tiistai 1. syyskuuta 2015

Windows 10 käytön laillisuus julkishallinnossa

Piraattipuolueen ja Piraattinuorten kannanotossa varoitetaan Microsoftin tuotteiden käytöstä. Itse suosittelisin kaikkia luopumaan Microsoftin ja muiden samassa juridisessa ansassa olevien yritysten tuotteiden käytöstä.

Tiivistettynä: Windows 10 vakoilee käyttäjää sellaisella tavalla, että herää kysymys täyttääkö Windows 10 tai päivitetty Windows 7 ja 8 edes vaatimukset sähköisen viestinnän tietosuojalain, henkilötietolain ja sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä asetetun lain osalta. Onko edes keinoja varmistaa, että nämä lain vaatimukset täytetään, kun käyttöjärjestelmä lähettää kryptattuna jotain tietoa Microsoftin palvelimille? Microsoftin käyttöoikeussopimuksia lukiessa tulee selväksi, että Microsoft on antanut itselleen sopimustekstissä luvan tehdä laajalti kaikenlaista, joka liittyy käyttäjän yksityisiin tietoihin. Sopimuksen hyväksymiseksi tulkitaan Microsoftin tuotteiden käyttö. Yksityisyysasetuksien säätämisestä huolimatta Microsoftin palvelimille lähetellään dataa.

Snowdenin paljastuksia käsitelleessä The Guardianin artikkelissa kerrottiin Microsoftin luovuttaneen tietoja NSA:lle. Microsoft perusteli tätä siten, että sen oli suunniteltava tuotteensa noudattamaan olemassaolevia ja tulevia lain vaatimuksia. Microsoftilla on hyvin vähän mahdollisuuksia kieltäytyä vaatimuksista, joita viranomaistahot kansalliseen turvallisuuden tai kansallisen edun nimissä esittävät, puhumattakaan siitä, että toisivat julkisuuteen tiedon vaatimuksesta, jonka kylkiäisenä on salassapitomääräys, jonka rikkomisesta syytteenä on maanpetos. Tämä tarkoittaa, että Microsoft-tuoteperheen käyttö on käytännössä suoraan Yhdysvaltain tiedustelupalvelulle tietojen ojentamista. Reiluuden nimissä on myönnettävä, ettei Microsoft aivan kaikkeen suostu ilman ehdoitta vaikka se lopulta lain edessä onkin voimaton. Microsoftin tavalla juridisesti haavoittuvainen on myös uuden potilas- ja asiakastietojärjestelmän toimittajaksi valittu, yhdysvaltalainen Epic Systems. Kuten aikaisemmin olemme saaneet tietää, ei Yhdysvallat kunnioita edes läheisimpien kumppanimaidensa demokraattisesti valittujen johtajien yksityisyyttä.

Onko viranomaisen edes näiden paljastusten jälkeen enää laillista valita Microsoftin tai muun yhdysvaltalaisen yrityksen suljetun lähdekoodin tuotetta julkishallinnon käyttöön tai jatkaa sen tuotteiden käyttöä näiden paljastusten jälkeen? Väittäisin, että koska vakoiluominaisuuksien ja haavoittuvuuksien olemassaolo ja niiden ujuttamisyritykset on enemmän sääntö kuin poikkeus niin suljetun koodin järjestelmiä ei voi enää käyttää. Vaikka avoimen lähdekoodin sovelluksissakin aukkoja toisinaan on niin ainakin niiden löytäminen ja osoittaminen on avoimesta lähdekoodista kertaluokkaa hallittavampi ongelma.

Tämä perverssi insentiivi sabotoida asiakkaidensa tuotteita viranomaisten pelossa on yhtenä syynä myös siihen, miksi Piraattipuolue vastustaa massavalvontaohjelman kehittämistä Suomeen. Miksi kukaan ostaisi suomalaiselta yritykseltä tietotekniikkaan liittyvää tuotetta tai palvelua, kun varoittavana esimerkkinä on Yhdysvallat. Mitä takeita yritys edes voisi antaa tuotteidensa aukottomuudesta jos yritystä voidaan kieltää kertomasta niistä? Joskus viimeiseksi keinoksi suojata käyttäjiään viranomaisten mielivaltaa vastaan on lopettaa koko yritys, kuten Lavabitin tapauksessa. F-Securen Mikko Hyppönen sanoi osuvasti, että Orwell oli optimisti.

Windows 10 vakoilusta on herännyt huolia muun muassa siitä, kuinka käy homofobisten vanhempien lapsille, joiden käyttäjähistorian Windows paljastaa. Näin käy joillekkin, jotka omaehtoisesti tulevat ulos kaapista. Näkisin Microsoft käyvän kovaa uhkapeliä siitä saako se annettua asiakkailleen vaikutelman laadukkaista palveluista uhraamalla käyttäjän yksityisyyden täysin. Panoksena on Windowsin katoava markkinaosuus mobiilimarkkinoilla ja potentiaalisesti jopa itsemurhat, kuten Ashley Madison-vuodoissa.

Muualla maailmassa Windows 10:n uhkaan on myös havahduttu: Ranskalainen europarlamentaarikko on varoittanut maansa tietosuojaviranomaisia Windows 10:n loukkaavan käyttäjiensä yksityisyyttä. Venäjällä duuman jäsen on tehnyt Windows 10:stä valituksen yleiselle syyttäjälle yksityisyyttä loukkaavan tiedon keräämisestä.

Microsoftin Windows ei ole nykyään edes välttämätön hankinta julkishallinnossa jo käytössä olevien ohjelmistojen alustaksi. Windows-ohjelmia voidaan käyttää vaikkapa Linux-käyttöjärjestelmissä Wine-ohjelmayhteensopivuusrajapinnan avulla tai korvaamalla Windows avoimella ja ilmaisella ReactOS-käyttöjärjestelmällä, kuten Venäjän hallitus on tekemässä. Terveisiä Timo Soinille: Jos jossain kannattaa Suomessa ottaa mallia Venäjältä niin se on erityisesti heidän syystäkin skeptinen suhtautumisensa yhdysvaltalaisten teknologiayritysten tuotteisiin. Ei se, miten tehokkaasti he estävät ihmisiä pakenemasta maastaan, jos siis katsoo, että Neuvostoliitto Venäjä tuossa erityisesti loistaa.

Vaikka ReactOS onkin hieman keskeneräinen, saataisiin murto-osalla nykyisin lisenssimaksuihin kuluvasta rahasta siitä täysin kelvollinen alusta korvaamaan kaikki Windows-käyttöjärjestelmät. Todennäköisesti suurin osa julkishallinnossa käytetyistä ohjelmista pyörisi ReactOS:n päällä jo nyt ilman mitään muutoksia. Kestävämpi ratkaisu olisi kuitenkin jatkossa kehittää käytettävät ohjelmistot niin, että niistä on saatavilla avoin lähdekoodi, josta ne voidaan kääntää millä tahansa alustalla toimivaksi. Näin vältetään vastaisuudessa joutumasta pysyvästi kiinni yhden toimittajan tuotteeseen. Tämän lisäksi avoimen lähdekoodin ohjelmia on ongelmattomampaa mukauttaa vastaamaan uusia lain vaatimuksia tai pitämään sisällään uudenlaisia toimintoja.

Linux-käyttöjärjestelmien ohjelmapaletti on nykyisin hyvin kattava ja niistä löytyy mm. Office-paketin korvaajaksi kelpaava LibreOffice.

Nykyään ollaan tilanteessa, jota voisi verrata siihen, että ostetaan ensin hyvin käyttöön soveltuva kirja, mutta uuden tiedon valossa tästä kirjasta pitäisi muuttaa yksi lause tai pilkku ja tämä johtaa absurdiin tilanteeseen, jossa pitäisi maksaa alkuperäiselle kirjoittajalle suhteettoman suuri palkkio pienestä muutoksesta tai ostaa täyteen hintaan kokonaan uusi kirja tai teettää halutut muutokset sisältävä kokonainen kirja ja se pitää tarkoituksella kirjoittaa sellaisella tavalla, että vältetään plagiointisyytökset. Toki joustavampiakin sopimusmalleja tietojärjestelmätoimittajien kanssa varmaan on, mutta yleensä homman juju on kiristää asiakasta, joka on jo täysin riippuvainen yrityksestä tietojärjestelmän ainoana jatkokehittäjänä.

Avoimen lähdekoodin tapauksessa prosessi on huomattavasti yksinkertaisempi: Tehdään käytössä olevaan ohjelman lähdekoodiin vain tarvittava muutos.

Triviaa: Wikipedian määritelmän mukaan haittaohjelma on yleiskäsite tietokoneohjelmille, jotka tarkoituksellisesti aiheuttavat ei-toivottuja tapahtumia tietokoneessa tai tietojärjestelmässä.

Yksityisten, arkaluontoisten ja salassapidettävien tietojen vuotaminen ei liene toivottu tapahtuma?

EDIT 23.9.2015 Euroopan Unionin tuomioistuin on tänään antanut ratkaisuehdoituksen, jossa mainitaan mm:


"jos tietosuojan taso kolmannessa maassa ei ole riittävä, henkilötietojen siirto kyseiseen maahan on kiellettävä."

Lisäksi julkisasiamies katsoo, että kun kyseessä ovat systeemiset puutteet, joita on todettu kolmannessa maassa, johon henkilötietoja siirretään, jäsenvaltioiden on voitava toteuttaa toimenpiteet, jotka ovat tarpeen Euroopan unionin perusoikeuskirjassa suojeltujen perusoikeuksien, joihin kuuluvat oikeus yksityis- ja perhe-elämän kunnioittamiseen ja oikeus henkilötietojen suojaan, turvaamiseksi.


Loppukaneettina ratkaisuehdoituksessa sanotaan:
Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY 28 artiklaa, luettuna Euroopan unionin perusoikeuskirjan 7 ja 8 artiklan valossa, on tulkittava siten, että se, että on olemassa direktiivin 95/46 25 artiklan 6 kohdan nojalla tehty Euroopan komission päätös, ei estä kansallista valvontaviranomaista tutkimasta kantelua, jossa väitetään, että tietyssä kolmannessa maassa ei taata siirretyille henkilötiedoille tietosuojan riittävää tasoa, ja tarvittaessa keskeyttämästä näiden tietojen siirtoa.

Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisesti yksityisyyden suojaa koskevien safe harbor -periaatteiden antaman suojan riittävyydestä ja niihin liittyvistä Yhdysvaltojen kauppaministeriön julkaisemista tavallisimmista kysymyksistä 26.7.2000 tehty komission päätös 2000/520/EY on pätemätön.
EDIT 6.10.2015 Euroopan unionin tuomioistuin on tehnyt historiallisen päätöksen: Unionin tuomioistuin julistaa pätemättömäksi komission päätöksen, jossa Yhdysvaltojen todetaan takaavan siirrettyjen henkilötietojen suojan riittävän tason