”Jos ikinä joudumme kybersotaan, on parasta pitää huolta, että olemme Yhdysvaltojen kanssa samalla puolella”, kirjoittaa Otso Kivekäs. Onko todellista tietoturvaa mahdollista rakentaa Suomen tai Euroopan unionin sisällä? Teksti on alkujaan julkaistu Vihreän sivistysliiton Vihreä tuuma -verkkolehdessä.
NSA:n urkintaan liittyvät paljastukset ovat saanet muutkin kuin nörtit kysymään, paljonko meitä oikeastaan vakoillaan. Mitä on mahdollista tehdä tietokoneella ilman, että joku lukee joka sanan? Tietojen leviäminen huolettaa yksityisyysaktivistien lisäksi viranomaisia, joilla on lakisääteinen velvollisuus turvata tietonsa, yrityksiä, joilla on liikesalaisuutensa, sekä tietenkin turvallisuuspalveluita.
Yhdysvaltain lainsäädäntö ja Patriot Act -laki velvoittaa amerikkalaisyritykset luovuttamaan tietoja tiedusteluviranomaisille. Viranomaiset pääsevät käsiksi varsinkin ulkomaalaisten – eli ihmisten enemmistön – tietoihin ilman oikeuden päätöstä, ja perusteet voivat olla esimerkiksi poliittisia. Edward Snowdenin vuotamien asiakirjojen mukaan NSA on tehnyt suoraan yhteistyötä yritysten kanssa esimerkiksi suojausten kiertämiseksi.
Urkinta on pelin henki
Käytännössä tilanne on se, että Yhdysvalloissa tuotettavissa palveluissa – Gmail, Facebook, Dropbox, Google Drive jne. – liikkuva tieto saattaa miltä tahansa osin päätyä turvallisuusviranomaisten käsiin. Koska viranomaisetkin ovat vain ihmisiä, suomalaisten yrityssalaisuudet voivat vaikka päätyä amerikkalaisille kilpailijoille. Myös diplomaattisalaisuudet voivat vuotaa julkisuuteen.
Ja kun tällä tiellä jatketaan, onko oikeastaan mitään syytä olettaa, että Windows ei sisältäisi takaportteja, joista NSA pääsee tarvittaessa sisään tutkimaan epäillyn terroristin tiedostot? Tai kenen tahansa muun tietoihin, jotka sattuvat heitä jostain syystä kiinnostamaan. Epäilyksiä moisesta takaportista löytyy.
Vastaavaa verkkotiedustelua harjoittavat toki muutkin maat, kuten Venäjä, Kiina, Ranska ja jopa Ruotsi. Yhdysvallat on kuitenkin erityistapaus, koska sillä on käytännön mahdollisuudet päästä käsiksi valtaosaan maailman tietoliikenteestä ja tiedostoista: amerikkalaisten yritysten hallussa oleviin tietoihin.
Suosituimmat internetpalvelut toimivat Yhdysvalloista käsin. Valtaosa maailman yritysten kriittisistä ohjelmista tulee Amerikasta, kuten todennäköisesti myös Suomen tulevat potilastietojärjestelmät. Toimistotietokoneet ja älypuhelimet toimivat lähes kaikki amerikkalaisilla käyttöjärjestelmillä.
Maailmanlaajuinen verkko
Jos mihinkään amerikkalaiseen ei voi luottaa, niin onko tietoturvaan enää mitään mahdollisuuksia? Olisiko mahdollista rakentaa kotimainen tietotekniikan infrastruktuuri, joka toimisi ilman riskiä ulkomaisesta vakoilusta ja jonka kehitys olisi suomalaisissa käsissä?
Suomen valtion kriittiset palvelut pyörivät nykyäänkin kotimaan kamaralla. Puolustusvoimilla on omat verkkonsa. Tältä osin itsenäinen turvallisuus on suhteellisen helppo saavuttaa, jos luotetaan koneissa pyöriviin amerikkalaisohjelmistoihin.
Kansalaisten verkkopalveluiden tarjonta on sitten jo vaikeampi kysymys. Facebookille ei kotimaista korviketta tule, mutta onnistuisiko edes yrityssovellusten tarjonta? Ei ole kotimaista Google Driveä eikä Skypeä. Saako edes jaettua kalenteria helposti pilvipalveluna?
Ja työpöytäohjelmistojen kohdalla peli on täysin menetetty. Valtavirran käyttöjärjestelmät ovat kaikki amerikkalaisia, kuten se ”ainoa” toimisto-ohjelmistokin.
Jotta voisi kohtuudella luottaa siihen, ettei tietokoneessa ole takaportteja, joutuu käytännössä siirtymään täysin avoimen lähdekoodin ohjelmiin. Se olisi kansallisena strategiana periaatteessa mahdollista. Mutta jos haluamme pitää kiinni jonkinlaisesta valinnanvapaudesta, tämä ei tule tapahtumaan lähiaikoina.
Kriittisimmät valtion ja yritysten järjestelmät voidaan suojata ja perustaa pelkälle avoimelle koodille, mutta muilta osin riippuvaisuus on syvä. Tietotekniikassa olemme peruuttamattomasti ja kiinteästi sidoksissa kansainväliseen verkkoon, ulkomaisiin ohjelmistoihin ja nettipalveluihin.
Jos ikinä joudumme kybersotaan, on parasta pitää huolta, että olemme Yhdysvaltojen kanssa samalla puolella.
Eurooppalainen autonomia?
Mikäli kysymys tietoteknisestä autonomiasta asetetaan koko Euroopan tasolla, vastaus muuttuu.
Suomen tapaan Euroopan unioni ei voi irrottautua verkkoyhteyksistä tai ohjelmistoista, mutta Euroopassa myytäviltä kuluttajapalveluilta voidaan vaatia, ettei tietoja vuodeta alueen ulkopuolelle. Jos kriteeriksi otetaan palvelua pyörittävän yhtiön kotipaikka, Euroopasta löytyy pilvipalveluita, kuten Otto Kekäläinen toisessa artikkelissa esittää.
Käyttöjärjestelmien ja ohjelmistojen osalta tilanne on vaikeampi. Jos jokainen Windows, OS X tai Office on riski, ei muista toimista ole kovin paljoa hyötyä. EU voi kyllä asettaa ehtoja ohjelmistojen myynnille ja vaatia turvaselvityksiä, testejä ja muuta byrokratiaa. Mutta voisiko EU oikeasti kieltää Windowsin tai Mac-tietokoneiden myynnin alueellaan? Teoriassa kyllä, mutta tässä maailmassa jossa elämme epäilen että ei.
Euroopan unionikaan ei nykyisellään ole tietotekniikassa riippumaton, mutta sen autonomiaa voidaan vahvistaa.
Jos halutaan varautua tuleviin yritysvakoiluihin, kauppasotiin ja muihin mahdollisiin skenaarioihin, ei ehkä olisi huono idea vahvistaa eurooppalaista ohjelmistoteollisuutta. Myös Euroopassa kehitettyjen yritys- ja kuluttajapalveluiden tarjontaa tulisi lisätä. Yhteisen teollisuuden syntyä voisi auttaa avoimen lähdekoodin käyttö, kun kehitetyt ratkaisut eivät jäisi totuttuihin kansallisiin kuvioihin, ja yhdessä maassa tehty kehitys poikisi uusia avauksia toisaalla.
Käytännössä vahvempi eurooppalainen teollisuus tarkoittaisi alueellista keskittymistä muutamiin maihin tai kaupunkeihin, samaan tapaan kuin USA:n ohjelmistoteollisuus toimii San Franciscossa, Seattlessa ja New Yorkissa. Mikäli jokainen maassa yritetään ylläpitää erillistä kotimaista ohjelmistoteollisuutta, niistä kukin vuorollaan korvautuu pääosin amerikkalaisilla kilpailijoilla, koska kriittistä massaa ei synny.
Ja ilman omaa vahvaa ohjelmistoteollisuutta ei tietoteknistä autonomiaa ole, eikä siis lopulta tietoturvaakaan. Toinen vaihtoehto onkin hyväksyä nykyinen tilanne.