Following is my public statement concerning the commitment of the Government of Finland to the export control of data security software according to Wassenaar arrangement. (In Finnish only, sorry)
Wassenaar-järjestely vaarantaa tietoturvan kehityksen Kaimani ja kollegani Timo Rinne kirjoitti Helsingin Sanomain mielipidesivulla 21.12.1998 otsikolla "liberaalia salauspolitiikkaa". Kirjoituksen sisältö koskien Wassenaar-järjestelyn vaikutuksia suomalaiseen tietokoneohjelmistojen vientiteollisuuteen oli sinänsä varsin oikeaan osunut. Mikäli järjestelyn vaatimukset siirrettäisiin tiukasti tulkittuna lainsäädäntöön, olisivat vaikutukset tiettyjen suomalaisten yritysten osalta musertavia. Valmiiksi pakattuja ns. loppukäyttäjätuotteita myyvät yritykset joutuvat pahimmassa tapauksessa hakemaan vientiluvan erikseen jokaiselle ulkomaille myymäänsä ohjelmaan. Tällöin he joutuisivat myös hankkimaan jokaiselta asiakkaaltaan kirjallisen vakuutuksen siitä, että kyseistä ohjelmistoa käytetään vain kyseisen vientiluvan sallimalla tavalla. Käytännössä tämä merkitsisi salausohjelmistojen viennin loppumista. Salausohjelmistot, jotka viedään maasta lähdekoodina tai komponentteina, joita voidan uudelleenkäyttää uusien salaustuotteiden tekemiseen, ovat jo nykyisellään vientilupamenettelyn piirissä. Huomata kannattaa se, että tällaisissa tapauksissa yksittäiset vientikaupat ovat yleensä suurempia eikä vientilupamenettely niitä kohtuuttomasti rasita. Joihinkin maihin on ollut mahdollista saada vientilupia niin, että kaikki kyseiseen maahan tapahtuva yksittäisen tuotteen vienti on ollut sallittua. Tällainen maa on ollut mm. Yhdysvallat. Wassenaar-järjestelyn perusteella voidaan näiden ns. koontilisenssien myöntäminen lopettaa, jolloin koko tietoturva-alan toiminta Suomessa on vaarassa. Väite siitä, että Suomen osallistuminen Wassenaar-järjestelyyn olisi peruuttamaton, ei pidä paikkaansa. Jotta järjestelyn mukaisiin toimiin voidaan Suomessa ryhtyä, pitää lainsäädäntöä muuttaa. Lait Suomessa säätää eduskunta, joka voi tahtonsa mukaan joko ratifioida tai jättää ratifioimatta järjestelyyn liittyvät säädökset. Pidän epätodennäköisenä sitä, että Suomen Wassenaar-päätöksen takana olevien seikkojen salaaminen olisi perusteltua kansallisen turvallisuuden takia. Lähinnä kyseessä lienee se, että kokouksessa painostusta harrastaneet valtiot (lue Yhdysvallat) ovat toivoneet kyseisten seikkojen salaamista. Tällöin päätöksen taustojen julkaiseminen saattaisivat hyvinkin jossain määrin vahingoittaa Suomen ja Yhdysvaltain välisiä suhteita. Todennäköisesti asiassa on käytetty lähinnä kaupallista painostusta. Se on hyvinkin saattanut liittyä esimerkiksi Hornet-hävittäjien varaosiin ja aseistukseen tai vaikkapa johokin aivan muuhun, kuten paperiteollisuuteen. Toimivassa demokratiassa tuollaisten seikkojen julkituominen on mielestäni erittäin tärkeää. Kansalliseen turvallisuuteen vetoaminen on parhaimmillaankin vain huono tekosyy huonojen päätösten taustalla olevien vaikuttimien salailuun. Se, että Wassenaar-järjestelyn alaisia tuotteita saa edelleen vapaasti käyttää ja levittää maan rajojen sisäpuolella ei tarkoita sitä, etteikö järjestelyllä oltaisi kajoamassa kansalaisten yksityisyyteen. Tähän on useita eri perusteita. Ulkomaille matkustava Suomen kansalainen ei saisi viedä mukanaan salaustuotetta, jolla hän voisi olla turvallisesti yhteydessä kotimaassa olevaan palvelimeensa, vaan hänen on ulkomailla ollessaan joko oltava "incommunicado" tai saatettava yksityiset ja mahdollisesti arkaluonteiset viestinsä ja salasanansa kenen tahansa halukkaan kuunneltaviksi. Toinen erittäin suuri hankaluus perustuu kollegani kirjoituksessakin esiin otettuun salausmenetelmien tietojärjestelmiin integroinnin vaikeuteen. Jos ja kun korkealuokkaisen tietoturvaohjelmiston tekeminen on vaikeaa, on se myös hyvin kallista. Siksi erityisesti pienissä maissa ollaan helposti tilanteessa, jossa korkealuokkaista tietoturvatekniikkaa ei kertakaikkiaan kannata tuottaa markkinoiden pienuuden takia. Tämä johtaa pian tilanteeseen, että uusia tietoturvatuotteita ei ole saatavilla, jolloin on yhdentekevää, saako niitä käyttää ja levittää maan sisällä. Amerikkalaisia ohjelmistotuottajia tämä ei tietenkään suuremmin haittaa, koska heidän sisämarkkinansa ovat jo sinänsä riittävän suuret. Jo edellä olevan valossa lienee itsestään selvää se, että tätä kautta ollaan heikentämässä, paitsi kansalaisten oikeutta yksityisyyteen, myös suomalaisten yritysten tietoturvaa. Väite siitä että vahvat salausmenetelmät olisivat vain harvojen suomalaisorganisaatioiden käytössä on väärä. Esim. PGP- ja SSH-ohjelmistot ovat käytössä varsin monessa suomalaisessa yrityksessä ja organisaatiossa. Pelkästään SSH-ohjelmalla on Suomessa kymmeniä tuhansia käyttäjiä. Vapaan Internetissä tapahtuvan jakelun kautta SSH ja muut tietoturvaohjelmistot ovat milloin tahansa kaikkien organisaatioiden tai yksityisten kansalaisten hyödynnettävissä. Juuri tällainen vapaa ohjelmien hyödynnettävyys on Wassenaar-järjestelyn perusteella vaarassa, jolloin organisaatioiden ja kansalaisten mahdollisuudet tietoturvaan merkittävästi rajoittuvat. On itsestään selvää, ettei kryptografia voi korvata organisaation ei-teknisten tietoturvakäytäntöjen puutteita. Yhtä selvää on se, että taitamattomasti käytetyt salaustuotteet voivat pahimmassa tapauksessa johtaa jopa tietoturvakäytäntöjen höltymiseen ja siten kasvattavat tietoturvariskejä, koska saatetaan virheellisesti ajatella salausohjelmiston käytön yksin ratkaisevan kaikki tietoturvaongelmat. Tämä ei kuitenkaan tarkoita sitä, ettevätkö salausohjelmistot olisi erittäin tärkeitä apuvälineitä yritysten ja yksityisten kansalaisten tietojen suojaamiseen. Eihän auton varashälytinkään ole yleisesti ottaen tarpeeton, vaikka joku saattaa olla niin huolimaton, että jättää epähuomiossa hälyttimen kaukosäätimen auton katolle. Kirjoituksessa esitetystä mielipiteestä, että myös Wassenaar-järjestelyn sallimilla ns. heikennetyillä salaustuotteilla olisi paikkansa, olen jyrkästi eri mieltä. Se, että kyseisiä tuotteita käytetään tällä hetkellä varsin laajasti esim. erilaisten www-palvelujen suojaamiseen, osoittaa vain sen, ettei riskeihin suhtauduta vakavasti ennen vahingon sattumista. Suuret suomalaiset pankkiryhmät käyttävät Internet-palveluissaan 40-bitin pituisiin salausavaimiin perustuvaa tiedonsiirtoa. On harhakuvitelmaa, että kyseisellä tavalla suojatut tiedot olisivat suojassa varsinaisilta atk-rikollisilta. Itse asiassa osaava korkeakouluopiskelija pystyy murtamaan kyseisen salauksen muutamassa päivässä tavallisella kotitietokoneella. Noin miljoona markkaa maksavalla salakirjoitusten purkamiseen tarkoitetulla laitteella purkaminen tapahtuu muutamassa sekunnissa. Voin vain ihmetellä, miten tietoturva-alan etujärjestön edustaja voi julkisesti puolustella kyseisiä tuotteita. Vakaan käsitykseni mukaan ne antavat käyttäjälleen ainoastaan väärän turvallisuudentunteen, joka pahimmillaan johtaa terveen epäluulon vähenemiseen ja sitä kautta tarjoaa parempia ansaitsemismahdollisuuksia atk-rikollisille. Ajatus vähemmän kriittisten kohteiden tietoturvallisuuden suojaamisesta muilla kuin Wassenaar-järjestelyn tarkoittamilla salausjärjestelmillä on outo. Julkisessa tietoverkossa tapahtuvaa tietoliikennettä ei voi järkevästi suojata muilla menetelmillä. Lisäksi rajanveto kriittisten ja ei-kriittisten tietojärjestelmien välillä on jotakuinkin mahdotonta. Katson, että esimerkiksi henkilökohtainen viestintäni pankkini, asianajajani, perheeni tai työnantajani kanssa on kriittistä, vaikka se ainakaan yleensä ei sisälläkään mitään ulkomaisia tiedustelupalveluja kiinnostavaa. Kuitenkin vaikkapa rikolliset, jotka haluaisivat tyhjentää pankkitilini, tai työnantajani kilpailijat, jotka haluaisivat tietää työnantajani liikesalaisuuksia, saattaisivat hyvinkin olla kiinnostuneita viesteistä. Mahdollisella tietovuodolla voisi helposti olla peruuttamattomia taloudellisia tai inhimillisiä seurauksia. Huomattavaa on myös se, että vähemmän kriittisten järjestelmien kautta on usein pääsy kriittisempiin järjestelmiin. Wassenaar-järjestelyn taustalla on periaatteessa tarve estää ns. kaksikäyttötuotteiden leviäminen rikollisjärjestöjen ja vihamielisten valtioiden käyttöön. Tämä on kestämätön peruste tietokoneohjelmien vientirajoituksille. Nykyisessä globaalien tietoverkkojen maailmassa tuskin minkään muun hyödykkeen salakuljetus on niin helppoa kuin tietokoneohjelman. Ainoa vaikutusmekanismi, jolla salaustuotteiden joutumista "vääriin käsiin" hillitään, on tehdä salausohjelmien tuottaminen taloudellisesti kannattamattomaksi. Samalla estetään maailmanlaajuisten standardien muodostuminen, jolloin salausohjelmien käyttö kansainvälistyvässä maailmassa on mahdotonta. Tällöin kyseiset salausohjelmistot eivät ole kenenkään muunkaan käytettävissä, mikä ei tunnu huolettavan kaimaani eikä hänen edustamaansa Tietoturva ry:tä. Yksittäisten vientien välittämiseen tarkoitetun vahvaa kryptografiaa hyödyntävän salausohjelman tekeminen on helppoa ja alan kirjallisuutta on saatavilla runsaasti. Jo pienelläkin rikollisorganisaatiolla on taloudelliset mahdollisuudet sisäiseen käyttöön tarkoitetun salausohjelman tekoon puhumattakaan vihamielisistä valtioista. Vientirajoitukset nimenomaan estävät maailmanlaajuisia standardeja noudattavien salausohjelmien leviämisen tavallisille lainkuuliaisille kansalaisille sekä atk-rikollisilta parhaansa mukaan suojautuville organisaatioille. Tämä ei ole eikä voi olla kenenkään etu. Helsingissä, 22.12.1998 Timo J. Rinne <tri@iki.fi> puheenjohtaja, OtaData ry tekninen johtaja, SSH Communications Security Oy