Verkkovalvonta ei auta terrorismiin, on kallista, ja uhraa oikeusvaltion

Suomen tiedustelutoiminta pitäisi saada eurooppalaisten sivistysvaltioiden tasolle. … Ja on aivan selvää, että muiden on aika vaikea kerätä tietoa Suomen sisältä.

– Sauli Niinistö kommentoidessaan Pariisin terrorismihyökkäystä YLElle.

Tasavallan presidentti Sauli Niinistön on ollut usein harkittu ulostuloissaan, eikä hänen sanavalintojensa harkintaa tarvitse yleensä torua, mutta nyt se on tarpeen. Ymmärrän hyvin sen tiettyjen piirien painostuksen, jonka puristuksissa paitsi puolustusministeri ja sisäministeri myös presidenttikin joskus joutuu olemaan. Se painostus tulee eri muodoissa poliisihallituksen alaisuudessa toimivan melko itsenäisen suojelupoliisin (Supo) suunnalta.

Niin kuin olemme todenneet johdonmukaisesti, [verkkotiedustelu] olisi yksi tärkeä työkalu terrorismintorjunnan vastaisessa (sic) työssä, joka kaikilla muilla länsimaisilla viranomaisilla käytössä. Se on merkittävä puute meidän työkalupakissa viranomaisten osalta. –Suojelupoliisin päällikkö Antti Pelttari YLElle

Antti Pelttari sanoi ihan samaa kun hän aloitti Supossa neljä vuotta sitten; Hesarin otsikko syksyllä 2011 oli “Supo ei usko Suomen enää välttyvän terrorismin uhalta”. Supo on leikkinyt tätä leikkiä vuositolkulla. Suomen tietosuojavaltuutettu on toistuvasti todennut esitykset järjettömiksi kansalaisten oikeusturvan ja perustuslain kannalta.

En ole kyberforensiikan tai massavalvontateknologioiden asiantuntija, mutta minulla on ammatti- ja opintotaustani vuoksi varsin hyvä käsitys sen teoreettisista mahdollisuuksista ja rajoitteista. Alun perin päädyin sekaantumaan politiikkaan juuri tähän teemaan liittyen. Lisäksi seuraan myös tietoturvan ja verkkorikollisuustutkinnan alan lehdistöä ja trendejä.

Sen voin sanoa, että vuosien varrella kuunneltuani ja kilisteltyäni skumppalaseja erinäisten kansanedustajien, ministerien ja virkamiesten kanssa, olen saanut kohtalaisen käsityksen, että Suomen kyberturvallisuudesta päätöksiä tekevät ihmiset ovat useimmat ihan pihalla siitä, mitä kyberturvallisuus käytännössä on, miksi eri toimenpiteitä tarvitaan ja miten ne toimivat. Se ei kuitenkaan estä näitä ihmisiä puhumasta paatoksella asioista, niin kuin äskettäin tasavallan presidentti teki. Joku siis laittaa sanoja korkea-asemaisten päättäjien suuhun, puolustusministereitä myöten. Todennäköisesti poliisihallituksen, Supon ja/tai puolustusvoimien tietyt virkamiehet, jotka tietävät, ettei vastaanottaja ihan tajua mistä oikeasti on kyse. Se on pelottavaa.

Sanon senkin, että se retoriikka, jota tiedustelupalvelut käyttävät kinutessaan näitä pakkokeinoja valikoimiinsa, on universaalia kansainvälisesti. He haluavat aina vain lisää. Etenkin sellaista, joka ei oikeasti pelasta Suomea. He haluavat leluja.

Suomessa infran tietoturvaa ei oteta tosissaan

Suomea on helppo vakoilla, koska puolustus-, sisä-, ja viestintäasiain ministerit ja ministeriöt ovat keskimäärin olleet kuin strutsi pää hiekassa asian suhteen. On keskitytty keksimään “terrorismin” varjolla pakkokeinoja huumediilerien metsästämiseen samalla, kun viestintäinfran suojaaminen on … ei jäänyt toisiarvoiseksi, vaan sitä ei oikein ole ollut olemassa. Ilmeisesti koska se ei palvele Supon johtajien fantasioita.

Väite, että “Suomen sisältä” olisi uskottavien tahojen vaikea “kerätä tietoa” ei pidä paikkaansa. Jos homman vain resursoi, niin yksittäisiä ihmisiä, rakennuksia tai yrityksiä voi melko helposti vakoilla erilaisin välinein jopa ilman pääsyä fyysiseen mediaan. Suuremmassa skaalassa Ruotsin puolustusvoimat ovat lukeneet suunnilleen mitä huvittaa Suomen ja Ruotsin internet-liikenteestä sitten ainakin 2009, eikä Suomi tehnyt tälle tiettäväsri yhtään mitään. Asiasta ei Suomessa koskaan käyty kunnon poliittista keskustelua (aktiivisten kansalaisten huomautuksista huolimatta). Supo ei jostain syystä mainitse seikkaa ulostuloissaan koskaan . Vuonna 2015 alettiin hissukseen rakentaa merikaapelia Santahaminasta Saksaan – jostain syystä. Tämä kertoo jotain Suomen kyberturvallisuudesta vastuussa olevien prioriteeteista. Supo todennäköisesti on kinunut Ruotsilta tietoja Suomesta (tavallaan laittomasti) kenties Venäjä-tiedustelua vastaan.

Vaikka suojelupoliisi yrittää ratsastaa terrorismin keppihevosella lobbatessaan haavi-verkkovalvontaa, sillä ei terrorismia juuri estetä. Miksi?

Ammattimaisessa ja ulkopuolelta rahoitetussa organisaatiossa toimivat rikolliset, terroristit tai vieraan vallan joukot osaavat resursoida tietoturvansa niin, ettei toiminta paljastu. Haavi-verkkovalvonta ei auta tähän. Epämääräiset sählääjät ja syrjäytymis-radikalisoituneet osuvat tutkaan jatkuvasti ja muutenkin. Näin kävi esim. Pariisin tammikuun terrori-iskussa, jossa tekijät olivat paitsi Ranskan poliisin, myös Yhdysvaltain viranomaisten “vanhoja tuttuja”, jatkuvasti pyörineet epäilyttävissä porukoissa ja matkailleet epäilyttäviin kohteisiin. Silti he pystyivät toteuttamaan suunnitelmansa, koska poliisiviranomaiset tekivät virhearvioita siitä, millaisia potentiaaliset terroristit ovat eivätkä kohdistaneet resurssejaan oikein. Verkkovalvonta Ranskalla on ollut jo vuosia; sekä tammikuussa että nyt syksyllä. Se ei estänyt iskuja. Ennen kaikkea toteutuneissa teoissa kyse on organisaatiollisista ja johdon ongelmista. Supo ja ulkomaiden tiedustelutahot käyttävät retoriikkaa “pisteiden yhdistämisestä” ikään kuin lasten värityskirjassa. Unelma on, että rikoksia voisi ennaltaehkäistä vainuamalla ne etukäteen ihmisten digitaalisen jalanjäljistä. Tosiasiassa ongelma tässä ideassa on ihminen. Ennen kuin yli-inhimillinen, analyyttinen supertekoäly joskus kehittyy, niin valinnat siitä, millaisia käyttäytymiskaavoja yritetään löytää, tekevät ihmisolennot, joilla on paitsi ammattinsa puolesta myös ihmisinä vakiintuneita ennakkoluuloja, harhoja ja suppeita käsityksiä siitä, miltä rikollinen toiminta näyttäisi järjestelmässä. Pisteiden yhdistäminen on lasten värityskirjassa helppoa, mutta tosimaailmassa ne ovat haulikolla ammuttuja pirstaleita siellä ja täällä. Se johtaa hyvin helposti satojen miljoonien eurojen suurennuslasilelun keskittämiseen joko täysin harhaan tai kömpelöihin pikkurikollisiin, jotka vievät toiminnan resursseja pois oikeasta työstä. Yhdysvaltojen massaseurantajärjestelmäprojekteja syyskuun 2001 iskujen jälkeen yritettiin perustella haavi-seurannan puutteella, mutta myöhemmät viralliset selvitykset asiasta totesivat, että kyse oli ennen kaikkea turvallisuusviranomaisten kyvyttömyydestä ennakoida toimintatapoja ja toimeenpanna tarpeellisia varotoimenpiteitä käytännössä. Terrorismia on ylipäätään erittäin vähän , terrorismin ideologia on irrationaalista ja sille kehitetään tahallaan arvaamattomia keinoja. Terrori-iskut herättävät ihmisissä kauhua (“terroria”) juuri sen ennakoimattomuuden ja raakuuden vuoksi; sen tarkoitus on murtaa ihmisten turvallisuuden tunne ja saada aikaiseksi harha siitä, että terroristit voivat tehdä ihan mitä vain. Tiedustelu- ja turvallisuusviranomaisten toteuttama ennakoitavuuteen perustuva haavi-valvonta on määritelmänmukaisesti huonosti soveltuvaa terrorismin torjuntaan juuri terrorismin jatkuvasti muuttuvan luonteen vuoksi. Se edellyttää siksi aktiivista, analyyttistä “etsivätyötä”, jonka tukena meillä on jo laillisia pakkokeinoja, melko eksoottisiakin.

Miten terrorismia sitten torjutaan oikeasti, jos pitää kuitenkin yrittää?

Samoin kuten sitä torjutaan jo nyt; toimeenpanemalla julkisten tilojen turvallisuuden suunnittelua, kuuntelemalla nimettömiä ilmiantoja, soluttautumalla, tarkkailemalla profiililtaan epäilyttäviä erilaisin keinon ja vaihtamalla tietoa sekä sisämaan että muiden maiden viranomaisten kanssa. Näissä epäonnistuminen leimaa toteutuneita terrori-iskuja. Verkkovalvontaa on monissa maissa harrastettu viimeistään sitten 2000-luvun alun, eikä se ole ollut mikään terrorismintorjunnan taikasauva, vaikka siihen on kaadettu julkisella ja yksityisellä sektorilla satoja tai tuhansia miljardeja euroja luomaan poliitikoille turvallisuudentunnetta. Samalla on uhrattu koko kirjesalaisuuden konsepti, järjestelmiä on käytetty systemaattisesti väärin sekä henkilökohtaisiin, kaupallisiin että poliittisiin tarkoituksiin ja tiedustelupalveluille on annettu lisää keinoja tehdä itsestään valtapelureita valtion sisälle.

Käytännössä Suomella ei ole toistaiseksi ollut uskottavaa ja ajantasaista kyberturvallisuusohjelmaa, koska Suomessa on keskitytty sekoillen toteuttamaan lähinnä poliisihallituksen alaisuudessa toimivien tahojen pimeitä valtafantasioita rikosten ennaltaestämisestä maan turvallisuuden kustannuksella.

Quod erat demonstrantum.

Oikeusvaltiossa kansalaiset ovat syytömiä, kunnes toisin todistetaan. Se, mitä oikeusteknisesti suojelupoliisi haluaa, on saattaa kaikki kansalaiset ehdolliseen vankeuteen, kehdosta hautaan saakka – ihan vain koska se olisi rikostutkinnan kannalta kätevää.

Kunnianhimoisen rikostutkijan motivaattori on “ratkaista tapauksia” hinnalla millä hyvänsä, eli suurin piirtein lain asettamissa puitteissa. Se välittyy varsin hyvin esimerkiksi kansanedustaja, rikosylikomisario ja nykyisen lakivaliokunnan puheenjohtaja Kari Tolvasen (kok.) täysistunnon puheenvuorosta 2013, jossa hän piti kotietsintöjen kohteiden oikeusturvaa vähäpätöisenä muodollisuutena ja laillista tutkintaa turhana rasitteena. Poliisijohto on työn kannustinten vuoksi määritelmänmukaisesti väärä taho arvioimaan pakkokeinojen tosiasiallista tarpeellisuutta. Se tarpeellisuus arvioidaan eduskunnassa perustuen tasapainoon perustuslaillisen oikeusvaltion ja turvallisuuden välillä. Turvallisuus on kiva asia, muttei sen kustannus saa olla koko suojeltavan yhteiskunnan olemassaolon pointti. Antamalla kauhulle valtaa, annamme terroristien voittaa.

Suojelupoliisin toiminta on selvästi lähtenyt raiteiltaan, ja siitä on tullut valtio valtion sisällä. Suojelupoliisi tulee palauttaa eduskunnan valvontaan, kuten entinen eduskunnan puhemies Eero Heinäluoma (sdp) esitti 2013. Poliisihallituksen alaisuudessa se ei tottele ketään, ja on mysteeri mitkä tahot ja intressit toimintaa aidosti ohjaavat.