Takaisin ajankohtaisiin

Verkkovakoilu ja PRISM – Harvoin Kysytyt Kysymykset

Juha-Matti Laurio

Kesäkuu 20, 2013 at 10:30

Toissa viikolla National Security Agencylle (NSA) alihankkijana työskennellyt Edward Snowden toi suuren yleisön tietoisuuteen PRISM-verkkoseurantaohjelman, joka on ollut käytössä vuodesta 2007 lähtien. The Washington Postin paljastusartikkelin julkaisusta tulee huomenna kuluneeksi kaksi viikkoa, mutta aihe tuntuu pysyvän mediassa edelleen hyvin tiiviisti. Tietoturva-alalla työskenteleville tämänluonteisen seurannan olemassaolo ei tullut yllätyksenä. Kokosimme muutaman hieman harvinaisemman kysymys-vastausparin aiheen tiimoilta:

K: Ovatko ohjelmaan kuuluvat Internet-jätit myöntäneet osallistumisensa ohjelmaan ja voiko vastauksiin luottaa?

V: Eivät ole. On todennäköistä että kieltävän vastauksen syynä on tietojenluovutuspyyntöihin sisältyvä ehdoton vaitiolovaatimus. Myöntämällä näin laajan luovutuksen toimijat menettäisivät käyttäjien luottamuksen jo pelkästään yksityisyysnäkökulmaa ajatellen.

K: Pääseekö NSA PRISM-ohjelmassa mukana olevien palveluiden kautta lähettämien sähköpostieni sisällön lisäksi muuhunkin käsiksi?

V: Vuotodokumentin mukaan pääsy on myös palveluihin tallennettuihin valokuviin, käyttäjäryhmiin, chattikeskusteluihin, kirjautumisajankohtiin jne. Oletettavasti kaikki pilvipalveluihin tallennettu ja tallentunut data kuuluu ohjelman piiriin.

K: Harjoittaako Suomi tai tekevätkö jotkin tahot vastaavaa toimintaa Suomen rajojen sisällä?

V: Suomi kuten jokainen riippumattomuudestaan huolehtiva valtio harjoittaa signaalitiedustelua. Operaattorit keräävät teletunnistetietoja, mutta niitä voidaan käyttää vain oikeuden päätöksellä. Vakoilua suorittavat ulkomaiset tahot tekevät myös viestiliikenteen kuuntelua.

K: Yrityksemme käyttää pilvipalveluja laajasti, pitäisikö PRISM:sta ja tästä toiminnasta olla huolestunut?

V: Olennaista on pilveen tallennettavien tietojen luokittelu. Mikäli pilvidata päätetään kotouttaa Suomen rajojen sisäpuolella toimivaan palveluun tulee operaatio suunnitella ja valmistella huolellisesti. Arkipäivän ohjeena tulee muistaa esimerkiksi se, ettei työsähköposteja edelleenvälitetä PRISM:kin piirissä oleviin kuluttajasähköpostipalveluihin. Yksityiskohtaisemmin asiaa on käsitelty Tietovastuu-blogissamme.

K: Rajoittuuko viranomaisten käyttöönsä saamien tietojen hyödyntäminen vain terrorismin torjuntaan?

V: Olisi erikoista, mikäli käytettävissä olevia tietoja ei käytettäisi myös järjestäytyneen rikollisuuden torjuntaan ja verkkorikollisuuden tutkintaan ja ennaltaehkäisemiseen.