Etätyö ja koronavirusta jäljittävät mobiilisovellukset asettavat haasteensa yksityisyydelle

14.05.2020

Poikkeustilanne on osittain helpottanut tietojenkalastelijoiden pääsyä eri käyttäjien tietoihin, mutta oikeilla välineillä etätyöskentely on turvallista. Koronatilanteen kartoittamiseksi taas kehitellään jatkuvasti mobiilisovelluksia, jotka ovat yksityisyyden suojaamisen suhteen erilaisia.

Ohjelmistotekniikan professori Ville Leppäsen mukaan koronatilanne aiheuttaa digivälineiden käyttöön kahdenlaisia haasteita – sekä tietoturvaan että yksityisyyteen liittyviä.

– Yksityisyyteen liittyvät ongelmat eivät aina tarkoita tietoturvaongelmaa. Kyse on enemmänkin siitä, että joku voi käyttää luovuttamiamme tietoja tavalla, joka ei ole hyväksyttävää, Leppänen kertoo.

Leppäsen mukaan koronatilanne ei ole tuonut esiin mitään mullistavaa tietoturvaongelmien osalta. Hän arvioi, että tietoturvaongelmien määrä on hieman noussut. Massiivisessa etätyöhön siirtymisessä voi tulla esiin, että tietoturvaa ei ole testattu ja kehitetty niin paljon kuin olisi tarpeen.

– Esimerkiksi Zoomin kohdalla on puhuttanut epäily siitä, että sen avulla voitaisiin kerätä epäasiallisella tavalla ihmisiä koskevaa tietoa. Todisteita väärinkäytöstä ei kuitenkaan toistaiseksi ole. Zoomin suostumusehdot ovat myös muuttuneet yksityisyyttä kunnioittavammiksi koronatilanteen aikana.

Työn ja kodin sekoittuminen haastaa yksityisyyttä

Suuri etätyön määrä on avannut mahdollisuuden siihen, että esimerkiksi tietojenkalastelijat voivat aiempaa helpommin pyrkiä saamaan työympäristöön liittyvää tietoa. Tämä mahdollisuus syntyy, kun koti ja työpaikkaympäristö lomittuvat keskenään.

– Ei tämä heti tarkoita ongelmaa, mutta kotilaitteen tietoturva ei välttämättä ole yhtä hyvä kuin työlaitteen. Jos joku yrittäisi vaikka tuoda kotilaitteeseen haittakoodia houkuttelemalla käyttäjän jollekin sivustolle, työhön liittyvät tiedot ovat äkkiä sen haittakoodin vaikutuspiirissä.

Leppäsen mukaan omasta tietoturvasta voi parhaiten pitää huolta käyttämällä työhön niitä välineitä, joita käyttää normaalioloissakin työpaikalla.

Myös erilaiset verkkohuijaukset ovat nyt helpommin mahdollisia, koska esimerkiksi epäilyttävien sähköpostien alkuperää ei voi kysellä nopeasti kasvokkain. Kun normaali työpaikkakeskustelu perustuu esimerkiksi sähköpostiin, kalasteluyritykset voivat herkemmin vaikuttaa uskottavilta viesteiltä.

Leppäsen mukaan Turun yliopisto on kaiken kaikkiaan onnistunut siirtymään etätyöhön turvallisesti.

– Alussa terävöitettiin, että työtä kannattaa tehdä normaaleilla työvälineillä, ja koneet kannattaa varustaa normaaleilla työohjelmilla. Jos ihmiset saadaan kotonakin käyttämään työkoneita ja vpn-yhteyttä, niin olemme hyvällä tolalla.

Vpn-yhteys tarkoittaa virtuaalista erillisverkkoa, joka parantaa internetin käyttäjän yksityisyyttä salaamalla laitteen verkkoyhteyden.

Yliopisto apuna turvallisen mobiilisovelluksen suunnittelussa

Koronaviruksen leviämisen kartoittamiseen kehitetään jatkuvasti erilaisia mobiilisovelluksia. Leppänen ja muutama muu Turun yliopiston asiantuntija ovat tehneet yhteistyötä Fevermap-nimisen mobiilisovelluksen kehittäjien kanssa. Tavoitteena on ollut mahdollistaa sovelluksen laaja-alainen soveltaminen yksityisyys huomioiden. Sovellus on toteutettu jo yli 20 kielelle.

– Hack the Crisis Finland -kilpailun pohjalta nopeasti syntynyt Fevermap pyrkii tarjoamaan tartunnoista alueellisen tilannekuvan rajoitetoimista ja resursoinnista päättävälle organisatoriselle loppukäyttäjälle, esimerkiksi kaupungille, aluehallintovirastolle ja sairaanhoitopiirille. Lisäksi se tarjoaa yksilölle hyödyllistä tietoa. Sovellus ei pyri yhdistämään oireita henkilöllisyyteen, Leppänen kertoo.

Sovelluksen pyrkimys yksityisyyden suojaamiseen on linjassa Turun yliopistosta johdetun Intiimiys datavetoisessa kulttuurissa (IDA) -tutkimushankkeen kanssa. Leppänen vastaa tutkimuksen IT-osuudesta. Projektissa tutkitaan yksityisyyttä pyrkimyksenä estää siihen kohdistuvat loukkaukset.

Leppäsen kanssa IDA-hankkeessa työskentelevän projektitutkijan Jukka Ruohosen mukaan Fevermap-sovelluksenkin osalta on muistettava, että se tallentaa muun muassa IP-osoitteen, mikä lasketaan henkilötiedoksi.

Sovellukset suhtautuvat yksityisyyteen eri tavoin

Leppänen luokittelee tautia jäljittävät sovellukset kolmeen kategoriaan yksityisyyden suhteen: yhdet välttävät yksityisten tietojen keräämistä, toiset luovuttavat yksityisiä tietoja hyvin rajatusti ja pyrkivät takaamaan yksityisyyden, ja kolmannet valvovat käyttäjiä ja rajoittavat liikkumista. Fevermap kuuluu näistä ensimmäiseen kategoriaan.

Toiseen kategoriaan kuuluvat mobiilisovellukset, jotka keräävät tietoa oman puhelimen lähellä olleista muista puhelimista. Sovellus tietää käyttäjiensä identiteetit, mutta välttää tiedon keskitettyä keräämistä. Tarkoituksena on jäljittää erityisesti tartuntaketjut. Vastaavia sovelluksia on jo maailmalla käytössä.

Kolmas Leppäsen määrittelemä mobiilisovellusmalli kurottaa pidemmälle yksityisyyteen kuin kaksi aiempaa. Sen tarkoituksena on esimerkiksi liittää käyttäjään tieto, onko tämä tartuttaja vai ei. Tiedon pohjalta se ohjaa ja rajoittaa käyttäjän toimintaa yhteiskunnassa.

– Tällaisia valvontasovelluksia on otettu käyttöön esimerkiksi Kiinassa. Tarkoitus on, että käyttäjä tunnistautuu laitteen avulla, ja laite määrittelee, päästetäänkö henkilö tekemään jotakin asiaa vai ei, Leppänen kertoo.

Ruohonen lisää, että valvontaan pyrkivät sovellukset ovat lähempänä kuin ehkä yleisesti ajatellaan.

– Myös Euroopassa on jo nähty useita kyseenalaisia digitaalisen valvonnan keinoja koronaviruksen taltuttamiseksi.

Koronaviruksen jäljittäminen ja sen aiheuttamat seuraukset yhteiskunnassa vaikuttavat siis monella tapaa myös ihmisten yksityisyyteen. Leppäsen mukaan kansainvälinen tiedeyhteisö on huolissaan siitä, että hyvän tarkoituksen varjolla kehitetään valvontasovelluksia.

– On tehty maailmanlaajuinen vetoomuskin, että tiedeyhteisön henkilöt eivät osallistuisi kehittämään sellaisia valvontatyyppisiä sovelluksia, jotka keräävät ihmisten yksityisyyteen liittyvää tietoa.

Ruohosen mukaan Suomen osalta ei ole vielä selvää, millainen seurantasovellus otetaan laajasti käyttöön. Hän muistuttaa, että mobiilisovellusten osalta tärkeää on myös se, miten niiden käyttö jatkuu normaalitilanteeseen palattaessa.

– Suomessa on selvitty aika lailla kuivin jaloin tietoturvan ja yksityisyyden osalta. Varsinaisia ylilyöntejä ei ole nähdäkseni tapahtunut. Mutta keskeisenä riskinä näkisinkin, että esimerkiksi nämä seurantasovellukset saattavat jäädä ihmisten puhelimiin pysyvästi.

Teksti: Sara Harju

Luotu 14.05.2020 | Muokattu 25.05.2020