LAUSUNTOTIIVISTELMÄ Tässä tiivistelmässä selostetaan työryhmän saamia lausuntoja ja kirjallisia kannanottoja. 1. Tiedonhankintalakityöryhmän asettaminen Puolustusministeriö asetti 13.12.2013 työryhmän, jonka tehtävänä oli lainsäädännön kehittämine erityisesti turvallisuusviranomaisten tiedonhankintaa koskevan sääntelyn osalta. Tavoitteena oli, että huolehdittaisiin nykyistä paremmin kansallisesta turvallisuudesta tietoverkoissa esiintyvien uhkien torjumiseksi. 2. Lausunnot ja muut kirjalliset kannanotot Työryhmän työ tukemiseksi työryhmän asettamispäätöksestä pyydettiin lausuntoa seitsemältä järjestöltä ja elinkeinoelämän edustajalta. Lausunnonantajia pyydettiin esittämään näkemyksiään erityisesti työryhmän tavoitteista ja tehtävistä sekä siitä, mitä oikeudellisia ja yhteiskunnallisia näkökohtia työryhmän työssä tulisi ottaa huomioon. Kirjallinen lausuntokierros ajoitettiin alkuvaiheeseen, jotta saatu palaute voitaisiin ottaa huomioon työskentelyn aikana. Lausunnon antoivat 1. Elinkeinoelämän keskusliitto 2. Electronic Frontier Finland (EFFI) ry 3. Tietoliikenteen ja tietotekniikan keskusliitto FiCom ry 4. Finnish Communication and Internet Exchange (FiCix) ry 5. Huoltovarmuuskeskus 6. FISC Finnish Information Security Cluster ry ja Teknologiateollisuus Ry (yhteinen lausunto) FiCom ry toimitti lisäksi työryhmän käyttöön taustamuistion (Yritysmaailman näkökohtia turvallisuusviranomaisten tiedonhankintakyvyn kehittämiseen liittyvään lainsäädäntöhankkeeseen, versio 0.3D, 16.1.2014). Työryhmä järjesti kaksi kuulemistilaisuutta elinkeinoelämälle (29.4.2014) ja järjestöille (6.5.2014). Painopiste kuulemistilaisuuksissa oli verkkovalvonta. Työryhmä varasi kutsutuille mahdollisuuden toimittaa myös kirjallisia kannanottoja. Kutsut tilaisuuksiin julkaistiin puolustusministeriön Internet sivulla, jotta tavoitettaisiin myös muut kuin tiedossa olevat sidosryhmät. Kirjallisen kannanoton toimittivat 1. F-Secure Oyj 2. Nokia Oyj ja Nokia Solutions and Networks (yhteinen kannanotto) 3. TDC Oy 4. Microsoft Oyj 5. Keskuskauppakamari 6. Internet-käyttäjät ikuisesti IKI ry 1
7. Finnish Communication and Internet Exchange (FiCix) ry Kirjalliset kannanotot julkaistiin puolustusministeriön Internet-sivulla. 3. Lausunnonantajien huomioita ja muita kirjallisia kannanottoja työryhmän työskentelyyn 3.1. Yleiset huomiot FISC Finnish Information Security Cluster ry ja Teknologiateollisuus Ry Näkemyksemme mukaan Suomen kansallisen kyberturvallisuuden kehittäminen on erittäin tärkeää, ja yhtenä tukipilarina tälle on sovelias lainsäädäntö. Ficix ry Ficix ry pitää kannatettavana, että oikeusvaltion periaatteita noudatetaan selvittämällä jo voimassaolevan lain ja sääntelyn antamat mahdollisuudet sekä niiden kehittämistarve. Viranomaiset eivät juuri ole käyttäneet lain sallimia puuttumiskeinoja. Tietoturva-asiat ovat käytännössä hyvin järjestettyjä ja yhteistyö teleyritysten, Viestintäviraston ja Huoltovarmuuskeskuksen kesken on tiivistä ja rakentavaa. FiCom ry Työryhmän tulisi arvioida kaikki mahdolliset kehittämisvaihtoehdot samanarvoisina ja yhtä huolellisesti ja monipuolisesti. Huoltovarmuuskeskus Käsiteltävällä asialla on tärkeä yhteiskunnallinen merkitys. Tästä johtuen eri intressiryhmien tarpeet ja oikeudet sekä lainsäädännön ja toimivaltuuksien kehittäminen vaativat tuekseen kokonaisvaltaisen tarkastelun. Tarkastelussa tulee yhdistyä turvallisuusviranomaisten tarpeiden strateginen arviointi ja kansalaisten perusoikeudet huomioon ottava arvotarkastelu. Huoltovarmuuskeskus toivoo työryhmältä laaja-alaisen ja tavoitelähtöisen verkkotiedustelun hyötyjä ja haittavaikutuksia objektiivisesti käsittelevän tarkastelun. Keskuskauppakamari Kyberturvallisuusstrategiassa linjataan valtioneuvoston periaatepäätöksen mukaisesti visio, jonka mukaan Suomi on globaali edelläkävijä kyberuhkiin varautumisessa ja niiden aiheuttamien häiriötilanteiden hallinnassa vuoteen 2016 mennessä. Lähtökohta on hyvä ja tärkeä. Nokia Oyj ja NSN Kyberrikollisuus on todellinen uhka. Tietoisuus kriittisen infrastruktuurin ja suojaamattomien itjärjestelmien haavoittuvuuksista on kasvanut. Samalla uutisointi valtioiden harjoittamsta massavakoilusta on heikentänyt kuluttajien luottamusta internettalouteen. Suurten valtiodien tiedetään kehittävän kilvan kybermaailman kyvykkyyttä, jolla voidaan lamauttaa vastustajan kriittinen infrastruktuuri ennen tavanomaisin asein tehtävää iskua. 2
Suomi on tienhaarassa, jossa se voi mennä kukaan kybermaailman asevarusteluun tai pyrkiä profiloitumaan tietosuojan turvasatamana. Kysymys on kansallisesta valinnasta, jolla on pitkälle menevät vaikutukset perusoikeuksiin, yritysten asemaan ja ulkopolitiikkaan. On tärkeää, että kyberturvallisuutta tarkastellaan laaja-alaisesti. Erityisesti valittaessa keinoja kyberturvallisuuden parantamiseksi on asiaa syytä tarkastella myös Suomen kansalaisten, suomalaisten yritysten ja Suomen kansainvälisen kilpailukyvyn näkökulmasta. F-Secure Ymmärrämme hyvin maan turvallisuuden tärkeyden kyseisen hankkeen osalta. Haluamme osaltamme auttaa työryhmän työskentelyssä, jotta Suomeen saadaan kyberturvallisuusstrategian osalta nykyaikainen, turvallinen ja liiketoimintaa edistävä lainsäädäntö. 3.2. Hankkeen organisointi FiCom ry FiCom pitää erittäin tärkeänä, että työryhmän työssä otetaan huomioon myös elinkeinoelämän edustajien näkemys erityisesti käsiteltäessä kysymyksiä, jotka eivät liity viranomaisten toimivaltakysymyksiin tai toimivallan jakoon liittyviin asioihin. Lainsäädäntöön liittyvän valmistelun tulee olla avointa. Työryhmätyön tulee olla mahdollisimman julkista, jotta epäluulot hanketta kohtaan eivät kasva perusteettomasti. Eri tahoja on kuultava ja ne on kytkettävä mukaan valmisteluun. FiCom haluaa korostaa asioiden huolellista valmistelua. Asiassa ei saa edetä kiirehtien, vaan huolellisesti harkiten ja riittäviä, laaja-alaisia keskusteluja käyden. Työryhmän tulisi olla valmis avoimeen dialogiin yksityisen sektorin kanssa koko työryhmätyöskentelyn ajan. Työryhmälle asetettu puolen vuoden määräaika on aivan liian lyhyt kyseessä olevan kaltaisen laajan, yhteiskunnallisesti merkittävän ja erittäin pitkävaikutteisen hankkeen toteuttamiseksi. Määräajan pidentämistä puoltaa myös se, että kaikkien eri etenemisvaihtoehtojen huolellinen vaikutusarviointi ei ole mahdollista alkuperäisen aikataulun puitteissa. Elinkeinoelämän keskusliitto Tiedonhankintalakityöryhmällä ei ole kokoonpanonsa, tehtävänantonsa ja aikataulunsa puitteissa mahdollisuuksia arvioida riittävässä laajuudessa hankkeen yhteiskunnallisia ja elinkeinopoliittisia ulottuvuuksia sekä mahdollisten lainsäädäntöratkaisujen vaikutuksia. Hankkeen organisointi ei ole missään suhteessa sen laajoihin yhteiskunnallisiin vaikutuksiin. Electronic Frontier Finland ry (Effi) Lakia valmisteleva työryhmä edustaa valitettavan kapeaa näkemystä yhteiskuntaan. Kyberturvallisuus koskettaa kaikkia yhteiskunnan sektoreita ja sen ei todellakaan tule kuulua vain virkamiesten käsiin. Vaikka tätä ongelmaa voidaankin korjata rajoitetusti asiantuntijakuulemisilla, on täysin selvää, että tämä ei korvaa konkreettista mahdollisuutta vaikuttaa lopputulokseen työryhmän sisältä varsinkin kun työryhmän kokoonpano näyttää ainakin ulospäin siltä, että sillä on haluttu varmistaa jo etukäteen haluttu lopputulos. 3
Huoltovarmuuskeskus Yleisenä huomiona todetaan lisäksi, että työryhmän aikataulu on erittäin haastava, ottaen huomioon toimeksiannon yhteiskunnallisen merkityksen ja siihen liittyvät kansalliset ja kansainväliset herkkyydet. Keskuskauppakamari Työryhmän tavoitteen toteuttaminen edellyttää tiedonhankintalain valmistelussa kiinteää yhteistyötä eri toimijoiden välillä sekä avointa asioiden valmistelua. Ehdotamme, että elinkeinoelämä ja sen edustajat otetaan yhä tiiviimmin valmisteluun mukaan. Työryhmässä ei valitettavasti ole lainkaan yritysedustajaa. Kuitenkin valtaosa viestintäverkoista ja muusta kriittisestä infrastruktuurista on yritysten omistuksessa. Internet-käyttäjät ikuisesti IKI ry Yhteiskunnan tärkeimpiin asioihin liittyviä muutoksia pitäisi valmistella mahdollisimman avoimesti ja vahvan kansalaiskeskustelun kautta. Nokia Oyj ja NSN On toivottavaa, että lainsäädännön valmistelu on mahdollisimman avointa ja että siinä hyödynnetään laajasti eri toimijoiden asiantuntemusta. 3.3. Mietintö FiCom ry FiCom katsoo, että työryhmän työn tuloksia ei pidä kirjoittaa hallituksen esityksen muotoon. Työryhmän yksi tärkeä tehtävä on tutkia nykylainsäädännön riittävyys. Työryhmä-muistiossa tulee ottaa asiaan kantaa ja pikemminkin esittää mahdollisia ehdotuksia nykylainsäädäntöä täydentävistä lainsäädäntöhankkeista kuin kirjoittaa muistio suoraan hallituksen esityksen muotoon. Keskuskauppakamari On hyvä, että työryhmä valmistelee muistion jatkotyön pohjaksi. Siinä tulisi huomioida sektorikohtainen erityissääntely ja arvioida tiedonhankintaa koskevan sääntelyn vaikutukset ja mahdolliset soveltamisalan rajoitukset toimialoittain (esim. terveyspalvelujen ja pankkitoiminnan toimialoilla). 3.4. Hankkeen tavoitteet ja tehtävät FiCom ry Tavoitteissa ei kuitenkaan ole huomioitu yksityisen sektorin roolia kyberuhkien havainnoinnissa, ennakoinnissa ja niihin reagoinnissa. Näiltä osin sekä työryhmän tavoitteita että tehtäviä olisi tarkoituksenmukaista tarkentaa. FiCom pitää tärkeänä, että työryhmän tehtäväksi on asetettu myös nykylainsäädännön tarkastelu. FiComin näkemyksen mukaan se antaa jo nyt paljon erilaisia toimintamahdollisuuksia viranomaisille ja muille toimijoille. Esimerkiksi sähköisen viestinnän tietosuojalain 20 mahdollistaa useita toimenpiteitä tietoturvan toteuttamiseksi ja varmistamiseksi. Tarkastelussa tulee myös ottaa huomioon vuoden alussa voimaan tulleiden poliisilain ja pakkokeinolain suomat uudet mahdollisuudet. Työryhmän tulee olla erityisen huolellinen siinä, ettei valmistelutyössä rakenneta nykyisen hyvin toimivan lainsäädännön kanssa päällekkäisiä tai ristiriidassa olevia toiminta- ja valvontamekanismeja. Työryhmän ehdotuksissa tulisi ottaa mahdollisimman paljon mallia olemassa olevista käytännöistä sen sijaan, että luotaisiin turhaan uusia. 4
Elinkeinoelämän keskusliitto EK katsoo, että ongelmia ei voida ratkaista kuulemalla kirjallisesti harvalukuista lausunnonantajajoukkoa työryhmän asettamispäätöksestä. EK esittää, että työryhmä pitäytyy työssään tehtävänantonsa 1 3 kohdissa ja että mahdollinen lainvalmistelu tehdään tämän jälkeen laajapohjaisessa ja avoimessa valmistelussa, jossa kaikki asian intressitahot ovat mukana alusta alkaen. Huoltovarmuuskeskus Tavoitteita muodostettaessa tulisi kiinnittää erityistä huomiota siihen, ettei ryhdytä keräämään uutta tiedustelutietoa, jonka täydelle hyödyntämiselle ei ole riittäviä valtuuksia. Tiedustelutiedon tulee tukea yhteiskunnan kriittisten toimintojen turvaamisen strategisia tavoitteita ja sen tuottamia hyötyjä on pystyttävä jakamaan riittävän tehokkaasti ja kohdistetusti suhteessa sen tuottamiin rasitteisiin ja haittoihin. Työ tulisi rajata Yhteiskunnan turvallisuusstrategian (YTS 2010) tarkoittamaan elintärkeiden toimintojen turvaamiseen kybertoimintaympäristössä. Substanssilainsäädännössä olevaa tietoturvallisuutta koskevaa sisältöä ei ole ainakaan ensimmäisessä vaiheessa syytä käsitellä yksityiskohtaisella tasolla. Työn painopisteenä tulee olla normaaliolojen kyberturvallisuus. Työssä tulee myös huomioida valmiuslainsäädännön ja puolustustilalainmukaisten tilanteiden kyberturvallisuus. YTS 2010:n väestön toimeentuloturva ja toimintakyky, sekä talouden ja infrastruktuurin toimivuus tarkoittamien toimintojen tarpeisiin tulee kiinnittää huomiota erityisesti huoltovarmuuden näkökulmasta. Tiedustelutiedon keräämisen tulee tuottaa tunnistettavaa ja konkreettista lisäarvoa kriittistä infrastruktuuria ylläpitäville ja tukeville organisaatioille sekä niiden kyberturvallisuusvarautumiselle. Keskuskauppakamari Tiedonhankintalain valmistelun tarkoituksena on lisätä Suomen turvallisuutta, mikä on tavoitteena hyvä ja kannatettava. Tavoitteeseen pääseminen edellyttää avoimuutta ja hyvää yhteistyötä viranomaisten ja yritysten välillä. 3.5. Tiedonhankinta ja uudet toimivaltuudet Electronic Frontier Finland ry (Effi) Ajatus "haitallisen verkkoliikenteen torjumisesta rajoilla" on epäyhteensopiva koko Internetin perusluonteen kanssa. Tavoitteeseen ei voitaisi päästä kuin asentamalla kaikkiin tietoliikenteen "rajanylityspaikkoihin" valvonta- ja suodatusjärjestelmät. Selvää on myös, että jos sellaisia järjestelmiä otetaan käyttöön, ne eivät jää vain digitaalisen maanpuolustuksen työkaluiksi, vaan "valvontayhteiskunnan porttiteorian" mukaan seuraavaksi eri viranomaiset ovat hakemassa lupaa tietojen käyttöön rikostutkinnassa, "vääriä mielipiteitä" omaavien ihmisten profilointiin, rahapelimonopolia uhkaavien ulkomaisten palveluiden sulkemiseen ja niin edelleen. Kansallisen turvallisuuden varjolla ei tule markkinoida kansalaisten valvonnan jatkuvaa laajentamista. Kyse ei ole teoreettisesta uhasta, sillä esimerkkejä ei tarvitse kaukaa hakea: passeja varten kerättyjä sormenjälkiäkin tallennetaan keskitettyyn tietokantaan ja poliisijohdon mielestä valtion taholta pakotettavaksi kaavailtu autopaikannus olisi mukava lisä rikostutkinnan keinoihin. "Kansallinen turvallisuus" olisi myönteinen asia, jos sillä aidosti tarkoitettaisiin kansalaisten suojaamista, mutta Suomessa on nähtävissä haluja jalon perusteen väärinkäyttämiseksi arveluttavia päämääriä varten. 5
Turvallisuuden suojaamiseksi on oikeutettua suorittaa perusteltuja, tarkasti kohdennettuja, tilannekohtaisia toimenpiteitä kyberympäristössä. Mikäli valvontaa halutaan tehdä, sen tulee täyttää 13 kriteeriä, jotka ovat listattuna täällä: fi.necessaryandproportionate.org/text. FiCom ry FiCom haluaa lisäksi painottaa, että viranomaisten tiedonhankintakyvyn parantaminen edellyttää kaikilta ICT-toimijoilta (käyttäjiltä ja palveluiden tuottajilta) tietojen keräämiseen liittyviä toimia sekä erilaisten ilmiöiden havainnointikyvyn parantamista. Kaikkien toimijoiden tulee myös kehittää omaa ennakointiaan kyberuhkiin sekä kykyä niihin reagoimiseen. Kyberympäristö ei tunne eikä tunnista rajoja ei kansallisia, kansainvälisiä, organisatorisia eikä myöskään hallinnollisia. Kyberympäristön turvallisuuden saavuttamisessa joudutaan arvioimaan tasapainoa valtakunnallisen puolustuksen ja kohdepuolustuksen välille, sillä kumpikaan ei välttämättä yksistään toimi. Viranomaisilla on jo nykyisin käytettävissään erilaisia tiedustelutoimintaa läheisesti sivuavia toimivaltuuksia. Monet kyberympäristössä tapahtuvat ei-toivotut ilmiöt täyttänevät jonkin rikoksen tunnusmerkistön, joten esimerkiksi poliisi- ja pakkokeinolain sallimat keinot ovat soveltuvin osin hyödynnettävissä kyberuhkan haittojen estämiseksi tai jonkin jo tapahtuneen selvittämiseksi. Ennen kuin harkitaan toimivaltuuksia laajennettavaksi edelleen, tulee myös selvittää näiden jo olemassa olevien keinojen täysimittaisen hyödyntämisen mahdollisuudet. FISC Finnish Information Security Cluster ry ja Teknologiateollisuus Ry Tiedon keräämiseen tulisi aina olla erikseen hankittu lupa, joka voidaan kaikissa tapauksissa osoittaa audit-trail -tyyppisesti, luottamuksen takaamiseksi. Vaikka viranomaisiin on voitava luottaa, tapaukset maailmalla ovat osoittaneet, että ongelmien välttämiseksi audit-trail sekä selkeät prosessit toimintamallien takaamiseksi on oltava olemassa aina, kun suunnitellaan laajennettua tiedon keruuta. Ficix ry Tiedustelutiedon käytössä vaihdannan välineenä ulkovaltojen tai muiden tahojen kanssa tulee arvioitavaksi oikeushenkilön oikeudet ja mahdollinen korvausvastuu. Luovutettava tieto saattaa sisältää sellaisia yrityssalaisuuksia, patentti- ja tekijänoikeuden suojaamia tietoja tai liiketoimiin liittyviä asioita, joista saattaa viestinnän osapuolille koitua haittaa, vahinkoa tai arvon menetystä. Euroopan ihmisoikeussopimuksiin ja muihin kansainvälisiin sopimuksiin liittyviä oikeusnäkökohtia on syytä selvittää. Riippuen transit-operaattorien valinnoista ja niiden yhteyksistä toisiinsa liikenne kahden suomalaisen internet-käyttäjän välillä voi hyvin kiertää ulkomaiden kautta. Useat suomalaisilta näyttävät internetin palvelut tuotetaan tosiasiallisesti ulkomailta. Ficix ry haluaa saattaa selkeästi tietoon, että ehdotetunlaisen kuuntelun tekninen järjestäminen koskee myös Suomen sisäistä liikennettä eli Suomi alkaisi salakuunnella omia kansalaisiaan. Tiedustelutietoa voi hankkia sopimusperusteisesti tahoilta, joilla sellaista on. Vaihdon välineenä voi harkita käytettäväksi vastaostoja puolustusvoimien materiaalihankintojen yhteydessä. Tiedustelutietoa voi myös hankkia verkoista ja sen palveluista kustannustehokkaasti ilman kuunteluakin. 6
FICIX jäsenistä noin puolet on monikansallisia ja kaikki kasvu tulee Suomen ulkopuolelta. Toistaiseksi yksikään taho ei ole ilmaissut huolta että kansallinen valvonta olisi ongelma. Monikansalliset yritykset ovat tottuneet asiaan? Huoltovarmuuskeskus Erityistä huomiota tulee kiinnittää siihen, mitä valtuuksia ja rajoitteita tiedon hankinnalle, jakamiselle ja käytölle asetetaan; mihin tarkoitukseen tietoa hankitaan, millä keinoilla, kenelle sitä jaetaan ja mihin tietoa on lupa käyttää. Strategisella tasolla tämä edellyttää kybertoimintaympäristön määrittelyn sekä tavoitteiden asettamisen. Tavoitteiden asettamisen tulee perustua siihen, mitä päätöksentekoa ja toimintaa tiedustelutoiminnan on tarkoitus tukea, ketkä ovat osallistuvat tahot turvallisuusviranomaisten lisäksi ja mitkä ovat velvoitteet ja rasitteet kustannuksineen. Internet-käyttäjät ikuisesti IKI ry Tiedustelu ja vakoilu ovat teknisesti ja tietoturvan kannalta hyvin lähellä toisiaan. Jos tietojärjestelmissä tai tietoliikenneyhteyksissä on tai rakennetaan tiedustelumahdollisuuksia, samoja teknisiä aukkoja voidaan käyttää myös vihamieliseen vakoiluun ei haluttujen tahojen toimesta. Tästä on useita toteutuneita esimerkkejä eri maista (esimerkiksi puhelimien salakuuntelu Kreikassa käyttäen tiedustelua varten rakennettua laillista takaovea). Usein rikollisuus ja vakoilu, niiden uhka tai riski on paljon suurempi uhka talouden kehitykselle sekä kansalaisten ja yhteiskunnan vakaudelle ja vauraudelle verrattuna mahdollisiin epäsuoriin hyötyihin mitä tiedustelulla pystytään saavuttamaan. Microsoft Oyj Viranomaisten oikeutta kerätä käyttäjien tietoa tulee rajoittaa. Valtioiden tulisi säätää järkevät rajoitukset viranomaisten toimivallalle kerätä käyttäjien tietoa palveluntuottajilta. Tietojen keruun tulee tapahtua vain tarkoin rajatusti ja se tulee tasapainottaa käyttäjien yksityisyyden suojan odotusten kanssa. Viranomaisen valvonnan tulee kohdistua vain lainsäädännössä mainituilla perusteilla yksilöityjen käyttäjientietoihin eikä viranomaisten tule kerätä tietoja tietoverkosta rajoituksetta. TDC Oy Tiedonhankinta ei ole teleyritysten elinkeinotoimintaa. Toimialan ei tule kantaa sen kustannuksia eikä juridisia tai moraalisia vastuita. Tiedustelun piirissä ovat tahtomattaan kaikki Suomessa viestivät (poliittiset toimijat kuten kansanedustajat ja presidentti, viranomaiset kuten ministeriöt, virastot, Kela, verottaja yms, media, yritykset, kansalaisjärjestöt ja kansalaiset) Tiedustelun piiriin joutuminen tarkoittaa tietojen tallennusta (matkaviestimien tietosisältö, liikennöinti/viestintä ja paikkatieto, suosituimpien sosiaalisen median palvelut ja pikaviestipalvelut yleisesti, yleisimpien hakukoneiden haut sekä käyttäjän valinnat tuloksista, esim google.fi; teleyritysten käyttäjien välinen liikenne, joka vaihdetaan ulkomailla ja jossa välittäjänä ulkomainen teleyritys, nimipalvelinjärjestelmän käyttö). 7
TDC Oy katsoo, ettei tietoliikenteen tiedustelulla ole saavutettavissa sellaisia etuja kyberuhkiin varautumisessa, joiden voisi katsoa ylittävän sen piiriin joutuvien tahojen arvot ja oikeudet demokraattisessa valtiossa. 3.6. Perustuslakikysymykset FISC Finnish Information Security Cluster ry ja Teknologiateollisuus Ry Kokonaisuutena laki tulisi valmistella siten, että kansallisen turvallisuuden takaamiseksi viranomaisilla säilyy edellytykset torjua rikollisuutta ja terrorismin uhkaa samalla yksilön oikeuksia ja viestintäsalaisuutta kunnioittaen. FiCom ry Viestintäpalveluiden käyttäjien luottamusta viestinnän luottamuksellisuuteen ei saa heikentää ilman erityisen raskaita perusteluja. Julkisuudessa esillä ollut mahdollinen verkkotiedustelu olisi merkittävä muutos suomalaiseen oikeusjärjestykseen ja se saattaisi murentaa käyttäjien luottamusta suomalaisten toimijoiden tarjoamiin viestintä- ja muihin palveluihin. Perusoikeuksien kannalta merkittäviä tarkastelukulmia ovat ainakin - yksityisyyden suoja ja oikeus tietoon - luottamuksellinen viestintä etenkin sen ydinalueen eli viestinnän sisällön osalta unohtamatta viestinnän luottamuksellisuuden suojan ulottumista myös tietoihin yhteyksien osapuolista - elinkeinonvapaus - omaisuuden suoja - sananvapaus Nyt tarkasteltava kokonaisuus poikkeaa aikaisemmista (perusoikeuksien) kaventamiseen liittyvistä toimista ja niiden perusteluista: yksittäisen kansalaisen oikeuksien kaventamisen sijasta mahdollisella verkkotiedustelulla kavennettaisiin kollektiivisesti kaikkien oikeuksia samanaikaisesti yhtäläisellä tavalla. Harkinnassa on myös otettava huomioon, että käytännössä toimilla oltaisiin murentamassa yksin teoin mahdollisesti useampaa perusoikeutta. Ficix ry Tiedustelun toteuttaminen kuuntelulla käytännössä tarkoittaa Suomen kansalaisiin ja elinkeinonharjoittajiin kohdistuvaa telekuuntelua ilman rikosepäilyä. Tiedonhankinnan toteuttaminen toimeenpano-ohjelmassa kuvatulla tavalla vaatii sekä perustuslain tarkastelua että viestinnän lakien tarkastelua. Tiedustelun rajaaminen on erittäin monimutkaista ja perustuslain 6 [yhdenvertaisuus] tulee ottaa huomioon. Internet-käyttäjät ikuisesti IKI ry Internet ja sähköinen viestintä ovat nykyään erittäin merkittävä osa kansalaisten keskinäistä kanssakäymistä ja viestintää, mikä on länsimaisen demokraattisen valtion peruskiviä. Sen vuoksi kirjesalaisuuden ja vastaavien tietosuojalakien tulee kattaa myös kehittyvät viestintävälineet. Nokia Oyj ja NSN Tietoliikenteen massaseurannassa on kysymys kohdentamattomasta kansalaisten yksityisyyden suojan loukkauksesta, jota perustellaan kansallisen turvallisuuden parantamisella. Tiedustelutietoja on tiettävästi maailmalla käytetty myös liikesalaisuuksien varastamiseen, jolloin kyseeseen tulee myös omaisuuden suojan rikkomus. 8
EU:n parlamentin kansalaisvapauksien sekä oikeus- ja sisäasioiden (LIBE) valiokunta teki omasta aloitteestaan mietinnön (A7-0139/2014) EU-kansalaisiin kohdistuvasta massavakoilusta. Valiokunta tuomitsee henkilökohtaisten tietojen bulkkikeräämisen, jota se pitää vakavana puuttumisena kansalaisten perusoikeuksiin. Valiokunta nimeää erikseen jäsenvaltioista mm. Ison-Britannian ja Ruotsin, joita se kehottaa tarkastamaan tiedustelutoimintaa ohjaavaa lainsäädäntöään. Lisäksi on merkittävää, että EU-tuomioistuin on tuoreessa päätöksessään todennut tietojenkeruudirektiivin (2006/24/EY) pätemättömäksi juuri perusoikeustarkastelun pohjalta mm. sillä perusteella, että tietojen keruu ei ole riittävän kohdennettua. Microsoft Oyj Vapaata tiedonkulkua tulee kunnioittaa. Valtioiden rajat ylittävä tietoliikenne on olennainen edellytys tämän vuosisadan talouden toiminnalle. Viranomaisten tulee sallia tiedon kulku tietoverkoissa. Lisäksi viranomaisten ei tule rajoittaa yksittäisten käyttäjien ja yritysten pääsyä laillisesti saatavissa olevaan toisten valtioiden alueella sijaitsevaan tietoon. 3.7. Massavalvonta ja ns. takaportit FISC Finnish Information Security Cluster ry ja Teknologiateollisuus Ry Lainsäädännössä ei missään olosuhteissa tule sallia massatietojen keruuta. Electronic Frontier Finland ry (Effi) Effi ei hyväksy mallia, jossa valtiovalta tahtoo massavalvoa verkkoliikennettä havainnoimalla dataa suoraan yhteisestä tietoliikenneinfrastruktuurista samalla tavoin kuin tietyt ulkomaiden epäeettiset tiedusteluelimet tekevät. Effi ei siis todellakaan hyväksy paradigmaa, jossa turvallisuuden nimissä toimivat viranomaiset katsovat omistavansa oikeuden ihmisten elämän yksityisyyttä loukkaavaan tarkkailuun, joka on väistämätön sivuvaikutus massavalvonnasta. Minkäänlaista massavalvontajärjestelmää ei tule ottaa käyttöön; ne eivät yksinkertaisesti kuulu demokraattisiin yhteiskuntiin, joissa yksilöllä on oikeus omalla toiminnallaan rajata itsensä yhteiskunnan seurannan ulkopuolelle. Effin näkökulmasta Ruotsin FRA-laki, joka antaa viranomaisille oikeuden maan rajojen ylittävän tietoliikenteen massavalvontaan, on huolestuttava ja epäyhteensopiva pohjoismaisen yhteiskuntamallin kanssa. Suomen ei pidä missään nimessä pyrkiä kohti FRA-tyylistä lainsäädäntöä tai toimintamallia. Tietoja ei myöskään pidä käyttää "kauppatavarana" ulkomaiden tiedustelupalveluiden kanssa, vaikka tämä houkuttaakin sinänsä ymmärrettävästi valvontaviranomaisia: yle.fi/uutiset/supo_haluaisi_seuloa_nettiliikennetta_suomessa_- _tietoja_voitaisiin_vaihtaa_nsan_kanssa/6715195. Nokia Oyj ja NSN Tietojen massakerääminen ei käsityksemme mukaan tosiasiallisesti auta kyberuhkien torjunnassa, vaan on reaktiivinen tapa, jossa ongelma huomataan vasta, kun uhka on jo toteutunut ja esim. kuluttajan laitteeseen tai viranomaisen verkkoon on jo tunkeuduttu. F-Secure Vahva näkemyksemme on, että yleistä verkkoihin kohdistuvaa yksilöiden tai yritysten liikenteen massaseurantaa ei tulisi lähteä edistämään lainsäädännöllisin eikä muilla keinoin. Massaseurannan 9
toteuttaminen tulee mielestämme väistämättä vaikuttamaan globaalien toimijoiden kiinnostukseen investoida Suomeen ja heikentää paikallisten toimijoiden kansainvälistä erottautumiskykyä. Lisäksi seurantaan liittyvät teknologiainvestoinnit ja resurssit tulisivat olemaan hyvin merkittäviä ja seurannasta saatava todellinen hyöty jää panokseen nähden olemattomaksi. Lisäksi vastustamme jyrkästi sellaista mahdollista kehitystä, jossa suomalaisiin ohjelmistoihin vaadittaisiin takaportteja valtiollisia tarkoituksia varten. Ficix ry Ei viestinnän massavalvontaa eikä tietoliikenteen ohjaukseen puuttumista. 3.8. Suomen kilpailukyky ja maine kybermaailman oikeusvaltiona FISC Finnish Information Security Cluster ry ja Teknologiateollisuus Ry Kansainvälisesti Suomi tunnetaan puolueettomana, turvallisena sekä luotettavana maana. Suomessa on erittäin vahvaa osaamista kyberturvallisuuden eri osa-alueilta. Vuoden 2013 aikana lukuisten tiedonurkintapaljastusten luoma epävarmuus on jo muuttanut koko maailman suhtautumista varautuneemmaksi digitalisoitumiseen ja kansainväliseen yhteistyöhön. Epäluulo kohdistuu pääosin amerikkalaisiin tai niitä lähellä oleviin yrityksiin ja niiden tarjoamiin palveluihin, jotka ovat olleet todistetusti tai epäillysti osana laajassa tiedonhankinnassa NSA:lle. Yhdysvalloissa paljastuneiden vakoiluskandaalien on arvioitu aiheuttaneen jo tähän mennessä noin 40 miljardin dollarin välittömät menetykset maan ICT-teollisuudelle. Digitaalisessa maailmassa maamme voi toimia kyberturvallisuuden luottamuksen takaajana. Tärkeä kansallinen visio on erottautua tulevaisuuden dataliikenteen solmukohtana, "Data-Sveitsinä", joka käsittelee kansainvälistä tietoliikennettä suurella luottamuksella ja jonne voidaan turvallisesti taltioida tietoa. Suomessa on paljon teknologiaa, jonka hyödyntäminen tämän vision toteuttamisessa on mahdollista. Maailman luottamuspula nykyisiin toimijoihin on avannut markkinatyhjiön, jossa Suomella on rajattomasti kasvumahdollisuuksia. Mahdollisuutta tukee myös suunnitellut merikaapelihankkeet, joiden keskeinen tarkoitus on mahdollistaa tietointensiivisen teollisuuden sijoittuminen Suomeen. Lainsäädäntöä valmisteltaessa maailmalla toteutunut kehitys on luonut Suomelle mahdollisuuden toimia kybermaailman oikeusvaltiona. Toimimalla oikeudenmukaisesti, puolustamalla yksityishenkilöiden ja yritysten oikeuksia ja riippumattomuutta, Suomi voi erottautua älykkääksi digitaaliseksi yhteiskunnaksi ja maailman johtavaksi turvallisen teknologian ja yrittäjyyden keskittymäksi. Electronic Frontier Finland ry (Effi) Kyberturvallisuudessa ja pilvipalveluissa voisi olla Suomen IT-teollisuuden tulevaisuus. FiCom ry Suomalaisen yhteiskunnan yhtenä keskeisenä menestymistekijänä ja kilpailutekijänä on pidettävä ennakoitavaa yhteiskunnan toimintaa ja sitä kautta luottamusta herättävää ja ylläpitävää arjen perustaa. Suomeen pyritään hankkimaan internet-taloutta palvelevia kansainvälisiä investointeja, joiden arvon on arvioitu olevan kansantalouden kannalta hyvinkin merkittävä. Eräänä Suomea puoltavana argumenttina on käytetty FRA:n puutetta, minkä on oletettu muiden tekijöiden lisäksi, lisäävän Suomen houkuttelevuutta suunnitteilla olevien palvelinkeskusten eri sijoitusvaihtoehtoja punnittaessa. 10
Työssä on pystyttävä välttämään tilanne, jossa Suomea markkinoidaan turvallisena, vakaana, ennakoitavana ympäristönä, ja sijoituspäätösten tultua tehdyiksi, Suomessa otettaisiin käyttöön sellaisia menettelyjä, joiden välttämiseksi kilpailijamaamme aikanaan jäivät investointeja paitsi. Keskuskauppakamari Suomen maine yksityisyyden suojaa kunnioittavana maana on yksi Suomen kilpailueduista. Se tulee säilyttää. Myöskään suomalaisten yritysten houkuttelevuutta investointikohteena ei tule vahingoittaa. Suomen ja suomalaisten yritysten kilpailukyvyn kannalta on olennaista varmistaa, että Suomen maine lainkuuliaisena ja yksityisyydensuojaa kunnioittavana maana säilyy. Parhaimmillaan julkisen ja yksityisen sektorin yhteistyön kautta tuettaisiin molemminpuolista osaamisen kehittymistä ja sitä kautta myös yritysten valmiuksia mallien ja ratkaisujen kehittämisessä myös vientitarkoituksissa. Internet-käyttäjät ikuisesti IKI ry Suomen kannalta on tärkeä ylläpitää Suomen mainetta ja käytäntöjä puolueettomana ja tietoturvallisena maana, joka voi nauttia korkean sisäisen ja ulkoisen luottamustason tuomasta vauraudesta ja vapaudesta. Nokia Oyj ja NSN Suomen kansainvälisen kilpailukyvyn näkökulmasta on erityisen tärkeää säilyttää Suomen imago maana, jossa internetin käyttäjät voivat luottaa yksityisyytensä suojaan ja joka aktiivisesti edistää internetverkkojen ja palvelujen tietoturvaa. Tällä hetkellä kansainvälisten yritysten turvallisuusbrändin kannalta on etu toimia Suomesta käsin. Laajamittainen signaalitiedustelu julkisen sektorin toimesta olisi merkittävä brändiriski Suomessa toimiville yrityksille. Kilpailukyvyn ylläpitämiseksi ja eri ilmansuunnista tulevien investointien houkuttelemiseksi on olennaista, että Suomi nähdään kybermaailman asevarustelun osalta mieluummin neutraalina ja yksityisyyden suojaa korostavana maana. Tämä parantaa yritysten mahdollisuuksia hyödyntää brändissään tietoturvaa, kasvattaa kuluttajien luottamusta ja tarjoaa kilpailuetua Suomessa toimiville yrityksille. F-Secure Vahva Suomen perustuslain takaama yksityisyyden suoja ja lainsäädännölliset perusteet tekevät Suomesta sekä houkuttelevan paikan ulkomaisten globaalien palveluntarjoajien investoinneille että luo vankan pohjan paikallisille palveluntarjoajille ja tietoturvayrityksille. Suomen maine tietoturvallisena, puolueettomana maana, jolla on vahva yksityisyyden suoja, on kansainvälinen kilpailuetu. Nykyinen toimintaympäristö mahdollistaa paikallisten yritysten erottautumisen kansainvälisistä kilpailijoistaan ja luo turvallisen pohjan ulkomaisille investoinneille. Suomen vahvuuksia ovat: 1. Suomen perustuslain ja muiden yksityisyyden suojaan ja tietosuojaan liittyvienlakien takaamat oikeudet tekevät muista läntisistä maista poiketen Suomesta ainutlaatuisen sijoituspaikan pilvipalveluiden tuottamiseen ja turvalliseen yksityisen ja yritystiedon tallentamiseen. 2. Suomessa käsitellään tasa-arvoisesti Suomen kansalaisen ja maassa asuvien tai maassa matkustavien ulkomaalaisten henkilöiden yksityisyyden suojaa ja heidän tietojaan. 11
3. Suomi sijoittuu jatkuvasti maailman kärkimaihin kansainvälisissä tutkimuksissa, jotka liittyvät yhteiskunnan läpinäkyvyyteen, korruption vähäisyyteen, koulutuksen tasoon ja innovointiin muutamia mainitaksemme. 4. Kokemusten ja kansainvälisten tutkimusten perusteella, Suomen verkot ja IT-ympäristöt sijoittuvat kärkimaihin puhtauden ja häiriöttömyyden osalta. FiCix Suomen kilpailukykyä ei ole syytä heikentää toteuttamalla NSA-tyylistä megatiedustelua ja olla toteuttamatta tieto- ja toimintaympäristön turvallisuutta parantavia toimia. 3.9. Tietoturvallisuuden kehittäminen Electronic Frontier Finland ry (Effi) Hyväksyttävää kyberturvatoimintaa on se, että valtionhallinnon organisaatioissa valvotaan organisaation omiin tietojärjestelmiin tulevaa dataa. Esimerkkitoimenpiteinä palomuurit, turvallisten ohjelmistojen hankkiminen ja organisaation päivittäisen toiminnan sisäiset tietoturvakäytännöt. Huomattakoon, että kaikki tämä on mahdollista jo nykyisen lainsäädännön pohjalta. Luonnollisestikin "organisaation omat tietojärjestelmät" täytyy tässä ymmärtää suppeana käsitteenä, eli esimerkiksi kaikkien valtion sisällä olevien tietoliikennekaapelien kokonaisuus ei ole "valtio-organisaation oma järjestelmä, jota saa surutta valvoa", vaan organisaationa ymmärretään esimerkiksi yksittäinen virasto selvästi rajattuine toimipisteineen. Otetaan esimerkkinä v. 2013 uutisoitu ulkoministeriöön kohdistunut verkkohyökkäys, jota on yleisesti käytetty esimerkkinä lainsäädännön laajentamiselle. Vastaavien hyökkäysten ehkäisyyn tarvitaan parempi tietoturva ministeriön itsensä sisälle, mutta ei missään tapauksessa voida sallia koko "Suomen Internetin" urkintaoikeuksia viranomaisille käyttäen tekosyynä valtioelinten turvallisuuden parantamista. Vertailukelpoista olisi, jos murto olisi tapahtunut "perinteisesti" sorkkaraudalla, ja tämän seurauksena jokaiseen kotiin asennettaisiin valvontakamera. Valtiolla täytyy toki olla mahdollisuus aktiiviseen puolustautumiseen kyberhyökkäyksiä vastaan huoltovarmuuden ja muiden ydintoimintojen suojaamisessa. Kyberpuolustustoimintaa suunniteltaessa tulisi kuitenkin ymmärtää, että kyberturvallisuustoiminta, joka voimakkaasti korostaa reaktiivista hyökkäyksen havaitsemista ja sen aktiivista rajoittamista, on riskialttiimpi perusoikeuksien toteutumisen kannalta kuin ennaltaehkäisevä ja järjestelmien hyökkäyskestävyyttä korostava strategia. Reaktiivinen hyökkäysten havaitseminen ja verkkotiedustelu edellyttävät reaaliaikaista tietoliikenteen seurantaa ja profilointia. Proaktiivinen järjestelmien hyökkäyskestävyyden lisääminen taas keskittyy järjestelmien parantamiseen niitä kehitettäessä, jolloin järjestelmien lisääntynyt tietoturva samalla lisää myös niiden tietosuojaa. Reaktiivinen havainnointi ja aktiiviset vastatoimet eivät välttämättä todellisessa konfliktitilanteessa auta, sillä hyökkääjä saattaa käyttää hyväksi nollapäivähaavoittuvuuksia, joita joko ei havaita tai joiden vaikutukset ovat liian nopeita, että niihin ehdittäisiin edes automaattisesti adaptoituvin keinoin pureutua. Erilaiset valvonta- ja torjuntajärjestelmät ovat kuitenkin tietoturvatuoteyritysten leipäpuu. Niitä edistävä lobbaus on siksi kiihkeämpää kuin ohjelmistojen turvallisen kehityksen edistäminen, joka ei välttämättä vaatisi suuria sijoituksia järjestelmiin mutta sitäkin enemmän koulutusja prosessi-investointeja. Proaktiivinen turvallisuustyö, esimerkiksi uusimman VAHTI-sovelluskehitysturvallisuusohjeen (1/2013) vaatimusten mukainen työ, tehostaisi järjestelmien passiivista puolustettavuutta ja vähentäisi nollapäivähyökkäysten riskiä. Ohjelmistojen kehityksen ja sovelluskehityksen turvallisuuden 12
nostaminen strategisesti suurempaan rooliin hyödyttäisi siis todennäköisesti sekä perusoikeuksien että paremman kyberturvallisuustilanteen toteutumista. Suomen Internetistä löytyy tuhansia suojaamattomia automaatiojärjestelmiä (research.comnet.aalto.fi/public/aalto-shodan-raportti-julkinen.pdf). Kun mietitään keinoja kyberturvallisuuden parantamiseen, jolla ei loukata kansalaisten perusoikeuksia, tässä on yksi paikka aloittaa lainsäädäntötyö. On perusteltua laajentaa valtion oikeutta tutkia olemassa olevaa verkkoa etsien suojaamattomia ja huonosti suojattuja järjestelmiä, siten että tästä vastuussa olevalla taholla on oikeus selvittää kyseisen osoitteen omistaja ja vaatia tätä korjaamaan ongelma. FISC Finnish Information Security Cluster ry ja Teknologiateollisuus Ry sekä F-Secure Tietoturvaklusteri ja Teknologiateollisuus sekä F-Secure eivät kuitenkaan vastusta kaikkea verkkoliikenteen seurantaa. Suomesta ulospäin suuntautuvan rikolliseen toimintaan liittyvän verkkoliikenteen kohdennettua seurantaa tulisi päinvastoin lisätä. Nykylainsäädännössä kyseessä olevan liikenteen haravointi ei ole mahdollista, vaan kaikkia tapauksia käsitellään yksittäisinä. Esimerkiksi verkkorikollisten ja valtiollisten toimijoiden käyttämien haittaohjelmien ja muiden tekniikoiden käyttäytyminen usein perustuu aktiivisiin tietoliikenneyhteyksiin maan rajojen ulkopuolelle. Kyseiseen toimintaan liittyvä verkkoliikenne olisi teknisesti mahdollista havaita ja kohdentaa ilman, että itse liikenteen sisältöä tai koko Suomen sisäistä verkkoliikennettä on tarvetta seurata. Tarvetta olisi myös parantaa viranomaisten välillä tapahtuvaa tietoturvaloukkauksiin liittyvää tiedonvaihtoa. Lisäksi viranomaisten tulisi pystyä kertomaan yrityksille ja yksityishenkilöille millaisia hyökkäyksiä on käynnissä, jotta niiltä voidaan suojautua. Samalla pitäisi tapausten vakavuuden mukaan velvoittaa hyökkäysten uhreja raportoimaan heihin kohdistuneista hyökkäyksistä ja niiden tekniikoista, jotta muut voivat niiltä suojautua. Lisäksi tulisi harkita tunnistettujen bottiverkkojen komentoliikenteen blokkaamisen sallimista operaattoritasolla sekä kyseisen liikenteen lähettäjien IP-osoitteiden selvittämistä, jotta bottiverkkoon liitettyjen päätelaitteiden omistajia voitaisiin operaattorin toimesta varoittaa. Lisäksi verkkoliikenteen seuraamista tarvitaan teknisistä syistä, mikä on sallittava myös jatkossa. Ficix ry Suomen voidaan katsoa olevan erittäin muttei poikkeuksellisen haavoittuvainen tietoverkkojen kautta syntyviin uhkakuviin Keskiössä ovat Suomessa toimivat teleyritykset, etenkin ne, joilla on kansainvälisiä tietoliikennekaapeleita ja verkkoja. Keskeisin kriittisten verkkojen käytettävyyden uhka ovat palvelunestohyökkäykset. Teleyrityksillä on kaupallisesti tarjolla palvelutuotteita, joilla hyökkäyksiä voidaan estää tai heikentää Suomen kauttakulkuliikenne on järjestetty siten, ettei liikenteen määrä tai laatu uhkaa Suomen turvallisuutta. Monikansalliset teleyritykset voivat tunnistaa ja torjua uhkia lähes globaalisti Kohdistetut, haittaohjelmin toteutetut murrot ovat vakavimpia tietoturvauhkia järjestelmille, näissä käyttäjä itse on toimillaan osallinen murtoon. Organisaation tietoturvakäytänteiden, sovellusten ja käyttäjien valveutuneisuuden taso on olennainen näiden torjumisessa. 13
Tietoverkkoturvallisuutta kehitetään parhaiten edistämällä teleyritysten tuotekehitystä ja asiantuntemusta kyberturvallisuuden osa-alueista ja uhkamalleista. Tämä osaamisen kehittäminen edistää myös kansallista kilpailukykyä. Viranomaisten ja toimialan keskeisten toimijoiden tiedonvaihtoa on kehitettävä. Keskuskauppakamari Käsityksemme mukaan kyberuhkien torjunnassa ainoa toimiva tapa on se, että sekä yritykset että julkinen sektori pystyvät valvomaan omissa verkoissaan sisään tulevaa ja ulos menevää liikennettä. Tämä on ennaltaehkäisevä tapa. Massavalvonta olisi taas reaktiivinen eli jälkikäteinen tapa, sillä tällöin tunkeutuminen huomataan vasta, kun uhka on toteutunut ja verkkoon on jo tunkeuduttu. Internet-käyttäjät ikuisesti IKI ry Haitallisen vakoilun estäminen luo merkittävän suojan kyberuhkia vastaan. On siis tärkeää pyrkiä siihen, että kansalaisten tiedot on suojattu mahdollisimman hyvillä teknologioilla, koska se luo pitkällä tähtäimellä vahvan tietoturvatason joka suojaa rikollisuutta ja kyberuhkia vastaan. Merkittävä edistysaskel tietoturvatason kohottamisessa on saavutettu ja pystytään saavuttamaan sillä, että pyritään suojaamaan salaamalla tiedot ja tietoliikenne kaikissa tilanteissa esim. käyttäjän laitteissa verkkoyhteyksissä käyttäjän tietokoneesta verkkoon verkon palvelimien välinen salaus organisaatioiden sisäisen verkkojen liikenteen salaaminen Tällöin massavakoilun kustannukset kasvavat tarpeeksi, jotta riskit rikoksista ja esim. taloudellisesta vakoilusta vähenevät merkittävästi ilman, että asia muodostuu tavallisille käyttäjille liian vaikea. Esimerkiksi CERT-FI ja internet-palvelutarjoajat voisivat ennalta rakentaa toimintamallit ja kommunikaatiokanavat, jotka voidaan ottaa käyttöön yhteen tai useampaan tahoon kohdistuvan kyberhyökkäyksen tapahtuessa. Nokia Oyj ja NSN Kyberuhkien ennaltaehkäisyn eli torjumisen kannalta kaikkien toimijoiden, niin julkisten kuin yksityistenkin, on tärkeää huolehtia omien verkkojensa tietoturvasta muun muassa teknisin keinoin. Erityisesti julkisten toimijoiden suhteen on tärkeää varmistaa, että ne priorisoivat investoinneissaan oikealla tavalla verkkoturvallisuuden parantamista. Mittavat investoinnit reaktiiviseen massavalvontaan voisivat syrjäyttää tarpeelliset investoinnit ennaltaehkäisevään teknisen turvallisuuden parantamiseen. TDC Oy Teleyrityksillä on kyky ja velvoite huolehtia viestinnän tietoturvasta. Voimassa olevat lait (sähköisen viestinnän tietosuojalaki, pakkokeinolaki, poliisilaki, pelastuslaki, VN asetus 503/2011 tietojen säilyttämisestä viranomaisia varten) takaavat riittävän viranomaisvalvonnan. Niitä tulisi käyttää ensisijaisesti. Kyberuhkiin varautuminen puuttumalla tietoverkkojen ohjaukseen sisältää ennalta arvaamattomia riskejä. 14
3.10. Havaro- järjestelmä Ficix ry Havaro- järjestelmä on toiminnassa ja osoittanut käyttökelpoisuutensa. Järjestelmää voitaneen kehittää tarkemmin tiedustelutiedon tarpeisiin sopivaksi. Järjestelmän käyttöönottoa laajasti julkishallinnossa tulisi edistää. Havaro- järjestelmän tai kaupallisesti saatavilla olevien monitorointijärjestelmien avulla ja kautta tiedustelu on mahdollista kohdistaa siten, että sen piiriin ei aiheettomasti päädy sellaista viestintää, jolla ei ole itseisarvoa tai se on ristiriidassa yhteiskunnan yleisen oikeustajun kanssa. Tiedustelun kohdistaminen myös mahdollistaa kustannuskontrollin hyvinkin tarkasti ja optimaalisesti. Huoltovarmuuskeskus Huoltovarmuuskeskus on tukenut kriittisen infrastruktuurin vapaaehtoista varautumista tuottamalla CERT-FI- ja HAVARO- (tietoturvauhkien havainnointi- ja varoitusjärjestelmä) palveluita huoltovarmuuskriittisille yrityksille ja organisaatioille. Palveluita tullaan jatkamaan ja vahvistamaan osana Kyberturvallisuuskeskuksen toimintaa. CERT-FI- ja HAVARO-palvelut laajenevat kattamaan myös valtionhallinnon yhteiset ICT-palvelut. 3.11. Vaikutusten arviointi FISC Finnish Information Security Cluster ry ja Teknologiateollisuus Ry Talous- ja turvallisuusvaikutukset on arvioitava etukäteen huolellisesti. Maailman viime aikojen tapahtumat ovat käynnistäneet laajoja kyberkeskushankkeita eri maissa kuten Intiassa, Isossa- Britanniassa, Ranskassa ja Saksassa. Tiedustelu sekä tiedon kerääminen kansallisen turvallisuuden takaamiseksi on mielletty hyvin eri tavoin maailmalla. Tiedon kerääminen ja hyödyntäminen vaativat huomattavia investointeja. Esimerkiksi NSA:n toiminta vaatii vuosittain yli 10 miljardin dollarin toimintabudjetin. Jos Suomessa halutaan kehittää toimintakykyä viranomaistoimilla, se vaatii kansallisesti yli 100 miljoonan euron vuosibudjetin, jotta tiedustelu olisi edes kohtuullisella tasolla. Kun uutta lainsäädäntöä valmistellaan, se vaatii rinnalleen arvion kokonaisvaltaisesta taloudellisesta panostuksesta sekä arvion suorista ja välillisistä vaikutuksista; muutoin lakimuutokset saavat kansantalouden tasolla aikaan enemmän vahinkoa kuin hyötyä. Ennen kuin lainsäädäntötyössä voidaan edetä, tulisi kaikki vaikutukset arvioida niin kansallisen turvallisuuden, vaadittavien investointien kuin mahdollisten taloudellisten hyötyjen ja menetysten osalta. Jos lain valmistelu tapahtuu hätäisesti ja ristiriitaisessa ilmapiirissä, sillä vahingoitetaan eri toimijoiden taloudellisia ponnistuksia ja pahimmillaan koko luottamukseen perustuvan maabrändiä. FiCom ry FiCom haluaa painottaa työryhmän tulevien ehdotusten perusteellista valmistelua ja vaikutusten arviointia, sillä ehdotuksilla tullee olemaan merkittäviä ja kauaskantoisia vaikutuksia. Erityisesti tulee panostaa erilaisten etenemisvaihtoehtojen vaikutusten arviointiin. FiCom pitää erityisen tärkeänä, että lainsäädäntöä mahdollisesti kehitettäessä arvioidaan laajasti ehdotusten vaikutukset myös yksityiselle sektorille. Arvioinnissa tulee kiinnittää huomiota yrityksille syntyviin kustannuksiin ja yritysten kilpailukyky-vaikutuksiin etenkin avointa sektoria koskien. 15
Vaikutusarvioinnissa on otettava monipuolisesti huomioon viranomaisten tiedonhankintaa koskevien mahdollisten uusien toimivaltuuksien vaikutus Suomen houkuttelevuuteen pitkäjänteisenä investointikohteena. Merkittäviä panostuksia joutunevat tekemään elinkeinoelämän yritykset, etenkin teleyritykset ja tietotekniikkapalveluja tarjoavat tahot. Elinkeinoelämän keskusliitto Viime aikojen kansainväliset tapahtumat osoittavat, että kansallisilla verkkotiedusteluratkaisuilla on paitsi laajoja ulkopoliittisia vaikutuksia, myös syvälle käyviä ja peruuttamattomia vaikutuksia yksilönvapauksiin, elinkeinoelämän kilpailukykyyn, investointien suuntautumiseen ja jopa kansainvälisiin kauppasuhteisiin. Huoltovarmuuskeskus Tarkastelussa tulee selvittää ja arvioida vaikutukset: 1. yhteiskunnan kriittisten toimintojen kybertoimintaympäristön turvallisuuteen 2. yksityisen sektorin toimijoiden liiketoimintaan 3. elinkeinoelämän kyberympäristön turvallisuudelle 4. julkisen ja yksityisen sektorin yhteistyölle 5. Suomen kansainvälisille suhteille ja yhteistyölle sekä maineelle 6. kansallisen kyberturvallisuuden nykyisille toimintamalleille, rakenteille ja ratkaisuille 7. lainsäädännön toteutumisen resurssivaatimuksiin. Välittömien vaikutusten lisäksi tulee myös ottaa huomioon toimenpiteiden vaikutukset tunnistettuihin riskeihin sekä mahdolliset tiedustelusta syntyvät uudet riskit. Kokonaisvaltaisen tarkastelun osana tuleekin tarkastella tietoliikenteen tunnistetietojen keräävän toiminnan tuomaa lisäarvoa suhteessa tähän vapaaehtoisuuteen perustuvaan havainnointi- ja varoituskykyyn. Tunnistetietojen keräämisen vaikutus ICT- sektorin yritysten sijoittumiseen Suomeen tulee arvioida. Kantaa tulee ottaa myös Suomen läpi kulkevan tietoliikenteen tunnistetietojen keräämiseen. Erityistä huomiota tulisi kiinnittää siihen miten regulaation pakottama massavalvonta vaikuttaa nykyiseen vapaaehtoisuuteen ja yhteistyöhön perustavaan varautumiseen sekä julkisen ja yksityisen sektorin kumppanuuteen. Kansainvälisen toimintaympäristön tarkastelussa tulisi kansainvälisoikeudellisten näkökohtien lisäksi ottaa huomioon vaikutukset Suomen kansainvälisiin suhteisiin, yhteistyöhön ja kauppaan. Elinkeinoelämään kohdentuvat velvoitteet ja kustannukset tulisi myös selventää, sekä suhteuttaa tiedustelutoiminnan tuomiin hyötyihin. Huoltovarmuuskeskus ja Huoltovarmuusorganisaatio ovat valmiita tukemaan työryhmää tuottamalla asiantuntijatietoa kriittiseen infrastruktuurin varautumisen tarpeiden määrittelemiseksi sekä elinkeinoelämään kohdentuvien vaikutusten arvioimiseksi. Ficix ry Tiedustelulla saadun arkaluontoisen ulkovaltoja koskevan tiedon säilytys ja salassapito kansallisesti sisältää poliittisen riskin. Ruotsi: Netnod ja FRA. Netnod on kehittynyt yhdeksi Pohjois-Euroopan isoista yhdysliikennepisteistä (187 liittymää, 700 Gbps) viime vuosikymmenen aikana. Huomattava määrä asiakkaista tulee 16
Ruotsin ulkopuolelta. Kasvun takana on keskeinen sijainti, markkinointitoimet, palveluiden kehittäminen oman henkilöstön toimin yms. FRA laki ei ole näkyvästi muuttanut Netnodin/Ruotsin kilpailuasemaa. Hollanti: AMS-IX ja NSA. AMS-IX kuuluu johtaviin Eurooppalaisiin yhdysliikennepisteisiin. AMS-IX on kilpailu- ja taloussyistä laajentunut mm. Yhdysvaltain alueelle palveluineen. Laajentuminen nosti laajahkon protestin jäsenkunnassa koska eurooppalaisen liikenteen luovuttaminen USA:han nähtiin potentiaalisena riskinä. Jäsenistö äänesti USA laajentumisen puolesta ja se toteutettiin yritysjuridiikkaan kiinnitettiin tosin erityistä huomiota. AMS-IX julkaisee myös transparency raporttia. Keskuskauppakamari Yrityksille ei saisi aiheutua lisäkustannuksia esimerkiksi omien kansallisten käytänteiden tai standardien kautta. Kansainvälisillä markkinoilla kotimaisten yritysten toiminta määräytyy lähtökohtaisesti asiakkaiden vaatimusten sekä kansainvälisten käytänteiden ja standardien kautta. Internet-käyttäjät ikuisesti IKI ry Suomessa on vahva tietotekninen palvelu- ja teknologiasektori, jonka osuus kansallisen vaurauden luojana kasvaa jatkuvasti. Tämän sektorin toiminnan kannalta on tärkeää, että se voi tarjota sähköisiä palveluja ilman riskejä yksityisyyden suojan murtamisesta tai vakoilusta. Jos luottamus yrityksiin rapistuu, siitä voi seurata merkittäviä strategisia pitkän tähtäimen taloudellisia tappioita, kuten on käynyt esimerkiksi amerikkalaisten yritysten tarjoamien palvelujen kanssa luottamuspulan vuoksi. Suomessa on myös erittäin korkealaatuista tietoturvaosaamista ja siihen liittyvää vientiliiketoimintaa, esimerkiksi viime aikojen Heartbleed tietoturva-aukko löydettiin myös suomalaisen teknologiaosaamisen voimin. F-Secure Hankkeessa pitää huomioida sen vaikutukset kansalaisten ja yritysten luottamukseen suomalaista yksityisyyden suojaa ja turvallisia verkon palveluja kohtaan. Edward Snowdenin NSA-paljastukset ja muiden maiden paljastetut seurantatoimenpiteet (mm. Ruotsi, Norja UK, Saksa) ovat tuoneet asiaan liittyvät haittapuolet näkyvästi mediaan ja ovat heikentäneet yhdysvaltalaisen yritysten kilpailukykyä USA:n ulkopuolella. Microsoft Oyj Toiminnan vaikutukset yksilöiden Internetiä ja verkkopalveluita kohtaan tuntemaan luottamukseen on huomioitava. 17
3.12. Turvallisuusviranomaisten valvonnan järjestäminen ja avoimuus FiCom Mikäli työryhmä päätyy esittämään tiedonsaantioikeuksien laventamista, FiCom esittää, että työryhmä täydentää tarkastelun piiriin kuuluvia asioita myös tiedohankintaan liittyvien käytänteiden valvontamekanismien laatimisella. Tiedonhankinnalle on luotava tehokas ja kattava valvontajärjestelmä, jossa myös julkisuuskontrollilla on oma sijansa. Viranomaisia avustaneilla tahoilla tulee esimerkiksi olla oikeus julkistaa yleisen tason tietoja (esim. tilastoja) siitä, miten ne ovat avustaneet viranomaisia. Viimeksi mainittu on tärkeää erityisesti yritysten oikeusturvan kannalta. FISC Finnish Information Security Cluster ry ja Teknologiateollisuus Ry Suomeen tulee luoda toimintamalli, jossa viranomaisen toimista rikosten ehkäisyssä ja selvittämisessä jää aina todisteet. Niiden avulla voidaan osoittaa, että ylilyöntejä ei ole tapahtunut tai muutoin toimita vastoin yhteisiä päätöksiä. Näin toimimalla Suomi voi saavuttaa laajan kansainvälisen luottamuksen kyberturvallisena maana, jonne kannattaa investoida ja varastoida tietoa turvallisesti. On tärkeää kyetä esittämään jälkikäteen seurannan kohteeksi joutuneelle, mitä tietoja heistä on kerätty ja mihin niitä on toimitettu. Näin vältytään myös pitkäkestoisilta väärinkäytöksiltä ja taataan poikkeuksellinen tilaisuus luoda Suomesta todellinen Data-Sveitsi. Internet-käyttäjät ikuisesti IKI ry Mahdollisen valvonnan seuranta ( trust but verify ) pitäisi myös järjestää avoimesti niin että kansalaisten luottamus voidaan pitää korkealla tasolla, sekä vähintään jälkeenpäin saada tietoon tapahtuneen valvonnan laji ja laajuus. F-Secure Peräänkuulutamme kaikessa toiminnassa mahdollisimman laajaa läpinäkyvyyttä. Suomen kansalaisten tulee saada tietää, miten paljon verkkoseurantaa maassamme tehdään, ja minkälaisia tuloksia sillä saavutetaan. Suomalaisten yritysten tulee myös pystyä julkisesti raportoimaan kaikista valtiollisista määräyksistä, joita niihin on tässä tarkoituksessa kohdistunut. Microsoft Oyj Tiedonkeruun tulee olla valvottua ja vastuullista. Viranomaisten tietopyyntöjä ja tiedonkeruuta varten tulee olla selkeä lainsäädäntökehikko, jonka perusteella viranomaisten valtuuksia ja toimenpiteitä valvotaan riittävällä tarkkuudella. Toimintaa valvovien toimielimien tulee olla riippumattomia ja valvonnan kohteilla ja tietopyyntöjen vastaanottajilla tulee olla mahdollisuus valittaa päätöksistä. Viranomaisten ja valvontaelinten keskeiset päätökset tulee julkistaa viivytyksettä, jotta kansalaisvalvonta olisi mahdollista. Tietopyyntöjä koskevan toiminnan tulee olla läpinäkyvää. Viranomaisten toimivaltuuksia ja valtuuksien perusteella toteutettavia valvontaohjelmia koskevan keskustelun mahdollistamiseksi toiminnan on oltava läpinäkyvää. Viranomaisten tulee antaa yritysten julkistaa erilaisten tietopyyntöjen lukumäärät ja luonne. Lisäksi viranomaisten tulee julkistaa vastaavat tiedot. 18
Ficix ry Toiminnalle oltava mandaatti laissa ja toimeenpano luvanvaraista. Valvonnan kohdentumista ja vaikuttavuutta arvioitava neutraalisti (transparency report). Toimeenpanon virheet on sanktioitava ja korvausvelvollisuus vahingosta on luotava. Asianosaisille luotava mahdollisuus puolustaa itseään asiattomasta ja perusteettomasta tiedon keruusta / käytöstä Oikeustoimessa näytön kiistäminen mahdollista, toteennäyttö syyttäjällä. Riippumaton valvontaelin toiminnan valvontaan. 3.13. Yhteistoiminta FiCom ry Arviointia hankaloittaa se, että kansallinen malli [kyberuhkien torjumiseksi, havaitsemiseksi ja uhkiin reagoimiseksi] ei perustu eikä voi perustua pelkästään viranomaisten toimintamahdollisuuksien tai kyvykkyyksien varaan. Kyberturvallisuuden saavuttaminen edellyttää kaikkien panostusta. Jotta tähän päästäisiin, on tarkoituksenmukaista välttää tilanne, jossa perusteettomasti viranomaisten oletettaisiin huolehtivan kaikkien toimijoiden kyberturvallisuudesta. Jouduttaneen pohtimaan sitäkin vaihtoehtoa, että viranomaisen rooli ei olisikaan varsinainen palvelujen tuottaja vaan viranomaisen tehtävä muodostuisikin yhteistoiminnan puitteiden luomisesta ja erilaisen tiedon välittämisestä osapuolten välillä. Microsoft Oyj Valtioiden väliset mahdollisuudet ristiriidat tulee ratkaista. Jotta lainsäädännön ristiriitaisuuksilta vältyttäisiin, valtioiden tulee rakentaa kestäviä periaatteita noudattava ja läpinäkyvyyttä edistävä kehikko rajat ylittävien tietopyyntöjen hallintaan esimerkiksi vahvistamalla olemassa olevia maiden välisiä virka-apusopimuksia. Valtioiden tulee sopia keskenään menettelytavoista, joilla ratkaistaan eri maiden lainsäädäntöjen mahdollisista ristiriitaisuuksista aiheutuvat ongelmat. LIITE Lausuntopyyntö 23.1.2014 19
LIITE 20 (20) Tiedonhankintalakityöryhmä 23.1.2014 Jakelu Kirjallinen kuuleminen; kyberturvallisuuteen vaikuttavaa lainsäädäntöä valmistelevan työryhmän asettamispäätös Puolustusministeriö on 13.12.2013 asettanut työryhmän, jonka tehtävänä on lainsäädännön kehittäminen erityisesti turvallisuusviranomaisten tiedonhankintaa koskevan sääntelyn osalta. Tavoitteena on, että huolehdittaisiin nykyistä paremmin kansallisesta turvallisuudesta tietoverkoissa esiintyvien uhkien torjumiseksi. Työryhmän määräaika on 1.1. 30.6.2014. Työryhmän asettamispäätös on tämän kirjeen liitteenä. Työryhmä voi asettamispäätöksen mukaan kuulla työnsä aikana eri hallinnonalojen, järjestöjen ja elinkeinoelämän asiantuntijoita ja edustajia. Työryhmä on päättänyt 2. kokouksessaan 15.1.2014 kuulla kirjallisesti jakelussa mainittuja tahoja työryhmän työn tukemiseksi. Lausunnonantajia pyydetään esittämään näkemyksiään erityisesti asettamispäätöksessä kuvatuista työryhmän tavoitteista ja tehtävistä sekä siitä, mitä oikeudellisia ja yhteiskunnallisia näkökohtia työssä olisi otettava huomioon. Työryhmä järjestää kevään kuluessa erillisen suullisen kuulemistilaisuuden ja jatkaa asiantuntijakuulemisia kokouksissaan. Lausunnot pyydetään toimittamaan viimeistään torstaina 6.2.2014 sähköpostitse osoitteella laki@defmin.fi. Lisätietoja antavat työryhmän puheenjohtaja Hanna Nordström (p. 0295 140 600) sekä työryhmän sihteerit Minnamaria Nurminen (p. 0295 140 602, minnamaria.nurminen@defmin.fi) ja Jenni Herrala (p. 0295 140 603, jenni.herrala@defmin.fi). Työryhmän työstä löytyy lisää tietoa puolustusministeriön internet sivulta www.defmin.fi. Työryhmän puheenjohtaja Hanna Nordström Liitteet Jakelu Työryhmän asettamispäätös 13.12.2013 (FI.PLM.2013-5807) Elinkeinoelämän keskusliitto Electronic Frontier Finland (EFFI) ry FiCom ry Finnish Communication and Internet Exchange (FiCix) ry Huoltovarmuuskeskus Teknologiateollisuus Finnish Information Security Cluster (FISC) 20