Talouselämä 26.3.2004

Kenen vastuulla tietoturva?

Kenen on syy, kun hakkerit murtautuvat verkkoon, virukset mellastavat sähköpostissa ja käyttäjät ihmettelevät, mihin heidän tiedostonsa ovat kadonneet?

Kukaan ei haluaisi ottaa vastuuta ikävästä ja hankalasta asiasta. Vain yhdestä asiasta kaikki ovat samaa mieltä: vastuu ei ole minulla, vaan jollain toisella.

Vastuullista tahoa etsittäessä ensimmäisenä tulee mieleen Microsoft. Miten voi olla mahdollista, että yhtiö on markkinajohtaja niin käyttöjärjestelmissä kuin sovelluksissakin, ja silti sen tuotteista löytyy jatkuvasti viruksen mentäviä aukkoja? Miksei Microsoftia saada vastuuseen ohjelmiensa aiheuttamista vahingoista?

Olipa Microsoftista mitä mieltä tahansa, se ei ole laatuongelmineen yksin. Ohjelmointivirheet ovat yhteisiä kaikille alan toimijoille. Niiden perimmäisenä syynä on se, etteivät tuotantomenetelmät ole kehittyneet lainkaan samaa tahtia ohjelmien koon kanssa. Ohjelmointi on edelleen virhealtista käsityötä.

Ohjelmien virheet eivät sinällään aiheuta tietoturvaongelmia. Vaarallisia niistä tulee vasta pahantahtoisen henkilön käsissä. Voitaisiinko talon valmistaja saada vastuuseen siitä, että murtovaras lyö ikkunan rikki ja murtautuu sisään?

Jos joku murtautuu taloon, vika ei ole talon rakentajan tai omistajan, vaan varkaan. Vain ääritapauksissa, kuten jätettäessä etuovi selkoselälleen, talon omistajan voidaan katsoa myötävaikuttaneen tapahtuneeseen.

Tietomurtajia ja viruksen kirjoittajia on vaikea jäljittää. Siksi paineet löytää vastuullinen taho jostain muualta kasvavat. Syyllisyyskysymystä se ei kuitenkaan muuta mihinkään.

Ai niin: rakentamisen laatu. Vaikka talojen rakentamista on Suomessakin harjoiteltu muutaman sadan vuoden ajan, sen laatu ei kestä vertailua edes parjattujen tietokoneohjelmien kanssa. Talojen katot romahtavat kasaan jopa itsestään.

Tuore Tietoyhteiskunnan kehittämiskeskuksen päättäjäindeksikysely nosti tärkeimmäksi tietoturvan vastuutahoksi operaattorit. Mikä löytö! Vastuussa olisikin se, joka kuljettaa bitit paikasta toiseen, ja jota laki kieltää edes katsomasta, mitä bitit sisältävät.

Tietoturva voidaan hyvin rinnastaa liikenneturvaan. Tiet ovat verkkoja, joita erilaiset käyttäjät ja päätelaitteet hyödyntävät. Siinä missä teitä käytetään tavaroiden siirtämiseen, verkoissa liikkuu sähköinen informaatio.

Yritys sälyttää vastuu tietoturvasta operaattoreille on jo ajatuksena mahdoton. Eihän tielaitoskaan ole vastuussa liikenneonnettomuuksista. Teiden suunnittelulla ja ylläpidolla voidaan toki vaikuttaa, mutta lähes aina onnettomuuksista ovat vastuussa autoilijat itse.

Mikään tekninen järjestely ei itsessään riitä tekemään liikenteestä turvallista. Varsinkin kelin ollessa liukas ja näkyvyyden huono, kuljettajan oma taito ja harkinta ratkaisevat.

Valitettavasti molemmat ovat kärsineet inflaation. Kun joku ohittaa huonolla kelillä reipasta ylinopeutta ajaen, auto on lähes varmasti Volvo. Mainokset ovat luoneet harhakuvan turvallisesta autosta, jonka hyöty ulosmitataan omalla käyttäytymisellä.

Ajatus autoilijan vastuusta on helppo hyväksyä, koska liikenteessä liikkuminen on tuttua ja liikennesäännöt opetetaan jo ala-asteella. Lisäksi auton kuljettajalta edellytetään kallista ajokorttitutkintoa.

Niin kauan, kuin ihmisistä on kivaa lähetellä toisilleen sähköpostilla videoleikkeitä ja pilaohjelmia, tietoturva jää haaveeksi. Mikään tekninen ratkaisu ei pysty suojaamaan käyttäjää häneltä itseltään. Tietokoneenkin ääressä vastuu on viime kädessä ratin ja penkin välissä.

Tietotekniikassa ei ainakaan vielä ole pakollista koulutusta. Nykyinen sukupolvi saa toivottavasti alan perusopit jo koulussa, mutta työelämässä tarpeet ja vastuu on tiedostettava koulutuksen aikaansaamiseksi.

Tietoturvan suurin haaste on työelämän ulkopuolella: kotikäyttäjissä, vanhuksissa ja muissa erityisryhmissä.

Kenenkään ei ole pakko hankkia autoa, sillä bussit ja taksit kulkevat lähes kaikkialla Suomessa. Niiden käyttö vain on vähän hitaampaa ja hankalampaa. Verkkopalveluissa on toisin. Kustannussyistä pankki- ja viranomaispalveluita siirretään nettiin, eikä vaihtoehtoista kanavaa kohta enää ole. Verkkoon on pakko mennä.

Autokoulussa käydään, koska taitamaton ajaja on vaaraksi paitsi itselleen myös muille. Sama pätee tietoturvaan: viruksen tai tietomurron uhri levittää vahinkoa tai roskapostia ympäristöönsä, jolloin kaikki kärsivät.

Vaikka vastuu onkin käyttäjällä itsellään, vene on kaikille yhteinen.

<takaisin