Suomen Internet-yhdistys - SIY ry

SIY:n lausunto sotilastiedustelua koskevaan lakiehdotukseen

Lausunto  sotilastiedustelua  koskevaan  lainsäädäntöehdotukseen

SIY ry kiittää mahdollisuudesta saada lausua sotilastiedustelulakityöryhmän mietintöön ja lakiehdotukseen.

 

Yleistä

 

Tiedustelutiedon hankkimisen ja käyttämisen pelisäännöt ovat nousseet kansainväliseen keskusteluun kesän 2013 jälkeen ja kiihtyneet uusien tiedustelutapausten julkitulon myötä sekä myös turvallisuusympäristön muutosten myötä. SIY ry pitää kannatettavana, että oikeusvaltion periaatteita noudattaen luodaan myös Suomeen lakiin perus- tuva sääntely tiedustelusta, sen oikeutuksesta yleensä sekä toimijoiden oikeuksista ja velvoitteista.

 

Sotilastiedustelulakityöryhmän mietintö ja lakiehdotuksen perustelut ovat osittain epätarkkoja ja jopa harhaanjoh- tavia. Ryhmässä ei ollut edustettuna varsinaisia tietoliikenne- ja internet –toimialan asiantuntijoita joita olisi ollut käytettävissä koko valmistelun ajan. Lainvalmistelun laatu ei kaikilta osiltaan vastaa tasoa jota voisi edellyttää ky- seisen lakiehdotuksen merkittävyyden vuoksi.

 

Tuomioistuimen kyky arvioida tiedustelutoiminnan oikeasuhtaisuutta, tarpeellisuutta ja lainmukaisuutta tulee ole- maan koetuksella mikäli lakiehdotuksen laatua ei kohenneta. Tuomioistuimen tulisi kyetä lainmukaisuuden lisäksi kyetä arvioimaan onko pyydetty toimi perusteltu ja tehokas sekä riittävän tarkkarajainen ettei perusoikeuksia lou- kattaisi tarpeettomasti. Tehtävä on haasteellinen vaatien sekä juridisen osaamisen laista että ymmärryksen tieto- verkkojen ja järjestelmien rakenteesta.

 

Tiedonhankinta tietoliikenteestä, sekä tiedon tallennus, vaatii laitteistoja ja ohjelmia toteutukseen. Näiden laitteiden ja ohjelmistojen turvallisuutta Suomi ei kykene varmuudella varmistamaan mikäli niitä ei alisteta kansallisen tieto- turvasertifioinnin alaiseksi. Laissa tulisi edellyttää tiedusteluun käytettäviltä laitteistoilta ja ohjelmistoilta sellaista turvatasoa jotka VAHTI –ohjeet ja suositukset asettavat yleisesti henkilötietojen ja salassa pidettävien tietojen käy- tölle, tallennukselle ja hävittämiselle.

 

SIY ry:n keskeiset huomiot ja viestit

 

Lain johdanto ja perustelut

 

Tiedonhankinta tietoliikenteestä (5 luku); Kappale tiedustelun rajaamisesta on virheellinen ja epätarkka: Tietoliikennetiedustelulla tarkoitettaisiin Suomen rajan ylittävän viestintäverkon osassa ylittävään tietoliikentee- seen kohdistuvaa, tietoliikenteen automatisoituun erotteluun perustuvaa teknistä tiedonhankintaa sekä hankitun tiedon käsittely. Tietoliikennetiedustelu koskisi näin ollen ainoastaan sellaista tietoliikennettä, joka ylittää valta- kunnanrajan siirtymällä suomalaisesta viestintäverkosta ulkomaiseen viestintäverkkoon tai päinvastoin. Merkittävä osa suomalaisesta tietoliikenteestä olisi jo näin rajattu tietoliikennetiedustelun ulkopuolelle.

 

Automaattinen erottelu voidaan katsoa myös massatiedusteluksi koska liikenne on jo ohjattu (peilattu tai muutoin) tiedustelujärjestelmään. Se, että liikenteestä edelleen suodatetaan vain osa tarkempaan tarkasteluun ei poista to- siseikkaa, että kaikki liikenne (kyseisellä yhteydellä) on valvottua. Kansainvälinen standardointijärjestö IETF on dokumentissään RFC7258 määritellyt, ja yhteisö hyväksynyt, massavalvonnan tekniseksi hyökkäykseksi yksityi- syyttä vastaan (https://tools.ietf.org/html/rfc7258).

Mikäli tiedustelu kohdistetaan vain rajatulle joukolle yhteysvälejä (esim. valopolkuja) niin voidaan välttää tosiasi- allinen massatiedustelu ja käyttää termiä valvottu yhteysväli. Tarkkarajaisuuden vuoksi tulisi laissa määritellä, että luvassa jolla tiedusteluoikeutta haetaan tulee määritellä yhteysväli tai -välit josta tiedustelu toteutetaan. Valvontavi- ranomaiselle jäisi valvontavelvollisuus ja harkinta siitä täyttääkö haettu ja saatu lupa massavalvonnan tunnusmerkit vai onko se riittävän tarkkarajaisesti kohdistettu lupahakemuksessa kuvattuun uhkaan.

 

Huomattava osa suomalaisesti internetliikenteestä kulkee tai sen signalointitiedot kulkevat Suomen rajojen ulko- puolella. Tämän liikenteen erotteleminen ulkomaisesta liikenteestä on vähintäänkin haastavaa. On siis enemmänkin sääntö kuin poikkeus, että suomalaisten keskinäistä tai pelkästään Suomessa sijaitsevien päätelaitteiden välistä liikennettä päätyy tiedusteluun ja edelleen käsittelyyn.

 

Teleyrityksen ja tiedonsiirtäjän avustamisvelvollisuus ja toimista aiheutuvien korvausten (§93,94,95 ja 96) tulisi kattaa myös sellaisia välillisiä kustannuksia joilla tiedonsiirtoverkon vaatimustenmukaisuus voidaan ylläpitää myös tapauksissa joissa tämän lain mukaisia järjestelmiä kytketään samaan infrastruktuuriin itse telejärjestelmien kanssa.

 

 

Tästä esimerkkinä varavoimalaitteet joiden suorituskykyyn viranomaisten laitteet voivat tukeutua ja joiden kuormi- tusta ei ole otettu huomioon laitetilan varsinaisen käyttötarkoituksen mukaista toimintaa suunniteltaessa.

 

Tietoliikenteeseen kohdistuvan tiedustelun yleisenä edellytyksenä olisi toiminnan tuloksellisuus tai välttämättö- myys.

Verkkoliikenteenne ml. sähköpostit välitetään valtaosin salattuna. Mietinnössä mainittu tuloksellisuus ja tulokselli- suusodotus ovat siten lähtökohtaisesti erittäin huonoja koska kykyä salauksen murtamiseen ei liene olemassa. [Viite salauksen yleisyyteen: "A forecast that 70% of global Internet traffic will be encrypted in 2016, with many net- works exceeding 80%" (https://www.sandvine.com/trends/encryption.html)].

Mietinnössä mainitut muut tunnistetiedot ovat niin ikään kyseenalaisia, koska mitään järkevää tunniste- tai ohjaus- tietoa ei ole saatavissa edes Facebookin, Googlen, TOR:n tai VPN-palveluiden tapauksissa.

Välttämättömyyden osalta tuomioistuimen tehtävä on haasteellinen vaatien sekä juridisen osaamisen laista että ymmärryksen tietoverkkojen ja järjestelmien rakenteesta toimenpiteen oikeutusta harkittaessa. Harkinta sen suhteen onko sovellettavissa muita tiedonhankintakeinoja vaatii jo kokemusta teleyritys tai yhdysliikennetoiminnasta tai ulkopuolista asiantuntijaosaamista. Arviointi sen perusteella onko tietojen hankkiminen muulla keinolla mahdoton- ta tai kohtuuttoman vaikeaa jäänee tyhjäksi kirjaimeksi tuomioistuimen näkökannalta, edellytyksiä arvioida esityk- sestä poikkeavasti ei liene olemassa.

 

Suomen rajan ylittävän viestintäverkon osaan kohdistettava tiedustelu perustuu tietoliikennevirtaan (§66). Peruste- luista puuttuu tietoliikennevirran määritelmä. Termi ei ole yleisesti teleyrityksissä käytetty tekninen tai operatiivi- nen termi ja se voidaan tulkita usealla tavalla (esim. TCP-yhteys, valopolku, VPN tunneli).

 

Luvussa §73 suojelupoliisin avustamisessa todetaan, että Puolustusvoimat luovuttaa ”teknisen analyysin” toimek- siannon perusteella. Jäljempänä mainitaan, että ” kyse olisi ainoastaan tietoliikenteen hankinnasta ja sen luovutta- misesta sellaisenaan suojelupoliisille.” Toimet ovat keskenään ristiriidassa. Mikäli liikenne luovutetaan sellaise- naan eteenpäin ei siitä tarvinne tehdä erikseen analyysiä.

 

Sivulla 159 mainitaan: ”Tietoliikennetiedustelua ei käytettäisi Suomen sisäisessä viestintäverkossa kulkevan tieto-

liikenteen tiedusteluun tai Suomessa oleskelevien osapuolten välisen tietoliikenteen tiedusteluun.”

Väite ei kestä teknistä tarkastelua koska osa Suomen sisäisestä liikenteestä kiertää ulkomaiden kautta. Lisäksi useat verkon suosituista palveluista, joita siis suomalaiset käyttävät usein, sijaitsevat ulkomailla. Jopa Suomen maatun- nus (.fi) on hajautettu ulkomaille ja siten myös nimipalvelukyselyt ohjautuvat osin ulkomaille. Tulisiko tällainen liikenne joka kohdistuu kansallisesti tärkeään ja korvaamattomaan palveluun hävittää tiedustelusta vai voiko sitä hyödyntää jää epäselväksi.

 

Taloudelliset vaikutukset

 

Arviot sotilastiedustelujärjestelmän mahdollisista kustannuksista vaikuttavat alimitoitetuilta (luokkaa 100 henkilö- työvuotta, 10 € investoinnit). Suomen rajojen kautta kulkee olettavasti satoja gigabittejä sekunnissa, mahdollisesti jopa terabittejä. Tällaisen valvontajärjestelmän pelkkä laitekustannus olisi vähintään useita kymmeniä miljoonia euroja (optiset siirtojärjestelmät, kytkimet ja reitittimet, DPI-laitteisto sekä varsinaisen datan analysointityökalut). Tämän lisäksi tarvittaisiin laaja henkilöstö ylläpitämään järjestelmää sekä myös analysoimaan dataa. Järjestelmän budjetointi tulisi perustua asiantuntija-arvioon sekä järjestelmien että henkilöstökulujen osalta. Alimitoitus vaaran- taa edelleen tiedustelun tuottoarviota. Kyseessä on kuitenkin (käsittääksemme) yksi Puolustusvoimien päähank- keista ja verrattuna muihin hankkeisiin (merivoimat, ilmavoimat) jää tiedusteluun kohdistettava määräraha suhteel- lisen vaatimattomaksi.

 

Yksityiskohtaiset huomiot

 

Kansainvälinen yhteistyö, §18: tiedustelutietojen vaihtamista ei ole rajattu ulkomaisiin viranomaisiin joten niitä voitaisiin käyttää myös yksityisen sektorin toimijoiden kanssa. Kansainvälisen käytön ja luovuttamisen voisi tar- kemmin rajata tai asettaa poliittisen ohjauksen alle (UTVA?). Käyttö ja luovutus sisältävät aina poliittisen riskin jossa tarkoitus voi kääntyä Suomen valtion tai kansan intressiä vastaan.

 

29 §, 30 § ja 31§:n mukaan ehdotetaan oikeutta sijoittaa ja poistaa tekniseen tarkkailuun käytettävä laite, menetel- mä tai ohjelmisto tietojärjestelmään menemällä salaa kohteeseen kaipaa tarkennusta. Lain perusteissa tulisi määri- tellä miltä tahoilta toimenpide voidaan salata jotta tuomioistuin kykenee arvioimaan luvan perusteet. Salaa tietojär- jestelmään asetettu ohjelmisto sisältää aina riskin järjestelmän toiminnalle ja on omiaan heikentämään sen turvalli- suutta. Toimenpidelupa-anomuksen tulisikin sisältää analyysi mitä vahinkoa tarkkailuohjelma voi aiheuttaa tieto- järjestelmälle tai sen ohjaamalle prosessille, sekä myös uskottava kuvaus miten ohjelmisto poistetaan vaaraa aiheut-

 

 

tamatta. Tietojärjestelmän toimimattomuus tällaisen toimenpiteen seurauksena voi johtaa tilanteeseen jossa keskei- siä yhteiskunnan palveluita keskeytyy, esimerkiksi lentoliikenne tai keskeinen elintarvike- tai energiantuotanto.

Oikeuteen asettaa valvontaohjelmistoja tietojärjestelmiin tulisi asettaa myös korvausvelvollisuus vahingon varalta. Asiattomien ohjelmistojen poisto ja turvallisuusjärjestelmien tarkistus aiheuttavat kustannuksia ja liiketoiminnan haittaa. Olisi kohtuutonta edellyttää, että näiden aiheuttaja ei olisi korvausvelvollinen johtuen virka-asemastaan.

 

Tietolähde ja peitetoiminta (40§ ja 43§) on rajattu henkilöihin kohdistuvaksi toiminnaksi, toisin kuin lakiehdotuk- sessa siviilitiedustelusta. Lakien olisi hyvä olla näiltä osin yhteneväiset jottei synny toimeenpanovallan käyttöoike- uksista tulkintaerimielisyyttä.

 

Ulkomaan tietojärjestelmätiedustelussa (62§) mainitaan, ettei toiminta saa kohdistua henkilöiden väliseen luotta- mukselliseen viestintään. Koska lakiehdotuksessa on useasti mainittu, että ulkomainen liikenne ei nauti luottamuk- sen suojaa, niin rajaus henkilöiden väliseen viestinnän jättämisestä tiedustelun ulkopuolelle on outo.

 

Oikeus saada tietoja rekistereistä ja tietojärjestelmistä (108§) kattaa huomattavan määrän kansallisia rekistereitä sekä oikeuden täydentää tiedusteluviranomaisen omia rekistereitä niiden tiedoilla. Oikeus ja sen perusteet tulisi harkita uudelleen koska mikäli tiedustelu on pääasiallisesti kohdistettu Suomen rajojen ulkopuoliseen toimintaan ei liene olemassa vahvoja perusteita sille miksi tiedustelua tulisi toteuttaa rekistereistä joissa on pääasiallisesti vain Suomen kansalaisia. Tietoja rekistereistä voidaan pyytää ja saada myös virka-apuna tai tuomioistuimen päätöksellä tapauskohtaisesti. Yhdistelmä tietoliikenteen tiedustelusta ja teknisestä käyttöyhteydestä kansallisesti kriittisiin rekistereihin muodostavat väärinkäyttö- ja tietovuotoriskin joka on merkittävä ja itse toiminnalle tarpeeton.

 

115§ Tietojen poistaminen sotilastiedustelun tietojärjestelmästä on asetettu 50 vuoden määräaika viimeisen tiedon lisäämisestä. Käytännössä aika vastaa koko ihmisen aktiivista aikuisikää. Määräaika voi olla yksilön näkökulmasta kohtuuton vaikkakin sen tarkoituksenmukaisuudesta on säädetty 5 vuoden tarkasteluaika. Miten pykälä suhtautuu EU:n GDPR –sääntelyyn ja oikeuteen unohtaa jää epäselväksi.

 

Helsingissä, 15.6.2017

 

 

Suomen Internet-yhdistys, SIY ry Hallituksen puolesta

 

 

Jorma Mellin Varapuheenjohtaja

Artikkelilaji: