Kuka vielä muistaa neljä vuotta sitten käydyn kiistan Lex Nokiasta? Hesarin juttu siitä, miten Nokia ajoi kulisseissa Suomeen nettiliikenteen valvontaoikeuksia lisäävää lakia aiheutti kansanliikkeen valvontaoikeuksia vastaan.
Mitään todisteita Nokian painostuksesta ei koskaan löytynyt. Laista tuli niin raskas ja vaikeaselkoinen, ettei mikään yritys ole uskaltanut ottaa sitä käyttöön.
Lain keskeinen ajatus oli siinä, että yhteisötilaaja (yritys tai organisaatio) voisi automatisoida verkkoliikenteensä seurannan ja saada ilmoituksia poikkeavuuksista. Näin kerätty todistusaineisto olisi sitten luovutettu poliisille varsinaisen esitutkinnan pohjaksi.
Ironista kyllä, ulkoministeriön vakoilu on alkanut juuri samoihin aikoihin kuin laista riideltiin.
Suomen tiukka sähköisen viestinnän tietosuojalaki tekee vakoilun havaitsemisen vaikeaksi, sillä yhteisötilaaja ei saa laillisesti seurata verkkonsa liikennettä proaktiivisesti. Vain akuutit virhetilanteet saa selvittää, ja silloinkin se on tehtävä viestinnän luottamuksellisuutta loukkaamatta.
Jos olisin töissä NSA:n TAO-yksikössä, lähettäisin ministeriöön (tai Nokialle) kohdistetun haittaohjelman, joka keräisi kiinnostavaa dataa ja lähettäisi sen vaikka kerran päivässä sähköpostilla osoitteeseen spy@nsa.gov. Tällaista urkintaa ei Suomessa voisi havaita lakeja rikkomatta.
Onko Suomi ollut liian hyväuskoinen ja sinisilmäinen? Onko meistä tullut "moraalin suurvalta", kuten Marko Hamilo sattuvasti luonnehti Facebookissaan?
Jatkossa Ruotsin FRA-lain ja Lex Nokian pilkkaamiseen ei enää ole syytä. Suomen on pelattava samoilla säännöillä kuin muutkin valtiot.
Mitään todisteita Nokian painostuksesta ei koskaan löytynyt. Laista tuli niin raskas ja vaikeaselkoinen, ettei mikään yritys ole uskaltanut ottaa sitä käyttöön.
Lain keskeinen ajatus oli siinä, että yhteisötilaaja (yritys tai organisaatio) voisi automatisoida verkkoliikenteensä seurannan ja saada ilmoituksia poikkeavuuksista. Näin kerätty todistusaineisto olisi sitten luovutettu poliisille varsinaisen esitutkinnan pohjaksi.
Ironista kyllä, ulkoministeriön vakoilu on alkanut juuri samoihin aikoihin kuin laista riideltiin.
Suomen tiukka sähköisen viestinnän tietosuojalaki tekee vakoilun havaitsemisen vaikeaksi, sillä yhteisötilaaja ei saa laillisesti seurata verkkonsa liikennettä proaktiivisesti. Vain akuutit virhetilanteet saa selvittää, ja silloinkin se on tehtävä viestinnän luottamuksellisuutta loukkaamatta.
Jos olisin töissä NSA:n TAO-yksikössä, lähettäisin ministeriöön (tai Nokialle) kohdistetun haittaohjelman, joka keräisi kiinnostavaa dataa ja lähettäisi sen vaikka kerran päivässä sähköpostilla osoitteeseen spy@nsa.gov. Tällaista urkintaa ei Suomessa voisi havaita lakeja rikkomatta.
Onko Suomi ollut liian hyväuskoinen ja sinisilmäinen? Onko meistä tullut "moraalin suurvalta", kuten Marko Hamilo sattuvasti luonnehti Facebookissaan?
Jatkossa Ruotsin FRA-lain ja Lex Nokian pilkkaamiseen ei enää ole syytä. Suomen on pelattava samoilla säännöillä kuin muutkin valtiot.
Väärin menee.
VastaaPoistaVerkkoliikennettä *saa* seurata, kunhan sitä ei voi yhdistää loppukäyttäjään eikä liikenteen sisältöä pääse tutkimaan.
Tiedän tämän, koska satun olemaan töissä yrityksessä joka myy "next generation firewall"-tekniikoita, ja sattuneesta syystä lakiasiat on katsottu hyvin tarkasti läpi (Ficoralta pyydettyä lausuntoa myöten). Näissä on hyvät mahdollisuudet vääntää anonymisointi päälle, jolloin palomuuri kyllä näkee verkkoliikenteen ja osaa hälyttää jos jotain epäilyttävää alkaa liikkua. (Data Loss Prevention-toimintojen käyttö on myös täysin sallittua).
Kyllä, kun häly tulee niin siitä ei admin *suoraan* näe että kuka tai mikä laite on aiheuttanut ongelmia. Mutta yllättäen sillä hetkellä kun moinen hälytys saadaan, tilanne muuttuukin yhtäkkiä vianselvitykseksi jolloin Lex Nokian suojat eivät päde.
Postaus anonyyminä sattuneesta syystä.
Hyvä huomio. Kansanedustajat ovat loppujen lopuksi syyllisiä tähän järkyttävään töpeksintään. Lainsäädäntö olisi saatava pikaisesti kohdalleen.
VastaaPoistaVerkkoliikennettä *saa* seurata, kunhan sitä ei voi yhdistää loppukäyttäjään eikä liikenteen sisältöä pääse tutkimaan.
VastaaPoistaLiikennettä saa seurata, kunhan ei katso mitä se sisältää ja keneltä se tulee/minne se menee : -) Ei siis jää paljon seurattavaa.
Jos vakoilun tulokset lähetetään sähköpostilla, ei taida olla mitään laillista keinoa selvittää asiaa tai edes havaita sitä.
Kuten kirjoitit, selvittämällä asioita tarkkaan juristien ja Ficoran kanssa voi saada jonkinlaisen selkänojan, mutta riski siitä, että joutuu vastaamaan omasta "urkinnastaan" oikeudessa on niin suuri, että harva ylläpito haluaa riskeerata uraansa ja mainettaan. Antaa vahinkojen mieluummin tapahtua, silloin tulilinjalle joutuu korkein johto eikä IT-yksikkö.
Kuuntelin tänään Hyppösen esitelmää ja siinä oli mielenkiintoinen huomio se, että kun FRA katsoo kaiken liikenteen ja NSA katsoo kaiken liikenteen niin kuinka moni ruotsalainen käyttää Jenkeissä olevia palveluita ja kuinka moni jenkki Ruotsalaista palvelua.
VastaaPoistaSamoin huomio, siitä, että Skype oli aikoinaan päästä päähän salattu, mutta kun Microsoft sen osti niin yllätys, yllätys eipä ole enää.
Itselläni kävi mielessä tämä sama asia, mistä Petteri nyt kirjoittaa. Tuollainen seuranta vaatii kyllä YT-lain mukaiset menettelyt, jotka eivät aina ole läpihuuto juttuja.
Jos vakoilun tulokset lähetetään sähköpostilla, ei taida olla mitään laillista keinoa selvittää asiaa tai edes havaita sitä.
VastaaPoistaKyllä se vain on mahdollista. Ei tarvitse kuin konffata DLP-sääntö joka tutkii sähköposteja. Hyvin perinteinen naiivi esimerkki: Mikäli tietovirrassa vilahtaa sana "LUOTTAMUKSELLINEN" ja se on menossa muualle kuin *.fi-sähköpostiosoitteen niin hälytys lähtee.
Tuossa tilanteessa häly *ei* kerro kuka viestin lähetti, mitä tietoa tarkalleen oltiin lähettämässä, kenelle se meni, tai mistä IP-osoitteesta. Ainoa mitä muuri on havainnut on että jossain sähköpostissa on esiintynyt kyseinen sana. Toiminta ei ole spämmifiltteriä kummempaa ja kuten todettua, spämmifiltteröinti on laillista.
Vasta kun admin toteaa että tämmöisiä posteja on alkanut näkyä tilastollisesti merkittävä määrä, voi hän käynnistää vianselvityksen - jossa suojat onkin sitten jo purettu.
Ja joo, jatketaan vielä että harva ylläpito haluaa riskeerata uraansa ja mainettaan. Antaa vahinkojen mieluummin tapahtua, silloin tulilinjalle joutuu korkein johto eikä IT-yksikkö.
VastaaPoistaTässä olet oikeassa. Siksi ominaisuutta käyttävien yritysten puolella linjaus on tehty vähintään CTO:n toimesta, joskus jopa toimitusjohtajan. Ei poloinen IT-päällikkö näitä linjauksia tee.
kun admin toteaa että tämmöisiä posteja on alkanut näkyä tilastollisesti merkittävä määrä, voi hän käynnistää vianselvityksen - jossa suojat onkin sitten jo purettu
VastaaPoistaMinkä pykälän nojalla admin voi lähteä selvittämään työntekijöiden luottamuksellista sähköpostiliikennettä DLP:n antaman hälytyksen jälkeen?
Minusta selkein olisi amerikkalainen tapa: työnantajan sähköposti on työnantajan omaisuutta ja sillä voi tehdä mitä tahansa. Voi lukea viestejä tahdon mukaan jne. Tämä on yksinkertainen eikä anna käyttäjälle epärealistisia oletuksia. En ymmärrä miksi työntekijällä tulisi olla yksityisyyden suojaa työnantajaa vastaan. Miksi työnantajalla tulisi olla oikeus kaikkeen mitä työntekijä tietokoneella tekee paitsi sähköpostiin?
VastaaPoistaOn ihan työntekijän oma moka, jos hoitaa omia asioita työsähköpostilla. Jos jollain alalla on erityistarpeita, niistä voidaan sopia erikseen.
Minkä pykälän nojalla admin voi lähteä selvittämään työntekijöiden luottamuksellista sähköpostiliikennettä DLP:n antaman hälytyksen jälkeen?
VastaaPoistaHyvin yksinkertaista: Tehdään tutkintapyyntö poliisille, joka käynnistää kumileimasinhengessä esitutkinnan. Koska aineiston tulkitsemiseen tarvitaan yrityksen edustajia, voidaankin oikaista mutkat suoriksi ja todeta että teillä on lupa auttaa esitutkinnassa penkomalla todistusaineisto läpi. Tässä on toisaalta toinen epäkohta, että suomalaisella poliisilla on hyvin laajat valtuudet tehdä tutkimuksia (esimerkiksi kotietsintöjä) pelkästään komisariotasoisen henkilön jopa suullisella luvalla. Mutta näin se oikeasti junailtaisiin jos tarve tulisi. Tuollainen saadaan tarvittaessa hyvin nopeasti.
Näin siis periaatteessa, jos kyse on riittävän vakavasta asiasta. Käytännössä tehdään pikemminkin niin, että DLP-sääntöihin osuvat sähköpostit yksinkertaisesti blokataan sen ihmeemmin tutkimatta - yleisesti ottaen se todellinen käyttö ei ole niinkään vakoilun pysäyttäminen vaan ihan työntekijöiden inhimillisten virheiden ehkäisy - luottamuksellinen tieto lähetetään muilla tavoin kuin postikortteihin verrattavalla sähköpostilla.
Lex Nokia ei kuitenkaan ole mikään este.
Minusta tämä Lex Nokiasta valittaminen oli aika turhaa touhua jo alunperin. Jos minä jostain syystä haluaisin varastaa työnantajan tietoja, niin en kai lähettäisi niitä eteenpäin työnantajan sähköpostilla. Sulaa hulluuttahan sellainen olisi.
VastaaPoistaIlmaisia sähköpostipalveluja on pilvin pimein ja niitä hyödyntämällä lähetys onnistuu helposti.
Syitä um-vakoiluun ja erityisesti sen vähättelyyn ja peittelyyn on etsittävä muualta kuin teknisistä mahdollisuuksista.
VastaaPoistaRohkeutta vaan peliin!
UM:n tietohallinnon koko toimintamalli olisi tutkittava riippumattomin voimin. Vastustus siellä on kova, mutta uskoisin, että MAAN etu sitä vaatisi.
VastaaPoistaPoliitikot ovat sanoneet, että lainsäädännössä on puutteita. On hyvä, että teknisiä asioita pohtivat henkilöt selvittävät asiaa, ettei anneta laajoja vakoiluvaltuuksia turhaan.
VastaaPoistaOlisi hyvä, että mahdollisimman paljon teknistä tietoa vakoiluohjelmasta kerrottaisiin. Tämä hyödyttäisi muitakin valtioita.
Petteri itse vaikuttaisi olevan kärryillä siitä, mistä tässä on kyse. Mutta useimmat kommentoijat: Onko järkeä antaa bittitason ohjeita kun joku on kaapannut koko UM:n tietohallinnon? Tuskin se on Venäjä tai Kiina?
VastaaPoistaMikäli teknisiä perusteita uusille laeille ei ala tulla, vedän johtopäätöksen, että tätä vakoilutapausta vain käytetään keinotekoisena, valheellisena, perusteluna uusille laeille.
VastaaPoistaIlmaisten sähköpostipalvelun käytöstä voi jäädä sellainen merkintä, jota lain perusteella saa seurata. Muiden sähköpostipalveluiden käyttö on yleensä kai työpaikoilla kielletty.
VastaaPoistamoro lars
VastaaPoista