keskiviikko 3. kesäkuuta 2015

Younited - eurooppalaisen pilven nousu ja (t)uho

Suomalaisen -- öh, eurooppalaisen -- pilvipalvelun nousu ja tuho on ollut ikävää seurattavaa. Kun kyse on nettipalveluista ja urkinnasta, meillä eurooppalaisilla ei ole muuta kuin suuret puheet. Kansainvälisillä markkinoilla olemme avuttomia.

Kirjoitin Younitedista toukokuun Tivi-kolumnin, mutta eilinen käänne antaa aihetta uusiin pohdiskeluihin. Mitä oikein tapahtui ja miksi?

Palataanpa alkuun. Lokakuussa 2013 F-Secure julkisti pilvipalvelun, jonka piti olla turvallinen ja urkinnan torjuva vaihtoehto amerikkalaisille pilville. Lehdistötiedotteessa asiaa hehkutettiin estotta: F-Securen Younited haastaa amerikkalaiset pilvipalvelut ja sitaatilla ”...on korkea aika tarjota eurooppalainen vaihtoehto, johon kansalliset tiedustelutahot eivät pääse käsiksi” (hei, tämän me osaamme yhtä hyvin kuin amerikkalaiset!).

Samana kesänä alkaneet Snowdenin paljastukset olivat tuoreessa muistissa joten turvalliselle pilvelle piti olla kysyntää.

Sen pituinen se -- eurooppalaisen pilvipalvelun lyhyt historia.
Mutta silti haastaminen jäi lyhyeksi. Tämän vuoden helmikuussa F-Secure ilmoitti yllättäen myyvänsä palvelun Synchronossille 42 miljoonalla eurolla.

ZDNetin toimittaja Larry Selzer nauroi varmaan partoihinsa, sillä jo lokakuussa 2013 hän ihmetteli, miksi kukaan luottaisi suomalaiseen pilveen.

Younitedin helmikuinen kauppa tuli yllätyksenä ja oli kylmä suihku meille käyttäjille. F-Securen selitys oli luonteva: pilvipalvelun tarjoaminen ei ole ydinliiketoimintaa ja palvelu tuotti tappiota. Pörssiyhtiö haluaa keskittyä ydinosaamiseen.

Vaikka moni käyttäjä ilahtui eurooppalaisesta pilvestä, liian harva oli valmis maksamaan siitä rahaa. Ilmaispalveluita tarjoamalla ei elä -- ei ainakaan, jos haluaa pitää kiinni eurooppalaisesta tietosuojasta. Ehkä Dropbox, Onedrive, Box ym. pärjäävätkin juuri siksi, että ne voivat hyödyntää käyttäjien tietoja muilla tavoilla? Hys, ei puhuta siitä.

Silti kauppa herättää kysymyksiä. F-Securella on pitkä kokemus ilmaista vastaan kilpailemisesta. Sen virustorjunta on pärjännyt maksullisena, vaikka ilmaisia kilpailijoita on viljalti. Miksi nyt kävi toisin? Myös varmistusbisneksen piti olla F-Securelle tuttua, olihan sillä vastaava palvelu jo aiemmin (joka sekin sai nolon lopun joillakin asiakkailla).

Jos yhtiö aikoi oikeasti haastaa amerikkalaiset kilpailijat, vuosi on siihen aivan liian lyhyt aika. Tämän täytyi olla yhtiön tiedossa jo lokakuussa 2013. Loppuiko F-Securelta rahat vai uskallus? Vai saiko yhtiö tarjouksen, josta ei voinut kieltäytyä?

Hinta 42 miljoonaa on kova palvelusta, jolla tuskin oli merkittävää IPR-omaisuutta ja käyttäjiäkin vasta vähän. Onko vain sattumaa, että NSA:n pääjohtaja Keith Alexander osti Synchronossin osakkeita kymmenillä tuhansilla dollareilla vuonna 2008?

Nyt mennään salaliittoteorioiden puolelle. Halusiko USA ostaa Younitedin pois ennen kuin siitä ehtisi kasvaa todellinen kilpailija? Eurooppalaisia palveluita on alalla vähän. Yksi turvallisimmista on sveitsiläinen Wuala -- joka sekin on nykyään amerikkalaisten omistuksessa.

Meitä käyttäjiä ärsyttää, ettei F-Secure helmikuussa varoittanut palvelun loppumisesta. Tämän päivän uutisen mukaan kyse oli lähinnä huonosta viestinnästä: "Sitä [lopettamista] ei ehkä osattu kommunikoida hyvin", selittää F-Securen toimitusjohtaja Digitodayssä.

Ei kuulosta uskottavalta, sillä F-Secure on aina ollut viestinnän mestari. Alalle tyypilliseen tapaan se on sulavasti yhdistänyt tuotemarkkinointinsa muuhun viestintään.

Ylen tv-uutiset 6.8.2014 mainostavat F-Securea: "We will protect you"
Viestintäosaamisesta kertoo sekin, että tieto lopettamisesta annettiin samaan aikaan kun yhtiö kertoi ostaneensa nSensen. Lopettamisesta ei ole lehdistötiedotetta, siitä kerrotaan vain sähköpostilla. Monet kuulivat asiasta netin kautta, sillä monille sähköpostitiedote tuli vasta seuraavana päivänä (ja joillekin ei lainkaan).

Ikävä kyllä jää vaikutelma, että F-Secure petti käyttäjänsä kahdesti (nekin, jotka maksoivat palvelusta): ensin myynnillä, joka vei palvelulta maton jalkojen alta, ja sitten lopettamalla kaiken. Kriisiviestinnän ohjeisiin kuuluu, että on parempi kertoa kaikki huonot uutiset kerralla, ja tehdä se mahdollisimman avoimesti.

Meillä eurooppalaisilla ei ole paljon jakoa kun jenkit päättävät haalia pilvemme -- ja tietomme.

PS. Tänään tulee kuluneeksi tasan kaksi vuotta siitä, kun Guardianin toimittajat tapasivat Edward Snowdenin hongkongilaisen Mira-hotellin aulassa. Ensimmäiset paljastukset julkaistiin kaksi päivää myöhemmin.

tiistai 2. kesäkuuta 2015

Facebookin tuki PGP:lle on iso periaatteellinen askel

Eilen 1.6. tuli kuluneeksi kaksi vuotta siitä, kun Guardianin toimittajat saapuivat Hongkongiin tapaamaan Edward Snowdenia. Sattumaa tai ei, Facebook kertoi uudesta ominaisuudesta, joka mahdollistaa PGP-salausavaimen käytön yhteisöpalvelussa.

Julkinen PGP-avain lisätään FB-profiilitietoihin.
Kahden vuoden ajan Microsoft, Google, Facebook ja muut jenkkipalvelut ovat kertoneet parantavansa tietosuojaa NSA-urkintaa vastaan. Toimet ovat olleet melko vaatimattomia, eikä tiedetä onko esimerkiksi Googlen https-käytöllä oikeasti merkitystä. Jos NSA edelleen pääsee Googlen sisäverkkoon tai suoraan palvelimille, tietoliikenteen salaamisesta ei ole paljon hyötyä. Tai on siitä hyötyä, mutta lähinnä muiden maiden tiedustelupalveluita ja paikallisia urkkijoita vastaan.

Niinpä Facebookin ilmoitus PGP:n tukemisesta on iso periaatteellinen askel. Jo 1990-luvun puolivälistä lähtien PGP on ollut sähköpostin salausstandardi. Avoimena ja julkisena sitä voidaan pitää yhtenä harvoista oikeasti turvallisista salausohjelmista.

Jostain syystä yksikään suuri nettipalvelu ei ole aiemmin tukenut PGP:tä. Mistähän syystä? Tarvitseeko edes arvata, miksei Microsoft tarjoa Outlookissa PGP-toimintoa?

Facebookin tuki PGP:lle on minimaalinen. Kun käyttäjä lisää palveluun oman julkisen avaimensa, hän saa Facebookin lähettämät ilmoitukset salattuina omaan sähköpostiinsa. Ei mikään iso juttu. Kaikki Facebookin sisällä tapahtuva viestintä on edelleen yhtiön urkittavissa. Vain Facebookista ulos lähtevät viestit ovat suojassa.

Mutta asiassa on toinen, isompikin juttu: PGP-käyttöä on tähän asti rajoittanut kattavan avainhakemiston puuttuminen. Jos kaikki lisäisivät avaimensa FB-profiiliin, vastaanottajan avaimen löytäminen helpottuisi huomattavasti. Lisäksi pitkään käytössä ollut ja monen ystävän vahvistama FB-profiili takaa henkilöllisyyden vähintään yhtä hyvin kuin PGP:n oma, kömpelö avainten allekirjoitustekniikka.

Jo se, että Facebook tunnustaa PGP:n olemassaolon (sekä tarpeen vahvalle salaukselle), on iso askel. Parhaassa tapauksessa Facebook laajentaa tukea muuhunkin käyttöön ja alkaa tarjota rajapintoja PGP-avainten käytölle muista sovelluksista käsin.

Kaikkein parasta olisi, jos PGP-tuki leviäisi Facebookin esimerkin innostamana muihinkin suuriin palveluihin. En tosin pidätä henkeäni sitä odottaessa. On epärealistista odottaa, että Gmail joskus sallisi salatun sähköpostiviestinnän. Yrityksen koko liiketoimintamalli perustuu viestinnän (vähintäänkin) tilastolliseen seurantaan, jonka toimiva salaus estäisi. 
Website Security Test