Poliisin haittaohjelmat ovat hyödyttömiä, mutta vaarallisia

Helsingin Sanomat uutisoi poliisin saavan oikeuden asentaa vakoiluohjelmia rikoksesta epäillyn koneelle (HS 30.12.). Uudistuksella pyritään lisäämään poliisin käytössä olevia resursseja rikosten selvittämiseksi, mutta uusi laki on sekä hyödytön että vaarallinen.

Lakiuudistus on kuin hevoskärryjen katsastusmäärysten ulottamista autoihin: se yrittää siirtää olemassaolevan puhelinkuuntelun suoraan digitaaliseen ympäristöön. Poliisi on ymmärrettävästi valtavan harmissaan siitä, että nykyaikainen verkkoliikenne on kovin salattua, joten vakoilua varten on mentävä joko palveluntarjoajan – joka on usein ulkomailla eli työläästi saavutettavissa – tai yksittäisen käyttäjän luokse. Nyt lähestymistavaksi on valittu jälkimmäinen.

Ikävä kyllä internet-ympäristö ei toimi yhtä yksinkertaisesti kuin perinteinen telekuuntelu. Poliisin haaveuni kansalaisten tehokkaasta valvonnasta on täyttä utopiaa. Käyttäjällä on lähtökohtaisesti täysi kontrolli omaan tietokoneeseensa, kun taas puhelinverkko on yhteistyökykyisen teleoperaattorin hallinnassa. Ei ole vaikea arvata, että haittaohjelmat tullaan tekemään todennäköisesti lähinnä valtavirtaa silmällä pitäen – jo Linuxin asentaminen antanee suojan.

Näinkään koviin keinoihin ei tarvitse mennä, sillä F-Securen Mikko Hyppönen toteaa suoraan, ettei yritys aio avustaa poliisia pätkääkään haittaohjelmien levityksessä. Päinvastoin, turvallisuusyrityksen missio on estää viruksia ja troijalaisia leviämästä, ja ohjelman tekijällä ei ole merkitystä. Myös valtion tekemä haittaohjelma on haittaohjelma. Esimerkiksi Saksan poliisin käyttämät haittaohjelmat F-Secure jo löytää ja estää.

Ei kuitenkaan ole aivan varmaa, miten oikeuslaitos ja poliisi suhtautuvat yksityisen yrityksen aikomukseen estää viranomaisten työkaluja toimimasta – siis sabotoida viranomaisvakoilua. Onko tämä laillista? Jos vielä on, voitaisiinko – tai olisiko tarvetta – kieltää se jotenkin? Kysymys on periaatteellisesti vaikea, eikä suoraa vastausta liene vielä olemassa.

Hyödyttömyyden lisäksi poliisin haittaohjelmat ovat vaarallisia. Poliisilla ei ole nimittäin lainkaan mahdollisuuksia taata, että käytetty haittaohjelma avaa valvontayhteyden vain Suomen poliisille, mutta ei kenellekään muulle. Kerran käytetty tietoturva-aukko onkin avoinna myös muille kuin poliisille itselleen, joten kukapa on vastuussa, jos poliisin käyttämän tietoturva-aukon kautta myös täysin ulkopuolinen hyökkääjä pääsee käsiksi arvokkaisiin liikesalaisuuksiin tai yksityiselämän tietoihin?

Pahoin pelkään, että kukaan ei ole vaivautunut ajattelemaankaan moista mahdollisuutta. Hallituksen esitys on pitkä kuin nälkävuosi, mutta moista huomiota sieltä ei osu silmään.

Oma huomionarvoinen seikkansa on, että jo nyt halutaan saada poliisin käyttöön ominaisuuksia, joita on markkinoitu aivan toisin perustein. Hallituksen esityksessä todetaan, että “Sallittua tulisi olla — tekninen seuranta. Esimerkkinä voidaan mainita moottoriajoneuvossa olevan paikannuslaitteen aktivoiminen salaa.” GPS-perusteinen ruuhkamaksu, oletko siirtynyt pimeällä puolelle?

Kyberturvallisuudessa mennään kovaa vauhtia aivan väärään suuntaan. Valtion tulisi toimia aktiivisesti oman infrastruktuurinsa suojelemiseksi hyökkäyksiltä sekä kohdistaa toimintansa isoja, vaarallisia vastustajia vastaan – ei yrittää kehittää yksityisyyttä vaarantavia ratkaisuja, jotka eivät edes voi toimia.

On kuvaavaa, että lakia valmisteltaessa kuultiin isoa joukkoa juristeja, muttei ainoatakaan tietoturva-asiantuntijaa. Lainsäätäjien olisi jo aika myöntää, että nykyaikainen internet-ympäristö vaatii erityistä osaamista.