Isoveli on vanhentunut uhkakuva. Henkilötietosi kaappaa todennäköisemmin it-työntekijä, josta tilaisuus tekee varkaan.

Teksti: Marko Hamilo

Isoveli on vanhentunut uhkakuva. Henkilötietosi kaappaa todennäköisemmin it-työntekijä, josta tilaisuus tekee varkaan.

Julkaistu Tiede -lehdessä 4/2010.Käytätkö Googlen sähköpostipalvelua Gmailia? Onko sinulla facebook-tili? Oletko koskaan ajatellut, kuka voi lukea yksityisiksi luulemiasi viestejä?Google tietää meistä jopa enemmän kuin Yhdysvaltain turvallisuus- ja urkintapalvelut NSA ja Echelon, väittää tietotekniikan asiantuntija Petteri Järvinen Tietokone-lehdessä. Ja toisin kuin turvallisuuspalvelut se on kiinnostunut muustakin kuin terrorismiin liittyvistä asioista.Mutta onko lainkuuliaisella kansalaisella mitään pelättävää, vaikka suuryritykset tai valtion turvallisuuspalvelut tietäisivätkin muutaman jännittävän yksityiskohdan kansalaisen makuuhuoneesta tai pankkitililtä?Yhdysvaltain tiedeviikolla San Diegossa Michael Lechner, Euroopan unionin kansalaisten suojelun ja turvallisuuden tutkimuslaitoksen IPSC:n johtaja, on huolissaan. Ei kuitenkaan niinkään siitä George Orwellin maalaamasta uhkakuvasta, että epädemok¬raattinen hallitus urkkisi kansalaisiaan Stasin tapaan. Ennemminkin Lechneriä pelottavat tietotekniikan ammattilaiset, joille houkutus myydä yksityisiä tietoja voi osoittautua liian suureksi.

Sisältö jatkuu mainoksen alla

Tieto on kehitysmaissaMeistä jää erilaisiin tietokantoihin jälkiä paitsi Googlessa myös joka kerta, kun vilautamme matkakorttia bussissa, maksamme luottokortilla tai kävelemme valvontakameran ohi. Tekniikka tällaisten valtavien tietomäärien ”louhimiseksi” ja yhdistelemiseksi automaattisesti kehittyy nopeasti.Fyysisesti nämä jäljet tekemisistämme sijaitsevat serverifarmeissa, joihin on yleensä pääsy vain tietotekniikan ammattilaisilla. Toisaalta jos joku heistä haluaa kopioida tietokannan ja viedä sen mukanaan, nykyaikaiset talletustekniikat antavat varkaalle erinomaiset mahdollisuudet.Pelkästään yhden muistitikun mukana voi viedä gigatavuittain tietoja. Yhdelle ainoalle dvd-levylle mahtuu 700 000 perinteisen arkistomapin tietomäärä, Lechner muistuttaa.Mielikuvissamme nämä palvelinsalit ovat siistejä toimistoja jossakin rikkaassa länsimaassa. Viime aikoina kuitenkin myös tietotekniikkaa on ulkoistettu halvempiin maihin. Lechnerin mukaan tietoturvallisuus on vain yksi kymmenestä kriteeristä, joiden mukaan yritykset päättävät, mihin maahan ne palvelimensa ulkoistavat.Tutkimus- ja konsultointiyritys Gartnerin mukaan suosituimpia tietotekniikan ulkoistuskohteita vuonna 2008 olivat läntisellä pallonpuoliskolla Argentiina, Brasilia, Kanada, Chile, Costa Rica, Meksiko ja Panama ja Aasiassa esimerkiksi Intia, Malesia, Pakistan ja Filippiinit.

Sisältö jatkuu mainoksen alla

Tietoon pääsee helposti käsiksiSaatamme myös ajatella, että datakeskuksien käytävillä vaeltelee vain hyväpalkkaisia, ammattietiikaltaan tiukkoja huippuammattilaisia. Todellisuudessa palvelinsaleissa voi olla melkoinen hässäkkä, Lechner väittää.Tietoon saattaa tavalla tai toisella olla pääsy datakeskuksen operaattoreilla, sovellusten omistajilla, ohjelmistovalmistajilla, laitevalmistajilla, ulkoistetun palvelun yhteistyökumppanilla, siivousfirmalla ja vartiointiliikkeellä.Lisäksi joudumme luottamaan koko joukkoon muita ammattikuntia ja yrityksiä, joiden työntekijöillä on laillinen pääsy meitä koskeviin, osin arkaluonteisiin tietoihin. Lechner mainitsee esimerkkeinä poliisit, julkisen hallinnon, pankit, puhelinoperaattorit, internetyhteyden tarjoajat, hotellit, lentoyhtiöt, hakukoneet ja tietokoneohjelmistot.Keitä pitäisi pelätä eniten?

It-ammattilaisella taito ja motiiviLechner vertaa neljää ryhmää: poliiseja, yksityisten vartiointiyritysten työntekijöitä, tietotekniikka-ammattilaisia ja yritysjohtoa. Suurin houkutus asemansa väärinkäyttöön on Lechnerin mielestä it-ammattilaisilla. Ensinnäkin järjestelmänvalvojalla, system administratorilla, on suurimmat valtuudet lukea tietokantoja ja kopioida niistä omille tallennusvälineilleen mitä haluaa. Toisekseen ”sysadmin” osaa mitä todennäköisimmin peittää jälkensä paljon paremmin kuin esimerkiksi poliisi, vartija tai varatoimitusjohtaja.Johtajilla on tuskin motiivia datarikoksiin, koska he ovat hyvin palkattuja. Poliisien peruspalkka ei ehkä ole ihmeellinen, mutta heillä taas on menetettävänään ainakin maine ja eläkeoikeudet. Tietojärjestelmien ylläpitäjät taas saattavat olla samanaikaisesti sekä alipalkattuja että teknisesti osaavia.Antiikin Kreikan filosofi Sokrates pohti aikanaan, ”kuka vartioi vartijoita”. Sokrates vastasi, että aarteita tavallisilta ihmisiltä vartioivat miehet uskoivat vahvasti omaan ylemmyyteensä kansaan verrattuna. Heille oli uskoteltu, että he olisivat muita parempia ihmisiä, ja tämä ”jalo valhe” piti heidän moraalinsa korkealla.Nykyään kutsuisimme jaloa valhetta ehkä ammattietiikaksi. Lechner epäilee taloudellisten houkutusten kasvaneen niin suuriksi, ettei jalo valhe enää toimi.

Kyse ei ole hakkereistaMiten datavarkaisiin pitäisi suhtautua? Onhan sellaisiakin hakkereita, jotka huvin vuoksi ja mainetta saadakseen murtautuvat tietojärjestelmiin paljastaakseen niiden heikot kohdat. Nämä unilukkarit ovat yleensä hyödyllisiä tietojärjestelmien ylläpitäjille, jotka voivat sitten paikata aukot, ennen kuin niitä käytetään vihamielisiin tarkoituksiin.Nyt on kyse rikollisista, Lechner sanoo.– 1980-luvulla häkättiin huvin vuoksi, nyt on kyse rikollisesta liiketoimintamallista. Lechner tarjoaa ”neljän silmän periaatetta” lääkkeeksi kaikkein arkaluonteisimpien tietojen käsittelyyn. Se tarkoittaa, että esimerkiksi tiettyihin datatiloihin ei koskaan saa mennä yksin, vaan vartijat vartioivat myös toisiaan.

Isot datavarkaudet todellisuutta

Datavarkaus saattaa kuulostaa teoreettiselta. Järjestelmänvalvoja voisi varastaa tietoni, mutta miksi hän tekisi niin? Ja ketä ne kiinnostaisivat?– Suurten mittojen datavarkaus ei ole mitään teoreettista pohdintaa, sanoo tutkija Michael Lechner.Esimerkiksi eräs liechtensteinilainen pankkityöntekijä varasti vuonna 2002 työnantajaltaan asiakastietoja dvd-levyillä. Hän kaupitteli niitä eri hallituksille veronkierron paljastamista varten. Lopulta Saksan liittotasavallan tiedustelupalvelu osti datan 7,2 miljoonalla dollarilla ja luovutti tiedot valtiovarainministeriölle. Ministeriö sai näin perityksi kierrettyjä veroja yli 400 miljoonalla, joten kauppa kannatti ostajalle.Tapaukseen liittyy koomisia piirteitä. Varastetun tavaran myynti ja osto on nimittäin Saksassa lakien mukaan rikollista, kuten Suomessakin.Saksan valtio ei silti syyllistynyt varastetun tavaran ostamiseen, koska tallennusvälineet, joilla varastetut tietokannat saatiin, eivät olleet varastettuja. Varastetun tiedon vaihtokauppa taas ei Saksan lakien mukaan ole rikollista – koska tieto ei ole tavara.Datavaras sai kuitenkin maistaa omaa lääkettään. Saksalaiset rahanpesua valvovat viranomaiset huomasivat rutiinitarkastuksessa varkaan tilille tulleen normaalia suuremman rahasumman. Varkaan nimi vuodettiin lehdistölle välittömästi.

Sisältö jatkuu mainoksen alla