Snowdenin jälkeen
viesti lentää pilvessä
perille minne?
Uhkamalleissa
mustat pilvet keräävät
kaiken tietomme.
Laki, käyttäjä,
palveluntarjoaja –
kenellä vastuu?
Elias Aarnion AVO2-hankkeen toimintana järjestämä ja juontama Pilvipalvelut ja Internet-viestintä Snowdenin jälkeen -seminaari 27.11.2013 täytti Haaga-Helian Pasilan toimipisteen auditorion. Tilaisuudesta twiitattiin aihetunnisteella #snowdensemma.
Jari Arkko IETF:stä totesi, että suuri osa internetin tietoliikenteestä on suojaamatonta. Olemmeko kateellisia NSA:lle? Luotammeko pilvipalvelimen ylläpitäjään? Se ei ehkä anna pilvessä olevia tietoja, mutta voi antaa kopiot avaimista, joilla tietoon päästään.
Tiedustelu on kuin mikä tahansa hyökkäys, jonka torjumiseen tarvitaan vahvaa salausta. Teknologia auttaa tietyissä rajoissa. Nyt Snowdenin paljastusten jälkeen olisi mahdollisuus ja motivaatio tehdä jotain. Voidaan käyttää erilaisia ratkaisuja, jotka eivät pohjaudu samaan lähdekoodiin. Uhkamalleilla voidaan kuvitella, mitä tapahtuu, jos joku kerää kaiken tiedon.
Monet palvelut ovat ruvenneet käyttämään TLS:ää. Kehitteillä olevassa HTTP 2.0:ssa tietoturva olisi automaattisesti päällä. Haasteellisia ovat sähköposti, webin välityspalvelimet eli proxyt, parhaillaan kehittyvä esineiden internet, päätelaitteet ja käyttöjärjestelmät sekä kansallinen internet. Tietoturva ei kuitenkaan saisi rajoittaa innovaatioiden nopeaa leviämistä internetissä.
Pasi Mäkinen Microsoftilta valotti menettelytapoja, joilla pyritään ottamaan huomioon viranomaisten tietopyynnöt ja lainsäädäntö. Vuoden 2013 alkupuolella Microsoftille on maailmanlaajuisesti tullut noin 30 000 – 60 000 tietopyyntöä viranomaisilta, joista Suomesta 40. Tietopyynnön pitää olla yksilöity ja se käsitellään Microsoftin lakiosastolla. Viidessä (5) tapauksessa tietoa organisaatioista luovutettiin. Nämä kaikki organisaatiot toimivat Yhdysvalloissa. Näistä neljälle tiedotettiin tilanteesta, yhtä ei tavoitettu. Eri maiden välillä on erilaisia tietopyyntöjä koskevia sopimuksia, jolloin kohdemaan viranomainen päättää, miten asiassa toimitaan.
Pasi Mäkinen myönsi, ettemme tiedä, mitä viranomaiset pystyvät tekemään runkoverkon pisteissä. Microsoftin pilven keskitettyyn vaatimusmalliin kuuluvat myös tietoturvavaatimukset. Onko Suomi pilvipalveluiden turvasatama?
Jarkko Saarimäki Viestintävirastosta kysyi, onko Snowdenin paljastuksissa mitään uutta. Suomessa ja ulkomailla toteutettavat palvelut voidaan jaotella
- kokonaan Suomessa toteutettaviin
- osin Suomessa toteutettaviin
- ulkomaisiin, joihin sovelletaan kyseisen maan lainsäädäntöä.
Käyttäjien pitää omalla aktiivisuudellaan suojata viestintänsä. Jos organisaatio haluaa suojata tietonsa Suomen lain mukaisesti, sen pitää käyttää Suomen lainsäädännön piirissä olevia palveluita, vaikka niiden toteuttamisessa olisi mukana ulkomaisia alihankkijoita.
Paneeli
Paneelissa Reijo Aarnio, Matti Aho, Jari Arkko, Tommi Karttaavi, Mats Kommonen, Yrjö Länsipuro, Pasi Mäkinen, Jarkko Saarimäki ja Tarmo Toikkanen pohtivat monista näkökulmista pilvipalveluita ja internet-viestintää Snowdenin paljastusten jälkeen.
Valitsevako monet työ- ja sidosryhmät käyttämänsä palvelut selvitämättä käyttöehtoja? Pitäisikö ATK-ajokortin sisällöt uusia? Miten pitäisi suhtautua vaakaan, joka lähettää punnitustietoja Ranskaan ja tunnistaa painon perusteella perheenjäsenen? Eikö valtio luota kansalaisiinsa? Vastustaako terroristi eurooppalaisia arvoja? Vastuutetaanko tietosuojasta mökin mummo vai palveluntarjoaja?
Kouluihin ja yrityksiin tuodaan jo omat laitteet (bring your own device BYOD). Pitäisikö tuoda myös omat palvelimet, sovellukset ja lähdekoodi? Sähköinen ympäristö on osa arkeamme. Voimmeko vaatia siihen erillistä ajokorttia? Lankeaako vastuu sähköisen ympäristön käyttötaitojen opettamisesta koululle?
Miten Snowden pääsi kiinni vuotamiinsa tietoihin, hänhän ei ollut töissä NSAlla? Onko yksityisyys liukuluku pikemmin kuin nolla tai ykkönen (ei ole / on), kun itse lähetämme pilveen kännykuvia paikkatietoineen tai internetiin kytketyt laitteet lähettävät sensoridataa? Auttaisiko ohjeistus, että henkilötietoja ei käsitellä sähköpostilla? Onko liian kallista kohdella kaikkia samalla tavalla?
Kun tuotatte palveluja kansalaisille, tehkää ne turvallisiksi! Riskianalyysin pitäisi olla osa suunnitteluprosessia. Ovatko ongelmana asenteet ja osaaminen? Koulutetaanko kyberturvallisuutta vain armeijassa?
Yleisössä ihmeteltiin, kun paneelista puuttui paitsi naisten myös Valtiovarainministeriön edustus. VVM:n Olli-Pekka Rissanen yleisöstä kertoi olevansa paikalla ja totesi, että näihin kysymyksiin vaikuttavat muut asiat enemmän kuin raha.
Vastaa