Kuka vastaa vaarallisista verkkosivustoista?
Verkkosivustojen murrot ovat Suomessa ylittäneet viime aikoina useasti mediakynnyksen. Julkisuuteen päätyneet tapaukset ovat kuitenkin todennäköisesti vain jäävuoren huippu ja vastaavia tapauksia löytyisi sadoittain – ellei tuhansittain! – jos asiaa alettaisiin tutkia tarkemmin.
Ylivoimaisesti ironisin tapaus on ollut Pelastakaa Lapset ry:n verkkosivuston kohtalo. Sivusto levitti hetkellisesti sekä venäläisperäistä haittaohjelmaa että linkkejä lapsipornoon. Järjestön puheenjohtajan kommentit asiasta kertovat valitettavan hyvin järjestön verkkoasiantuntemuksesta:
”Pelastakaa Lapset ry:n pääsihteeri Hanna Markkula-Kivisilta kertoo Tietokone-lehdelle, että tapauksesta valmistellaan rikosilmoitusta poliisille. Markkula-Kivisilta ei tiedä tekijöiden motiivia. Hän spekuloi, että taustalla voivat olla erimielisyydet nettisivustojen estolistoista.”
Jos kyseessä olisi ollut kohdistettu hyökkäys, jälki olisi ollut kaikella todennäköisyydellä samanlaista kuin esimerkisi Jutta Urpilaisen tai Eero Heinäluoman sivuilla, jotka sotkettiin teemaan edes jotenkin liittyvillä materiaaleilla sen jälkeen, kun sivujen (liian helpot) salasanat olivat vuotaneet julkisuuteen. (salasanoista kannattaa muuten lukea Tero Lehdon erinomainen bloggaus). Venäläisen haittaohjelman levittämisen motiivi lienee taas puhtaan ”kaupallinen” eli pyritään saastuttamaan pahaa aavistamattomien verkkosivustojen vierailijoiden koneet esimerkiksi pankki- tai luottokorttitietojen keräämiseksi ja liittämiseksi bottiverkkoon.
Se, ettei PeLa:n puheenjohtaja osaa erottaa näitä kahta toisistaan, on suoraan sanottuna varsin huolestuttavaa – varsinkin, kun muistetaan, että poliisi on käytännössä ”ulkoistanut” järjestölle hyväksikäyttöä koskevat nettivinkit:
”Pelastakaa Lasten Nettivihjeelle internetin käyttäjät voivat ilmoittaa lasten seksuaalista hyväksikäyttöä esittävästä aineistosta. Ilmoituksen voi tehdä nettilomakkeella anonyymisti.”
*****
Isompi kysymys on, kenen kaikkien tulisi olla vastuussa verkkosivuilta levitettävistä haittaohjelmista koituvista vahingoista. Jo pelkästään tietokoneen putsaamiseen menee helposti runsaasti aikaa ja myöskään luottokortin ym. uusiminen ei ole ilmaista tai erityisen vaivatonta. Pahimmassa tapauksessa saatua informaatiota on myös käytetty esimerkiksi identiteettivarkauksiin ja tällöin voidaan puhua hyvin merkittävistä vahingoista. Tällä hetkellä vastuu on varsin sujuvasti vieritetty loppukäyttäjälle, mikä ei kuitenkaan ole erityisen reilua. Esimerkiksi PeLa:n tapauksessa järjestön sivujen käyttäjistä merkittävä osa on todennäköisesti sellaisia henkilöitä, jotka tulevat etsimään asiantuntemusta Internetin käytöstä järjestön sivuilta. Kun nyt sitten tällainen henkilö saastuttaa koneensa, korvauksia on turha lähteä hakemaan ainakaan Venäjältä ja mielestäni oikeampi osoite olisikin itseään verkkoasiantuntijana markkinoiva järjestö, joka ei ole kyennyt huolehtimaan tietoturvastaan.
Tilanne on kuitenkin vielä monisyisempi. Vika ei välttämättä ole ollut PeLa:kaan päässä vaan murto on voinut ainakin teoriassa tapahtua ”zero-day”-tietoturva-aukon kautta. Tällöin oikea vastuullinen taho voisi olla verkkosivuston ohjelmiston tuottanut yritys – ainakin jos korjauksen julkaisemisen suhteen on ollut turhaa viivettä. Toisaalta hyvin merkittävä osa tämän hetken verkko-ohjelmistoista on avoimen lähdekoodin projekteja, joilla ei välttämättä ole taustalla mitään varsinaista vastuullista organisaatioita/yritystä. Tulisiko tällöin yksittäisten ohjelmistokehittäjien olla korvausvelvollisia?
*****
Kuten edellisessä blogauksessa ennakoin, komissio esitteli oman lainsäädäntöpakettinsa sensuurilistajärjestelmän toteuttamisesta EU:n laajuisesti. Asia ei ole Suomessa juuri herättänyt median huomioita. Poikkeuksen muodostaa toimittaja Esa Mäkisen uutisanalyysi HS:ssä (HS – Kulttuuri – 8.4.2010), jonka ydinsanomasta ei voi kuin olla samaa mieltä:
Nettisuodatuksen vaatiminen on poliitikoille helppoa, koska se vaikuttaa jämäkältä. Se on lopputuloksesta piittaamatonta populismia. Sen kritisoiminen on myös vaikeaa, koska tavallisesti järkevät ihmiset lopettavat ajattelun kuullessaan sanan lapsiporno.
Kiinan valtio ei ole pystynyt estämään surffailua kymmenien tuhansien poliisien sensuurikoneistolla. Miten EU:ssa samojen toimien ajatellaan olevan tehokkaita?
Periaatteellisempi ongelma on se, että sensuuriverkostoa on helppo laajentaa. Jos Suomeen syntyisi uudestaan 1970-luvun taistolainen liikehdintä, netin neuvostovastainen materiaali pääsisi nopeasti sulkulistalle.
