Kyllä kirjeen tietoturva on huippuluokkaa

Kävin eilen IT-oikeudellisen yhdistyksen tietoturvaillassa. Illan aikana yleisöstä todettiin, että tietoturvaanhan pätee nk. liito-oravaperiaate, eli vedotaan ”tietoturvasyihin”, kun halutaan torpata jokin uudistusprojekti esimerkiksi pelkän muutosvastarinnan vuoksi.

Tästä tuli mieleeni se, miten esimerkiksi Facebookin ja muiden some-palveluiden yksityisyys- ja tietoturva-asetuksista ollaan julkisuudessa jatkuvasti huolissaan. Milloin Facebook paljastaa kotiosoitteen, milloin puhelinnumeron.

Hyvää tiedonhallintatapaa edistääkseen Ficora lähettää domaininhallintatunnukset postitse, ei esimerkiksi e-mailissa.

Tietoturva-aktivistit kiittelivät, kun tietosuojavaltuutettu totesi, ettei terveydenhuollon tietoja saa lähettää suojaamattomina kansalaisen sähköpostiosoitteeseen edes tämän nimenomaisella pyynnöllä tai valtuutuksella (Tietosuojavaltuutetun kannanotto 1.7.2010, Dnro 1475/41/2009).

Jätettäköön mainitsematta, että ainakin minulle eräässä valtion virastossa työskennellessäni kerrottiin, että ”suojattu sähköposti” on esimerkiksi sähköpostitse lähetetty linkki, joka vie viranomaisen sivuille josta viesti on luettavissa. Mitään salauksia tms. ei siis ollut välttämättä käytetä.

Ideana oli se, että sähköposti saattaa aueta automaattisesti tai vaikka vahingossa ja tällöin vastaanottaja lukee sinänsä salaisen sisällön epähuomiossa. Mutta jos sähköposti on yllämainitulla tavalla ”suojattu”, linkin klikkaaminen rinnastuu siihen, että avaisi kirjekuoren, jossa on jonkun muun nimi päällä. Jos siis väärä vastaanottaja lukee sähköpostin ja klikkaa viestin linkistä auki, tämä on tietoisesti syyllistynyt vähintäänkin viestintäsalaisuuden loukkaamiseen. Tällainen oli siis ”suojattu sähköposti”. Nykyään asia on ehkä muuttunut. Ehkä.

Nämä kaikki ilmentävät sitä ajattelutapaa, että vanhat keinot ovat jotenkin äärimmäisen tietoturvallisia, ikäänkuin paperikirje ja muut perinteiset tiedonvälityksen tavat olisivat pomminvarmoja eikä mikään krakkeri pysty niitä murtamaan.

Esimerkiksi paperikirjeitähän ei voi saada kukaan muu kuin niihin merkitty vastaanottaja, sillä eihän kukaan ole koskaan saanut postia, joka ei kuuluisi hänelle? Eikä kukaan avaa unenpöpperöisenä vahingossa toisten kirjeitä?

Toisten kirjeitä on myös helppo saada haltuunsa social engineering -tempuilla. Kun ”sattumalta” osuu kohdehenkilön talon kohdalle samaan aikaan postikustin kanssa, saa kirjeet useimmiten haltuunsa vain sanomalla ”mä voin ottaa Korhosen postit”. Harvoin kieltäytyvät.

Kuva altemark@Flickr. CC BY 2.0. Pahempi tietoturvauhka kuin paperiroskis?

Ja entäs sitten Facebook: jokuhan voi saada sieltä tietoon puhelinnumerosi ja osoitteesi, kunhan vain tietää nimesi… niinkö nopeasti unohtui puhelinluettelot? Ainakin silloin, kun minä olin pieni, puhelinluetteloissa oli henkilön nimen lisäksi tämän puhelinnumero ja osoite – usein myös henkilön ammatti. Tötterö Tötterström, tötterönveistäjä, 050-1234567, Tötterökuja 4, Tötterölä. Miten tämä eroaa Facebookista? Puhelinluettelo vieläpä tuli jokaiseen kotiin.

Ei sillä, etteikö sähköiseen viestintään ja tietojärjestelmiin liittyisi tietoturvaongelmia. Tottakai niihin liittyy. Mutta verkkoympäristön tietoturvauhkien luonne on nimenomaan määrällinen, ei laadullinen. Tietojärjestelmämurroilla on huomattavasti helpompi saada haltuunsa valtavia määriä tietoja, joiden perusteella voi valikoida sopivan rikoskohteen helpommin.

Mutta missään nimessä ei ole niin, että vanhat keinot olisivat aukottomia. Usein vain niiden tietoturvaongelmat ovat niin syvällä kulttuurissamme, ettemme joko huomaa niitä (koska oikea toiminta on uurtunut käytöstapoihimme jo niin syvään) tai yksinkertaisesti vain hyväksymme ne.

Yksittäisen ihmisen kannalta netti on kuitenkin suhteellisen turvallinen. Vaikka vanha mantra ”minkä internetiin pistät, pysyy siellä ikuisesti” on osittain totta, se on totta vain osittain. Suuri osa kaikesta siitä datasta, mitä internetiin laitetaan, joko katoaa, kukaan ei koskaan löydä sitä tai ei vain ole kiinnostunut siitä. Suuri osa internetiin laitetusta tiedosta on muiden ihmisten kannalta täysin yhdentekevää.

Mitä tämä tarkoittaa tietoturvan kannalta? Sitä, että viranomaiset voisivat jatkossakin lähettää vaikka sairauskertomuksia sähköpostitse, jos henkilö sitä itse pyytää. Aika harva jaksaa kuitenkaan vaivautua sorkkimaan Pertsa Perusjätkän sähköpostiliikennettä sairauskertomuksien toivossa. Ja jos tälle Vakoilija X:lle onkin tärkeää saada Pertsan terveystiedot, ne voi helposti urkkia myös paperikirjeenä yllä kuvatulla tavalla. Tai sitten mennä kaivelemaan paperiroskista, sieltäkin voi löytää ties mitä aarteita.

Hyvä tietoturva on toki hieno tavoite, johon pitää pyrkiä, ja esimerkiksi salauksien käyttäminen on aina suositeltavaa. Mutta harvaan ihmiseen kohdistuu henkilökohtaista tietoturvauhkaa ihan muuten vain, poikkeuksena toki yritysjohtajat, politiikan kärkinimet, julkkikset jne. Mutta ei myöskään kannata luottaa siihen, että perinteiset keinot tekisivät auvoisiksi, sillä eivät ne tee.

Seuraavalla kerralla kun palaat kaupungilta, katso taaksesi. Joku voi seurata sinua!

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *