Isoveli valvoo USA:ssa

Suojaa tärkeä ja henkilökohtainen tieto ja elä muun tiedon kanssa kuin ennenkin.

Yhdysvaltojen tiedusteluviranomaisten harjoittama urkinta, jota ne tekevät amerikkalaisten ylikansallisten verkkopalvelujen kautta, yllätti laajuudellaan alan ammattilaisetkin. Toki monen muunkin valtion tiedusteluviranomaiset pääsevät tarvittaessa käsiksi maansa verkkopalvelimilla olevaan tietoon. Väärää tässä on se, että meitä tarkkailevat toisen maan viranomaiset, eikä meillä ole siihen mitään sanomista.

Periaatteessa kulloinkin on voimassa sen maan tietosuojalainsäädäntö, jossa tietoa käsittelevä palvelin sijaitsee. Isot ylikansalliset järjestelmät toimivat kuitenkin niin aidosti globaaleina, että on mahdotonta esimerkiksi sanoa, missä maassa ja missä hubissa pohjoisamerikkalaisen kaverisi kanssa käymäsi Facebook-keskustelu tosiasiallisesti tapahtuu.

Toki myös terrorismi ja siihen liittyvät uhat ovat globaaleja, ja esimerkiksi pakistanilainen terroristi voi esiintyä verkossa suomalaisin tunnuksin. Silti on perusoikeuksiemme kanssa jyrkässä ristiriidassa, että meitä voidaan vakoilla ja tietojamme ja viestejämme urkkia eri verkkopalvelujen tietoja yhdistelemällä.

Kannattaa myös muistaa, että Yhdysvaltojen viranomaiset ja tiedustelu ajavat yksinomaan amerikkalaisten etua; on syytä epäillä, että urkinnan yhteydessä hankittuja, kilpailuetua tuovia kaupallisia ja teknisiä tietoja vuotaa tätä reittiä suomalaisyritysten pohjoisamerikkalaisille kilpailijoille.

Mitä minä voin tehdä?

Mitä sitten yksittäinen kansalainen voi tehdä viestinnälleen, kun häntä vastassa ovat ylikansalliset jättiyritykset ja maailman ainoan supervallan tiedustelukoneisto? Tietoturvallisuudessa perustavaa laatua oleva lähtökohta on, että kaikkea tietoa ei tarvitse eikä kannata turvata. Sen vuoksi meidän pitää entistä paremmin ymmärtää kulloisenkin viestimme luonne ja toimia sen mukaisesti.

  • Jos tieto on lähtökohtaisesti julkista, sen kanssa voi toimia yhtä vapaasti kuin ennenkin.
  • Jos kuitenkin viestit yrityksesi tai julkisyhteisösi asioita, sinun täytyy noudattaa organisaatiosi turvallisuusohjeita ja ehdottomasti välttää käyttämästä yksityiskäyttöön tarkoitettuja verkkopalveluita.
  • Vastaavasti henkilökohtaisessa viestinnässä ei tulisi käyttää työsähköpostia. Ja ota huomioon, että jos olet poliittisesti aktiivinen, tai jos jotkin tuttavasi ovat sitä, sinua saatetaan seurata.
  • Suojaa tärkeä tietosi. Yritykset ja yksityishenkilöt voivat hankkia S/MIME-standardin mukaisen tunnustetun julkisen tahon allekirjoittaman varmenteen, joka varmistaa, että olet viestin lähettäjä ja joka mahdollistaa helpon salauksen lähes kaikissa sähköpostiohjelmissa. Vaikka tunnistetiedot jäävät näkyviin, sisältö saadaan salattua.
  • Käytä paremman oikeusturvan takia kotimaisia palveluita, kuten Netpostia.
  • Yritysten ja julkisyhteisöjen luottamuksellisessa asiakasviestinnässä sovella viestin automaattisesti salaavia tekniikoita, kuten F-Secure Messaging Security Gatewayta.

Pallo on poliitikoilla

Joka tapauksessa paljastus nakertaa kansalaisten luottamusta ja tietoisuus valvonnasta saa monet rajoittamaan ilmaisuaan verkossa. Itsekin jäin miettimään viimeviikkoista “Loppuviikon täsmäisku” -Facebook-päivitystäni, jolla luonnehdin kavereilleni viikonlopun ohjelmaani Suomessa. Matkustan tänään Yhdysvaltoihin, ja jos nuo sanat olisivat jääneet vakoiluohjelman haaviin ja tulkittu epäilyttäviksi, evättäisiinkö pääsyni statuspäivityksen vuoksi?

Alammeko hiljalleen vältellä sanoja, jotka vakoojaohjelma saattaisi poimia esiin viestinnän massasta? Eksoottinen kielemme suojaa meitä jossakin määrin ulkomaiselta urkinnalta, mutta käännöskoneet kehittyvät yhä paremmiksi.

Suomalaiset teleoperaattorit toimivat luvanvaraisesti ja heille on säädetty tiukat viestintäsalaisuutta koskevat säännöt. Pitäisikö ulkomaiset toimijat saattaa tässä asiassa samalle viivalle kotimaisten kanssa? Valtion ja EU-viranomaisten tulisi nyt todella aloittaa kansalaistensa suojelu, ja neuvotella järjestelmä, jossa kansalaisten tietojen luovutukseen liittyisi vähintäänkin lupa- ja ilmoitusmenettely.

Kirjoittaja Mikko Larikka on Nixussa perehtynyt mm. tietosuojan toteuttamiseen asiakasyrityksissämme.

Kaikki hyöty tietoturvatasojen lokienhallintavaatimuksesta

Lokitiedosta tulee ottaa kaikki hyöty irti alkaen toiminnan mittaamisesta aina tehostamiseen asti. Lokienhallinta nähdään usein asiana joka tehdään vain ulkoisesta pakotteesta – ja jos mahdollista sitä vältellään. Lokienhallintaan sisältyy myös liiketoimintahyötyjä.

Lue lisää

Tulisiko EU:n direktiivin pakottaa hakkeroitu Coca-Cola sijoittajaviestintään?

Pörssiyhtiöiden viestintää säännellään pilkuntarkasti. Kaikesta, mikä voisi vaikuttaa yhtiön tuloskuntoon, on kerrottava sijoittajille. Tulosvaroituksia ja yt-ilmoituksia julkistetaankin nöyrästi ja tunnontarkasti. Tietomurtoja sen sijaan ei juuri uutisissa näy, ainakaan yhtiön itsensä ilmoittamana. EU:n uusi direktiivi verkko- ja tietoturvallisuudesta (NIS) ehdottaa nyt tällaista ilmoitusvelvollisuutta yrityksille.

Lue lisää

Toimitusketjua varmistamalla voi varautua palvelunestohyökkäykseen

Miten rakentaa ja suojata palvelut kestämään ulkoisia häiriöitä? Lähtökohtana asiantuntijat kommentoivat, että hyökkäyksiltä suojautuminen on kallista. Suureen kuormaan varautuminen saattaa silti kalleuden lisäksi osoittautua lyhytnäköiseksi, koska hajautetun palvelunestohyökkäyksen koolle ei ole olemassa absoluuttista ylärajaa. Parhaimmillaankin siis nostetaan rimaa ja ostetaan aikaa muille toimenpiteille. Kuinka sitten itse toimisin ja mitä keinoja käyttäisin palvelun suojaamiseksi palvelunestohyökkäyksiltä?

Lue lisää

Vinkkejä yrityksen pilviriskien hallintaan

Tietovastuun näkökulma pilvipalveluihin paljastaa kuitenkin riskejä, jotka toteutuessaan sulattavat säästöt ja vievät tehot. Tällaisia ovat erilaiset pilvipalveluihin itseensä, niihin liittyviin palvelusopimuksiin ja palveluiden jatkuvuuteen liittyvät riskit. Riskejä voidaan kuitenkin hallita, kunhan ne ensin tunnistetaan ja valitaan sopiva toimintatapa.

Lue lisää