Puolustusministeriön vetämän työryhmän mietintö, Suomalaisen tiedustelun suuntaviivoja, julkaistiin jo muutama kuukausi sitten, mutta vasta nyt sain aikaiseksi lukea sen. Ja nytkin lähinnä tietoliikennetiedustelun osalta, josta se on uutisissa ja vaalikoneissa tutuimmaksi tullut. Loppuraportissa oli myös kooste lausunnoista ja Liikenne- ja viestintäministeriön edustajan eriävä mielipide.

Se mitä olen vaalikoneisiin vastannut, on ollut kysymystenasettelu huomioiden oikein. Ehdotetussa tietoliikennetiedustelussa ei haluta valvoa massoja, vaan mahdollisimman rajattua joukkoa. Käytännössä se ei vain onnistu ilman kaiken liikenteen arviointia vähintään liikenteen alku- ja määränpään perusteella. Kaikki alla oleva ei ole omasta päästäni, vaan mukana on sekä omaa pohdintaa että lukemiani ja mielestäni huomionarvoisia kohtia sujuvasti sekoittaen.

Tietoliikennetiedustelulla arvellaan saavan tietoa sekä törkeistä rikoksista, niiden uhista, että vakavista haittaohjelmista ja palvelunestohyökkäyksistä. Tällä tiedolla on tarkoitus suojella kansalaisia, elinkeinoelämää ja kansallista turvallisuutta. Olen muutenkin puhunut tietoturvallisen tietoyhteiskunnan puolesta ja siksi pidän tärkeänä, että Suomalaisten verkkojen ”puhtaus” olisi vastaisuudessakin korkealla tasolla. Toisaalta, meillä on jo viranomainen, jonka vastuulle verkkoturvallisuus kuuluu. Viestintäviraston kyberturvallisuuskeskus, joka vastaa myös kansallisesta CERT -toiminnasta, saa tietoa yhteistyökumppaneiltaan ja välittää sitä esimerkiksi teleoperaattoreille. Poikkeustilanteissa kyberturvallisuuskeskus voi suorittaa myös aktiivista tiedonhankintaa Tietoyhteiskuntakaaressa määritellyin ehdoin. Samoin on selvää, että esimerkiksi yritykseen kohdistunut edistynyt haitta- tai vakoiluohjelma huomattaisiin tällaisella järjestelmällä auttamattomasti liian myöhään. Tavanomaisemmat, massoittain leviävät haittaohjelmat, voidaan huomata usein jo leviämisen alkuvaiheessa, kuten tähänkin asti.

Tietoliikenne on tulevaisuudessa entistäkin useammin salattua. Tälläkin hetkellä esimerkiksi Facebook, Google, Microsoftin Hotmail/Outlook -postipalvelu ja esimerkiksi Twitter salaavat käyttäjän ja asiakkaan välisen liikenteen. Verkkopankkeja tietenkään unohtamatta! Ja näiden palveluiden tarjoaman TLS -salauksen lisäksi mikään ei estä käyttäjiä käyttämästä muita palveluita, jotka voivat salata sekä sisällön että tietoliikenteen lähettäjän entistä varmemmin. Sillä, mistä ja minne yhteys otetaan voi olla merkitystä, mutta mitä iloa tiedustelun suorittajalle on siitä, että näkee minun ottavan yhteyttä Googlen palveluun, kun viestin sisältö ja kohde jää kuitenkin hämärän peittoon? Mitään avaimia tai takaportteja ei esityksessä keneltäkään edellytetä, eikä sellaisten antaminen suomalaisille viranomaisille ole ulkomaisten palveluntarjoajien intressissä muutenkaan.

Liikenne- ja viestintäministeriö on osuvasti kritisoinut työryhmän lähestymistapaa. Työryhmä on, siis ainakin paperilla, lähestynyt asiaa siitä näkökulmasta, että pitäisikö tällaista tietoliikennetiedustelua olla ja jos, niin mihin sitä voisi käyttää. Nyt on vain puhuttu törkeistä rikoksista. Olen erinomaisen samaa mieltä LVM:n kanssa siitä, että asiaa tulisi pohtia sen kautta, että mitkä ovat mietinnössä mukana olevien viranomaisten lakisääteiset tehtävät, millaiset toimivaltuudet ovat tällä hetkellä ja onko jotakin, jossa toimivaltuuksia, kuten tietoliikennetiedustelua, tarvittaisiin lisää. Sen jälkeen tietenkin oma punninta siitä, että onko kansalaisten yksityisyydelle muodostuva uhka suurempi kuin tietoverkkotiedustelulla torjuttava uhka.

Erinomaisen hyvää mietinnössä on se, että siinä vaaditaan myös ulkopuolista valvontaa sekä tuomioistuimen lupaa silloin, kun tietoverkkotiedustelua tehdään. Myös kansalaisten oikeussuojakeinoja ja niiden käyttöä pohditaan. Samoin oli arvioitu lainsäädännön vaikutuksia esimerkiksi tietotekniikkayritysten haluun investoida Suomeen. Tätäkin arviota kritisoitiin perustellusti, sillä tarkasteluajanjakso loppui vuoteen 2013 ja sen jälkeen asenteet valtioiden tietoverkkovalvontaan ovat monessa paikassa muuttuneet oleellisesti.

Mietintöön pyydetyissä lausunnoissa kiinnitettiin huomiota myös siihen, että Ruotsissa vastaava järjestelmä vaatii 300 ihmisen työpanoksen ja 100 miljoonan euron vuosibudjetin. Vaikka me ottaisimme siitä puoletkin, puhuisimme silti 150 ihmisestä ja 50 miljoonasta. Olen ehdottomasti sitä mieltä, että mietintö on tietoverkkotiedustelun osalta vasta välivaihe ja asian selvittämistä tulee jatkaa, ainakin edellä esiin tuomani kritiikki huomioiden ja siihen vastaamalla. Epäilen kuitenkin, että jos lähdemme Ruotsin tielle me vain menetämme 150 ihmisen työpanoksen työhön, joka voitaisiin kohdentaa huomattavasti paremmin. Jos taas käytämme resursseja säästeliäämmin, emme enää missään kohtaa voi puhua riittävän kattavasta valvonnasta. Silloin nämä muutamat ihmiset voisivat käyttää työpanoksensa jo nykyisen lainsäädännön mahdollistamien tietojenhankintakeinojen käyttämiseen. Nämä säädökset ovat vieläpä melko tuoreita, osan käyttöä vasta opetellaan. Jos ja kun asia joskus eduskuntaan asti etenee, tulee asiaa tarkastella kiihkottomasti ja kokonaisuus arvioiden. Silloin päättäjillä pitää olla tietoa ja taitoa asian monipuoliseen käsittelemiseen.