tiistai 28. huhtikuuta 2009

Julkisen palvelun erilainen huippumalli haussa

Silmiini osui sattumalta television "Huippumalli haussa" -sarja. Tällä kertaa mallitytöt olivat hieman tavallisesta poikkeavia, sillä heistä jokaisella oli jokin vamma. Yksi istui rullatuolissa, toiselta oli amputoitu osa kädestä ja niin edelleen.

Sarjaan voi suhtautua kahdella eri tavalla. On hienoa, että myös vammautuneet nuoret naiset pääsevät kilpailemaan keskenään ja tavoittelemaan mallinuraa. Toisaalta voi paheksua sarjan levittämää stereotyyppistä käsitystä, jonka mukaan vammaistenkin pitää kilpailla kauneudesta keskenään. Olisiko yksikätiselle mallille oikeasti töitä, vai onko ohjelma vain julmaa viihdettä katsojille?

Itse en halunnut enkä suoraan sanoen pystynyt katsomaan ohjelmaa alkua pidemmälle. Oli pakko sulkea televisio.

Eniten hämmästyin sitä, että sarjaa esitettiin Ylen ykköskanavalla. Eilisen esityksen ohjelmatiedot kertovat näin:

Erilainen huippumalli haussa

Jännitys tihenee mallikisassa. Viisi fyysisesti vammaista nuorta naista astuu peräkkäin catwalkille. Tuomareiden on vaikea päättää, kuka joukosta putoaa. Osa 3/6.

Ohjelma löytyy myös Ylen Areenasta.

Kun on kyse tavallisista mallitytöistä, ohjelma on kaupallista roskaa, mutta kun kyse on vammaisten kauneuskilpailuista, siitä tuleekin julkista palvelua. Näinkö yksinkertaista on julkisen palvelun logiikka?

Riittääkö vammaisten mukana olo tekemään mistä tahansa ohjelmasta julkista palvelua?

torstai 23. huhtikuuta 2009

YLEn uusi vanha maksu

Yleisradion rahoitusta pohtinut työryhmä päätyi juuri sellaiseen lopputulokseen, kuin mitä entisistä yleläisistä ja poliitikoista koostuvalta joukolta saattoi odottaa: kaikki jatkuu oikeastaan ennallaan, minkään ei tarvitse muuttua. Julkisen palvelun roolia ei muka nettiaikana tarvitse määritellä, 1990-luvun alussa määritelty laki on edelleen voimassa. Yleisradion riippumattomuutta korostetaan muka sillä, että hallintoneuvoston roolia vahvistetaan. Kansalaisten maksutaakka muka laskee, kun maksupohja laajenee yrityksiin ja niihinkin kotitalouksiin (lähinnä nuorten), joissa ei oikeasti ole televisiota.

Muka-uudistus herättää monia kysymyksiä. Ehkä niihin saadaan vastauksia, kun ehdotusta aletaan käsitellä eduskunnassa. Aihe tuottanee kansanedustajille vielä enemmän palautetta kuin Lex Nokia. Suorastaan ihmetyttää, miten poliittisesti valittu toimikunta onnistui saamaan aikaan yksimielisen ehdotuksen. Silloinhan myös kansan selvän enemmistön pitäisi olla ehdotuksen takana. Kohta nähdään onko.

Itseäni huolestuttaa ajatus siitä, että tv-maailmasta tuttu roolijako laajennetaan sellaisenaan nettimaailmaan. Kaikki lähtee oletuksesta, että Yle tekee sisältöä nettiin samalla julkisen palvelun periaatteella kuin televisioonkin. Asia ei ole ihan näin suoraviivainen: se julkinen palvelu, jota Yle on tv-puolella ansiokkaasti toteuttanut, on netissä sisäänrakennettuna. Mitä muuta netti on kuin julkista palvelua? Media, jossa kansalaiset tuottavat sisältöä toisilleen. Media, jossa olemattomien jakelukustannusten vuoksi myös pienryhmät saavat äänensä kuuluviin. Netissä yleisöksi riittää yksikin vastaanottaja. Siihen ei edes Ylen julkinen palvelu pysty.

Televisiossa työnjako toimii, koska tilaa on kaikille toimijoille: julkiselle palvelulle, mainoskanaville ja maksukanaville. Nettimaailma on erilainen. Todennäköisesti yksikään suomalainen sisältöpalvelu ei toimi taloudellisesti omillaan, vaan kaikki tuottavat tappioita. Vain lakisääteisen maksun varassa toimivalla Ylellä on mahdollisuus tuottaa nettiin sisältöä ilman tulovaatimuksia.

Vähän kärjistäen voi sanoa, että netti on pakottanut kaupallisetkin toimijat osaksi julkista palvelua. Uutiset ja sisältö on jaettava ilmaiseksi, sisältöä houkuteltava käyttäjiltä itseltään ("osallistu keskusteluun, anna palautetta, lähetä videoita"). Perinteiset bisnemallit eivät enää toimi.

Onko ammattimainen, suomenkielinen netin sisältötuotanto jatkossa Ylen yksinoikeus? Sitäkö "mediamaksuna" markkinoitu 175 euroa vuodessa lopulta tarkoittaa?

perjantai 17. huhtikuuta 2009

Piraateille tuomio

Ruotsin käräjäoikeus antoi tuomion Pirate Bay -asiassa. Ei ollut suurikaan yllätys, että se oli langettava. Ylläpitäjille määrättiin vuosi vankeutta ja maksettaviksi 3 miljoonan euron vahingonkorvaukset. Päinvastainen päätös olisi ollut todellinen yllätys -- ainakin muille kuin miehille itselleen ja eri maiden piraattipuolueiden jäsenille.

Päätös herättänee Ruotsissa runsaasti keskustelua, sillä (jostain kumman syystä) nettilataus on siellä iso asia. Helmikuun oikeudenkäyntiä seurattiin herkeämättä paikallisten iltapäivälehtien lööpeissä.

Asia on monitahoinen, eikä siihen ole helppoa ratkaisua. Ymmärrän nuoria, joiden mielestä sisältö näyttää vapaalta ja ilmaiselta. Vanha tekijänoikeusbisnes on murroksen partaalla ja yrittää siksi pitää yhä tiukemmin kiinni asemistaan. Uudet tekniset suojakeinot (kuten Suomessakin käyttöön tuleva hd-korttilinkitys) sekä käsittämätön vaatimus lähioikeuksien suoja-ajan pidentämisestä luovat maaperää yhä uusien piraattinuorten synnylle.

Mutta en hyväksy keinoja, joita nuoret käyttävät. He katsovat, ettei heidän tarvitse noudattaa lakeja, jotka heidän omasta mielestään eivät ole enää voimassa. Ei se niin mene. Muutostarve on ilmeinen, mutta muutos on saatava aikaan laillisella tavalla.

Nettilataajilla on hyviä argumentteja, mutta he tekevät niistä väärät johtopäätökset -- tai eivät tee johtopäätöksiä lainkaan. On totta, ettei musiikin lataaminen netistä automaattisesti laske myyntiä ja siten tekijän tuloja. Voi käydä jopa päinvastoin. Mutta tekijänoikeuslain nojalla artisti saa itse päättää, miten hän teoksiaan levittää. Piraateilla ei ole oikeutta tehdä päätöstä tekijöiden puolesta. Jos kerran nettilataus on niin mainio markkinointikanava ja vaikuttaa vain myyntiä lisäävästi, luulisi artistien itsensäkin ymmärtävän sen. Eivät he tyhmiä ole. Lisätulot kiinnostavat kaikkia.

Sitten on myös huonoja argumentteja. Tänäänkin yksi eniten toistelluista väitteistä on ollut se, että myös Google pitäisi haastaa oikeuteen, koska se linkittää muiden aineistoa. Rinnastus on aivan posketon. Google on hakukone, ei piraattipalvelin. Googlen tarkoituksena on auttaa ihmisiä löytämään nettisivuja, ei laittomia kopioita. Jos Googlelle ilmoitetaan laittomista linkeistä, se tekee parhaansa poistaakseen ne palvelusta. Pirate Bay on toiminut täsmälleen päinvastoin. Sen taustajoukot ovat naureskelleet julkisesti poistopyynnöille ja nimittäneet itseään piraateiksi.

Tänään he ovat kokeneet piraattien kohtalon. Onneksi laki - se, jota piraatit eivät itse halua noudattaa - antaa heille mahdollisuuden valittaa päätöksestä seuraavaan oikeusasteeseen. Kestänee useita vuosia ennen kuin piraattiasiasta on saatu lainvoimainen päätös.

Tuhansia uusia haittaohjelmia päivässä

TV-uutiset siteerasi tietoturvayhtiön tuoretta raporttia. "Maailmassa syntyy tuhansia uusia haittaohjelmia tai niiden muunnelmia päivässä", "alalle on syntynyt oma talous, jonka arvo lasketaan sadoissa miljoonissa", "verkkorikollisuus kasvaa räjähdysmäisesti ja muuttuu yhä ammattimaisemmaksi".

Verkkorikollisuus lisääntyy, se on selvä. Verkossa rikos on helppo tehdä ja riski jäädä kiinni siitä on pieni. Samaa tietoa on toistettu koko 2000-luvun ajan. Kuinka pitkän aikaa rikollisuus voi kasvaa räjähdysmäisesti? Jos rikollinen talous olisi todella kasvanut räjähdymäisesti monen vuoden ajan, sen arvo ylittäisi tänään jo valtion budjetin.

Uutisen mukaan rikollisuuden arvo lasketaan "sadoissa miljoonissa". Siis sadoissa miljoonissa. Vertailun vuoksi: Suomessa perintövero tuottaa valtiolle noin 500 miljoonaa. Lasten kouluruokailukin maksaa lähes 100 miljoonaa vuodessa. Maailmantalouden mittakaavassa tällaiset luvut ovat pyöristysvirhettä pienempiä.

Epäilemättä verkkorikollisuus lisääntyy, mutta sen arvosta on vaikea sanoa yhtään mitään. Haittaohjelmien määrän kasvu, kun mitataan tehtyjä ohjelmia eikä suinkaan aktiivisesti leviäviä ohjelmia, ei kerro asiasta juuri mitään. Alan itsensä kannalta on tietenkin mukava siteerata lukuja, jotka kaksinkertaistuvat vuosittain. Erityisen harhaanjohtavia ovat käyrät, joista näkyy eksponentiaalisesti nouseva haittaohjelmien määrä.

Olisi mielenkiintoista tietää, miten helppoa verkkorikollisen elämä nykyään on. Jos kalasteluhuijauksen toteuttaminen ja luottokorttinumeroiden varastaminen olisi niin helppoa kuin väitetään, mikseivät kaikki rosvot tekisi niin? Miksei luottokortin käsittelypalkkio ole jo noussut 20 prosenttiin? Huijauksia ja haittaohjelmia on ehkä helppo tehdä, mutta miten hyvin ne leviävät ja miten tehokkaita ne lopulta ovat? Kenelläkään ei ole luotettavia tilastoja aiheesta.

Kehittyvistä Aasian sekä Etelä-Amerikan maista löytyy miljoonia kokemattomia käyttäjiä, jotka ovat helppoja uhreja. Mutta länsimaissa ihmiset ovat aiempaa kokeneempia. Valistukseen sekä turvaohjelmiin on sijoitettu valtavat määrät rahaa. Uudet selaimet estävät automaattisesti pääsyn useimmille huijaussivustoille.

Verkkorikollisen elämä ei ehkä sittenkään ole niin helppoa kuin annetaan ymmärtää. Onneksi.

torstai 9. huhtikuuta 2009

Biopassin turvallisuus?

Ylen Silminnäkijä ("Varo henkilötietovarasta", Ami Assulin) esitteli 2.4.2009 miten helppoa on murtaa biopassin suojaukset. Muutama tuttu lähetti ohjelman nähtyään huolestuneena sähköpostia ja kysyi, voiko passeihin enää luottaa. Jokainen tehköön asiassa omat johtopäätökset -- ohjelman voi katsoa jälkikäteen Ylen Areenasta toukokuun alkuun asti.

Ohjelma lähtee siitä ajatuksesta, että biopassit ovat uhka identiteettivarkauksien kannalta. Jo lähtökohta on kummallinen. Tiettävästi kenenkään tietoja ei ole varastettu passeista, vaan nettipalveluista (kuten ohjelmassakin kuvatusta Facebookista) sekä varsinkin Suomessa paperitulosteista.

Suomalaisittain arkaluontoisin tieto on henkilötunnus. Se ei ole varsinaisesti luottamuksellinen tieto, mutta sen käsittelyyn liittyy erityisiä rajoituksia ja sitä käytetään usein väärin henkilöllisyyden todentamiseen. Tätä tietoa passeissa ei ole. Ei edes biopasseissa. Henkilötunnus on kansallinen järjestelmä, eikä sillä ole merkitystä maan rajojen ulkopuolella.

Passista löytyy kuva, nimi, syntymäaika ja syntymäpaikka, sekä tietoja henkilön fyysisistä ominaisuuksista. Biopassissa nämä tiedot ovat lisäksi sähköisessä muodossa, jotta ne olisi helpompi lukea koneellisesti ja jotta niitä olisi vaikeampi väärentää. Tiedot sinällään eivät ole salaisia, eikä niiden lukeminen merkitse passin suojausten murtamista.

Suomalaisen passin tiedot on koodattu avaimella, joka saadaan lukemalla optisesti passin tietosivun alareunan koodi. Ilmeisesti passin "murtamisella" tarkoitetaan tämän tiedon lukemista passia avaamatta.

Ohjelmassa näytetään (tosin ylimalkaisesti, yksityiskohtia kertomatta) miten hollantilainen tutkija pystyy lukemaan tiedot laittamalla passin lukijalaitteen päälle. Tämä ei mielestäni ole mikään turvaongelma. Teoreettisen identiteettivarastajan pitäisi siis saada passi haltuunsa ja laittaa se lukulaitteeseen, jotta hän pystyisi lukemaan koneellisesti passiin tallennetut nimi-, kuva- ja syntymäaikatiedot. Jos kerran passi on tietovarastajan hallussa, miksei hän yksinkertaisesti avaa sitä ja katso tietoja? Miksi ne pitäisi murtaa?

Ok, tilanne on vähän eri jos passin tiedot pystytään lukemaan usean metrin päästä vaikkapa jokaiselta ohikulkijalta. RFID-sirun lukeminen metrien päästä ei ole helppoa, koska siru ei ole tavallinen radiolähetin. Siinä ei ole paristoa, vaan se saa energiansa sähkömagneettisesta kentästä. Siksi herkälläkään lukijalla passisirun tietoja ei nykytiedon valossa voida lukea kuin hyvin lyhyeltä etäisyydeltä. Ehkä jonain päivänä joku demonstroi tämän uskomuksen vääräksi.

Lukemisen jälkeen suomalaisen passin koodatut tiedot pitäisi vielä murtaa auki. Se vie oman aikansa, vaikka käytössä olisi tehokaskin tietokone. Joidenkin maiden passeissa tietojen salausta ei ole katsottu lainkaan tarpeelliseksi ja se on jätetty pois.

Paljon vaarallisemmaksi tilanne muuttuu, jos passin tietoja onnistutaan muuttamaan ja uudet tiedot allekirjoittamaan digitaalisella varmenteella takaisin passiin niin, ettei peukalointia havaita. Silloin henkilön nimeä ja kuvaa voitaisiin vaihtaa. Jotta passi kelpaisi rajatarkastuksessa, myös paperille painetut tiedot pitäisi väärentää samalla tavalla. Biopassi ei siis ole erityisen haavoittuva vaan päinvastoin, se aiheuttaa väärentäjälle ylimääräistä työtä. Juuri tämä on järjestelmän tarkoituskin.

Ohjelmassa näytettiin, että tietojen muokkaaminen on mahdollista. Sitä ei kuitenkaan kerrottu, miten muutetut tiedot oli allekirjoitettu, ja miten tutkija aikoi muuttaa paperipassin tiedot vastaamaan sähköisiä tietoja. Tähän asti käsitys on ollut, että vain valtiolla on hallussaan passitietojen allekirjoittamiseen tarvittava salausvarmenne.

Passi ei ole mikään kulkukortti. Siinä ei ole pin-koodia, joka sitoisi passin käyttäjään. Siksi pelkällä passilla ei voi päästä maahan. Rajalla on oltava ihminen, joka viime kädessä vertaa passikuvaa sen kantajaan. Muutoinhan passikuvalla ei olisi mitään merkitystä. Henkilö voisi vapaasti lainata toisen henkilön passia ja matkustaa sillä.

Summa summarum: mikrosirun on tarkoitus tehdä passista vaikeammin väärennettävä, ei salata tietoja. Jos joku haluaa varastaa henkilötietoja, niiden kerääminen passista on kutakuinkin hölmöin mahdollinen tapa.

Toki kaikkeen henkilötietojen sähköiseen leviämiseen liittyy omat riskinsä. On vaara, että viranomaisten rekistereihin kertyviä passitietoja aletaan käyttää väärin tai ne vuotavat rikollisille. Tämä mahdollisuus on olemassa myös paperiaikaan, joskin silloin viranomaisten on työläämpää tallentaa passin tietoja. Maahantulija ei ole missään neuvotteluasemassa tietojensa luovutuksen suhteen. Jos ei anna sormenjälkiä ja kuvaansa USA:n rajalla (siis jo nykyisenä paperipassien aikana), käännytetään saman tien takaisin.

Sormenjälkitietojen lisääminen passiin on uusi ja jossain määrin huolestuttava asia. Kuva ja henkilötiedot niissä on ollut aina, mutta sormenjälki on ihan uusi tieto. Mitä vilunkia voidaan tehdä sähköisillä sormenjäljillämme, jos jokin maa alkaa kerätä niistä tietokantaa, joka sitten päätyy vääriin käsiin? Emme tiedä. Vasta aika näyttää.

Varmuuden vuoksi uusin oman passini kuukausi sitten, nyt kun niitä vielä saa ilman sormenjälkiä.

maanantai 6. huhtikuuta 2009

Norjan malli houkuttelee

Olin toissa viikolla sähköisen viestinnän tietosuojaa käsittelevässä seminaarissa. Muutaman viikon päästä on seuraava tilaisuus. Aihe kiinnostaa varsinkin yrityksiä, sillä vuoden alun nettikohun herättämä epätietoisuus ei ole vieläkään hälvennyt.

Osallistuin myös lauantaina Mediapäivien paneelikeskusteluun Lex Nokiasta. Vihreiden edustaja Jyrki Kasvi moitti lakia tulkinnanvaraiseksi ja vaikeaselkoiseksi. Sen soveltaminen työpaikoilla ei tule olemaan helppoa. Tästä olen Kasvin kanssa samaa mieltä. Jo seminaarissa esitettyjen lukuisten kysymysten valossa voi päätellä, että pykälien tulkinnasta herää epätietoisuutta. Pahimmassa tapauksessa tulkintariitoja ratkotaan jotain päivänä oikeussalissa.

Tuntuu siltä, että Suomi sortui asiassa omaan näppäryyteensä. Työntekijän oikeuksia turvaamaan luotiin niin monimutkainen konstruktio (alkaen automaattisesta järjestelmästä, jonka tehtävänä on havaita poikkeamia viestinnässä), ettei laista enää sen jälkeen saatu mitenkään yksinkertaista ja selkeää.

Norjan malli olisi ollut paljon houkuttelevampi. Siellä tuli maaliskuun alussa voimaan sähköisen viestinnän tietosuojalain uudistus, jonka nojalla työnantaja saa tietyin edellytyksin lukea työntekijöiden sähköposteja (huom: siis sisältöjä, ei pelkkiä tunnistetietoja) ja tutkia työnantajalta saatuja elektronisia laitteita (tarkoittanee kännyköitä viesteineen ja tunnistetietoineen). Tämä edellyttää, että viestien selvittäminen on "yrityksen toiminnan kannalta välttämätöntä" tai että on perusteltua syytä epäillä työntekijän rikkoneen työsuhteen etuja vakavalla tavalla tai käyttäneen sähköpostia tavalla, joka riittää irtisanomisperusteeksi. Lukumahdollisuudesta on kerrottava työntekijälle etukäteen ja tietosuojavaltuutettu valvoo toimintaa. Mikäli työntekijän havaitaan syyllistyneen rikkeeseen, työnantajan harkintaan jää, tekeekö se tapauksesta ilmoituksen poliisille.

Tämän lain tulkitsemiseen ei tarvita koko päivän seminaareja! Selkeä ja yksinkertainen periaate on kaikkien osapuolten kannalta hyvä asia.

Jostain syystä Norjassa ei noussut kohua laista (voisiko se olla "Lex Statoil"?), vaikka työnantaja saa siinä paljon enemmän oikeuksia kuin Suomessa. Käsittääkseni Norja on länsimainen oikeusvaltio ja sielläkin sananvapaus on taattu perustuslaissa.

Vaikka viittaan lakiin "Norjan mallina", sama periaate on voimassa monissa muissakin maissa. Intressipunninta tunnetaan Ruotsissakin. Vain Suomessa tietosuoja on käytännössä ehdoton.

Suomen tarkoitus oli hyvä, mutta lopputulos saattoi johtaa ojasta allikkoon. Laki, jota työntekijät pelkäävät ja jota yritykset eivät uskalla ottaa käyttöön sen kustannusten ja raskaiden menettelyjen vuoksi, ei hyödytä loppujen lopuksi ketään.

torstai 2. huhtikuuta 2009

Teosto uuteen ennätykseen

Jos tekijöitä olisi uskominen, piratismi uhkaa koko musiikkialan tulevaisuutta. Vaikka musiikkia kulutetaan yhä enemmän, artistien tulot laskevat ja he joutuvat ahtaalle piratismin puristuksessa. Niinkö?

Teosto julkisti eilen 1.4.2009 vuoden 2008 luvut. Niiden mukaan Teosto keräsi esittäjille ja musiikin tekijöille kuuluvia korvauksia 39 miljoonaa euroa. Summa on peräti kuusi prosenttia suurempi kuin edellisenä vuonna -- joka sekin oli ennätyksellinen vuosi 36,6 miljoonan tilityksillään. Itse asiassa Teoston perimien ja artisteille maksamien korvausten määrä on noussut joka vuosi ainakin vuodesta 2003 lähtien, jolloin summa oli 32,3 miljoonaa. Nousua oli varmaan jo tätä aiemmin, mutta niin vanhoja lukuja ei nyt ole edessäni.

Musiikkia soitetaan yhä enemmän. Tekijät ansaitsevat yhä enemmän. Kaikki näyttäisi olevan oikeastaan aika hyvin, vai mitä?

Tänä vuonna trendi saattaa kääntyä. Teosto on sitonut radio- ja tv-kanavilta perittävät maksut liikevaihtoon aiempien esitysminuuttien sijaan. "Liikevaihtoon sidottu sopimus mittaa hyvin musiikin käytöstä saatavaa hyötyä", lukee Teoston vuosikertomuksessa 2007 (s. 5). Kun ajattelu on näin bisnesmäistä, on hyväksyttävä myös talouteen kuuluva alamäki.

Jos maksutulo tänä vuonna pienenee, turha syyttää ensi keväänä piraatteja, vaan pikemminkin ahnetta bisnesajattelua, joka velottaa kymmenykset artisteille riippumatta siitä, kuinka paljon näiden teoksia oikeasti käytetään.

keskiviikko 1. huhtikuuta 2009

Hovioikeus vahvisti: naapurin verkkoa ei saa käyttää luvatta

Hovioikeus vahvisti eilen vuoden takaisen käräjäoikeuden päätöksen, jossa naapurin verkkoyhteyttä salaa käyttänyt mies tuomittiin lievästä luvattomasta käytöstä kahdeksaan päiväsakkoon. Tuomio on nimellinen, mutta päätös on silti herättänyt vilkasta keskustelua netissä.

Yleisesti ihmetellään, miten pihalla hovioikeus voikaan olla, kun menee antamaan tuomion naapurin verkon käytöstä. Eihän siinä edes kuluteta mitään. Kuka enää uskaltaa käyttää wlan-kännyköitä tai tietokoneita, nehän voivat vaikka vahingossa ottaa yhteyden avoimeen wlaniin?

Lehtiuutinen ei kerro asian taustoja, joten päätös näyttää kummalliselta. On syytä muistaa, että lain nojalla toisen omaisuutta ei saa käyttää luvatta, vaikka se ei käytöstä kuluisikaan. Tämä periaate tulee rikoslaista ja pätee useimmissa länsimaissa. Esimerkiksi Englannissa wlan-verkon "lainauksesta" on annettu 500 punnan sakkoja, USA:ssa vielä enemmän. Kyse ei siis ole suomalaisesta erikoisuudesta.

Rikoslaki edellyttää tahallista tekoa. Jos oma tietokone ottaa automaattisesti yhteyden suojaamattomaan wlaniin, eikä käyttäjä tee sitä tahallisesti, teko ei voi olla rangaistava. Silti jokaisen tukiaseman omistajan kannattaa huolehtia oman verkkonsa salaamisesta. Ellei sitä tee, vaarantaa suotta oman tietoturvansa. Avoimet kaupunkiverkot ovat asia erikseen, sillä ne on nimenomaisesti tarkoitettu julkiseen käyttöön.

Useimmiten verkon suojaamattomuus johtuu omistajan tietämättömyydestä tai välinpitämättömyydestä, mutta joskus salauksen kytkeminen päälle voi olla teknisesti vaikeaa. On esimerkiksi tilanteita, joissa tukiasemasta ja omista laitteista ei löydy yhteistä salaustekniikkaa ja kaikille sopivaa avainpituutta. "Toisen henkilön suojaamattoman verkon käyttö ei ole jokamiehenoikeus", sanotaan tuomion perusteluissa. Niinpä.

Mutta palataanpa tähän tapaukseen. Lainauksen teki rangaistavaksi se, että tekijä oli IT-alan ammattilainen, joka varmasti tiesi wlan-verkkojen toimintaperiaatteen. Eikä kyse ollut yhdestä kerrasta, vaan niitä oli useita. Oleellista oli myös lainauksen syy: mies oli yrittänyt murtautua entisen työnantajansa sähköpostipalvelimelle ja käyttänyt naapurin verkkoa jälkiensä peittämiseen. Temppu myös onnistui: koska naapurin verkko oli avoin, jäljet loppuivat siihen. Tietomurrosta ei voitu tuomita, koska oli periaatteessa mahdollista, että murtoon oli syyllistynyt joku muu ohikulkija.

Niinpä jäljelle jäi vain lievä luvaton käyttö. Tuomio siitä oli näissä olosuhteissa kohdallaan.

Tietosuoja-aukko Googlessa?

Ponihäntäiseen naiseen ihastunutta miestä jäljittäneet nettietsivät kokeilivat vanhaa kikkaa: väittämällä, että ovat unohtaneet webmail-postin salasanan, he saivat Googlen lähettämään uuden. Samassa yhteydessä Gmail näyttää domain-nimen, jonka sähköpostiosoitteen rekisteröijä on aikoinaan ilmoittanut varaosoitteekseen. Domain-nimestä ei näe suoraan henkilöä, mutta siitä voi usein päätellä työnantajan tai ainakin maan. Näin nettietsivät pääsivät venäläisen liikemiehen jäljille.

Googlen sähköpostista on siis melko helppo selvittää tunnuksen haltijan henkilöllisyys. Miten Googlen palvelussa voi olla näin vakava tietosuoja-aukko?

Hetkinen, hetkinen! Gmail ei ole mikään anonyymipalvelu. Se ei lupaa missään, että käyttäjän identiteetti pysyisi salassa. Gmail suojaa ainoastaan viestien sisältöä, ei henkilöllisyyttä. Se, että Gmailista voi rekisteröidä tunnuksen vaikka aku.ankka@gmail.com -nimellä, ei ole itsetarkoitus vaan seuraus siitä, ettei rekisteröijän todellista henkilöllisyyttä voida tietää.

Salasanan palautusta muka pyytäneelle henkilölle lähtee sähköpostiviesti, jossa sanotaan näin: "Jos sait tämän viestin erehdyksessä, on todennäköistä, että toinen käyttäjä antoi sähköpostiosoitteesi vahingossa yrittäessään vaihtaa salasanaa." Vahingossa tai ei, sananmuodosta näkee että Google on hyvin tietoinen tästä "turva-aukosta".

Suurin osa ihmisistä haluaa Gmail-tunnuksen omalla nimellään. Valitettavasti yleiset nimet ovat varattuja, joten moni joutuu lisäämään tunnukseensa numeroita ja muita erikoismerkkejä löytääkseen vielä vapaana olevan osoitteen. Omalla nimellä esiintyminen on myös Gmailin tavoite. Se haluaa profiloida palvelunsa vakavasti otettavana ja uskottavana, ei suinkaan anonyymipalveluna, jonka taakse erilaiset hämärähenkilöt voivat piiloutua.

Niin ikään Gmail myy sähköpostipalveluaan yrityskäyttäjille maksua vastaan. Kuka yritys haluaisi käyttää palvelua, jonka taakse piiloutuvat nettihuijarit, pedofiilit, piraatit ja ihastustaan etsivät rikkaat venäläiset liikemiehet?

Jos se vain olisi teknisesti mahdollista, Gmail luultavasti tarkistaisi jokaisen käyttäjän henkilöllisyyden ja myöntäisi vain nimeen sidottuja tunnuksia. Koska näin ei ole, tunnuksia voi rekisteröidä millä nimellä tahansa -- mutta ei kannata laskea sen varaan, ettei oikea henkilöllisyys paljastuisi.

Toki osaava käyttäjä voi pitää henkilöllisyytensä salassa yksinkertaisesti varaamalla kaksi webmail-osoitetta eri palveluista (esim. Hotmail ja Gmail). Molempiin annetaan vara-osoitteeksi toisen osoite. Jos joku yrittää selvittää henkilöllisyyttä, hän näkee vain uuden Gmail/Hotmail-osoitteen, jotka johtavat ristiin toistensa luo. Eikä sitten kannata unohtaa molempien salasanoja...

Kaikesta päätellen ilmoituksen jättänyt venäläismies ei toimi ainakaan IT-alalla. Ilmeisesti hänellä ei myöskään ole kamerakännykkää. Eikä maailmanmiehen tapoja muutenkaan.
Website Security Test