Proton – eurooppalainen vaihtoehto

Käytämme reilusti Googlen palveluita, hakukoneen lisäksi Gmailia, selainta, salasanahallintaa, Android-puhelimia ja paljon muuta. Sen rinnalla on Microsoftia, Metaa ja lukuisia muita jenkkifirmoja. Jotkut palveluista, kuten Gmail, ovat sinänsä varsin päteviä, mutta on hyvä tiedostaa osalle palveluista olevan myös Eurooppalainen vastine. Lausunpa nyt pari sanaa sveitsiläisestä Protonista.

Alusta pitäen eri pelisäännöt

Protonin tuotteisiin kuuluvat sähköposti (vrt. Gmail), tallennustila (vrt. Google Drive), kalenteri, VPN-palvelu ja salasanahallinta. Proton perustettiin CERNin tieteentekijöiden toimesta vuosikymmen sitten. Organisaatiorakennetta on vahvennettu vihamielisiä toimia vastaan ja tästä vuodesta alkaen yrityksen pääomistaja on Genevessä toimiva säätiö. Proton noudattaa Sveitsin lainsäädäntöä, eikä se ole riippuvainen USA:n eikä EU:n pykälistä. Tunnemme Sveitsin pankkisalaisuudesta, mutta perustuslaillinen vapauden ja yksityisyyden suoja on pankkeja laajempi. Kotiosoitteen lisäksi Protonilla on Sveitsissä päämaja, datakeskus ja pääosa henkilökunnasta, vahvistaen entisestään juridista asemaa.

Järjestelmä perustuu lähtökohtaiseen salaukseen, jota yritys itse ei voi rikkoa. Tämä ei ole vain lupaus paperilla, vaan lukuisten kolmansien osapuolten jatkuvasti varmistama tila. Mikäli järjestelmästä löytyisi haavoittuvuus, sen havaitsijalle maksetaan palkkio. Järjestelmiin ei ole vain lisätty salausta valinnaisena osaan toimintoja, kuten vaikkapa Whatsappiin, vaan salaus on rakenteellinen osa. Sitä ei voi kytkeä pois päältä, koska järjestelmä ei toimisi ilman sitä. Viranomainen ei edes teoriassa voisi vaatia pääsyä sähköposteihisi, koska sitä pääsyä ei ole Protonillakaan.

Eturistiriitoja mainostajien kanssa ei tarvitse pelätä, sillä järjestelmässä ei yksinkertaisesti ole mainoksia. Siinäpä yksi pieni samanlaisuus Pirkan blogien kanssa.

Ei kaikkea, mutta hyvä pohja

Proton ei korvaa kaikkia amerikkalaisia palveluita, eikä se siihen pyrikään. Nostaisin kuitenkin pinnalle erityisesti mainion sähköpostipalvelun sekä salasanojen hallintapalvelun, joista molemmat ovat saaneet ansaittuja kehuja testeissä ja vertailuissa. Kaikki palvelut ovat käytettävissä maksutta ja maksuttomien versioiden rajat riittävät pääosalle käyttäjiä aivan mainiosti. Muutaman euron kuukausimaksulla voi hankkia lisää tallennustilaa ja oheispalveluita.

En usko, että uudenkaan Trumpin kauden myötä USA:n ja EU:n liittolaissuhde sinänsä vaarantuu. Esimerkiksi Googlen palveluiden käytössä ei sinänsä ole mitään vikaa, riskien koskiessa lähinnä journalisteja tai muita arkaluonteisen tiedon käsittelijöitä. Pidän kuitenkin toivottavana Euroopan omavaraisuuden lisääntymistä tietotekniikassa. Yksi askel siinä on suosia lähempää löytyviä palveluita aina sen ollessa mahdollista.

Tässä on siihen hyvä ensiaskel

Minä puhun verkossa

Kuten moni on surukseen saanut vuosien varrella huomata, ilmaisen mielipiteitäni tietoverkossa, lähinnä blogeissa ja äxässä (=twitterissä), joskus myös videoina. Ilmaisultani olen erinomainen, virheetön, nöyrä ja hyvä valehtelija, mutta jossain kulkee raja. Läheisteni asiat eivät matkaa mukaan.

Helpottaa ja potuttaa

Meitä on varoitettu usein jakamasta kuvia lapsista sosiaalisessa mediassa. Varoitus on lukuisilla tapaa perusteltu. Täysin samoilla perusteilla on hyvä välttää jakamasta myöskään tekstipohjaista tietoa lapsistaan verkkoon. Sitten nopeasti nousee kysymys – entäpä seniorit, jotka eivät digipalveluita käytä? Eiköhän heilläkin ole täysin sama oikeus yksityisyyteen. Sitten jäljelle jäävät muut perheenjäsenet, sisarukset ja puolisot ja sen sellaiset. Ehkäpä hyvät ystävät sopii myös listata tähän. Eiköhän heillä ole kyky ja mahdollisuus itse jakaa itseään verkkoon jos siltä tuntuu.

Periaate numero yksi on siis selvä: ihminen päättääköön itse mitä haluaa verkossa itsestään nähtävän. Pientä joustoa tässä voi tehdä julkisuuden henkilöiden osalta, mutta onnekseni lähipiiriini ei kuulu suuria julkkiksia tai päättäjiä. Sen verran voin heistä paljastaa.

Periaate numero kaksi on yhtä yksinkertainen. Minua lähellä olevat ihmiset ovat saaneet ottaa ihan tarpeeksi osumaa poliittisista valinnoistani vuosien varrella. Ette uskoisi puoliakaan tästä jos kertoisin vain edes täysin julkisesti tiedossa olevat osat. Jos joskus jaksan tehdä omakustanteen aiheesta kirjoittamastani kirjasta, ehkä voitte sitten nauraa. Pointti on kuitenkin se, että näen mitä assosiaatio tekee ihmisille. Jos alkaisin puhumaan läheisistäni, altistaisin heidät kaikki sille samalle sontamyrskylle mitä saan itse niskaani jatkuvasti. Heillä on parempaakin tekemistä.

Ei minulla oikeastaan ole kolmatta periaatetta, mutta voisi kai sitä spekuloida että egoonsa sulkeutunut paskiainen ei halua jakaa parrasvaloja kenenkään kanssa. Vastakohta tuolle varmaan olisi periaate siitä, että haluan haastaa itseni keksimään omia juttuja eikä ryöstämään niitä muilta. Tuohon ei usko poliisikaan. Onneksi blogeissa saa valehdella.

Rohkaise läheistä puhumaan

Tarinalla on olevinaan moraalinen opetus. Jos läheisesi ympärillä tapahtuu jotain, mikä on mielestäsi kiintoisaa, rohkaise häntä itse kertomaan siitä. Voit toki auttaa, mutta useimmiten henkilö itse on paras kertomaan omista kokemuksistaan. Anna siis siihen tilaisuus. Rohkaise häntä kirjoittamaan, tai vaikka laulamaan, runoilemaan tai piirtämään siitä. Älä pureskele ruokaa hänen puolestaan.

Se ei toki tarkoita, etteikö läheisten kokemista huolista sopisi jakaa kuulemaansa. Itsekin jaan sopivasti pseudonymisoituna joskus havaintojani vaikkapa terveydenhuollon tai maahanmuuton haasteista, kun ne osuvat lähipiiriin. Hyvä ihminen reagoi kun näkee pahaa tapahtuvan. Jossain kuitenkin elää se veteen piirretty viiva toisten ihmisten elämän ja omani välillä.

Pirkan blogit – yhteystietojen käyttö ja suojaus

Pirkan blogien luonne eroaa kaupallisista palveluista. Jokaisen blogauksen kirjoittaja on lähtökohtaisesti oman sisältönsä kuningas ja siten myös moderaattori. Tämän myötä kommentoijien perustiedot tulevat blogaajan nähtäville. Tässä ohjeessa selvitetään mitä tietoja näkyy, milloin ja mitä voi tehdä jos näitä tietoja ei halua näkyville.

Tietojen näkyvyys

Jos haluat tietää mitä tietoja sinusta on ylläpidon nähtävillä, klikkaa oikeasta ylänurkasta omaa nimeäsi, tarvittaessa valitse ”muokkaa profiiliasi”. Nämä ovat ne tiedot joita myös ylläpitäjä näkee, pois lukien salasana jota ylläpito ei pysty selvittämään.

Julkisia tietoja eli aivan kaikille näkyviä tietoja ovat käyttäjätunnus, nimitiedot haluamassasi muodossa (”Näytä nimi julkisilla sivuilla tässä muodossa”), kotisivu ja ”Tietoja itsestäsi” kohdat. On oma asiasi käytätkö nimeä, pseudonyymiä vai nimimerkkiä. Emme vaadi oikeaa nimeä, eikä se kannattaisi, koska emme mitenkään voisi saada selville oletko se kuka sanot olevasi.

Kunkin blogauksen kirjoittaja näkee sinulta lisäksi sähköpostiosoitteen sekä ip-osoitteen. Blogin kirjoittajalla on lain määräämä velvollisuus pitää nämä tiedot luottamuksellisena. Henkilötietojen paljastaminen on rikos ja jos tällainen tulee ilmi, Pirkan blogit on paitsi velvollinen, myös erittäin halukas auttamaan viranomaisia asian selvityksessä.

En halua sähköpostiani yleiseen tietoon

Jos vain kirjoitat blogauksia ja kommentoit omia blogauksiasi, vain moderaattorit ja tekninen ylläpito voivat nähdä osoitteesi. Jos kommentoit muiden blogauksia, sähköpostiosoite näkyy, eikä tätä voi estää. Jos et halua sähköpostiasi näkyville, voit käyttää kirjautumisessa toista sähköpostiosoitetta tai -palvelua. Verkossa on monia sähköpostin anonymisointipalveluita ja esim. Apple-laitteiden käyttäjille, joilla on iCloud-tilaus, on valmis palvelu tätä varten. Toiminto löytyy myös Duckduckgo-palvelusta ja sen saa selaimeen lisäosana. Sähköpostin piilotukseen on hyviä ohjeita ja jos haluat ehdotonta turvallisuutta, ylivoimainen optio on Protonmail.

Jos käytät yleistä maksutonta sähköpostipalvelua, kuten Gmail, olet jo kuitenkin luovuttanut sähköpostiosoitteesi merkittävästi Pirkan blogien käyttäjäkuntaa laajempaan ja kansainvälisempään kaupalliseen käyttöön. Gmail on erinomainen sähköpostipalvelu ja maksuttomista kenties paras, mutta sitä ei pyöritetä hyväntekeväisyystarkoituksessa.

En halua IP-osoitettani yleiseen tietoon

Suomessa IP-osoitteen hyötyarvo vihamieliseen käyttöön on suurin piirtein nolla. IP-osoitteella voi joissain olosuhteissa paikallistaa henkilön useimmiten maakunnan tai yrityksen tarkkuudella. Vain viranomaisilla on mahdollisuus saada IP-osoitteen pohjalta tarkempaa tietoa, joten jos et ole etsintäkuulutettu, sinulla on kovin vähän syitä huoleen. On miljoona tapaa saada IP-osoitteesi selville, joista pääosa on helpompia kuin ryhtyä Pirkan blogien kirjoittajaksi. IP-osoitteen ns. vaarallisuus on pitkälti markkinointijippo, yritys pelotella ihmisiä ostamaan turhia lisäpalveluita. IP-osoitteisto on Internetin runkotekniikka, tapa jolla laitteet keskustelevat keskenään, eikä ilman sitä voi kytkeytyä Internetiin.

Jos asia kuitenkin häiritsee, voit käyttää VPN-palvelua IP-osoitteesi suojaamiseen. Tällöin esiinnyt palvelussa muulla kuin omalla IP-osoitteellasi. Palveluntarjoajia on lukuisia. Sellaisen löytää Opera-selaimesta maksuttomana ja monipuolisia palveluita tarjoaa vaikkapa kotimainen F-Secure ja monet muut. Näistä on lukuisia (esim. 1, 2, 3, 4) vertailuja. Huomaa kuitenkin, että VPN-palvelun on tuettava suomalaista, ruotsalaista tai virolaista sijaintia, jotta voit käyttää Pirkan blogien kaikkia toimintoja. Käyttö on rajoitettua kauempaa ulkomailta. Lähes jokainen merkittävä VPN-palvelu tarjoaa tämän.

IP-osoitteen voi suojata myös TOR-selaimella, mutta tällöin kirjautuminen ei ole mahdollista. Voit vain lukea sisältöä.

Luovutko yksityisyydestä terveytesi vuoksi?

Hyvät lukijat, otsikon kysymys on typerä ja sen kirjoittamisesta pitäisi joutua häpeäpaaluun. Haluan kuitenkin aloittaa pohjalta, siksi siteeraan tätä usein esitettyä kysymystä. On totta, että mobiililaitteiden seurantatoiminnoilla, poikkeuksellisin menetelmin, voidaan taistella tehokkaasti koronavirusta vastaan. Sen ei kuitenkaan pitäisi olla kysymys maan muuttumisesta totalitaariseksi poliisivaltioksi. Se voi kuitenkin sitä olla – joten avataanpa asiaa.

Kaksi kysymystä

Alkuun esitän kaksi kysymystä, jotka kovin herkästi mielletään samaksi.

  1. Oletko valmis antamaan valtiovallalle luvan seurata kansalaisten liikkeitä, jotta voidaan minimoida kriisin inhimilliset haitat?
  2. Oletko valmis vapaaehtoisesti ja määräaikaisesti luovuttamaan terveydenhuollon käyttöön tietoja liikkeistäsi, jotta voidaan minimoida kriisin inhimilliset haitat?

Nämä ovat eri asioita. Toki asian voisi jakaa kahden sijaan kymmeniin eri tasoisiin ratkaisuihin, nämä ovat lähinnä pari selkeää lähtökohtaa. Missä siis on ero? Jatkan tapojeni vastaisesti ranskalaisilla viivoilla, jos vaikkapa eurooppalaisen solidaarisuuden nimissä.

  • Kuka saa tiedot? Onko tieto yksiselitteisesti vain tietyn, nimetyn viranomaistahon, kuten terveydenhuollon tietyn osaston käytössä, vai salliiko tiedon käytön sanamuoto tilannekohtaisia tulkkauksia esim. yksittäiseltä virkamieheltä?
  • Mitä tietoja? Tarkelleen mitä tietoja lähetetään, koska, ja miten näitä tietoja saa ne saava osapuoli lukea? Missä kohtaa näkyy nimi, missä vain ei-yksilöivä tieto?
  • Kuinka kauan? Onko järjestelmä rakenteellisesti aikarajattu niin, että tietyn päivän kohdalla tiedon kulku yksinkertaisesti lakkaa, ellei sitä käsin erikseen kytketä takaisin päälle, jälleen aikarajatusti? Vai onko kyse toistaiseksi voimassa olevasta ratkaisusta?
  • Vapaaehtoinen vai pakollinen? Pyydetäänkö suomalaisia mukaan, vai pakotetaanko heidät siihen? Jos näin, miten henkilö tietää kuuluvansa seurannan alaisuuteen?
  • Kuka valvoo valvojia? Onko yksityisyyden suojaa valvomassa epäpoliittinen ja ammattimainen toimija, esimerkiksi tietosuojavaltuutetun toimiston alaisuudesta? Vai onko valvonta poliittisesti ohjattua, esim. tiedusteluvaliokunnan toimesta?
  • Kuka auditoi tietoturvaa? Onko järjestelmän tietoturva altistettu uskottavan kolmannen osapuolen auditointiin?
  • Missä tiedot käsitellään? Pysyykö tieto Suomessa fyysisesti? Pysyykö tieto Suomessa juridisesti? (=konesalia/palvelua ei omista ulkomainen taho sellaisesta maasta jonka lainsäädäntö muodostaa tähän haasteen, esim. USA, UK)
  • Koska ja miten tiedot tuhotaan? Onko määritelty aika, jolloin kaikki tunnistettavat tiedot poistetaan valvotusti? Toki anonymisoitu, tilastointikelpoinen data voidaan ja kannattaakin säilyttää tulevien kriisien varalle.
  • Osataanko järjestelmä ostaa? Onko järjestelmän hankkijalla (valtio) riittävä tekninen osaaminen varmistaa, että kaikki tarpeet toteutetaan? Vai onko hankintaprosessi ulkoistettu konsultille, jonka tuloksista kertonee Apotti tarpeeksi?
  • Turvaako laki ylläolevat? Onko kaikesta ylläolevasta määrätty miten vahva suojaus? Onko se laki, vai ainoastaan viranomaisten toimintatapa jonka yli voi kävellä? Voiko luvattuun luottaa?

Sinisilmäisyys ei auta

Meinasin aluksi kirjoittaa pidempäänkin luottamuksesta eri viranomaisiin tietosuojan kysymyksissä, mutta tämän voi tiivistää ja jatkaa myöhemmin. Terveydenhuolto on mielestäni ansainnut luottamuksen arkojen tietojemme käsittelyn osalta. Virheitä toki on ollut, mutta ne on pääosin havaittu ajoissa ja määrätietoiseen väärinkäytökseen syyllistyneet eivät ole saaneet jatkaa toimessaan. Tätä voi verrata poliisiin, joka on jatkuvasti otsikoissa satojen määrätietoisten tietoturvaloukkausten takia, ja jonka piirissä ei määrä välttämättä mitään seuraamuksia tästä. Toki pitää korostaa, että ylivoimainen valtaosa poliiseja kunnioittaa ihmisten yksityisyyttä, mutta organisaatiotason ongelma on ettei väärinkäytöksiin käytännössä puututa. Sote-sektorin ja poliisin lisäksi voisi varmaan puhua jotain luottamuksesta poliittisiin toimijoihin, mutta jos jätettäisiin uppoamatta niin syvään suohon tällä kertaa.

Meillä jokaisella on jotain salattavaa. Jos olet tästä eri mieltä, postitathan minulle henkilökorttisi ja valtakirjan pankkitilisi käyttöön. Oikeus yksityisyyteen on yksi länsimaisen sivistyksen perusteita ja se takaa oikeuden niin vapaalle medialle, oppositiolle kuin kulttuurille ja yritystoiminnallekin. Hädän keskellä on täysin luonnollista olla valmiina tinkimään myös yksityisyydestä, mutta se ei saa olla carte blanche -sopimus. Kriisinkin keskellä luottamus on väkevää valuuttaa sivistyneessä yhteiskunnassa. Suojelkaamme sitä, niin siten suojelemme myös kansalaisiamme.

Minä kannatan mobiilipohjaista seurantaratkaisua tapana vähentää koronaviruksen rajoituksia. Tietoturva-alan ihmisenä tiedän, että sen voi toteuttaa viisaasti. Näin tapahtuessa, olen varmasti etujoukoissa vapaaehtoisena.