Ruotsi aloitti verkkoliikenteen salakuuntelun: Mitä pitää tehdä ja tietää?

FRA
Teksti
Juho Salminen
Julkaistu yli kolme vuotta sitten

Viestintäviraston tietoturvajohtaja Erka Koivunen ei usko yksityisihmisten tietoturvan vaarantuvan. Turvallinen viestiliikenne on silti myös käyttäjän vastuulla.

FRA
Ruotsin sotilastiedustelun toimipaikka Tukholman lähistöllä. Kuva Urban Andersson / Aftonbladet / Lehtikuva.

Ruotsin kautta kulkeva internet-liikenne on tästä päivästä alkaen Ruotsin sotilastiedustelun seurattavissa.

Se tarkoittaa, että ruotsalaiset voivat salakuunnella suurta osaa Suomesta maailmalle suuntautuvasta nettiselailusta, sähköpostista ja pikaviestiliikenteestä.

Jos käyt vaikkapa New York Timesin tai YouTuben sivuilla, jolloin palveluntarjoaja sijaitsee jossain muualla kuin Suomessa, tähän kaapelia pitkin kulkevaan tietoon Ruotsin sotilastiedustelulla on mahdollisuus tarttua.

Ruotsin tapa seurata sähköistä viestintää ei ole maailmalla ainutlaatuista, vastaavaa toimintaa harjoittaa esimerkiksi Yhdysvalloissa NSA (National Security Agency).

Mitä tästä sitten pitäisi ajatella? Ruotsin sotilastiedustelu FRA on ilmoittanut käyttävänsä tietoja terrorismin torjuntaan.

“Jos ruotsalaiset torjuvat terrorismia, kuten on luvattu, se ei välittömästi vaaranna suomalaisten kansalaisen tietoturvaa, sanoo Erka Koivunen, joka on Viestintäviraston tietoturvayksikön päällikkö.

Viestintävirasto tiedotti perjantaina 27. marraskuuta, että teleyritysten pitää kertoa asiakkaalle, jos tämän tietoturva on vaarassa.

“Ei ole kuitenkaan toiveena, että teleyritykset lähtevät lietsomaan pelottelukampanjaa”, Koivunen sanoo.

“Se olisi suhteetonta, jos miettii, mikä on Ruotsin valtion laillisesti toimivan tiedusteluelimen todellinen uhka yksittäiselle käyttäjälle.”

Mitä pitää tietää?

Millaista tietoa netinkäyttäjän sitten pitää saada?

Koivunen antaa esimerkin:

“Jos nettiyhteyttä tarjotaan suomalaisena palveluna suomalaiselle asiakkaalle, minulla on kuluttajana lupa olettaa, että liikenne pysyy maan rajojen sisäpuolella. Ja jos ei pysy, siitä pitää ilmoittaa.”

Jos surffaa suomalaisella nettiliittymällä suomalaisille sivuille, viestiliikenne saattaa silti koukata ulkomaiden kautta. Kaikkien Suomessa toimivien operaattoreiden liikenne verkosta toiseen ei vaihdukaan Suomessa.

Koivunen kertoo esimerkin, jossa eräästä suomalaisesta verkosta toiseen palveluun suuntautuva reitti kulki Suomesta Ruotsin ja Norjan kautta takaisin Suomeen.

Kyse voi myös olla reititysvirheestä, joskus on joku reitti poikki ja joskus syy voi olla kaupallisesta riidasta teleyritysten välillä.

Yhtä kaikki: asiakkaalle pitää kertoa.

Se mitä asiakas tekee, onkin jo toinen juttu.

Mitä voi tehdä?

Asiakkaankin vastuulla on paljon – pitää ottaa selvää.

Jos käyttäjä surffaa vaikkapa New York Timesin sivuille Yhdysvaltoihin, operaattorilla ei ole velvollisuutta kertoa, että liikennettä voidaan kuunnella matkalla.

Viestintäviraston sivuilla on ohjeita sähköisen viestinnän suojaamisesta. Ne ovat tosin yleisluontoiset, Koivusen sanojen mukaan “konseptuaaliset”.

Pitäisikö Viestintäviraston antaa yksityiskohtaisempia ohjeita? Vaiko koulun tai yksityisten yritysten?

“Viranomainen ei voi antaa tuotekohtaisia ohjeita. Se voisi olla joku muu taho, ei viranomainen.”

Koivunen sanoo pohdiskelleensa, olisiko tietoturvayrityksillä intoa moiseen liiketoimintaan. Ne tarjoavat jo nyt turvaa tietokoneille (virustorjuntaa ja palomuureja), joten miksi ei laajentaa viestiliikenteen salaamisen suuntaan.

“Tällaisen haasteen voisi teollisuudelle eli Suomen tapauksessa F-Securelle esittää. He toki vastaavat, että ei se ole niin yksinkertaista.”

Koivunen toivoo, että Ruotsin tapauksesta seuraisi ihmisten aktivoituminen.

“Olisi hyvä, että käyttäjät kiinnittäisivät nyt entistä enemmän huomiota viestin salaamiseen, jos haluaa pitää sen omana ja vastaanottajan tietona. Se ei riitä, että jättää sen fatalistisesti teleoperaattorin varaan.”

Kuinka ammattilainen itse salaa viestintänsä?

“Käytän sähköpostin salaamiseen PGP:tä (Pretty Good Privacy). Täytyy sanoa, että sen kanssa menee hermot. Ihmisillä on sen kanssa usein valtavia vaikeuksia. Tämä on kaikkea muuta kuin helppoa.”

Tiedustelu verkottuu

Koivunen sanoo, että FRA-tapaus on esimerkki jo jonkin aikaa vallalla olleesta trendistä: radiotiedustelu ei riitä, pitää alkaa tarkkailla kaapeleita eli käytännössä internetiä.

Se kuvaa tietoliikenneinfrastruktuurin rakenteen kehittymistä; se on trendi, mutta se ei ole uusi trendi.

Koivunen sanoo seuraavansa myös hieman huolestuneena joidenkin yritysten tietoliikenneasioita. Yritys, joka ostaa halvimmat yhteydet tai ulkoistaa it-palvelunsa maailmalle, saattaa joutua ongelmiin huoltovarmuuden ja ikävien yllätysten kanssa.

Merikaapeli voi katketa, liikenne saattaa kulkea usean verkkoa salakuuntelevan maan läpi. Ensi näkemältä halvin ei ole aina lopulta edullisin.

Lue myös
Verkkohyökkäys voisi lamauttaa Suomen (Suomenkuvalehti.fi 9.7.2009)