Unkarin esittelemä kompromissi lasten hyväksikäyttöä torjuvasta EU-asetuksesta herättää yhä epäluuloja
Suomen kanta EU:n kiistanalaiseen, lasten seksuaalista hyväksikäyttömateriaalia torjuvaan asetusehdotukseen (CSAM) jäi tällä viikolla päättämättä.
Mediatietojen mukaan hallitus oli jo valmis hyväksymään EU:ssa neuvotellun kompromissin, jonka puheenjohtajamaa Unkari oli esitellyt. Keskiviikkona eduskunnan suuri valiokunta kuitenkin lykkäsi asian käsittelyä.
Valiokunta päätti pyytää asiasta perustuslakivaliokunnan, liikennevaliokunnan ja hallintovaliokunnan näkemystä. EU:n tasolla asetuksesta oli tarkoitus hyväksyttää jäsenmaiden yleiskäsitys tänään torstaina järjestettävässä EU:n oikeus- ja sisäasiainneuvostossa, mutta tällä viikolla kerrottiin, ettei Unkari pyrikään saamaan asiassa ratkaisua aikaan vielä tuolloin. Syynä pidetään tarvittavan kannatuksen puuttumista.
Sisäministeriön mukaan uusi asetus asettaisi palveluntarjoajille velvollisuuksia torjua lapsiin kohdistuvaa seksuaaliväkivaltaa sisältävää materiaalia. Esitys on ollut kiistanalainen, koska sitä on pidetty uhkana viestinnän yksityisyydelle ja viestisovellusten salaukselle. Euroopan komissio antoi asetusehdotuksen jo toukokuussa 2022, mutta asia on edennyt hitaasti.
Uudessa esityksessä viranomaisille ei tulisi oikeutta suoraan murtaa viestin salausta, mutta asetus antaisi viranomaisille epäsuoran tavan kiertää salaus. Helsingin Sanomien mukaan viestisovelluksiin tulisi ominaisuus, joka tietyissä tapauksissa tunnistaisi hyväksikäyttömateriaalin jo silloin, kun käyttäjä yrittää sen jakaa, eli ennen viestin salaamista.
Esityksessä palveluntarjoajat voitaisiin velvoittaa vertaamaan palveluun ladatuista kuvista laskettuja hash-numerosarjoja viranomaisten tietokantaan tunnetusta hyväksikäyttömateriaalista. Jos tästä tulisi osuma, asia voisi siirtyä viranomaisten tarkempaan syyniin.
Monet viestintäteknologian ja tietoturva-alan asiantuntijat ovat huolissaan esityksestä, jonka toteutustapa jättää paljon arvailun varaan.
– Se herättää aikamoisen määrän kysymyksiä, kun ainakaan julkisessa keskustelussa ei ole esitetty mitään tarkempaa teknistä metodia, että miten tämä toimii, arvioi STT:lle Aalto-yliopiston verkotettujen järjestelmien professori Petri Mähönen, joka johtaa yliopiston EU-rahoitteista Cyber Citizen -hanketta.
Esityksessä mainitut hash-funktiot ovat tietojenkäsittelytieteessä ja teknologiasektorilla hyvin tunnettuja työkaluja, mutta esityksen kaltaiseen tarkoitukseen niitä ei Mähösen mukaan ole aiemmin käytetty.
– Tietääkseni mitään tämäntyyppistä hash-systeemiä, jolla pyrittäisiin valvomaan yksittäisissä laitteissa olevia kuvia viranomaisten käsissä olevalla keskitetyllä tietokannalla, ei käsittääkseni ole tehty. Ei ainakaan tällaisessa laajuudessa. Tällaisessa massiivisessa mittakaavassa tämä on kyllä kokeilematonta teknologiaa, Mähönen sanoo.
Unkarin esittelemä kompromissi on lievennetty versio aiemmasta esityksestä, joka nostatti jyrkkää vastustusta monissa maissa. Digitaalisen salauksen heikentämisen on pelätty johtavan kansalaisten massavalvontaan ja väärinkäytöksiin erityisesti autoritaarisesti johdetuissa maissa – joihin moni laskee esityksen tehneen Unkarin.
Sisäministeriön mukaan asetusehdotus ei anna valtiolle pääsyä luottamukselliseen viestintään. Tuomioistuin velvoittaisi palveluntarjoajan tunnistamaan lapsiin kohdistuvaa seksuaaliväkivaltaa sisältäviä kuvia ja videoita. Mikäli tällaista laitonta aineistoa havaitaan, ilmoitus tehtäisiin erikseen sen torjuntaan keskittyvälle EU-keskukselle, ei valtioiden viranomaisille.
Ministeriön mukaan valtioilla tai EU-keskuksella ei olisi pääsyä luottamukselliseen viestintään. Palveluntarjoaja ilmoittaisi havaintonsa jo kertaalleen rikolliseksi todetusta sisällöstä EU-keskukselle, joka vuorostaan tarkastaa sen ja tarvittaessa välittää tiedon poliisille.
Ministeriö sanoo, että esitys ei edellytä laitteiden käyttöjärjestelmään tehtäviä muutoksia tai vakoiluohjelman asentamista. Kun tuomioistuin määräisi palveluntarjoajalle tunnistamismääräyksen, tämän olisi päivitettävä sovelluksensa siten, että tunnistaminen olisi mahdollista.
Esityksen aiempiin versioihin perehtynyt Mähönen luonnehtii uutta esitystä julkisuuden tietojen pohjalta erikoiseksi kompromissiksi.
– On hyvä asia, että sitä salausta ei varsinaisesti pureta, eli ei pyydetä heikentämään salausalgoritmeja tai panna väliin jotain järjestelmää, joka tarkkailee. Tämä voi ensiksi kuulostaa siltä, että hienoa, nyt ongelma on ratkaistu.
Yleisesti pelättiin, että salauksen täysi murtaminen avaisi ”Pandoran lippaan” viranomaisten väärinkäytöksille ja kansalaisten massavalvonnalle, Mähönen kertoo. Nykyteknologia mahdollistaa massiivisen valvontakyvyn ottaen huomioon, kuinka keskeisiä digitaaliset laitteet ihmisten elämässä ovat.
– Se mitä aiemmilla diktatuureilla on ollut, oli pientä verrattuna siihen, mitä voitaisiin tehdä, jos meidän henkilökohtaisten digitaalilaitteiden yksityisyys murretaan.
Uudesta esityksestä syntyy nyt Mähösen mukaan kuitenkin toisenlainen ongelma.
– Ennen kuin mitään salataan, päätelaitteeseen tulee aukko, josta nähdään mitä tehdään. Eli tämä on vähän semantiikkaa sanoa, että salausta ei rikota, koska tavallaan salaisuus on auki.
Mähönen ei ole yksin huolineen.
– Jos sama toteutettaisiin kirjepostille, se tarkoittaisi suunnilleen sitä, että postin saamien kirjeiden auki höyryttämisen sijaan postinkantaja tulisi paikalle tutkimaan kirjekuorten sisällöt ennen niiden sulkemista, kirjoitti tietoturva-asiantuntija Jussi Eronen keskiviikkona Ylen sivuilla julkaistussa mielipidekirjoituksessaan.
Petri Mähönen kyseenalaistaa sen, kuinka tehokas esityksessä kuvailtu järjestelmä todellisuudessa olisi lasten hyväksikäyttömateriaalin pysäyttämisessä. Esimerkiksi kuvatiedostossa yhden ainoan pikselin muuttaminen tuottaa tiedostolle erilaisen hash-numeron.
– Tällaisen suodattamisen kiertäminen todennäköisesti tulisi olemaan hyvinkin helppoa. — Kun kuvasta on kyse, niin pienetkin muutokset muuttavat sen tunnusluvun arvoa. Yhdenkin pikselin muuttaminen muuttaa hash-lukua. Kuinka paljon lisähyötyä tämä tuo vaaroihin nähden?
Kiertäminen voisi Mähösen mukaan onnistua keneltä tahansa, jolla on ”minimaalistakaan tietämystä” teknologiasta tai jolla on käytössä jokin lisäsovellus, jolla kuvaan voi tehdä muutoksia. Nykyisenlainen esitys ei myöskään vaikuttaisi rikollisten itse tuottamaan uuteen hyväksikäyttömateriaaliin, sillä hash-lukua voisi verrata vain niihin tiedostoihin, jotka ovat jo ennestään viranomaisten tietokannassa.
– Tavallaan tässä on taustalla valtavan hyviä päämääriä, mutta kyberturvallisuudessa on aina näitä tasapainotuksia, että halutaanko me tieten tahtoen heikentää sitä kokonaisturvallisuutta. Yleensä perussääntö on, että nämä asiat kannattaisi pohtia hyvin avoimesti läpi.
Tietoturva-asiantuntijoiden ohella myös oppositiosta on arvosteltu hallituksen aikeita hyväksyä Unkarin esitys. Vihreiden suuren valiokunnan varajäsen Inka Hopsu sanoi tiedotteessa keskiviikkona, ettei Unkarin kompromissiehdotus riittävällä tavalla turvaa viestinnän luottamuksellisuuden suojaa ja rajaa muihin perusoikeuksiin puuttumista vain välttämättömään ja oikeasuhtaiseen.