Pilveen?

Tuoreen uutisen mukaan EU ja jotkut eurooppalaiset suuryritykset haluavat laittaa pystyyn oman pilvipalvelunsa, jonka tavoitteena on ” säilyttää tietoja turvallisesti ja turvata kansalaisten yksityisyys.” Tällä European Trusted Cloud -nimisellä hankkeella on silti vain viiden miljoonan vuosibudjetti, joka herättänee Googlen ja Facebookin pääkonttoreissa epäuskoista hilpeyttä.

Olisihan se mahtavaa, jos unet voisivat olla totta. Mutta oikeastaan mikään ei anna perusteita olettaa, että tämä ETC olisi sitä kivaa, millä sitä meille maksajille myydään. Hallituksilla ei yksinkertaisesti ole sellaista tavoitetta kuin kansalaisten yksityisyyden ja tietoturvan lisääminen. Vielä vähemmän sitä on kaupallisilla toimijoilla, joitten ei tarvitse edes teeskennellä.

Täällä Euroopassa saatetaan omahyväisesti ja typerästi ajatella, että meillä hallitukset sentään ottavat huomioon kansalaisten tarpeet ja puolustavat niitä, toisin kuin suuryritysten hallinnassa olevassa Yhdysvalloissa tai ties kenen pahan akselin hallinnassa olevissa maissa kuten Venäjällä, Kiinassa tai Pohjois-Koreassa. Luultavasti vähäänkään omahyväisyyteen ei ole perustetta.

             

Internetin ansiosta hallituksilla – ja yrityksillä – on käsissään väline, jonka avulla voi samaan aikaan teeskennellä julkisuudessa kansalaisvapauksien ja yksityisyyden suojan puolustamista ja loukata niitä erittäin tehokkaasti julkisuudelta piilossa. Mitä suuremmassa määrin kommunikaatio tapahtuu verkon kautta ja mitä suurempi osa datasta säilytetään ”pilvipalvelimilla”, sitä helpompaa totaalinen kontrolli on.

* * *

Kansalaisen hyväuskoisuus on jatkuvasti uusiutuva luonnonvara, jota hyödynnetään nykyään sekä laillisesti (googlet ja facebookit) että laittomasti (ei-julkiset tiedusteluorganisaatiot) tavoilla, joita ei-teknisen ihminen voi olla vaikea pitää muuna kuin tieteistarinana. Kauhistelemme kyllä NSA-vakoilun synnyttämiä mielikuvia (”ne pystyvät lukemaan kaiken mitä tietokoneellani naputtelen”), mutta tuskin ymmärrämme erityisen syvällisesti, miten kaukana tietoturvallisuudesta pääosa verkkoelämäämme on.

Täytyy tietysti olla aika sinisilmäinen uskoakseen pilvipalvelimen ylläpitäjän vakuutuksia siitä, että heillä asiakkaan data on turvassa. Se on ”turvassa” juuri niin kauan, kunnes joku vallankäyttäjä kiinnostuu siitä ja ohittaa kulissisuojaukset. Vain ääliö tallettaa pilveen aineistoa, jonka arkaluontoisuus ylittää keskimääräisten hääkuvien tason.

Vuodesta toiseen luemme uutisia takaporteista, joita jopa tietoturvaohjelmistoihin on jätetty joko yhteistyössä tiedusteluorganisaatioiden kanssa, pakotettuna tai pahinta tietämättä. Olisi höpsöä kuvitella, että pilvipalvelut olisivat jotenkin erityisen hyvin suojattuja. Voihan asiaa halutessaan testata sijoittamalla johonkin isoon pilvipalveluun kevyesti kryptatun dokumentin siitä, miten Yhdysvaltain presidentti aiotaan salamurhata.

* * *

Hallitusten ja suuryritysten on jatkettava julkista teatteriesitystä ”Kaikkihan Me Haluamme Parempaa Tietoturvaa”, koska kansalaisten tehokas valvominen edellyttää paitsi luontaisen hyväuskoisuuden tason säilymistä, myös uusia sinisilmäisyyden alueita, joiden kautta päästään käsiksi sellaisiin kansalaisten yksityisyyden puoliin, jotka toistaiseksi ovat heikommin hyödynnettyjä. Meillä kun on vielä haluttomuutta levitellä esimerkiksi seksuaalisen tai uskonnollisen käyttäytymisemme yksityiskohtia (joillakin tämä esto on kyllä kadonnut). Niihin halutaan päästä käsiksi, jollain keinolla.

Maailman menestyneimmät tietoturvaa parantavat keksinnöt ovat syntyneet julkisen ja yritysvallan ulkopuolella. Anonyymin verkonkäytön mahdollistavat tekniikat (kuten TOR-verkko) ovat koko ajan viranomaisten vastatoimien ja parjauksen kohteena. Ihmisen käyttäytymisdatalla elävät (Google & Co) ja tuosta samasta datasta seulovat informaatiota paranoidisen sotateollisuuden tarpeita lähinnä palvelevat salaiset organisaatiot vihaavat jokaista tekniikkaa, joka häivyttää verkossa toimivien identiteetin.

Samasta syystä jokaisen tietoturvasta aidosti kiinnostuneen kansalaisen olisi syytä tukea hankkeita, jotka parantavat mahdollisuuksia toimia verkossa jälkiä jättämättä. Tietoturvaa on vain, kun sen paremmin mainostaja kuin hallinnon väkivaltakoneistokaan eivät tiedä meistä ja tekemisistämme yhtään mitään. Tähän sisältyy tietysti hankala paradoksi siitä, että myös verkkoa häikäilemättä oman etunsa tavoitteluun käyttävä rikollinen haluaa pysyä valvontakoneiston ulottumattomissa.

Rikollisuus on kuitenkin aina määrittelykysymys. Valtiovalta ja ainakin muodollisesti sen alaisuudessa toimiva salainen organisaatio eivät tee ”rikoksia”, koska niiden törkeimmätkin toimet on omalla päätöksellä laillistettu. Sama asia toisen valtion toimijoiden suorittamana sitten muuttuukin rikokseksi. Onko hakkeroiduilla salasanoilla rahaa omalle tililleen siirtävä suurempi rikollinen kuin suuryritys, joka piilottaa voittonsa veroparatiisiin ja jättää verot maksamatta?

* * *

Vainoharhaisuuden ja perustellun skeptisyyden rajaa ei voi sormella osoittaa. Salaliittoteoretisointia pilkkaava voi halutakin luoda mielikuvan, ettei mitään salaliittoja ole olemassa. Salaista toimintaa on helpompi harjoittaa, kun se on saatu julkisuudessa leimatuksi Pekka ja susi -jutuksi. Tietoturvaa puheissa edistämällä on helpompi järjestää omiin tarpeisiin tietoteknisiä takaportteja. Viranomaisten vakuutteluihin uskova hyväuskoinen kansalainen on kuin lohenpoikanen. Sellaisten kasvattamiseen kannattaa satsata.

Pilvipalvelusta ei siis välttämättä jää käteen paljon muuta kuin yksi kätevä tekninen säilytys- ja jakelumalli, joka on ihan yhtä tietoturvaton kuin muutkin säilytys- ja jakelumallit. F-Secure, eräs ETC:n kehittäjistä, myi vastikään kovasti hehkuttamansa ”turvallisen” Younited-pilvipalvelunsa Yhdysvaltoihin. Itse ”hyväksyin” juuri Googlen valheet siitä, mitä varten se tallettaa ja käsittelee minultakin saamaansa tietoa (rehellinen vastaus olisi ollut yhden virkkeen pituinen: "mainostajamme käyttävät näitä tietoja kaupallisten etujensa ajamiseen ja me saamme siitä hyvästä rahaa").

Itse en halua lietsoa verkkovainoharhaisuutta. Minusta riittää, kun muistaa, että mikään verkossa liikkuva ei ole oikeasti yksityistä tai ”turvassa”. Ei reaalimaailma tässä suhteessa juurikaan huonompi tai parempi ole.