Orwell oli optimisti


280x260_tuomas_levoniemiVapaa-ajattelijan päiväkirjasta, osa 2

Kuluvan vuoden aikana olemme kuulleet kuinka NSA on systemaattisesti vakoillut kaikkia mahdollisia tahoja. Laajennettu mandaatti vakoiluun on vanhaa perua 9/11-iskusta, mutta tuntuu että vakoilu on laajentunut huomattavasti terroristien metsästyksen ulkopuolelle. Poliittinen valvonta on vähäistä tai sitä ei ole.

Vakoilun syistä ja oikeutuksista voidaan tietenkin väitellä loputtomiin. Jätän sen vähemmälle tarkastelulle. Kysymys on lähinnä poliittinen eli asia, joka valtioiden pitäisi sopia keskenään.

Tärkeämpi kysymys on kaikkien kannalta: ”I have nothing to hide”. Eihän minulla ole mitään salattavaa. Luottamus on kuitenkin sama kun luotettavuus, joka on ihmisten, yritysten ja valtioiden kanssakäymisen kulmakiviä.

Sekä henkilökohtaisessa että poliittisesta elämässä vahvemman katsantokannan puoltajat usein painostavat tavalla tai toisella. Painostus voi olla hienovaraista vaikuttamista, mutta totalitäärisessä yhteiskunnassa se voi johtaa vainoihin ja keskitysleireihin.

Miten mainio ase olisi, jos eri mieltä olevat voitaisiin yksilöidä, ja kohdistaa käännytys ja painostus suoraan heihin. Silloin voitaisiin George Orwellin vision mukaan seuloa, etsiä ja vangita toisinajattelijat kaiken saatavilla olevan tiedon perusteella. Riittävän hyvä yksityisyyden suoja on varsinkin kriisitilanteessa yksi demokratian tärkeimmistä kulmakivistä.

”Sota terrorismia vastaan” on tullut varsinkin Yhdysvalloissa valvonnan perusteluksi. Pitää kuitenkin miettiä millaista hintaa länsimaisissa demokratioissa ollaan valmiita maksamaan. Jos terrorismin vastustaminen johtaa täydelliseen valvontaan, niin eikö terrorismi ole jo voittanut taistelun?

Mitä tilanteessa voidaan sitten tehdä? Äänestää lompakolla. Ilmaista lounasta ei ole. Kerromme muun muassa hakukoneille sellaisia ”salaisuuksia”, joita emme kerro edes perheellemme tai elämänkumppanille.

Kaikki materiaali, jota laitamme ”ilmaisiin” palveluihin on Yhdysvalloissa miljardibisnestä. Kuinka moni on lukenut näiden palveluiden käyttöehtoja? Saatat antaa (tietämättäsi) hyvin laajat oikeudet käyttää tekstejäsi ja kuviasi ilman lupaasi.

On ilmennyt tapauksia, joissa sosiaalisen median palveluihin laitettuja kuvia on ilmaantunut mainoksiin. Kuka esimerkiksi omistaa Facebookiin ladattujen kuvien tekijänoikeudet? Jos et ole sinut ajatuksen kanssa, että kuva perheestäsi saattaa koristaa jenkeissä bussipysäkkiä, niin siirrä tiedot pois kaupallisista palveluista, ja mieti tarkasti, mitä niihin lataat.

Miten sitten pitäisi toimia? Netin käyttäjät ovat tottuneet, että lähes kaikki on ”ilmaista”, vaikka palveluiden käyttäjät saattavat ymmärtää, että tästä voi seurata ongelmia.
Kuinka moni on valmis maksamaan palvelusta, joka ei ole rahoitettu mainoksilla tai profiloinneilla? Ikävä kyllä en usko, että kovin moni. Olennaista on ymmärtää riskit ja toimia siten, että ei laita ilmaispalveluihin tietoja, jotka ovat henkilökohtaisia tai luottamuksellisia. Euroopassa ovat myös selvästi nousemassa palvelut, joilla voidaan lisätä vaikkapa salaus myös kuluttajapuolen pilvipalveluihin.

On ikävää, jos lomakuva päätyy bussipysäkin mainokseksi. Huomattavasti pahempi ongelma näkyy yrityskäytössä. Viime vuosiin asti lähes kaikki suurempien yritysten it-palvelut ovat olleet joko organisaatioiden omissa konesaleissa tai ne on tuotettu paikallisen palveluntarjoajan tiloissa ja laitteilla.

Pilvipalveluilla on ollut kova noste. Ne ovat usein edullisempia ja nopeammin käyttöönotettavia kun perinteiset it-palvelut. Vakoilu ja hakkerointi ovat aina olleet riskejä.
Pilvipalvelut, jotka tuotetaan maailmanlaajuisesti jaetuista konesaleista, ovat mehukas kohde sekä yritysten keskinäiselle, mutta varsinkin valtioiden toimeenpanemalle vakoilulle. Näin toteutetut pilvipalvelut mahdollistavat myös jälkien tehokkaan peittämisen. Lisäksi asiakkaan näkyvyys ja mahdollisuudet vaikuttaa palveluun ovat vähäisemmät.
Jos kohde on riittävän kiinnostava ja resursseja on, niin kaikkea voidaan vakoilla.
Miten sitten yritysten pitäisi suhtautua maailmanlaajuisesti tuotettuihin pilvipalveluihin?

Keinot ovat hyvin samanlaiset kuin ohjeeni kuluttajalle.

  1. Tunnista, mikä tieto on luottamuksellista. Tätä tietoa ei saa sijoittaa organisaation näkyvyyden ja päätösvallan ulkopuolelle. Myös pilvipalveluita saa paikallisesti tuotettuna.
  2. Jos käytät pilvipalveluita, salaa tieto riittävän tehokkaasti. Tämä ei välttämättä ole edes kustannustekijä. Hyvin toteutettu salaus on helppo käyttää ja käyttäjälle läpinäkyvä.
  3. Yrityskäytössä on olennaisinta löytää kumppani, jolla on näkemystä ja osaamista yhdistää uudet pilvipalvelut perinteiseen it-infrastuktuuriin turvallisesti ja hallittavasti.

Yrityspuolella oma lukunsa ovat useat Yhdysvalloista lähtöisin olevat sovellukset. Tiedämmekö mitä tahallisia tai tahattomia reikiä ja takaportteja niissä on? Emme tiedä emmekä voi tietää, koska ohjelmat ovat suljettuja.

Tähän ei olekaan mitään nopeaa tai helppoa ratkaisua. Mielestäni ainoa keino pidemmällä aikavälillä on lisätä avoimen lähdekoodin (OpenSource) ohjelmistojen käyttöä.

Eurooppa voisi käyttää hyväkseen NSA-vakoilukohua ja lisätä läpinäkyvyyttä käyttämällä avoimen lähdekoodin tuotteita varsinkin julkishallinnossa. Tätä ei kuitenkaan pysty tekemään yksi yritys tai edes yksi valtio. Sen verran hallitseva on Yhdysvalloista lähtöisin olevien sovellusten asema markkinoilla.