Koronasovelluksesta ei saa tulla Troijan puuhevosta


Viruspandemia on synnyttänyt markkinoille mobiilisovellusten aallon. Tarjolla on appia niin oireiden seurantaan kuin tartuntaketjujen jäljittämiseen. Teknologialla vahditaan ihmisten liikkumista ja karanteenissa oloa, ja varoitetaan viruksenkantajien kohtaamisista. Osa apeista on vapaaehtoisia, osa pakollisia riippuen valtiosta. Isot teknologiayhtiöt näkevät tässä uuden ansaintakeinon. Valitettavasti Euroopassa yhteisen jäljitysjärjestelmän luominen siten, että kansalaisten yksityisyys säilyisi, ei ole onnistunut, ja moni jäsenmaa rakentaakin nyt omiaan.

Onko Suomen digisovellus turvallinen?

Hallitus linjasi huhtikuun lopulla mobiilisovelluksen käyttöönotosta. Reunaehtona on vapaaehtoisuuteen perustuva ja yksilön tietosuojaa kunnioittava teknologiaratkaisu. Lakiesitys on valmisteltavana Sosiaali- ja terveysministeriössä. Palkansaajilta ei kysytty näkemystä lakiesitykseen.

Oikeuskansleri Tuomas Pöysti hyväksyy seuranta-appien käytön Pöystin mukaan sovellus pitää toteuttaa tiukoin ehdoin, EU-komission ja Euroopan tietosuojaneuvoston suositusten mukaisesti – eli minimoimalla henkilötietojen käsittely.

Oikeuskanslerin mukaan laissa on syytä säätää, että sovelluksen mobiililaitteeseen tai taustajärjestelmään tallentamaa tietoa ei luovuteta esimerkiksi poliisille. Lisäksi sovelluksen käyttäjille on annettava selkeä tieto sovelluksen toimintaperiaatteista ja riskeistä.

Vaasan keskussairaala otti virusaltistuksia jäljittävän digisovelluksen koekäyttöön 18.5. Kokeilussa mukana olevat 33 työntekijää lataavat apin työpuhelimiinsa kolmen viikon ajaksi. Sitra on paitsi hankkeen rahoittaja, myös valvoo sovelluksen luotettavuutta ja tietoturvaa. Sovellus toimii Bluetooth-teknologialla.

On kiinnostavaa saada aikanaan pilotin tulokset, olennaista on muun muassa sovelluksen vaikuttavuus verrattuna ihmistyön luotettavuuteen. Arvio pitäisi tehdä myös sovelluksen tietoturvariskeistä, esimerkiksi kerätyn tiedon säilytyksestä ja käytön hallinnasta jatkossa.

Tartuntaketjuja jäljittävästä sovelluksesta on hyötyä siinä vaiheessa, kun yhteiskunnan rajoituksia aletaan purkaa. Silloin puhelimen annetaan seurata ihmisten lähikontakteja. Ongelmia voi tulla Bluetooth-tekniikasta, jota useimmat mobiilisovellukset käyttävät. Bluetooth-signaali voi tulkita vaikkapa alakerran kioskin lähikontaktiksi, herkät sovellukset antavat vääriä hälytyksiä tai yhteydet eivät pelaa. Pahinta on, jos avoin signaali joutuu hakkerin ohjailtavaksi.

Jos ihminen liikaa luottaa puhelimen teknologian takaavan turvallisen liikkumisen, varovaisuus voi unohtua. Sovellukset ovat kuitenkin dataan perustuvia mallinnuksia, joiden laatu ei aina ole kovin korkea. Kun arkaluonteista tietoa kerääviä sovelluksia luodaan kiireessä ja kun kilpailu sovellusmarkkinoilla on kuumaa, myös tietomurtojen määrä kasvaa.

Kuka hyötyy digitaalisista sovelluksista?

Tähän asti tiedot ihmisten liikkeistä ovat olleet teleoperaattoreilla ja teknologiayhtiöillä ja tiedot koronatartunnoista viranomaisilla. Monet maailman hallitukset haluaisivat kuitenkin yleisen turvallisuuden nimissä yhdistää nämä tiedot. Euroopan maista esimerkiksi Slovakia on heikentänyt tietosuojasääntöjään ja sallii kansalaistensa digitaalisen valvonnan.

Kansalaisten valvonnassa teknologia ei sinällään ole uutta. Erityisesti Kiinassa on jo käytössä edistynyttä valvontateknologiaa. Nyt tekoälysovelluksen valvontakäyttöä vain voidaan toteuttaa helpommin perustelemalla se esimerkiksi kansalaisten kuumeen mittaamiseksi poliisikypärillä tai puistoissa oleilevien turvavälitarkastukseksi robottikoirilla.

Suhtaudun hieman epäluuloisesti esimerkiksi Applen ja Googlen yhteisesti kehittämään ja Bluetooth-yhteydellä toimivaan koronasovelluksen turvallisuuteen. Nämä käyttöjärjestelmämarkkinoita hallitsevat yhtiöt ovat ilmoittaneet noudattavansa käytäntöjä, jotka vähentävät pahimpia yksityisyys- ja keskittämisriskejä. Ne ovat myös luvanneet sammuttaa järjestelmän, kun pandemia on ohi.

Valitettavasti aiempien vuosien kokemus yhtiöiden toiminnasta ei anna aihetta sinisilmäiseen luottoon. Tietoturvaherätys tuli itsellenikin viimeistään silloin, kun Cambridge Analytica’n luvaton Facebookilta ostettujen tietojen käyttö paljastui. Tieto myytiin trollaajien käyttöön muun muassa USA:n presidentinvaaleihin ja Brexit-kampanjaan. Ihmisten terveys- ja käyttäytymistiedolla olisi monia ostajia.

Vapaaehtoisuus – onni vai ongelma?

Suomessa koronasovellus on vapaaehtoinen, joten ketään ei voi pakottaa sen käyttöön.  Suomalaiset ovat aika omapäistä kansaa. Tämä voi tartuntaseurannan kannalta olla ongelma. Sovellus voi helposti jäädä lataamatta yksityisyyden suojelemiseksi tai sitä ei osata tai viitsitä ladata. Sovellus ei siis korvaa ihmistyötä, eikä sitä voi käyttää esimerkiksi henkilöstökulujen säästökeinona.

Sovelluksen käyttöhalukkuutta kysyneen selvityksen mukaan vähemmän kuin viidesosa vastaajista kuudessa tutkitussa maassa tunsi epämiellyttäväksi oman identiteetin tai sijaintietonsa jakamisen julkisen sovelluksen kanssa. Kyselyssä olivat mukana Singapore, Australia, Saksa, Espanja, Iso-Britannia ja Yhdysvallat.

Islanti puolestaan varoittaa muita maita liiallisesta koronasovellus-hypestä. Islanti otti oman, vapaaehtoisuuteen perustuvan ja sijaintia käyttävän sovelluksen käyttöön huhtikuun alussa, jonka on tähän mennessä ladannut 38 prosenttia asukkaista. Sovelluksen todellinen vaikutus seurantaan on ollut pieni verrattuna manuaaliseen tekniikkaan, esimerkiksi puhelinsoittoihin. Sovellus ei siis korvannut ihmisen tekemään työtä, mutta täydentää sitä.

Turvallisuusperiaatteet kunniaan

Valtioneuvosto teki huhtikuun alussa periaatepäätöksen julkisen hallinnon digitaalisesta turvallisuudesta. Tämä päätös on jäänyt koronakamppailussa piiloon, kun julkisuudessa on keskitytty vain hypettämään erilaisia digitaalisia mobiilisovelluksia.

Periaatepäätöksessä käsitellään digitaalisen turvallisuuden periaatteita, esimerkiksi johtaminen ja riskiarvio, turvallisuuden vaikuttavuus ja kustannukset, kansalaisten ja henkilöstön ymmärryksen kehittäminen riskeistä ja vastuista sekä turvallisuuden edellyttäminen teknologioilta ja palvelutuotannolta.

Kansalaisten, yritysten ja yhteisöjen tulee valtioneuvoston mielestä voida luottaa eettisesti kestäviin, avointa ja läpinäkyvää toimintaa tukeviin ja turvallisiin julkisen hallinnon palveluihin. Onko nämä periaatteet sisällytetty uuteen mobiilisovellukseen ja valmisteilla olevaan lainsäädäntöön?

Vapaassa demokratiassa kansalaisten valvonnan lisääminen ja keskittäminen on aina huono idea. Mikään ei takaa arkaluonteisen terveystiedon valumista joskus markkinatavaraksi tai kansalaisten valvontavälineeksi. Vaikka nyt luottoa löytyisi hallitukseen ja teknologiayhtiöihin, seuraavien vaalien jälkeen tilanne voi olla toinen. Tietoturva ja kansalaisten tietosuoja ovat ensiarvoisen tärkeitä, kun kehitetään mitä tahansa digitaalista palvelua.

Entä se Troijan puuhevonen? Sanonta tarkoittaa mitä tahansa juonta, jossa uhri houkutellaan päästämään vapaaehtoisesti vihollinen kotiin.

 

Leila Kurki, STTK:n asiantuntija, työelämä- ja innovaatiot