

KYBERTURVAMARKKINA KASVAA TEEMME KYBERTURVASTA TOTTA

Tampereen kaupungin eettiset toimintaperiaatteet. Kaupunginvaltuuston perehdyttämiskoulutus Niina Pietikäinen henkilöstöjohtaja

Transkriptio:

Effin lausunto turvallisuuskomitean toimittamasta kyberturvallisuuden toimeenpano ohjelman luonnoksesta 31.1.2014 Electronic Frontier Finland ry www.effi.org

Electronic Frontier Finland ry (Effi) kiittää mahdollisuudesta lausunnon antamiseen. Toimeenpanoohjelman luonnoksessa korostetaan lukuisissa kohdissa ihmisoikeuksien ja perusoikeuksien toteutumista kyberturvallisuustoiminnassa. Effi tukee mitä lämpimimmin tätä tavoitetta. Samanaikaisesti luonnoksessa kuvaillaan valitettavasti myös useita tavoitteita, joiden toteuttaminen johtaisi kaikella todennäköisyydellä kyseisten oikeuksien heikentämiseen ilman vastaavaa hyötyä turvallisuudelle. Samalla tuhottaisiin myös Suomen maine vakoiluvapaana valtiona, joka voisi olla maamme arvokkain markkinointivaltti kilpailtaessa globaaleista verkkopalvelumarkkinoista. Toimeenpano-ohjelman luonnoksessa esitetään huomattavan suuri määrä toimenpiteitä tiivistelmäteksteinä. Esityksen tiivistetystä muodosta johtuen täsmällisten kantojen muodostaminen eri ehdotuksista on varsin haasteellista ( devil is in the details ). Lainsäädäntömuutoksiin tähtäävien osioiden joukossa erityistä huolta herättää Effissä ei-niin yllättävästi luku 2.4 "Tiedonhankinta ja tutkinta kyberympäristössä", jossa näytetään tähtäävän verkkovalvonnan merkittävään laajentamiseen: "Vertailumaissa lainsäädäntö perustuu siihen, että tiedusteluorganisaatiolla on mahdollisuus tietoliikennekaapeleissa tapahtuvan tietoliikenteen seuraamiseen. (...) Lainsäädäntö voi johtaa ehdotuksiin tiedustelun kehittämisestä tietoverkkojärjestelmissä. Siinä tapauksessa kansallisesti järjestettävän kybervalvonnan avulla turvallisuusviranomaisille tuotetaan sellaista tilannetietoa, jota ei ole saatavissa mistään muista lähteistä. (...) Kybervalvontaan ja tiedusteluun liittyy myös moniviranomaistoimintamallin kehittäminen." Turvallisuuden suojaamiseksi on oikeutettua suorittaa perusteltuja, tarkasti kohdennettuja, tilannekohtaisia toimenpiteitä kyberympäristössä. Valitettavasti edellä lainattu ehdotusteksti antaa vaikutelman, jossa valtiovalta tahtoo massavalvoa verkkoliikennettä havainnoimalla dataa suoraan yhteisestä tietoliikenneinfrastruktuurista samalla tavoin kuin ulkomaiden epäeettiset tiedusteluelimet tekevät ja lisäksi jakaa tietoja viranomaisten välillä. Viranomaiset katsovat olevansa tosiasiassa kriittisen arvostelun yläpuolella ja omistavansa oikeuden ihmisten elämän invasiiviseen tarkkailuun, joka on väistämätön sivuvaikutus kuvaillun kaltaisesta toiminnasta. Ajatus "haitallisen verkkoliikenteen torjumisesta rajoilla" on epäyhteensopiva koko Internetin perusluonteen kanssa. Miten tuollaiseen tavoitteeseen voitaisiin edes päästä muuten kuin asentamalla kaikkiin tietoliikenteen "rajanylityspaikkoihin" valvonta- ja suodatusjärjestelmät? Selvää on myös, että jos sellaisia järjestelmiä otetaan käyttöön, ne eivät jää vain digitaalisen 2

maanpuolustuksen työkaluiksi, vaan valvontayhteiskunnan porttiteorian mukaan seuraavaksi eri viranomaiset ovat kärttämässä lupaa tietojen käyttöön rikostutkinnassa, "vääriä mielipiteitä" omaavien ihmisten profilointiin, rahapelimonopolia uhkaavien ulkomaisten palveluiden sulkemiseen ja niin edelleen. Minkäänlaista massavalvontajärjestelmää ei tule ottaa käyttöön; ne eivät yksinkertaisesti kuulu demokraattisiin yhteiskuntiin, joissa yksilöllä on oikeus omalla toiminnallaan rajata itsensä yhteiskunnan seurannan ulkopuolelle. Hyväksyttävää kyberturvatoimintaa on se, että valtionhallinnon organisaatioissa valvotaan organisaation omiin tietojärjestelmiin tulevaa dataa. Esimerkkitoimenpiteinä palomuurit, turvallisten ohjelmistojen hankkiminen ja organisaation päivittäisen toiminnan sisäiset tietoturvakäytännöt. Huomattakoon, että kaikki tämä on mahdollista jo nykyisen lainsäädännön pohjalta. Luonnollisestikin "organisaation omat tietojärjestelmät" täytyy tässä ymmärtää suppeana käsitteenä, eli esimerkiksi kaikkien valtion sisällä olevien tietoliikennekaapelien kokonaisuus ei ole "valtio-organisaation oma järjestelmä, jota saa surutta valvoa", vaan organisaationa ymmärretään esimerkiksi yksittäinen virasto selvästi rajattuine toimipisteineen. Otetaan esimerkkinä v. 2013 uutisoitu ulkoministeriöön kohdistunut verkkohyökkäys. Vastaavien hyökkäysten ehkäisyyn tarvitaan parempi tietoturva ministeriön itsensä sisälle, mutta ei missään tapauksessa voida sallia koko "Suomen Internetin" urkintaoikeuksia viranomaisille käyttäen tekosyynä valtioelinten turvallisuuden parantamista. Vähän analogista olisi, jos murto olisi tapahtunut perinteisesti, tämän seurauksena jokaiseen kotiin asennettaisiin valvontakamera. Toimenpiteessä "kansallinen kybervalvonta ja kybertiedustelu" mainitaan eräänä tavoitteena "havaita, tunnistaa ja ehkäistä maamme turvallisuuden kannalta haitallinen verkkoliikenne jo valtakunnan rajoilla ilma- ja merivalvonnan tavoin". Tätä on hankala lukea muuten kuin vaatimuksena, että Puolustusvoimat (ja/tai jokin muu viranomaistaho) haluaa oikeuden verkkoliikenteen invasiiviseen, kohtuuttomaan valvontaan. Tietysti esimerkiksi digitaalinen tilannekuva ajantasaisesta kyberturvallisuustilanteesta on tärkeä työkalu yhteiskunnan suojaamisessa. Kuitenkaan se tai mikään muukaan viranomaisten käytössä oleva tietolähde ei saa perustua kohtuuttomaan kaikenkattavaan urkintaan. Ruotsin FRA-laki, joka antaa viranomaisille oikeuden maan rajojen ylittävän tietoliikenteen massavalvontaan, on huolestuttava ja epäyhteensopiva pohjoismaisen yhteiskuntamallin kanssa. 3

Suomen ei pidä missään nimessä pyrkiä kohti FRA-tyylistä lainsäädäntöä tai toimintamallia. Tietoja ei myöskään pidä käyttää "kauppatavarana" ulkomaiden tiedustelupalveluiden kanssa, vaikka esim. Supo on ilmaissut halunsa moiseen epäeettiseen ja kansalaisten edusta vähät välittävään kaupankäyntiin (http://yle.fi/uutiset/supo_haluaisi_seuloa_nettiliikennetta_suomessa_- _tietoja_voitaisiin_vaihtaa_nsan_kanssa/6715195). Mikäli valvontaa halutaan tehdä, sen tulee täyttää 13 kriteeriä, jotka ovat listattuna täällä: https://en.necessaryandproportionate.org/text Kansallisen turvallisuuden varjolla ei tule markkinoida kansalaisten valvonnan jatkuvaa laajentamista. Kyse ei ole teoreettisesta uhasta, sillä esimerkkejä ei tarvitse kaukaa hakea: passeja varten kerättyjä sormenjälkiäkin tallennetaan keskitettyyn tietokantaan ja poliisijohdon mielestä valtion taholta pakotettavaksi kaavailtu autopaikannus olisi mukava lisä rikostutkinnan keinoihin. "Kansallinen turvallisuus" olisi myönteinen asia, jos sillä aidosti tarkoitettaisiin kansalaisten suojaamista, mutta Suomessa on nähtävissä haluja jalon perusteen väärinkäyttämiseksi arveluttavia päämääriä varten. Käyttäkäämme ajattelun aktivointiin usein toistettua mutta yhä toimivaa kirjevertausta. Jos paperipohjaisen viestinnän aikana Neuvostoliitossa tai DDR:ssä luettiin valtion turvallisuuden nimissä yksityisten ihmisten kirjeitä (varsinkin rajojen yli postitettavaksi tarkoitettuja kirjeitä!) valtion hämärissä virastoissa, miten reagoivat länsimaiset oikeusvaltiot tähän? Pohdittuaan hetken tuota kysymystä pystynee ajatuskykyinen ihminen vastaamaan seuraavaankin kysymykseen. Miten pitäisi länsimaisen oikeusvaltion toimia tilanteessa, jossa viestintä tapahtuu kirjeiden sijaan bitteinä ja jotkin yhteiskunnan instanssit kehtaavat vaatia mahdollisuutta viestinnän havainnointiin ja torjuntaan "rajoilla" suuressa mittakaavassa? Oikeus puolustautumiseen Valtiolla täytyy toki olla mahdollisuus aktiiviseen puolustautumiseen kyberhyökkäyksiä vastaan huoltovarmuuden ja muiden ydintoimintojen suojaamisessa. Kyberpuolustustoimintaa suunniteltaessa tulisi kuitenkin ymmärtää, että kyberturvallisuustoiminta, joka voimakkaasti korostaa reaktiivista hyökkäyksen havaitsemista ja sen aktiivista rajoittamista, on riskialttiimpi perusoikeuksien toteutumisen kannalta kuin ennaltaehkäisevä ja järjestelmien hyökkäyskestävyyttä korostava strategia. Reaktiivinen hyökkäysten havaitseminen ja verkkotiedustelu edellyttävät reaaliaikaista tietoliikenteen seurantaa ja profilointia. Proaktiviinen järjestelmien 4

hyökkäyskestävyyden lisääminen taas keskittyy järjestelmien kehitysaikaiseen parannukseen, jolloin järjestelmien lisääntynyt tietoturva jopa lisää esimerkiksi niiden tietosuojaa. Reaktiivinen havainnointi ja aktiiviset vastatoimet eivät välttämättä todellisessa konfliktitilanteessa auta, sillä hyökkääjä saattaa käyttää hyväksi nollapäivähaavoittuvuuksia, joita joko ei havaita tai joiden vaikutukset ovat liian nopeita, että niihin ehdittäisiin edes automaattisesti adaptoituvin keinoin pureutua. Erilaiset valvonta- ja torjuntajärjestelmät ovat kuitenkin tietoturvatuoteyritysten leipäpuu. Niitä edistävä lobbaus on siksi kiihkeämpää kuin ohjelmistojen turvallisen kehityksen edistäminen, joka ei välttämättä vaatisi suuria sijoituksia järjestelmiin mutta sitäkin enemmän koulutus- ja prosessi-investointeja. Proaktiivinen turvallisuustyö, esimerkiksi uusimman VAHTI-sovelluskehitysturvallisuusohjeen (1/2013) vaatimusten mukainen työ, tehostaisi järjestelmien passiivista puolustettavuutta ja vähentäisi nollapäivähyökkäysten riskiä. Ohjelmistojen kehityksen ja sovelluskehityksen turvallisuuden nostaminen strategisesti suurempaan rooliin hyödyttäisi siis todennäköisesti sekä perusoikeuksien että paremman kyberturvallisuustilanteen toteutumista. Suomen Internetistä löytyy tuhansia suojaamattomia automaatiojärjestelmiä (https://research.comnet.aalto.fi/public/aalto-shodan-raportti-julkinen.pdf). Kun mietitään keinoja kyberturvallisuuden parantamiseen, jolla ei loukata kansalaisten perusoikeuksia, tässä on yksi paikka aloittaa lainsäädäntötyö. On perusteltua laajentaa valtion oikeutta tutkia olemassa olevaa verkkoa etsien suojaamattomia ja huonosti suojattuja järjestelmiä, siten että tästä vastuussa olevalla taholla on oikeus selvittää kyseisen osoitteen omistaja ja vaatia tätä korjaamaan ongelma. Kyberpuolustukseen yleiset periaatteet: Effi suosittelee seuraavia periaatteita huomioitavaksi koko toimeenpano-ohjelman osalta: 1. Kyberturvallisuus on henkilökohtaista turvallisuutta. Kyberturvallisuuspolitiikka keskittyy usein elintärkeiden infrastruktuurien kuten voimalaitosten ja vesilaitosten suojeluun. Mutta kyberturvallisuuteen liittyy myös toinen tärkeä aihe: kansalaisten ja heidän arvokkaimpien ja intiimeimpien tietojensa suojelu. Olisi katastrofi, jos miljoonien eurooppalaisten 5

arkaluonteiset ja arvokkaat tiedot (kuten viestintä-, lääkintä- tai paikkatiedot) paljastettaisiin tahattomasti. 2. Kyberturvallisuuden täytyy kunnioittaa perusoikeuksia. Toistuvasti ehdotetut kyberturvallisuustoimenpiteet vaikuttavat usein perusoikeuksiimme. Euroopan ihmisoikeustuomioistuin on eri tapauksissa antanut päätöksen, että perusoikeuksien syvintä ydintä ei saa loukata. Seurauksena tästä täytyy uusien kyberturvallisuustoimenpiteiden tarpeellisuus, suhteellisuusperiaatteeseen sopivuus, päätöksenteon läheisyysperiaatteeseen sopivuus ja tehokkuus aina osoittaa etukäteen. Tämä tarkoittaa, että toimenpiteet täytyy räätälöidä sitä ongelmaa varten, joka niillä yritetään ratkaista. 3. Kyberturvallisuus vaatii läpinäkyvyyttä. Kyberturvallisuuspolitiikalla voi olla kauaskantoisia yhteiskunnallisia vaikutuksia muun muassa perusoikeuksiin ja Internetin toimintaan liittyen. Juuri tästä syystä kyberturvallisuuspolitiikan julkinen valvonta on välttämätöntä ja läpinäkyvyys tällä alueella on pakollista. Politiikan täytyy perustua todellisiin ja todistettavissa oleviin uhka- ja riskianalyyseihin (niin ennen politiikan käyttöönottoa kuin myös säännöllisesti sen jälkeen) ja sen täytyy keskittyä siihen täsmälliseen riskiin, johon sen väitetäänkin olevan kohdistettu. 4. Täydellistä kyberturvallisuutta ei ole olemassa. Vaikka kyberturvallisuus on tärkeä päämäärä politiikkaa laadittaessa, täydellistä turvaa ei voida koskaan saavuttaa. Turvallisuus yleisesti on määritelmänsä mukaan kustannus-hyöty-analyysin tulos. Kyberturvallisuuden alueella tässä analyysissa otetaan huomioon se, että jo pieni ihmisryhmä suhteellisen vähällä rahalla voi aiheuttaa valtavaa vahinkoa esimerkiksi valmistamalla kehittyneitä haittaohjelmia kuten Stuxnet. Tietysti riskejä voidaan ehkäistä mahdollisuuksien rajoissa tarjoamalla perustason turvallisuustoimenpiteet, hajauttamalla riskejä mahdollisimman paljon ja tarjoamalla varamekanismeja. Kuitenkin meidän tulee hyväksyä, että milloinkaan kaikkia kyberturvallisuusriskejä ei voida poissulkea, koska ehkäisemisen kustannukset ovat yksinkertaisesti liian korkeat (mitattuina sekä euroina että vaikutuksena, joka ehkäisytoimenpiteillä olisi perusoikeuksiimme). 5. Avoimuus johtaa parempaan tietoturvaan. Tietoteknisten järjestelmien turvallisuutta arvioitaessa on tärkeää huomata, että joissakin asioissa salailu heikentää turvallisuutta. Erityisesti kryptografiaan perustuvissa menetelmissä tunnetusti tilanne on se, että vaikka 6

käytettyjen avainten huolellinen salassapito on ensiarvoisen tärkeää, käytetyn tekniikan julkisuus on lähes aina turvallisuutta parantava tekijä, Näin siksi, että mitä useampi tekniikan tuntee, sitä todennäköisemmin sen heikkoudet on löydetty ja korjattu, ja avainten vaihtaminen on aina paljon helpompaa kuin teknisten perusratkaisujen. 6. Paras keino ehkäistä tietomurtoja on olla keräämättä tietoa. Monet viranomaisten tietojärjestelmät sisältävät eri tavoin arkaluontoista tietoa: poliisin järjestelmät, potilastietojärjestelmät (hyvin houkuttelevia esimerkiksi kiristykseen sopivia uhreja etsiville), erilaiset biotietopankit, DNA- ja sormenjälkirekisterit, kaikki ihmisten liikkeitä rekisteröivät järjestelmät, valvontakamerat jne. Mitään järjestelmää ei kuitenkaan voida suojata sataprosenttisesti tämä ei onnistunut edes NSA:lta. Tehtiin tietojärjestelmien suojaamiseksi mitä tahansa, kriittisen tietovuodon todennäköisyys kasvaa aina suoraan suhteessa kerättävän ja säilytettävän tiedon määrään. Siten pitäisi ottaa periaatteeksi välttää arkaluontoisten tietojen keräämistä enempää kuin on aivan välttämätöntä. Koska kaikilla tietoa käsittelevillä toimijoilla on luonnollinen taipumus luottaa itseensä liikaa ja kerätä tietoa ''varmuuden vuoksi'' enemmän kuin oikeasti olisi tarpeen ja perusteltua, olisi parasta yleisensä linjana kallistua mieluummin liian vähän kuin liian paljon tiedon keruun suuntaan. Tämä koskee niin tiedonkeruumekanismeja kuin kerätyn tiedon tallentamistakin. Silloin kun tietoa kuitenkin kerätään, toimenpiteet sen suojaamiseksi pitäisi tietenkin mitoittaa arvioiden sen arkaluontoisuutta ja vuotoherkkyyttä myös eritasoisissa poikkeusoloissa. 7

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute