Viestinnän salausta kiertävä EU-asetuskompromissi herättää yhä epäluuloja – tarkoitus estää kuvat lasten hyväksikäytöstä

Suomen kanta EU:n lapsiin kohdistuvaa seksuaaliväkivaltaa torjuvaan asetusehdotukseen (CSAM) jäi tällä viikolla päättämättä. Mediatietojen mukaan hallitus oli jo valmis hyväksymään EU:ssa neuvotellun kompromissin, jonka puheenjohtajamaa Unkari oli esitellyt.

Keskiviikkona eduskunnan suuri valiokunta kuitenkin lykkäsi asian käsittelyä. EU:n tasolla asetuksesta oli tarkoitus löytää sopu EU:n oikeus- ja sisäasiainneuvostossa torstaina, mutta Unkari lykkäsi asiaa. EU-maiden sisäministerit kokoontuivat Luxembourgiin, jossa Suomea edusti Lulu Ranne (ps.).

Sisäministeriön mukaan uusi asetus asettaisi palveluntarjoajille velvollisuuksia torjua lapsiin kohdistuvaa seksuaaliväkivaltaa sisältävää materiaalia. Asetusehdotus on ollut kiistanalainen, koska sitä on pidetty uhkana viestinnän yksityisyydelle ja viestisovellusten salaukselle.

Uudessa esityksessä viranomaisille ei tulisi oikeutta suoraan murtaa viestin salausta, mutta asetus antaisi viranomaisille epäsuoran tavan kiertää salaus. Helsingin Sanomien mukaan viestisovelluksiin tulisi ominaisuus, joka tietyissä tapauksissa tunnistaisi hyväksikäyttömateriaalin jo silloin, kun käyttäjä yrittää sen jakaa, eli ennen viestin salaamista.

Lehden mukaan palveluntarjoajat voitaisiin velvoittaa vertaamaan palveluun ladatuista kuvista laskettuja hash-numerosarjoja viranomaisten tietokantaan.

Lue myös: Lasten kuvista väärennetään tekoälyllä pornoa – väärennystapauksia myös Suomessa

"Herättää aikamoisen määrän kysymyksiä"

Monet viestintäteknologian ja tietoturva-alan asiantuntijat ovat huolissaan esityksestä, jonka toteutustapa jättää paljon arvailun varaan.

– Se herättää aikamoisen määrän kysymyksiä, kun ainakaan julkisessa keskustelussa ei ole esitetty mitään tarkempaa teknistä metodia, että miten tämä toimii, arvioi STT:lle Aalto-yliopiston verkotettujen järjestelmien professori Petri Mähönen, joka johtaa yliopiston EU-rahoitteista Cyber Citizen -hanketta.

Esityksessä mainitut hash-funktiot ovat tietojenkäsittelytieteessä ja teknologiasektorilla hyvin tunnettuja työkaluja, mutta esityksen kaltaiseen tarkoitukseen niitä ei Mähösen mukaan ole aiemmin käytetty.

– Tietääkseni mitään tämäntyyppistä hash-systeemiä, jolla pyrittäisiin valvomaan yksittäisissä laitteissa olevia kuvia viranomaisten käsissä olevalla keskitetyllä tietokannalla, ei käsittääkseni ole tehty. Ei ainakaan tällaisessa laajuudessa. Tällaisessa massiivisessa mittakaavassa tämä on kyllä kokeilematonta teknologiaa, Mähönen sanoo.

Lue myös: Seksuaalirikoksia verkossa tekevien iästä paljastui "shokeeraava tulos"

"Semantiikkaa sanoa, ettei salausta rikota"

Esityksen aiempiin versioihin perehtynyt Mähönen luonnehtii uutta esitystä julkisuuden tietojen pohjalta erikoiseksi kompromissiksi.

– On hyvä asia, että sitä salausta ei varsinaisesti pureta, eli ei pyydetä heikentämään salausalgoritmeja tai panna väliin jotain järjestelmää, joka tarkkailee.

Uudesta esityksestä syntyy nyt Mähösen mukaan kuitenkin toisenlainen ongelma.

– Ennen kuin mitään salataan, päätelaitteeseen tulee aukko, josta nähdään mitä tehdään. Eli tämä on vähän semantiikkaa sanoa, että salausta ei rikota, koska tavallaan salaisuus on auki.

Mähönen ei ole yksin huolineen.

– Jos sama toteutettaisiin kirjepostille, se tarkoittaisi suunnilleen sitä, että postin saamien kirjeiden auki höyryttämisen sijaan postinkantaja tulisi paikalle tutkimaan kirjekuorten sisällöt ennen niiden sulkemista, kirjoitti tietoturva-asiantuntija Jussi Eronen keskiviikkona Ylen sivuilla julkaistussa mielipidekirjoituksessaan.

Lue myös: Vanhempi, tätä kaikkea 12-vuotias lapsesi näkee somessa – kasvatusgurun mielestä kännyköitä on kohta "pakko rajoittaa"

Lapsiin kohdistuvaa seksuaaliväkivaltaa torjuvan järjestelmän kiertäminen olisi ehkä "hyvinkin helppoa"

Aalto-yliopiston verkotettujen järjestelmien professori Petri Mähönen kyseenalaistaa sen, kuinka tehokas EU:n esityksessä kaavailtu viestisovellusten salausta kiertävä järjestelmä todellisuudessa olisi lasten hyväksikäyttömateriaalin pysäyttämisessä.

Helsingin Sanomien mukaan esityksessä palveluntarjoajia velvoitettaisiin vertaamaan tiedostosta laskettavaa hash-numeroa viranomaisten tietokantaan jo tiedossa olevasta laittomasta sisällöstä. Esimerkiksi kuvatiedostossa yhden ainoan pikselin muuttaminen tuottaa tiedostolle erilaisen hash-numeron, Mähönen sanoo.

– Tällaisen suodattamisen kiertäminen todennäköisesti tulisi olemaan hyvinkin helppoa. -- Kun kuvasta on kyse, niin pienetkin muutokset muuttavat sen tunnusluvun arvoa. Kuinka paljon lisähyötyä tämä tuo vaaroihin nähden? Mähönen sanoo STT:lle.

Vuonna 2021 uutisoitiin: Meneekö Apple liian pitkälle kansalaisten valvonnassa alastonkuvat syynäävällä järjestelmällään? Asiantuntija Ylelle: Saunakuvat voivat olla tekoälylle liikaa

"Taustalla hyviä päämääriä"

Kiertäminen voisi Mähösen mukaan onnistua keneltä tahansa, jolla on "minimaalistakaan tietämystä" teknologiasta tai jolla on käytössä jokin lisäsovellus, jolla kuvaan voi tehdä muutoksia. Nykyisenlainen esitys ei myöskään vaikuttaisi rikollisten itse tuottamaan uuteen hyväksikäyttömateriaaliin, sillä hash-lukua voisi verrata vain niihin tiedostoihin, jotka ovat jo ennestään viranomaisten tietokannassa.

– Tavallaan tässä on taustalla valtavan hyviä päämääriä, mutta kyberturvallisuudessa on aina näitä tasapainotuksia, että halutaanko me tieten tahtoen heikentää sitä kokonaisturvallisuutta. Yleensä perussääntö on, että nämä asiat kannattaisi pohtia hyvin avoimesti läpi.

Tietoturva-asiantuntijoiden ohella myös oppositiosta on arvosteltu hallituksen aikeita hyväksyä Unkarin esitys. Vihreiden suuren valiokunnan varajäsen Inka Hopsu sanoi tiedotteessa keskiviikkona, ettei Unkarin kompromissiehdotus riittävällä tavalla turvaa viestinnän luottamuksellisuuden suojaa ja rajaa muihin perusoikeuksiin puuttumista vain välttämättömään ja oikeasuhtaiseen.

Lue myös: Pedofiilit löysivät pimeästä verkosta yhteisön, jota ei normaalista yhteiskunnasta löydy: "Toivovat saavansa ymmärrystä toiminnalleen"