Luovutamme puhelimelle jatkuvasti tietoja itsestämme – kuka niitä hyödyntää vai hyödyntääkö?
Yhä useammalle puhelimesta on tullut oman persoonan välttämätön jatke, jolla hoidetaan päivittäiset askareet niin työ- kuin vapaa-ajallakin. Samalla yhteen laitteeseen kiteytyvät tietoturvariskit ovat kasvaneet merkittäväksi. Miten tämä tulisi meidän huomioida?
Nykyään puhelin toimii pääsynvartijana monenlaiseen tietoon: sen avulla todennetaan esimerkiksi henkilöllisyys, lähetetään ja vastaanotetaan sähköpostia ja yksityisviestejä sekä hoidetaan pääsymaksut eri liikennevälineisiin.
Arkipäivässämme oleellista ja kriittistä laitetta tuottaa käytännössä vain kaksi toimijaa, Applen iOS ja Googlen Android, jotka toimivat hyvin eri logiikalla. Ensimmäinen myy kalliita puhelimia ja jälkimmäinen, eli Google, myy ihmisten dataa ja toimii mainostoimistona. Miten tämä ero sitten näkyy mobiilikäyttäjien arjessa?
Kuunteleeko puhelimesi sinua ja kuinka paljon?
Viime vuosina on keskusteltu paljon siitä, kuinka paljon puhelin kuuntelee käyttäjiään. Loihde Trustin tietoturva-asiantuntija Aino Kivilahti muistuttaa kuitenkin ihmismielen luonteesta, joka toimii usein vahvistusharhan pohjalta:
– Havaitsemme helpommin esimerkiksi sosiaalisen median mainoksia tuotteista, joita olemme juuri miettineet. Silloin saattaa tuntua, että puhelin lukee ajatuksia, vaikka todellisuudessa kyse voi olla ihmismielen harhasta. Toisaalta erilaiset kolmannen osapuolen sovellukset vaikuttavat Googlen hakutuloksiin eli voit saada mainoksia hakemistasi tuotteista. Suhtaudun kuitenkin varauksella siihen, että isoillakaan mainostajilla riittäisi resurssit tai kiinnostus kuunnella yksittäisiä asiakkaita.
– Toisaalta puhelin saattaa tietää, keiden kanssa olet jutellut ja ehkä nämä henkilöt ovatkin googlettaneet sellaisia asioita, jotka ilmestyvät sinun ruudullesi sen vuoksi, heittää johtava tietoturva-asiantuntija Benjamin Särkkä Loihde Trustilta.
Henkilötietosi ovat turvassa – ainakin Applen mukaan
Epäilyksiä saattaa herättää myös puhelimelle antamamme tunnistetiedot itsestämme eli biometrinen data, jota hyödynnämme esimerkiksi avaamalla puhelimen sormenjälki- tai kasvotunnistuksella. Apple on tuonut vahvasti kannoissaan esille viime vuosina, ettei biometristä dataa lähetetä laitteelta millekään ulkopuoliselle palvelimelle.
– Vuonna 2016 FBI vetosi Appleen selvitellessään erästä ampumistapausta ja ampujan henkilöllisyyttä. Applen toimitusjohtaja Tim Cook laati FBI:lle julkisen vastauskirjeen, jossa todettiin, että Apple ei pääse käyttäjiensä tietoihin käsiksi eikä aio auttaa valtioitakaan pääsemään, Särkkä kommentoi.
– Tätä väitettä tukee myös se, että kaikkien iOS-käyttäjien tietojen sullominen palvelimelle tuhlaisi merkittävästi resursseja. Kapasiteetti tulisi nopeasti vastaan, Kivilahti toteaa.
– Jos katsotaan puhtaasti Zerodiumin listavertailuja vaikuttaa siltä, että Androidin niin sanottu full chain -haavoittuvuus on arvokkaampi kuin iOSin, jolla on perinteisesti ollut varsin huono maine näissä asioissa. Toisin sanoen Androidin turvallisuuden taso olisi tällä mittarilla korkeammalla kuin iOsin, Särkkä kommentoi.
Some mahdollistaa myös laillisen tiedon urkinnan
Merkittävin riski lienee kuitenkin inhimillinen toiminta eli puhelimen huolimaton käyttö eikä laitteen tekninen kyky pitää tietojamme turvassa. Kannamme puhelinta jatkuvasti mukanamme, mikä tekee meistä jo lähtökohtaisesti potentiaalisen urkintakohteen. Jatkuvasti tarjoamaamme dataa voidaan kuitenkin hyödyntää yllättävinkin keinoin, myös lain sallimissa rajoissa.
– Taitavimmat saavat somesta selvitettyä monenlaista tietoa. Esimerkiksi tutkiva journalistiryhmä Bellingcat on selvittänyt, mistä päin maailmaa tietyt somessa julkaistut kuva on otettu analysoimalla pelkästään niissä näkyvien varjojen pituuksia, Kivilahti ja Särkkä kertovat.
Särkän mukaan sekä Androidin että iOsin laitteiden suojaukset vaikuttavat olevan suhteellisen hyvällä tasolla. Laitteiden suojaukset eivät kuitenkaan poista sitä faktaa, etteikö dataa voitaisi hyödyntää väärin:
– Tiedon turvaamista pitäisi alkaa pohtia uudella tavalla. Tähän voisi toimia vastauksena datan luokittelu ja mallien rakentaminen. Datalle voitaisiin antaa esimerkiksi erilaisia tägejä, joiden avulla tiedosta tehtäisiin uudella tavalla luokiteltavaa ja seurattavaa, Särkkä pohtii.
Mikä kiinalaisen TikTok-somealustan tietoturvakäytännöissä epäilyttää? Pitäisikö datalle määrittää identiteetti, jotta yleinen tietoturva paranisi? Kuuntele Benjaminin ja Ainon Aina linjoilla -LinkedIn-livetallenne!
