keskiviikko 28. lokakuuta 2015

Tietoturvauutiset tekevät kärpäsestä härkäsen

Tietoturva on tärkeä aihe, jota kenenkään ei ole varaa ottaa kevyesti. Mutta tietoturva on tänään paljon muutakin -- se on bisnes ja uutisaihe, jossa pelolla on oma roolinsa.

Media uutisoi kärkkäästi eksoottisia tietoturvauhkia, koska ne ruokkivat mielikuvitusta ja keräävät hyvin klikkejä. Näkyvyys on tärkeää myös tutkijoille, sillä se helpottaa rahoituksen saamista ja palkkaneuvotteluja. Pelko myy niin tuotteita kuin tutkijoitakin.

Jos mediaan olisi luottaminen, netti olisi romahtanut jo vuosia sitten. Juuri niinhän suomalainen tietoliikenneprofessori ennusti kymmenkunta vuotta sitten ja media tarttui hanakasti ennusteeseen. Professori antoi vuonna 2004 netille kaksi vuotta elinaikaa. Nyt on kulunut jo yksitoista, ja vieläkin netti on pystyssä. Ainakin yleensä, pieniä katkoja lukuunottamatta. Riskit, turva-aukot ja yleisen huolimattomuuden tietäen on hämmästyttävää, että melkein kaikki toimii normaalisti.

Viime vuosina on peloteltu autojen tietoturvapuutteilla. Aluksi julkisuutta saaneissa uutisissa jätettiin mainitsematta muuan oleellinen tieto: "hakkeri" istui auton sisällä ja oli kytkenyt läppärinsä suoraan tietoliikenneväylään. Ei ihme, että hän pystyi vaikuttamaan auton toimintoihin.

Sittemmin autojen tietotekniikka on kehittynyt ja aitojakin haavoittuvuuksia on löytynyt. Kohu-uutisista huolimatta auto on tietoturvan näkökulmasta yksi turvallisimmista paikoista. Tivi julkaisi eilen poikkeuksellisen uutisen, joka vähätteli autojen tietoturvauhkien vaarallisuutta.

Selvää on, että älypuhelimen yhdistyessä autoon (Android Auto ja Applen CarPlay) riski kasvavat, joten ne pitää ottaa vakavasti. Turva-aukkojen vaarallisuutta kuitenkin vähentää se, että niitä on vaikea hyödyntää kaupallisesti tai muutenkaan järkevästi. Hakkerien mielenkiinto kohdistuu ensi sijassa nettiliikenteeseen, ei autojen suistamiseen ojaan tai valojen vilkutteluun. Autojen häirintä kiinnostaa korkeintaan häiriintyneitä, pilailijoita tai ehkä tulevia terroristeja. Mutta heillekin on tuottoisampia kohteita kuin käydä yksittäisten autojen kimppuun.

Viime viikon uutinen kertoi, miten aktiivisuusranneke voisi saada lenkkipolulla viruksen ja tartuttaa haittaohjelman kotikoneeseen tietojen synkronoinnin yhteydessä. Totuus on tarua tylsempi, kuten tietoturvauutisissa usein muutenkin.

Fitbitin hallintaohjelmasta on myös universaali Windows 10 -versio.
Vaikka tietoturvatutkija onnistui tallentamaan 17 tavua dataa Fitbit-rannekkeen muistiin ja lukemaan sen takaisin, kyse on nimenomaan datasta. Haittaohjelma edellyttäisi, että ranneke saataisiin suorittamaan data koodina, ja silloin 17 tavua olisi liian vähän toimivaa ohjelmaa varten. Lisäksi pitäisi keksiä tapa, jolla sama data tietokoneelle siirrettynä saataisiin suoritettavaksi koodiksi. Uhka on siis vähintäänkin teoreettinen. Tämän selvittyä Tivi julkaisi aiheesta toisen uutisen.

"Haavoittuvuuden" esitelleen hakkeritar Axelle Apvrillen kalvot aiheesta ovat osoitteessa http://2015.hack.lu/archive/2015/fitbit-hacklu-slides.pdf ja niissä on kiinnostavaa tietoa rannekkeen kiihtyvyysanturien mittauksista sekä rannekkeen ja tietokoneen välisestä tiedonsiirrosta. Sivulla 18 on näppärä ajatus lukita tietokone automaattisesti kun Bluetooth-yhteys rannekkeeseen katkeaa. Idea ei ole aivan uusi, mutta sen yhdistäminen aktiisivuusrannekkeeseen nähdäkseni on.

Aktiivisuusrannekkeiden tietoturvaan kannattaa kiinnittää huomiota, varsinkin jos niillä kerättyä dataa aletaan käyttää vakuutusten hinnoitteluun. Silloin hakkerointiin syntyy taloudellinen kannustin. Niin ikään pilveen kerääntyvät syke-, liikunta- ja unitiedot voivat olla kaupallisesti haluttuja.

maanantai 26. lokakuuta 2015

"Autoni yritti tappaa minut" - autopilotti yllättää

Itsestään ajavien robottiautojen uskotaan mullistavan tulevaisuuden liikenteen. Auton omistaminen, liikenneohjaus ja turvallisuus menevät uusiksi, kun täysin automaattiset vaunut ilmestyvät paikalle älypuhelimen kutsusta ja kuljettavat ihmisen tämän haluamaan paikkaan.

Itse suhtaudun epäillen robottiautoihin. Idea voi toimia vasta sitten, kun nykymuotoiset autot on saatu pois liikenteestä. Robotti- ja ihmisliikenne eivät sovi yhteen.

Erilaiset automaattiajon toiminnot tuovat turvallisuutta jo nykyisissä autoissa. Tutka- ja kamerajärjestelmä säilyttää halutun välimatkan edellä ajavaan ja kääntää rattia niin, että auto pysyy liikennevirrassa omalla kaistallaan.

Toiminnot muistuttavat lentokoneiden autopilottia ja siksi niiden vaikutus liikennetekniikkaan jää vähäiseksi. Ne parantavat mukavuutta ja turvallisuutta, mutta eivät tee kuljettajaa tarpeettomaksi. Bussikuskeja ja rekkamiehiä tarvitaan jatkossakin, siksi heidän koulutustaan ei pidä lopettaa.

Automaattiajo muistuttaa lentokoneiden autopilottia. Se säilyttää koneen suunnan ja nopeuden, mutta ei tee lentäjiä tarpeettomiksi. Heitä on ohjaamossa peräti kaksi. Joissakin tapauksissa automatiikka olisi toiminut paremmin ilman ihmistä, mutta myös päinvastaisia esimerkkejä on runsaasti. Ne eivät vain ylitä uutiskynnystä, koska lentäjät estävät onnettomuuden.

On todennäköistä, että automaailmassa kehitys viekin ojasta allikkoon. Tekemisen puuttuessa kuljettajan huomio herpaantuu tai hän saattaa nukahtaa kokonaan, eikä pysty toimimaan yllättävissä tilanteissa. Kuljettaja ulosmittaa tekniikasta saadun hyödyn omalla käyttäytymisellään, kuten surffaamalla netissä ajon aikana (videon lopussa). Yllättävissä tilanteissa ihmiseltä kuluu jopa kahdeksan sekuntia päästä tilanteen tasalle -- ja siinä ajassa ehtii tapahtua paljon.

Ensimmäisiä tapauksia on jo nähty. Tällä Youtube-videolla on enteellinen otsikko -- tulemme näkemään vastaavia uutisia vielä monta kertaa.

"Autoni yritti tappaa minut!"
Vielä toinen esimerkki Teslan autopilotin rajoituksista. Kauanko kestää, ennen kuin joku oikeasti kuolee tällaisessa kolarissa? Luultavasti vielä tämän vuoden puolella.

Teslan tapauksessa vika on tietenkin ratin ja penkin välissä, tällä kertaa kirjaimellisesti. Autoilijat haluavat testata missä autopilotin rajat tulevat vastaan, eivätkä tyydy pelkkään maantieajoon, kuten pitäisi. Googlen markkinointi ja median robottiautoihin liittyvä hypetys on saanut autoilijat uskomaan, että tulevaisuus on jo täällä. Ei ole.

Ehkä Tesla itsekin voi katsoa peiliin. Automaattiajo lisättiin Tesloihin 7.0-versiossa pelkkänä softapäivityksenä, joka latautui ja asentui automaattisesti 14.10.2015. Omistajalle syntyi vaikutelma, että auto oli yhdessä yössä saanut aivan uusia kykyjä. "Your autopilot has arrived", valmistaja markkinoi blogissaan.

No, it has not.

Vaikka Teslan automaattiajo onkin parhaimmillaan vakuuttavaa, se on vielä kaukana oikeasta autopilotista. Ja robottiautot ovat vielä paljon kauempana.

perjantai 16. lokakuuta 2015

Tiedustelulain valmistelu pimeää hommaa

Kohutun tiedustelulain valmistelu alkoi lokakun alussa. Työ on annettu sisä- ja puolustusministeriölle, mikä kuvastaa lain tarkoitusta. Sisäministeriö haluaa uusia työvälineitä Supolle, puolustusministeriö tiedusteluun ja maanpuolustukseen.

Pidän lakia välttämättömänä. Yhä useammat uhkat tulevat netin kautta, jolloin ainoa mahdollisuus havaita ne ajoissa on seurata verkon tapahtumia. Silmien ummistaminen ei auta. Tähän asti olemme ulkoistaneet likaisen työn Ruotsin FRA:lle, mutta jatkossa vastuu on pakko ottaa itselle.

Avoimuuteen tottuneissa pohjoismaissa tiedustelulain säätäminen on mutkikas juttu. Ruotsissa aiheesta käytiin pitkä keskustelu ja laki hyväksyttiin kesällä 2008 vain niukalla enemmistöllä. Me Suomessa olemme kymmenen vuotta Ruotsia jäljessä, päättäjät ehkä vieläkin enemmän.

Tiedustelulaki on jo lähtökohtaisesti vaikea asia. Ne harvat, jotka oikeasti jotain tietävät, joutuvat pitämään suunsa kiinni. Äänekkäimpiä ovat ne, joilla ei ole tietoja, mutta sitäkin vahvempia mielipiteitä.

Perustuslain 10. pykälä määrittelee viestintäsalaisuuden tiukasti ja ehdottomasti. Mutta edes perusoikeudet eivät ole absoluuttisia. Kun toisessa vaakakupissa on turvallisuus ja hyvinvointi, perusoikeuksien välillä joudutaan tekemään intressipunnintaa ja tarvittaessa jokin perusoikeus joustaa muiden hyväksi.

Poliisilla on oikeus harjoittaa telekuuntelua ja televalvontaa silloin, kun se on tarpeen vakavan rikoksen tutkimiseksi tai estämiseksi. Tähän asti on katsottu, että rikoksesta epäilyjen viestintäsalaisuutta voi tarvittaessa loukata, mutta tietoliikenteen haravointi etukäteen ei ole sallittua.

Tiedustelulakia tarvitaan juuri siksi, että sen avulla voitaisiin havaita ennestään tuntemattomia uhkia eli henkilöitä, joiden ei vielä tiedetä olevan epäilyttäviä. Käytännössä tämä tarkoittaa jonkinlaista massavalvontaa, jossa verkosta pyritään tunnistamaan tietyt ehdot täyttävää liikennettä.

Yksinkertainen esimerkki voisi olla: "etsi kaikki Suomesta Syyriaan lähetetyt sähköpostit, joissa esiintyy sana ISIS tai recruiting". Onko tämä massavalvontaa? Vaatiiko tämä perustuslain muuttamista? En tiedä. Viime kädessä asia jää kansanedustajien päätettäväksi.

Miten pihalla aiheen vastuuministerit ovatkaan, se kävi ilmi Noin viikon uutiset -satiiriohjelman eilisestä jaksosta (Yle Areenassa 14.11.2015 asti). Sisäministeri Petteri Orpo vakuutti ensin (10 minuutin kohdalla), ettei kyse ole massavalvonnasta, mutta takelteli sitten pahasti yrittäessään tarkentaa, mistä oikein on kyse.

Vielä pahemmin kompastui oikeusministeri Jari Lindström, jolta kysyttiin tiedustelun parlamentaarisesta valvonnasta. Pyydettyään ensin toimittajaa (n. 13 min kohdalla) toistamaan kysymyksen hän totesi, ettei osaa vastata niin "spesifiseen kysymykseen". Kaikesta päätellen oikeusministerillä ei ollut mitään käsitystä tiedustelulain tärkeimmästä ulottuvuudesta eli valvojien valvonnasta, vaikka sen pitäisi olla lainvalmistelun keskeinen teema.

"Ai mikä parlamentaarinen valvonta?"
Molemmat vastaukset oli kuvattu tiedotustilaisuudessa 1.10.2015. Yleensä tv-uutisiin päätyvät vain tylsät, viralliset kannanotot. Noin viikon uutiset pystyy käyttämään yli jäävää materiaalia, joka on joskus merkittävämpää kuin varsinainen vastaus. Tämä oli yksi niistä kerroista. Oikeusministeri tuntuu olevan ihan kuutamolla näin tärkeässä asiassa.

Myös puolustusvoimien pitää terävöittää viestintäänsä. Se on tottunut hallitsemaan julkisuutta omilla ehdoillaan, mutta tiedustelulain valmistelu on jotain ihan muuta. Salaisesta asiasta pitäisi pystyä kertomaan riittävän selkeästi ja nöyrästi.

Veikkaan, että tulemme näkemään monia mielenkiintoisia käänteitä ennen kuin tämä laki on taputeltu kasaan ja saatu lakikirjaan asti.

tiistai 13. lokakuuta 2015

OneCoin käyttäjäsopimus kopioitu deittipalvelusta

MuroBBS-keskustelualueella osui silmääni tarkkaavaisen lukijan havainto: OneCoinin käyttäjäsopimus (Terms and Conditions) viittaa Texasiin. Se on vähintäänkin outoa, sillä kyseessä on bulgarialainen, Gibraltarille rekisteröity yritys, joka juuri perui USA-toimintojensa aloittamisen.

Googlaamalla sama käyttöoikeussopimus löytyy GoldVault-kryptovaluutalta, jonka kytky OneCoiniin on hyvin tiedossa, mutta siitä huolimatta epäselvä.

Koska taustalla häärivät ilmeisesti samat henkilöt, käyttäjäsopimuksen kopiointi palvelusta toiseen on luonnollista (pieniä eroja on, esim. OneCoin sallii palvelunsa myynnin myös Nigeriaan, minkä GoldVault kieltää). Mutta kun OneCoinin käyttäjäsopimuksen tekstiä lukee tarkemmin, siitä löytyy erikoisia kohtia, esimerkiksi tämä:

PRIVACY OF CHILDREN

None of the OneCoin sites or properties are directed to users under the age of 18. However children under the age of 13 are further protected on OneCoin. We also operate our network of sites in full compliance with the Children’s Online Privacy Protection Act (COPPA) of 1998, and do not permit registration by, and will not knowingly collect or use personally identifiable information from, anyone under 13 years of age. This requirement is clearly posted during the registration process.

Miksi ihmeessä OneCoin viittaa amerikkalaiseen COPPA-lakiin, joka suojelee alle 13-vuotiaita henkilötietojen keräämiseltä?

Entäpä tämä sitten (otsikon PROFILES, MESSAGE BOARDS AND PUBLIC FORUMS alla):

Please be aware that whenever you voluntarily post public information to your Profiles, message boards or any other public forum...

Puhumattakaan tästä:

By placing an order or registering on this Site and using a photo image, Users warrant that the photo is a personal photo, or a photo that user have all the necessary rights to use and/or that he/she is not using an alternative image (without specific consent) of someone or something else to misrepresent it as the User itself.

Miksi OneCoin viittaa käyttäjäprofiiliin ja henkilön valokuviin?

Google on jälleen lahjomaton. OneCoinin käyttäjäsopimuksen kohtia on kopioitu amerikkalaisen 15 sekunnin videodeittejä tarjoavasta 15winks.com -palvelusta. Privacy Policyn kohdat ovat sanatarkasti peräisin jenkkipalvelusta, vaikka palvelujen nimet onkin vaihdettu. Tällainen manipulointi tuli tutuksi jo maksullisten koulutusmateriaalien yhteydessä.

Kun 15winks.com kirjoittaa näin:

Please note that 15winks cannot guarantee the security of User account information. Unauthorized entry or use, hardware or software failure, and other factors may compromise the security of member information at any time. Users are urged to also take precautions to protect their personal data by changing passwords often using a combination of letters and numbers, and using a secure web browser. If you share a computer or mobile device with anyone, you should always log out of the Web site or application before leaving it to prevent access to your information from subsequent Users of that computer or device. For any additional information about the security measures 15winks uses on our website, please contact us at privacy@15winks.com.

vastaava kohta Onecoin.eu:ssa on tällainen (väliotsikon SECURITY alla):

Please note that OneCoin cannot guarantee the security of User account information. Unauthorized entry or use, hardware or software failure, and other factors may compromise the security of member information at any time. Users are urged to also take precautions to protect their personal data by changing passwords often using a combination of letters and numbers, and using a secure web browser. If you share a computer or mobile device with anyone, you should always log out of the Web site or application before leaving it to prevent access to your information from subsequent Users of that computer or device. For any additional information about the security measures OneCoin uses on our website, please contact us at support@OneCoin.eu.

Kopiointi on helppo tunnistaa siitä, että suoraan videodeittipalvelusta kopioidut kohdat näkyvät OneCoinin käyttäjäsopimuksessa lihavoituna. Se helpottaa kopioitujen kohtien erottamista, kiitos vain.

Kopioidut kohdat on lihavoitu valmiiksi.
Käyttäjäsopimukset ovat juridista pakkopullaa, joten tekstien kopiointi palvelusta toiseen ei ole ainutkertaista. Harvoin kuitenkaan näkee niin typerää kopioijaa, että hän ottaa mukaan myös alkuperäisen palvelun kotipaikan.

Tiedoksi siis kaikille onecoinisteille, että jos palvelun käytöstä tai virtuaalirahasta tulee riitaa, kiistat ratkaistaan Dallasin piirikunnassa Texasin osavaltion lakien mukaisesti:

You irrevocably agree that the courts of the United States and specifically those in Dallas County, Texas shall have exclusive jurisdiction to resolve any dispute or claim of whatever nature arising out of or relating to this policy and consent or otherwise to the use of your personal data, and that the laws of Texas shall govern such dispute or claim.

Texasin maininta ei ole sattumaa, sillä deittipalvelu 15Winks Inc'in kotipaikka on Dallas. OneCoinin kanssa sillä ei ole mitään tekemistä.

Käyttäjäsopimuksen tekstin kopiointi ei ole rikos, mutta se osoittaa, miten amatöörimäisellä tasolla OneCoinissa liikutaan. Ihanko oikeasti tällainen yritys louhisi supertietokoneella maailmanlaajuiseen käyttöön tulevaa virtuaalirahaa? Kuka haluaa luovuttaa rahojaan bisnekseen, joka ei osaa edes kopioida käyttäjäsopimuksensa tekstiä muualta -- saati, että tuottaisi sen itse? Osaisiko Onecoinin ns. lakiasiainjohtaja valaista asiaa?

Jk. Jos joku kaikkien osoitettujen epäkohtien jälkeen vielä laittaa Onecoiniin rahojaan, ei voi kuin syyttää itseään. Suomessa poliisi selvittelee parhaillaan Onecoin-kiemuroita. Mahdollisesta esitutkinnan aloittamisesta on luvattu kertoa lokakuun loppuun mennessä.

Jk 2. Suomen maajohtaja Tommi Vuorinen on näköjään tänään julkaissut mediatiedotteen Ruja Ignatovan esiintymisestä Economist-lehden seminaarissa. Tiedotteen mukaan OneCoinissa on lähes 8000 suomalaisjäsentä. Rujaa hehkutetaan termillä "kutsuttu puhuja", mutta todellisuus taitaa olla päinvastainen: hän on ostanut itselleen ja OneCoinille lyhyen puheenvuoron ryhtymällä seminaarin pääsponsoriksi, mikä käy selkeästi ilmi tapahtuman omalta sponsorisivulta. Käytäntö on maailmalla yleinen. Jostain syystä muiden sponsorien logot johtavat yritysten web-sivuille, mutta OneCoinin logo ei vie mihinkään. Sopii miettiä, miksi näin.

maanantai 12. lokakuuta 2015

Suomelle avautuu suora digiyhteys Eurooppaan

Cinia aloitti tänään konkreettisesti Saksan-merikaapelin rakennustyöt. Aamulla Santahaminan edustalle pysäköidystä Ile de Brehat -laivasta vedettiin kaapeli maihin ja alus lähti kohti Saksan Rostockia. Perässään se laskee merenpohjaan C-Lion-datakaapelia, joka yhdistää Suomen ensi kertaa nopealla kuitukaapelilla suoraan Keski-Eurooppaan.

Kaapelin laskeminen ei ole hätäisen miehen hommaa, sillä laivan nopeus on noin kilometri tunnissa. Perillä Rostockissa ollaan vajaan kolmen kuukauden kuluttua ja kaapeli on valmis tuotantokäyttöön maaliskuun 2016 aikana. Ile de Brehat'in etenemistä voi seurata Marine Traffic -nettipalvelusta.

Kaapelin alkupäätä vedetään maihin (valkoinen poiju) Santahaminassa. Taustalla Ile de Brehat -alus.
Kaapelin kokonaispituudeksi tulee 1172 kilometriä ja projekti kokonaishinta liikkuu 100 miljoonan euron tienoilla. Siitä valtion osuus on 20 miljoonaa.

Kaapelin maa-asentajat työssään.
C-Lion-kaapeli sisältää 16 kuitua, joita käytetään pareittain -- yksi kuitu siirtää dataa vain yhteen suuntaan. Kunkin kuituparin nopeus on 15 terabittiä (15 000 gigabittiä) sekunnissa, joten koko kaapelin kapasiteetiksi saadaan huimat 120 terabittiä sekunnissa. Aluksi vain osa pareista on käytössä, joten kasvunvaraa pitäisi riittää useaksi vuodeksi. Kaapelin tekninen käyttöikä on 25-30 vuotta. Nykyisellä kasvuvauhdilla kapasiteetti myydään täyteen jo paljon ennen sitä.

Sea Lion.
Datasiirto on aikamme lentoliikennettä. On varmasti ollut hieno hetki, kun Suomesta on aloitettu suorat ulkomaanlennot, eikä matkustajien ole tarvinnut käyttää hidasta laivayhteyttä tai kiertää Ruotsin kautta. Elämme nyt samanlaista hetkeä, mutta digiajassa.

Suorat lennnot ulkomaille mahdollistivat maan kansainvälistymisen ja uuden bisneksen kehittämisen. Vastaavalla tavalla nopea kaapeliyhteys avaa uudenlaisia digiajan mahdollisuuksia. Itsestään ne eivät synny, joten nyt on yritysten ja kansalaisten vuoro tehdä osuutensa. Ainakin datakeskusbisnekselle suora kaapeli avaa uusia kilpailumahdollisuuksia.

Kiinnostavaa on, että kaapelin Suomen-pää tulee maihin juuri Santahaminassa, joka on sotilasaluetta. Rannasta kaapeli kulkee 700 metriä maanalaisessa putkessa pieneen konehuoneeseen, josta bitit jatkavat eri operaattorien maaverkkoon.

C-Lion maa-asema Santahaminan varuskunnassa.
Paikan valintaa perustellaan turvallisuudella. Varuskunta-alueelle ei takuulla pääse ulkopuolisia ja saaren lähivedet ovat kiellettyä aluetta. Kaapelin rikkoutumisen kannalta rantautuminen on kaikkein kriittisin kohta, joten siinäkin mielessä Santahamina on hyvä valinta. Tiedustelulain valmistelun ollessa jo meneillään paikanvalinta herättää toki muitakin spekulaatoita.

Kumma kyllä, yhtään ministeriä ei ollut paikalla juhlistamassa tilaisuutta. Voin kuvitella, että lentoliikenteen alkaessa paikalla oli maan ylintä johtoa. Dataliikenteen merkitystä ei koeta tärkeäksi, vaikka kyse on tulevaisuuden toimialasta.

Entä mistä merileijonan tavoin ääntyvä nimi tulee? C-Lion yhdistää sekä operaattorin alkukirjaimen (C) että leijonan, Suomen vaakunaeläimen. Merileijona puolestaan on sympaattisen näköinen, sirkustempuista päätellen erittäin älykäs eläin. Kansainväliselle merikaapelille nimi ei voisi olla osuvampi!

tiistai 6. lokakuuta 2015

Turvasataman poistuminen vaikeuttaa nettipalvelujen toimintaa

EU-tuomioistuin (ECJ) päätti tänään, ettei USA:n ja EU:n välinen tiedon turvasatama -sopimus (Safe Harbour) ole enää voimassa, koska amerikkalaisyritysten hallussa olevien henkilötietojen suojaukseen ei voida luottaa.

Johtopäätös on looginen, onhan tiedossa että USA:ssa henkilötietojen käsittely on varsin vapaata ja sitä rajoittaa lähinnä yritysten itsesääntely. Silti tuomioistuimen päätös tuli yllätyksenä, etenkin kun uutta sopimusta on neuvoteltu jo pitkään. Alkuperäinen sopimus on vuodelta 2000. Loppumetreillä on myös EU:n tietosuoja-asetuksen uusittu versio.

ECJ:n päätös vaikuttaa erityisesti tunnettuihin nettiyhtiöihin, mutta myös tuhansiin muihin, jotka käsittelevät toimeksiannosta tai pilvipalveluna Euroopassa tuotettua dataa. Jatkossa tietoja luovuttavan eurooppalaisen ja niitä käsittelevän amerikkalaisen yrityksen on tehtävä keskinäinen sopimus tietojen käsittelystä, mikä ilahduttaa kovasti alan juristeja mutta kauhistuttaa molempien mantereiden yrityksiä.

Tuomioistuimen päätös vaikuttaa kovin idealistiselta. Tavoite henkilötietojen suojaamisesta on oikea ja ylevä, mutta arkipäiväinen toiminta on jotain muuta. Byrokratian lisääminen ja juristien työllistäminen ei ole kenenkään edun mukaista.

EU-tuomioistuin joutui ottamaan kantaa asiaan itävaltalaisen opiskelijan vaatimuksesta. Snowdenin paljastusten jälkeen Max Schrems alkoi epäillä, ettei Facebook pysty suojelemaan käyttäjiensä henkilötietoja EU:n tietosuojadirektiivin edellyttämällä tavalla. Hän valitti asiasta Irlannin tietosuojavaltuutetulle ja tämän suhtauduttua nuivasti pyyntöön asia päätyi ECJ:lle.

Snowdenin kesäkuussa 2013 vuotamat Prism-dokumentit osoittivat, että NSA:lla oli pääsy mm. Googlen, Applen, Facebookin ja Microsoftin tiedostoihin. Yritykset itse kiistivät jyrkästi luovuttavansa tietoja NSA:lle, ja tyhmää se olisi ollutkin: yhteistyö olisi paljastunut ennen pitkää ja aiheuttanut suurta haittaa niiden omalle liiketoiminnalle ja sitä kautta koko maalle. Liian suora yhteistyö ei olisi edes NSA:n etujen mukaista.

Googlen tapauksessa kävi ilmi, että ainakin osan tiedoista NSA oli urkkinut Googlen palvelinkeskusten välisestä liikenteestä ilman Googlen apua ja ilmeisesti yhtiön tietämättä. Jos näin oli tehty muidenkin yhtiöiden kohdalla, ECJ:n päätös tuntuu kohtuuttomalta. NSA:n urkinta puree samalla tavalla myös eurooppalaisiin yhtiöihin, eikä sillä, missä maassa henkilötietoja fyysisesti säilytetään, ole juurikaan vaikuta urkintaan. Lisäksi viranomaisten tiedonsaantioikeus pilvipalveluista on samanlainen niin USA:ssa kuin Euroopassakin, ja vakoilu taas on kaikkien sääntöjen ulkopuolella.

Huolestuttavinta päätöksessä on suuntaus kohti netin rajoittamista ja sen pirstomista alueellisiin saarekkeisiin. On vaara, että jatkossa EU-maiden tietoja saa säilyttää ja käsitellä vain EU:n sisällä. Vastaava laki tuli syksyllä voimaan Venäjällä. Siellä laki vaikuttaa nettipalveluiden lisäksi myös niihin kaupan alan suomalaisyrityksiin, joilla on asiakasrekistereitä venäjän kansalaisista.

ECJ:n päätöstä voi tulkita myös kannanottona verkkotiedustelua vastaan. Yksityisyys on perusoikeus, eikä viestintätietoja saa kerätä massavalvontana. Onkin kiinnostavaa nähdä, miten ECJ:n päätös vaikuttaa vaikkapa Saksan tai Britannian verkkotiedusteluun, joka on yhtä laajaa kuin NSA:n, vaikka tapahtuukin EU-alueen sisäpuolella.

maanantai 5. lokakuuta 2015

Takaikkuna on mainio jännäri ict-uhkakuvista

Pauliina Susi on tarttunut uudessa jännärissään moderniin aiheeseen: nettiurkintaan ja verkon pimeisiin puoliin. Samoja aineksia ovat hyödyntäneet viime aikoina monet muutkin kirjailijat, mutta Suden kirja on omaperäinen ja jännittävä. Sitä tuskin malttaa laskea käsistään.

Pauliina Susi: Takaikkuna
Suden kirja alkaa tuoreen perussuomalaisen ministerin hairahduksesta. Hän erehtyy flirttailemaan nettikameran välityksellä nuoren Myriamin kanssa ja siitä alkaa tapahtumien vyöry, joka vie niin ministerin kuin lukijankin mennessään. Yllättäviä käänteitä riittää, joten ei paljasteta niitä etukäteen.

Itseäni viehätti erityisesti Suden kieli, joka on sujuvaa ja kekseliästä: "Laajakaista on tiedon valtatie sille, joka osaa sitä käyttää. Eikä ole turhan ronkeli liikennesääntöjen suhteen" ja "Loppu selviää käväisyllä Mark Zuckerbergin globaalissa tietotoimistossa". Samalla selviää sekin, että SOTU-järjestelmän kehittänyt matemaatikko Erkki Pale toimi sota-aikana salakirjoitusasiantuntijana Suomen radiotiedustelussa ja sen seurauksena "VRK myy sinut eteenpäin sentillä. Tätä et ehkä olisi halunnut tietää."

Kaikkivoipa hakkeri, joka energiajuoman avulla selvittää ip-osoitteet ja puhelinlokit kuin tyhjää vain, kuulostaa kovin kliseiseltä, mutta Pauliina värittää henkilöä omaperäisesti. Oletko ennen kuullut nelikymppisestä hakkerista, joka asuu talon 18. kerroksessa ja ajaa Lamborghinilla?

Henkilöt kytkeytyvät hauskasti Star Wars -elokuvaan. Kirjan varsinainen päähenkilö on Leia (prinsessa, muistathan?) Laine, hakkeri puolestaan Land-O. Ja se Lamborghini on samalla Falcon-avaruusalus. Kirjan nimikin viittaa erääseen toiseen tunnettuun elokuvaan, eikä syyttä.

Takakansi on turhan minimalistinen.
Susi on parhaimmillaan kuvatessaan Leia Lainetta television haastatteluohjelmassa ja mediajulkisuuden kohteena, aivan kuin kyse olisi hänen henkilökohtaisista kokemuksistaan. Ja vaikka jokainen osaa kuvitella millaiseen pulaan ihminen joutuu kun pankki- ja matkakortti lakkaavat toimimasta, Suden kuvaus tekee ahdingosta käsin koskelteltavaa. Juuri tämän välttämisestä kyberturvallisuudessa on kyse.

Leia sai erikoisen nimensä, koska sattui syntymään elokuvan Suomen ensi-iltapäivänä. Kirjan mukaan se oli 16.1.1977, mutta oikea päivä on 16.12.1977. Tampereella ensi-ilta oli vasta 10.2.1978 (muistan, olin katsomassa). Kirjan lopussa Tukholma-syndrooma yhdistetään lentokonekaappaukseen, mutta todellisuudessa termi syntyi tukholmalaisen pankkiryöstön yhteydessä.

Takaikkuna on oudosta nimestään huolimatta paras kirja, mitä olen tänä vuonna lukenut. Kustantaja on Tammi, sivuja 555 ja hinta noin 25 euroa. Sähköinen versio maksaa Elisalla 15,90 euroa.

Disclaimer: olen antanut kirjailijalle teknisiä neuvoja it-asioista, joskin hän on soveltanut niitä taiteilijan vapaudella (kuten pitääkin). Tekniikkaa tuntemattomalle kirja antaa ehkä turhankin pelottavan kuvan hakkerien kyvyistä, mutta jos hoidamme asiat huonosti, se on vain esimakua tulevasta.

Ja jokainen kirjan lukenut peittää varmasti tietokoneensa kameran teipillä!

Lisäys 12.10.2015: kustantaja on tehnyt sopimuksen kirjan kääntämisestä saksaksi. 

perjantai 2. lokakuuta 2015

Vaaratiedotteet sekoilevat edelleen

Vaaratiedotteiden jakelu on hämmentänyt kansalaisia jo yli kymmenen vuoden ajan, eikä parannusta ole saatu monista lupauksista huolimatta.

Viikko sitten perjantai-iltana televisiokatsojia peloteltiin punaisella bannerilla:

2Vaaratiedotekokeilu 1.6.2015 ???
Teksti oli käsittämätön: mikä ihmeen 2Vaaratiedotekokeilu ja päiväys neljän kuukauden takaa?

"Kokeilu ei edellytä toimenpiteitä"
Hetken kuluttua banneri vaihtui toiseksi:

Siis tulipalo Riihimäellä.
Tiedotteen mukaan Riihimäen "jäteenkäsittely-yksikössä" oli tulipalo, jonka savu uhkasi lähiseudun asukkaita.

Tiedote olisi kannattanut esittää vain palopaikan läheisyydessä, turha sitä oli koko Suomeen jakaa. Vielä parempi olisi ollut lähettää varoitus lähellä oleviin kännyköihin esimerkiksi tukiasematietojen perusteella.

Täsmätiedottamista on Suomessa tutkittu vuosia, mutta kustannus- ja tekniikkasyistä sitä ei vain saada aikaan. Mahdotonta se ei voi olla, koska Yhdysvalloissa tällainen järjestelmä on olemassa ja Twitter julkisti samanlaisen palvelun kaksi vuotta sitten. Pitääkö amerikkalaisen yrityksen hoitaa kansalaisten varoittaminen, jos valtio ei siihen pysty? Nettiaikana ihmisiä ei enää tavoita pelkän television ja radion avulla, koska monet viettävät aikansa netissä.

Lievää parannusta on saatu aikaan. Yleisradio lupasi jo vuosi sitten, että radiossa siirrytään tiedotteiden alueelliseen jakeluun. Kesällä annetun tiedotteen mukaan näin on myös tapahtunut. Silti viime viikon tiedote kuului saamani palautteen mukaan myös Oulun seudulla.

Pitää ilmeisesti odottaa, kunnes Viro hoitaa asian -- ja sen jälkeen kopioimme ratkaisun heiltä.
Website Security Test