Tiedustelulainsäädännön tekniset haasteet


Tiedustelulainsäädännöstä käytävä keskustelu aiheuttaa tunteita suuntaan ja toiseen. Tarkkaan ottaen hallituksen esitys laiksi tietoliikennetiedustelusta siviilitiedustelussa. Osa kommentoijista kokee, että laki on välttämätön terrorismin torjuntaan ja osa että kyseinen laki tarkoittaa kokonaisvaltaista valvontayhteiskuntaa.

Minulle päällimmäinen tunnelma koko keskustelusta on lähinnä hämmentynyt. En lähesty asiaa tässä kirjoituksessa perustuslaillisista ja ihmisoikeudellisista seikoista, vaan teknisestä näkökulmasta. Minua ihmetyttää se, miten heikosti lakiehdotus huomioi nykyisen internettiedonsiirron luonteen ja mahdollisuudet yhteyksien salaamiseen. Lainsäädäntö on vanhentunut jo tämän päivän toimintympäristöön. Käytännön valvontamahdollisuudet ovat heikkoja jo nykyisin ja tulkintaongelmat sallitusta tiedustelusta tulevat vain kasvamaan tulevaisuudessa tekoälyn ja tekniikan kehityksen tuomien mahdollisuuksien myötä

Käytännössä lain viranomaisille tarjoamat mahdollisuudet ovat äärimmäisen rajalliset.

Pienillä resursseilla ja vähäisellä tietämyksellä toimivien ”vastapuolen” toimijoiden osalta tiedustelulla on lain puitteissa selkeät toimintamahdollisuudet.

Yksittäisillä ihmisillä on hyvin vähän (uutta) pelättävää yksityisyytensä puolesta ja valtiollisilla tiedustelutoimijoilla paljastumisriskin kasvu on olematon.

Miksi näin? – Koska tiedon salausmenetelmät tekevät suurimman osan laissa mainituista ja sallituista menetelmistä varsin hyödyttömiksi. Seuraavissa kohdissa on erinäisiä huomioita asiaan liittyen.

Viestintä internetissä

Lainsäädäntö kulkee perinteisen puhelinliikenteen jäljissä. Teksti olettaa, että on triviaali tehtävä eritellä internetliikenteestä ”viesti”. Tuo olettama on absurdi.

Internetliikenne koostuu kuitenkin hyvin pienistä datapaketeista, joista kokonaisuutena muodostuu sähköpostiviesti, valokuva tai videopätkä. Kun lainsäädäntö sanoo, että liikenteestä saa etsiä hakuehtoihin perustuvaa tietoa, mitä tuolla tarkoitetaan tarkkaan ottaen? Mikä luetaan yksittäiseksi viestiksi tai kuinka laajan viestintäotannan hakuehto-osuma oikeuttaa?

Kuinka pitkältä ajalta dataa saadaan koota ja säilyttää ”viestin” koostamiseksi ja tulkitsemiseksi? Pitääkö viesti kyetä tulkitsemaan välittömästi vai voidaanko tulkintaa suorittaa kuinka pitkään sen kaappaamisen jälkeen? Vaarantuuko viestin lähettäjän oikeusturva, jos viestinnästä kaapataan liian vähän tai liikaa? Viestinnän merkitys voi muuttua olennaisesti, jos tulkitaan vain yhtä viestiä, muutamia viestejä tai viestintää pitkältä ajalta.

Olettaen että viestiä ei ole salattu tai salaus saadaan purettua:

  • Luetaanko liikenteestä vain siitä tunnistettavaa tekstiä?
  • Saako liikennettä kerätä niin kauan, että esimerkiksi koko videopätkä tai puhelu on kokonaisuudessaan analysoitavissa? Vai saadaanko viestintää koostaa pidemmältä ajalta kokonaisuuden hahmottamiseksi?
  • Luetaanko koneelliseen viestinnän seulontaan kuinka laaja tekoälyllä toteutettu viestin käsittely? Eli saako tekoäly katsoa läpi kaikki someen lähetetyt videot ja arvioida äänenpainoista, käytöksestä sekä viestinnän sisällöstä että kyseessä voi olla kansallista turvallisuutta uhkaava viestintä?
  • Kun hakuehtojen laatua ei ole määritelty, voidaan nyt tulkita, että kyse on pelkistä avainsanoista, mutta tekniikan kehityttyä tulkinta voi muuttua johonkin aivan toiseen ääripäähän. Lainsäädännön kanssa olettaminen on vaarallinen tie.

Sähköpostiviestinnän valvonta

Lähtökohtaisesti valtiollisen tiedustelutoiminnan kyvykkyyksiksi oletetaan mahdollisuus hankkia internetin turvaamiseksi laajasti käytettyjä SSL-sertifikaatteja myös heille kuulumattomille domaineille. Eli käytännössä valtion X tiedusteluviranomainen voi kytkeä linjalle oman palvelimensa esiintymään esim. Gmailin järjestelmänä niin että käyttäjä ei kykene millään havaitsemaan sitä, että hän asioi oikeasti sellaisen palvelimen kanssa, joka välittää hänen pyyntönsä oikealle Googlen palvelimelle, mutta samalla hakee kaiken saatavilla olevan posti- ja muun materiaalin omaan järjestelmäänsä.

Ehdotettu tiedustelulaki ei salli tuota tiedustelun yhteydessä, mutta poliisilaki sallii tavallaan saman asian, kun tiedonkeruu toteutetaan käyttämällä kohdennettua haittaohjelmaa tutkinnan kohteen koneella.

Useimmilla viranomaisilla tiedonkeruu perustuukin palveluntarjoajan järjestelmään tehtyihin tietopyyntöihin eikä suoraan urkintaan. Kun kyse on ulkomaisista tarjoajista tai tiedustelutoiminnasta, mahdollisuus päästä käsiksi tietoihin tätä kautta on heikko.

Ellei viranomainen käytä jotain mainituista menetelmistä, heillä hyvin vähäiset mahdollisuudet urkkia viestintää. Käytännössä lähes kaikki viestintä julkisessa verkossa käyttää nykypäivänä jonkintasoista salausta. Osa salausmenetelmistä on sellaisia, että ne voidaan murtaa, koska käytetyt salausasetukset ovat heikkoja. Valtaosassa yhteyksiä ehdotettu ”hakuehdon käyttö” on käytännössä mahdotonta, koska järjestelmien näkemä viestintä on käytännössä vain ”salattua bittimössöä”, jossa ainoat merkittävät tiedot ovat ip-osoite ja porttitieto lähettäjästä ja vastaanottajasta.

Jos epäillyt sattuvat käyttämään Gmailia, niin onko silloin perusteltua yrittää valvoa kaikkea Gmailiin kohdistuvaa viestintää, lakiehdotuksen 5 § kun vielä kieltää käyttämästä mahdollisesti tunnettua suomalaista teleosoitetta hakuehtona. Kirjaus on vielä muodossa ”Suomessa olevan henkilön hallussa…” eli myös vieraan valtion lukuun vakoilevaksi epäilty henkilö on suojassa siltä, että hänen laitteeseensa viittaavaa osoitetietoa voitaisiin käyttää hakuehtona. Yhden olennaisimman ja selkeän ehdon käyttö on siten kielletty.

Tutkinnan näkökulmasta lienee hieman haastavaa, kun liikennettä pitäisi analysoida käytännössä ulkomaisen kohde-ip:n perusteella. Käytännössä voidaan arvioida että joku on ollut kiinnostunut esimerkiksi tietyn terroristijärjestön materiaalista verkossa, jos käyttäjä ei ole suojannut yhteyttään TOR-verkon kautta, ulkomaisilla VPN-palveluilla tai käyttämällä salattua yhteyttä ulkomaiselle palvelimelle, jonka kautta suorittaa toimintaansa. Potentiaalisesti näitä ja muita menetelmiä voidaan myös ketjuttaa moneen kertaan seurannan vaikeuttamiseksi.

Osa palvelintenvälisestä sähköpostiliikenteestä kulkee kansainvälisillä yhteyksillä salaamattomana, mutta salaamattoman viestinnän määrä vähenee jatkuvasti.

Vaikka itse tiedonsiirtoyhteydellä käytettävä salaus kyettäisiin murtamaan, edistynyt viestijä kryptaa koko lähetetyn viestin esim PGP:tä käyttäen, jolloin siirtokerroksen salaamattomuus tai salauksen murtuminen ei merkitse varsinaisen viestin sisällön murtumista. Tällaisessa tilanteessa viestin voi purkaa käytännössä vain vastaanottaja.

Eri salaustekniikoiden kestävyydestä ja mahdollisista takaovista käydään säännöllistä keskustelua ja samalla kehitetään uusia tekniikoita. Valtiollisen tason sekä järjestäytyneen rikollisuuden toimijoiden osalta voidaan olettaa, että toimijoilla on käytössä riittävä osaaminen käyttää menetelmiä, joilla välitettyjä viestejä ei tämänhetkisellä tietämyksellä ja laiteilla voida purkaa sellaisessa ajassa, jossa viestin sisältö olisi vielä relevantti.

Epäsuorat salausmenetelmät

Kaikki mahdollisiin uhkiin liittyvä toiminta ei myöskään tapahdu välttämättä sellaisessa muodossa, jossa tietoliikenteen lukemisesta olisi mitään hyötyä.

Toiminnan aktivointikäskyn voi lähettää helposti vaikka Instagramissa. Tietty henkilö on ottanut itsestään kuukausia kuvan joka aamu hauskana projektina. Yhtenä aamuna kuvan otossa puhelimessa on tietyn väriset kuoret. Signaali annettu. Moniko huomasi?

Steganografian avulla kuvaan voitaisiin myös kätkeä piilotettu ja kryptattu viesti. Onnea matkaan tuon löytämisessä ”hakuparametreilla merikaapelista”.

Tiedonsiirtäjän määritelmän ongelma sekä internetliikenteen reititys

Tiedonsiirtäjän määrite on huono. Nyt tiedonsiirtäjäksi määritetään rajan ylittävän tietoliikennejärjestelmän omistaja. Perusteluissa puhutaan osi-mallin kahden alimman kerroksen toteuttajasta. Lisäksi velvoitetaan tiedonsiirtäjä avustamaan viranomaista siinä, että paikannetaan sijainti, jossa valvontaa toteutetaan.

Säädöksen muotoilu viittaa puutteelliseen tietoon tai vaillinaiseen tulkintaan asiantuntijan lausunnosta internetissä tapahtuvasta tiedonsiirrosta ja verkkojen rakentumisesta. Hyvin tyypillisesti tiedonsiirtokaapelin omistavalla taholla ei ole juuri minkäänlaista tietoa siitä, millaista liikennettä yhteyksien yli ajetaan. Tyypillisesti tietoliikenneoperaattori X ostaa juuri kyseisen matalan tason tiedonsiirtoyhteyden kaapelia hallinnoivalta toimijalta, joka olisi lain tulkinnan mukaan ”tiedonsiirtäjä”. Käytännössä vain reititystä hallinnoivalla tietoliikenneoperaattorilla on kuitenkin tietoa, mitä reittiä heidän verkostaan lähtevä ja saapuva liikenne käyttää. Asetuksen perusteella tosiasiallisella verkkoa hallinnoivalla operaattorilla ei ole velvoitetta avustaa tiedustelussa.

Lisäksi verkossa tapahtuva viestintä on usein luonteeltaan asymmetristä eli viestinnässä ulkomaille menevät tietoliikennepaketit saattavat kulkea esimerkiksi merikaapelia Suomesta Saksaan, mutta vastauspaketit saapuvat Ruotsin kautta Suomeen täysin eri fyysistä yhteyttä pitkin. Lisäksi reititys voi muuttua tunneittain tai päivittäin, mikä ei tosin ole tyypillistä useimpien verkkojen osalta. Tämän takia jo yksittäiseen kohde- tai lähdeosoitteeseen menevän liikenteen seuraaminen saattaa edellyttää kaikkien Suomesta ulkomaille liikennettä välittävien viestintäkaapeleiden seurantaa.

Eli käytännössä valvonnan toteuttamiseksi on rakennettava pysyvä valvonta kaikille Suomen fyysisille ulkomaanyhteyksille. Missä tahansa valvontatilanteessa pitäisi siten aktivoida kaikki valvontapisteet ja kerätä niiltä hakuehtoihin täsmäävää liikennettä, jotta valvonta kykenisi toimimaan minkäänasteisella tehokkuudella.

Käytettävissä on tietenkin myös satelliittipohjaisia viestintämuotoja, joille valvonnan rakentaminen on mahdotonta. Vieraalla valtiovallalla on myös helposti käytettävissä laser/radioviestintämuotoja, joita voidaan käyttää tilapäisesti ja kohdennetusti rajan tai aluevesien yli siten että valvonta ja/tai estäminen on hyvin vaikeaa.

Kuinka uhkilta voitaisiin suojautua, kun laiksi kirjattu tiedustelumalli ei toimi

Yksinkertaisia ratkaisuja ei ole.

Suomen ongelmana on se, että olemme pieni maa ja osuutemme ”internetin infrasta” on pieni, siksi omien viranomaistemme mahdollisuudet siihen, että tieto, johon tarvitsee päästä käsiksi, olisi heidän oman toimivaltansa piirissä, ovat pienet.

Tiedonsiirtoon kohdistuva tiedustelu kotimaisten tai ulkomaisten toimijoiden toimesta on vain yksi tietoliikenteen uhkakuvista. On hyvin todennäköistä, että valtioiden välisessä kriisitilanteessa tietoliikenneyhteyksiin kohdistuu merkittävää häirintää, sekä palvelunestona, kohdistettuina hyökkäyksinä kriittiseen infrastruktuuriin, että fyysisten yhteyksien katkontana.

Omavaraisuuden tärkeydestä ei puhuta tarpeeksi tietoliikenteen, tiedonkäsittelyn sekä -varastoinnin osalta (aka. pilvipalvelut). Kriisitilanteessa on todennäköistä, että Suomen sisäinen tietoliikenneverkko kyetään pitämään toiminnassa maan sisäisin toimin, mutta yhteydet ulkomaailmaan voivat olla rajoittuneita ja vahvasti häirittyjä. Tuollaisessa tilanteessa ulkomaisessa pilvipalvelussa sijaitsevat sähköpostit tai toiminnanohjaus voivat osoittautua varsin haastavaksi käyttää.

Poikkeustilanteen kannalta on kannattavaa, että vähintään varmuuskopio toiminnalle kriittisistä tiedoista ja palautumissuunnitelma tärkeimpien toimintojen palauttamiseen tai korvaavaan menettelyyn löytyvät Suomen rajojen sisältä. On tärkeää. että nämä tiedot on suojattu siten, että niitä ei voi päästä poistamaan sellaisilla salausavaimilla tai tunnustiedoilla, jotka ovat voineet käydä ulkomaisen palvelun tai tiedustelun piirissä. Hyvin tyypillinen varmuuskopioinnin virhe on se, että murtautumalla varmuuskopioitavalle laitteelle, päästään myös tuhoamaan sieltä otetut varmuuskopiot hyödyntämällä laitteella olevia tunnuksia.

Nykyisessä toiminnassa hyvää on pyrkimys koota huoltovarmuuskriittisiin toimijoihin kohdistuvia riskejä yhteen. Järjestäytyneeltä rikollisuudelta tai valtiotason toimijoilta suojauduttaessa kattava tilannekuva sekä pitkäkestoinen uhkien analysointi ja valvonta on olennaista. Järjestelmiin murtautuminen ja haittaohjelmien sijoittelu myöhempiä toimia varten voidaan tehdä hyvin pitkällä aikavälillä. Tosin tämän toiminnan osalta avoin tiedonjakotoiminta toimijoiden ja suojelupoliisin välillä on huomattavasti tehokkaampaa kuin pakkotoimina tapahtuva tiedustelu. Eri yritykset suojautuvat eri tavoin, olisi hyvä, että tieto yhdessä havaitusta tietoturvauhkasta saataisiin tuotua tehokkaasti myös muiden tietoon. Vähättelemättä poliisin ja suojelupoliisin teknistä osaamista, väitän että suomalaisesta yrityskentästä löytyvä tietoturvaosaaminen ja osaajien määrä takaa tehokkaamman suojautumisen kuin yritys keskittää teknisiltä uhkilta suojaaminen viranomaisten harteille.

Varsinkin kriittisen infran osalta suojautuminen on syyllisten jahtaamista tärkeämpää, koska tekijät todennäköisesti operoivat ulkomailta ja ovat vaikeasti tavoitettavia. Tunnistettu hyökkäystapa voidaan torjua. Uuden hyökkäysvektorin kehittäminen on kallista. Siten on parempi, että mahdollisimman moni uhkan kohde kykenee ”rokottautumaan” tunnettuja riskejä vastaan.

Viranomaistiedustelulta vaaditaan huomattavaa määrää teknistä osaamista sekä uusimpien tekniikoiden tuntemista. Monissa tapauksissa tiedonkeruu vaatii huomattavasti aktiivisempaa toimintaa kuin tietoliikenteen passiivista monitorointia. Käytännössä ainoa tehokas tapa tietyn käyttäjän tietoihin pääsemiseen on hänen käyttämänsä päätelaitteen murtaminen esimerkiksi haittaohjelmiston avulla, jolloin tietoon voidaan päästä käsiksi käytettyjen salausten ohi.

Käyttäjän/toimijan tunnistaminen edellyttää aktiivista tiedustelutoimintaa ja omien ”valesaittien” ylläpitoa, toimiville soluttautumista tai hyödyntämistä, riippuen siitä onko kyseessä potentiaalinen hyökkäyskohde vai riskitoimijoiden kokoontumispaikka.

Erilaisilla tunnistustekniikoilla (fingerprinting) voidaan tunnistaa käyttäjiä sekä tietoliikenteestä että viranomaisten hallinnoimien valepalveluiden kautta. Käytännössä useimmat tekniikat vaativat aktiivista tietoliikenteeseen tai laitteisiin puuttumista. Esimerkiksi TOR-verkon tarjoamaa suojaa on äärimmäisen vaikeaa murtaa seuraamalla pelkästään rajat ylittävää liikennettä, mutta käyttäjä voidaan tunnistaa fingerprinting-metodeilla, jos käyttäjästä saadaan kerättyä identifioivaa tietoa sekä TOR-verkon palvelussa että ns. normaalin internetin palvelussa. Vastaavasti TOR-verkon tarjoama suoja voi murtua, jos käyttäjän liikennettä voidaan seurata sekä vastaanottavan palvelun päässä että ennen kuin liikenne päätyy TOR-verkon nodelle. Tuolloin viestinnän sisältö itsessään ei välttämättä aukea, mutta käyttäjä voidaan vähintäänkin tunnistaa tietyn palvelun käyttäjäksi.

Ehdotetun lain mukainen tietoliikenteen automatisoitu lukeminen sekä jatkokäsittely on vain osa asian kokonaiskuvaa. Sitä voidaan käyttää potentiaalisesti seurattavien kohteiden etsimiseen, mutta suora tiedonsaanti maan rajat ylittävien kaapelien liikennettä seuraamalla tulee perustumaan lähinnä onneen ja/tai vastapuolen tyhmyyteen. Tai Kiinasta tuttuun käytäntöön, jossa ”estetään kaikki, mitä ei voida valvoa”.

Tosin, koska terroristit julkaisevat sijaintinsa ja tekemisensä somessa, saatan olettaa keskimääräiseltä ”kansallisen turvallisuuden uhkalta” hieman liikaa.


Kirjoittaja
Timo Nieminen
Toimitusjohtaja

 

Lue lisää muista blogiartikkeleista tästä