Tietosuojaniuhottajan päiväkirja: Internetissä henkilökohtaisten tietojen vuotaminen mainostajille on vakava tietoturvauhka

Julkaistu
arihak
android sovelluskauppa näyttää instagram app tietoja. ruutukaappaus
Sovelluskaupassa voi tarkistaa miten esimerkiksi Instagram vaatii luvan 76 toiminnolle puhelimessa. Miksi kuva-albumisovelluksen täytyy vastata ppuhelimeen? Entä saada tarkka sijaintitieto? Erikoisin niistä on kenties ”Lisätä ja muuttaa kalenteritapaamisia ja lähettää sähköpostia ilman omistajan lupaa”.

Tietosuojaniuhottaja on aina ajatellut yksityisyyden olevan turvallisuuteen liittyvä asia, varsinkin silloin kun ollaan tekemisissä internetin, älylaitteiden ja verkkopalveluiden kanssa. Tämän ajatuksen vahvistaa saksalainen tietoturvaan ja kansalaisten oikeuksiin keskittyvä yhdistys Netzpolitik. Se keräsi dataa tutkimukseen, jonka tulokset ovat saaneet tuhannet EU:n ja NATO:n edustajat todennäköisesti pidättelemään henkeään. Tuhansien – myös korkeassa asemissa olevien päättäjien – hämmästyttävän tarkat henkilötiedot arkaluonteisine yksityiskohtineen ovat kohtuuhinnalla ostettavissa internetissä dataa kerääviltä, luokittelevilta ja välittäviltä yrityksiltä. Miten tämä on mahdollista?

Netzpolitik on tutkimuksessaan tehnyt henkilökohtaisten tietojen kaupankäynnistä vuosien 2024 ja 2025 aikana pistokokeita datamarkkinoille nähdäkseen mikä todellinen tilanne vakoilua muistuttavassa tietojen keruussa on. Markkinoilta ihmisten dataa ostavat esimerkiksi mainostajat, yritykset mukaanlukien rahoituslaitokset, valtiolliset toimijat (kuten tiedustelupalvelut – kirja Byron Tau: Means of Control) ja yhtä hyvin myös rikolliset. Ennen halutunlaisen datapaketin ostamista myyjältä (databroker) voi pyytää näytettä. Näitä näytteitä Netzpolitik hyödynsi tutkimuksessaan.

Netzpolitikin tutkimus keskittyi dataan, joka liittyi EU:n ja NATO:n toimintaan Brysselissä. Tulokset olivat niin kylmääviä, että raportin yhteenveto totesi EU:n saatua tiedon siitä: ”Euroopan Komissio ilmaisi asiasta huolensa, Parlamentin jäsenet vaativat toimenpiteitä. Yksi asia on varma: mainosten mahdollistama seuranta ja datalla tehtävä liiketoiminta uhkaa Euroopan turvallisuutta”.

Seuraavassa muutama poiminta Netzpolitikin Databroker-tutkimuksen tuloksista:

  • Netzpolitikilla on miljardeja ihmisten sijainnin tarkasti osoittavia tietueita, mutta kaventamalla tarkastelun ainoastaan Brysseliin muutaman viikon ajanjaksolle näytteistä löytyi seuraavia tietoja: Euroopan Parlamentista 5800 sijaintitietoa 756 laitteesta ja NATO:n pääkonttorilta 9600 sijaintitietoa 543 laitteesta.
  • Kaikki laitteet, joiden sijainti on saatavilla ovat yksilöitävissä henkilöön. Laitteiden sijaintitietoja seuraamalla tarkkaillaan siis henkilön liikkumista kotiin, töihin, harrastuksiin, ja – mihin tahansa.
  • Joitakin yksilöityjä ihmisiä seurantadatassa ovat kolme entistä korkeassa asemassa ollutta EU:n työntekijää, Euroopan Komission johtavassa asemassa oleva henkilö, korkea-arvoinen EU-maan diplomaatti, Parlamentin työtekijöitä, journalisti ja kansalaisaktivisti.
  • Hollannissa, Sveitsissä, Norjassa ja Irlannissa on tehty riippumattomia saman tyyppisiä tutkimuksia, joiden tulokset vastaavat Netzpolitikin tuloksia. Yhtenä yksilöidyn henkilökohtaisen seurannan riskikohteena muissa maissa paljastui ydinvoimala.
  • Ihmisten seuranta verkosta kerätyn datan perusteella on niin laajaa, hyväksyttyä ja käytännöllistä esimerkiksi yrityksille ja valtiollisille toimijoille, että toiminta on saanut oman termin ADINT (advertising-based intelligence), verkkomainonnan mahdollistama tiedustelu.
  • Hybridiuhkien torjuntaan erikoistuneen organisaation Hybrid Coe:n Kirsi Pere arvioi: ”Vihamieliset toimijat voivat hyödyntää mobiililaitteen sijaintidataa hybridioperaatioihin, joissa vahingoitetaan demokraattista yhteiskuntaa ja vaikutetaan valtion päätöksentekokykyyn”.

Ranskalainen sanomalehti Le Monde (Proton on tehnyt tästä yhteenvedon) on tehnyt yhteistyötä Netzpolitikin kanssa, ja kaivellut datamassasta ranskalaisia tiedusteluorganisaation ihmisiä ja polisiin eliittijoukkojen henkilöitä.

Miten näin laaja ihmisten seuranta on mahdollista?

Mutta miten tällainen avoin maailmanlaajuinen, erittäin laaja ja tuottava liiketoiminta ihmisten henkilökohtaisilla tiedoilla on mahdollista? Se on mahdollista koska valtaosa ihmisistä, olivatpa missä asemassa tahansa, suhtautuvat huolettomasti tietojensa käsittelyyn ja luovuttamiseen kenelle tahansa internetissä.

Puhelimeen, tabletiin ja tietokoneelle (sama koskee kaikkia muitakin verkkoon kytkettyjä laitteita, kuten älykelloja, äly-TV:tä, Android- ja Apple-yhteensopivia autoja) asennetut sovellukset saattavat seurata kellon ympäri omistajansa tekemisiä ja välittää tiedot sovelluksen tekijän palvelimille. Sieltä tiedot yleensä siirtyvät eteenpäin erityisesti datan jatkojalostukseen erikoistuneisiin yrityksiin, joita ovat saaneet nimen databroker. Ne jalostavat dataa ja käyvät henkilökohtaisilla tiedoilla kauppaa. Kaikki laitteet, jotka on internetiin kytketty ja joissa on päivittäin miljoonien ihmisten käyttämiä ohjelmistoja, kuten Googlen, Facebookin, Microsoftin, Adoben tai muiden vastaavien tuotteita ja palveluita, keräävät jatkuvasti dataa näille markkinoille. Juuri tätä dataa Netzpolitik on tutkinut.

Eurooppalaisina ja EU:n jäsenmaan kansalaisina voimme odottaa apua EU:lta, joka onkin puuttunut kukoistavaan ihmisten seuraamisesta syntyvään liiketoimintaan jo vuonna 2018 GDPR-lakipaketissa. Ongelma vain on, että GDPR:n valvonta ei ole ihan helppoa, eikä suuria eikä pieniä EU:n ulkopuolisia yrityksiä ole saatu noudattamaan sääntöjä suurehkoista sakoista huolimatta.

tietoturva- ja tietosuojapuhelin, jossa iode-ohjelmisto. näytön kaappauskuva

Jokainen verkkoon kytketyn älykkään laitteen omistaja voi kuitenkin vähentää jatkuvaa seurantaa tai estää sen kokonaan välittömästi. Se vain vaatii vaivaa, opiskelua ja joidenkin tuttujen sovellusten ja palveluiden vaihtamista toisiin. Puhelin on usein se suurin tietojen vuotaja, mutta siihenkin löytyy tietoturvaan ja seurannan estämiseen erikoistuneita ratkaisuja. Esimerkiksi Iode ja Murena tarjoavat sellaisia puhelimia, joissa kuitenkin Android-sovellukset toimivat. Myös suomalainen Jolla tarjoaa omistajansa tietoja suojaavaa puhelinta, jota tosin suositellaan ensisijaisesti tietoteknisesti valveutuneille henkilöille.

Tietosuojaniuhottaja havannoi jälkiviisaasti ettei villinä ja vapaana syntyneen internetin kanssa mennyt ihan kuten Strömsössä. Internet on tänä päivänä niin tärkeä osa maailmaa, että sieltä löytyy kaikki – niin hyvä kuin huono ja kaikki siltä väliltä. Suuri osa internet-palveluista rahoitetaan mainoksilla, jota palvelemaan syntyi uusi liiketoiminta: henkilökohtaisten tietojen keruu, niiden jalostaminen mainosten kohdentamista varten, ja tietojen myynti halukkaille tahoille. Netzpolitikan Databroker-raportti osoittaa miten suuri osa verkkoon liitettyjen laitteiden käyttäjistä asettaa oman turvallisuutensa ja joissain tapauksissa myös yhteiskunnan alttiiksi monille riskeille, joissa hyödynnetään häikäilemättä heidän tietojaan mihin tahansa tarkoitukseen.

Enemmän tai vähemmän kyberturvastaan niuhottavat tietotekniikan käyttäjät voivat kuitenkin vähentää riskiä huomattavasti. Omien tietojen vuotamista maailman datamarkkinoille voi vähentää tai jopa estää kun aktiivisesti huolehtii kaikkien laitteidensa ja käyttämiensä palveluiden ja sovellusten tietoturvasta.