EU-maiden johtajat vaativat: WhatsApp-viestit auki viranomaisille – Tehtävä lähes mahdoton

Vaatimusta perustellaan terrorismin torjumisella. Asiantuntijoiden mukaan salauksen purusta kärsisivät tavalliset käyttäjät.

Euroopan unioni
Teksti
Tuomas Pulsa
Julkaistu yli kolme vuotta sitten

EU-maiden johtajat haluavat päästä käsiksi kansalaisten internet-viestintään, muun muassa pikaviestipalveluihin. Vaatimusta perustellaan terrorismin torjunnalla.

Näin on tulkittavissa muotoilu, joka löytyy 22.–23. kesäkuuta kokoontuneen Eurooppa-neuvoston päätelmäasiakirjasta. Eurooppa-neuvostossa kokoontuvat jokaisen EU-maan korkein poliittinen johto, yleensä pääministeri tai presidentti.

Suomea neuvostossa edustaa pääministeri Juha Sipilä (kesk).

Kesäkuun kokouksen päätelmäasiakirjassa EU-maiden johtajat vaativat puuttumista järjestelmiin, ”joiden avulla terroristit voivat viestiä tavoilla, joihin toimivaltaiset viranomaiset eivät pääse käsiksi, läpisalaus mukaan lukien”.

Raskaan virkamiestekstin olennaisin sana on läpisalaus tai päästä päähän -salaus, englanniksi end-to-end encryption.

Kyseessä on teknologia, jossa viestit salataan lähettävässä ja puretaan vastaanottavassa laitteessa. Vaikka jokin kolmas osapuoli kaappaisi viestin, sen on käytännössä mahdoton purkaa viestejä lukukelpoisiksi.

Suosituimmista pikaviestisovelluksista esimerkiksi WhatsApp hyödyntää läpisalausta.

Samanaikaisesti Euroopan parlamentissa edetään täysin päinvastaiseen suuntaan.

Eurooppa-neuvostossa läpisalaukseen puuttumista ajoivat varsinkin terrori-iskujen kohteeksi joutuneiden valtioiden johtajat, erityisesti Ranska.

Muotoiluun kuitenkin lisättiin viime tingassa lievennys, jonka mukaan vaadittavat toimet on tehtävä kansalaisten yksityisyyden suojaa vaarantamatta. Verkkolehti EUObserverin mukaan sitä vaativat erityisesti Hollanti ja pohjoismaat.

Eurooppa-neuvoston linjaus on mielenkiintoinen, sillä samanaikaisesti Euroopan parlamentissa ollaan etenemässä täysin päinvastaiseen suuntaan.

Parlamentin kansalaisoikeuksien valiokunta julkaisi vain paria päivää ennen Eurooppa-neuvoston kokousta esityksen uudeksi yksityisyyslainsäädännöksi.

Siinä läpisalausta vaaditaan pakolliseksi kaikkeen sähköiseen viestintään, jossa sitä on mahdollista käyttää. 

 

Poliitikkojen toive läpisalauksen murtamisesta ei nouse esiin ensimmäistä kertaa.

Vastaavaa keskustelua käytiin jo 1990-luvulla kännykkäverkkojen osalta, sanoo tietoturva-asiantuntija Petteri Järvinen. Samoin WTC-iskujen jälkeen terroristien mahdollisuudet käyttää salattua viestintää nousivat tapetille.

Myös tänä vuonna asiasta on jo ehditty keskustella.

Lontoon Westminsterin terrori-iskun jälkeen maaliskuussa 2017 Iso-Britannian sisäministeri Amber Rudd vaati pikaviestipalveluita, erityisesti WhatsAppia, avaamaan käyttäjiensä salattua dataa viranomaisille. Myöhemmin keväällä brittilehdistöön levisi huhuja, joiden mukaan maan hallitus suunnittelisi asiasta myös lainsäädäntöä. 

Muista EU-maista myös ainakin Saksassa ja Ranskassa on esitetty vastaavia puheenvuoroja.

 

”Se, että jokin asia nousee keskusteluun usein, ei tee siitä yhtään toteuttamiskelpoisempaa”, sanoo kansalaisten sähköisiä oikeuksia puolustavan Electronic Frontier Finlandin (Effi) puheenjohtaja Timo Karjalainen.

Monet poliitikkojen vaatimuksista ovat yksinkertaisesti mahdottomia toteuttaa.

Esimerkiksi sosiaalisen median yrityksiä on turha vaatia avaamaan viranomaisille käyttäjiensä salattua dataa. Läpisalauksen koko idea on, ettei viestin purkamiseen tarvittavaa salausavainta ole muualla kuin halutun vastaanottajan laitteella – ei siis edes ohjelmiston valmistajalla.

Asian laitaa on koeteltu oikeusteitse muun muassa Brasiliassa.

Siellä WhatsAppin toiminta on estetty useita kertoja, koska yhtiö ei oikeuden määräyksenkään jälkeen suostunut toimittamaan viranomaisille näiden vaatimaa dataa.

Yhtiön vastaus on ollut yksinkertainen: Emme voi toimittaa materiaalia, jota meillä ei ole.

Mikään ei estä sitä, että viranomaiskäyttöön jätettyä takaporttia hyödyntäisi joku muu.

PikaviestimiEn läpisalauksen murtaminen vaatisi käytännössä sitä, että niiden valmistajat velvoitettaisiin jättämään tuotteisiinsa tietoturva-aukkoja, eli niin kutsuttuja takaportteja viranomaisten hyödynnettäväksi.

Jos näin tehtäisiin, otettaisiin valtava riski käyttäjien turvallisuuden kustannuksella, sanoo tietoturva-asiantuntija Järvinen. Mikään ei estä sitä, että viranomaiskäyttöön jätettyä takaporttia hyödyntäisi myös joku muu.

Varoittavia esimerkkejä on lukuisia.

Monet verkkolaitevalmistajat ovat vuosien varrella yrittäneet helpottaa työtään jättämällä laitteisiinsa huoltoa helpottavia takaportteja. Oikoreitteihin on turvauduttu jopa lentokentillä.

Tieto takaporteista on kuitenkin aina lopulta levinnyt julkisuuteen ja siten myös mahdollisten väärintekijöiden saataville.

Myös toukokuussa 2017 levinneen wannacry-haittaohjelman taustalla oli viranomaisen tiedossa ollut tietoturva-aukko, muistuttaa Effin Karjalainen. 

”Wannacry hyödynsi Yhdysvaltain turvallisuusviraston NSA:n löytämää haavoittuvuutta. NSA ei ollut ilmoittanut haavoittuvuudesta ohjelmistojen kehittäjille, koska halusi hyödyntää aukkoa itse.”

 

Kaikkien salausta ei  muutenkaan ole järkeä murtaa, Karjalainen sanoo. Viranomaisilla on jo nyt käytössään muitakin keinoja, joilla päästä käsiksi rikollisten viestintään.

Kohteeksi voidaan ottaa yksittäisen epäillyn laitteet ja pyrkiä murtamaan ne esimerkiksi haittaohjelman avulla. Ihmisiä voidaan edelleen jäljittää myös reaalimaailmassa.

Lisäksi kokemus on osoittanut, että ihmiset, siis myös rikolliset, ovat usein huolimattomia. Tehdään amatöörivirheitä, käytetään yksinkertaisia salasanoja tai kirjoitetaan niitä paperille rikostutkijoiden löydettäväksi.

WhatsApp-käyttäjien valtavaan massaan kohdistettu automaattivalvonta tuskin edes auttaisi paljastamaan terroristeja, Karjalainen epäilee. Potentiaalisten epäiltyjen määrä vain kasvaisi, tutkintaresurssit hajaantuisivat ja teho kärsisi.

”Pitää muistaa, että monen viimeaikaisen terrori-iskun tekijä oli nytkin poliisin seurannassa. Jostain syystä heitä ei vain seurattu tarpeeksi.”

Läpisalausta hyödyntävät myös verkkopankit, nettikauppa ja viranomaisten palvelut.

Vahva salaus terroristien keskinäisessä viestinnässä kuulostaa tietysti pelottavalta. Silti asiantuntijat kehottavat malttiin.

Poliitikkojen tulisi muistaa, että valtaosassa tapauksista sama salaus suojelee tavallisten verkon käyttäjien yksityisyyttä ja turvallisuutta.

Jos yleisessä käytössä olevien ohjelmien salausta pakotetaan heikentämään, kärsijä ei todennäköisesti olekaan terroristi, vaan tavallinen verkon käyttäjä.

”Tietotaito on kaikkien saatavilla, joten aina voidaan kehittää ja levittää ohjelmistoja, joissa viranomaisten vaatimia heikennyksiä tai aukkoja ei ole”, Järvinen sanoo.

”Sitten pahat pojat vain siirtyvät käyttämään niitä. Tietoturvaongelmat ja seuranta jäävät tavallisten kansalaisten riesaksi.”

Eikä kyse ole vain pikaviestimistä.

Läpisalausta hyödyntävät myös esimeriksi verkkopankit, nettikauppa ja monet viranomaisten palvelut. Siksi ajatus vahvojen salausten laajemmasta kiellosta on Järvisen mukaan puhdasta typeryyttä.

”Salaus on kaiken turvallisuuden a ja o. Sama kuin joku ehdottaisi internetin tai matkapuhelinten täyskieltoa.”

 

Järvisen mukaan läpisalauksen jahtaaminen kielii siitä, että terrorismiin halutaan epätoivoisesti löytää helppo ratkaisu.

Teknologiaa ja sen rajoituksia ei myöskään ymmärretä. Tai ymmärretään, mutta äänestäjille myydään silti mahdollisimman yksinkertaiselta kuulostavaa ratkaisua.

”Poliitikkojen pitäisi ymmärtää, ettei terrorismi ole tekninen ongelma, joka ratkeaa teknologialla”, Järvinen sanoo.

Vaikka kaikki mahdolliset viestinnän tekniset salaukset murrettaisiin, voidaan terrori-iskuja silti suunnitella ja toteuttaa.

Terroristit voivat esimerkiksi käyttää ennalta sovittua koodikieltä, jolla keskustelu saadaan näyttämään ulkopuolisen silmiin harmittomalta. Näin tekivät muun muassa WTC-iskun terroristit.

”Jos terrorismia halutaan vähentää, tärkeintä olisi puuttua terrorismin syihin, ei viestintään.”