Jyrki Kasvi /vihr:
Arvoisa puhemies! Tämä passilaki
siirtää matkustusasiakirjat aivan uuteen aikaan.
Itse asiassa voidaan hyvällä syyllä sanoa,
että kyseessä on merkittävin uudistus
sitten paperille painettujen passien käyttöönoton,
siirtyminen sähköisiin, etäluettaviin
passeihin. Tulevaisuudessa itse paperipassia ei tarvita välttämättä lainkaan.
Riittää, että meillä on mukanamme passin
tiedot vaikkapa ihon alle tai napakoruun sijoitetussa mikrosirussa.
Mutta aina kun tehdään jotain uutta, on oltava hyvin,
hyvin varovainen, ettei käy kuten esimerkiksi Yhdysvalloille
kävi uusien passiensa kanssa. Ne menivät uusiksi,
koska niiden tietoturva ei ollut riittävä tai
oikeastaan sitä ei ollut lainkaan, ja rahaa paloi ihan
kiitettävästi.
Uuden passilain myötä passeihin sijoitetaan niin
sanottu rfid-siru, jolle passinhaltijan tiedot sijoitetaan. Perinteisten
henkilötietojen lisäksi sirulle sijoitetaan passinhaltijan
biometrisiä tietoja eli henkilökohtaisia biologisia
tietoja. Tässä vaiheessa sirulle sijoitetaan biometrisistä tunnisteista
ainoastaan passinhaltijan kasvokuva, mutta lähivuosina
sirulta voi lukea myös passinhaltijan sormenjäljen.
Vähän kaukaisemmassa tulevaisuudessa sirulla voi
olla esimerkiksi kuva passinhaltijan silmän iiriksestä tai
hänen dna-tietonsa.
Uudistuksen tavoitteena on nopeuttaa passien lukemista raja-asemilla
ja vaikeuttaa väärillä henkilötiedoilla
matkustamista. Haasteena puolestaan on tietoturva ja yksityisyyden
suoja. Rfid-sirun eli radiotaajuudella (rf) tunnistettavan (id)
sirun ideana on, että sen sisältämät
tiedot voidaan lukea ilman fyysistä kontaktia sirun eli passin
ja lukijalaitteen välillä. Lukijalaite kysyy ja
passi vastaa. Tieto kulkee radioaalloilla.
Esimerkiksi meidän eduskunnassa käyttämissämme
kulkukorteissa on rfid-siru, jonka sisältämän
tunnisteen eduskunnan ovien lukulaitteet lukevat. Mutta lukulaitteen
näkökulmasta on aivan sama, kenen kädessä kortti
on tai onko kyseessä lainkaan sama kortti, kunhan se vastaa
lukulaitteen esittämään kysymykseen samalla
tavalla kuin oikea kortti vastaisi. Lukulaitteen mielestä kyseessä olen
minä, kunhan siellä esitetään
minun korttini tai siitä tehty kopio. Rfid-sirua matkivan
laitteen nikkarointi ei ole mikään ylivoimainen
tehtävä. Tavallisten, yleisesti käytössä olevien
avainkorttien kopiointi onnistuu keskivertonörtin rakentamilla
laitteilla parissa sekunnissa. Haasteena on ainoastaan päästä riittävän lähelle
kopioitavaa korttia, mikä onnistuu ruuhkassa ja hississä aivan
helposti.
Passin tietoturva ei voi tietenkään olla yhtä huono
kuin tavallisen kulkukortin. Siksi uusien passien rfid-siruille
on sijoitettu paitsi muistia myös suoritin eli prosessori.
Tämä tekee sirusta eli passista jonkun verran
kalliimman, mutta suorittimen avulla siru voi muun muassa varmistua siitä,
että sitä lukevalla laitteella on oikeus lukea sirun
sisältämät tiedot. Passin sirun vaatima avain
on luettava passiin painetusta optisesta kentästä eli
passi on avattava ennen kuin sen sisältö voidaan
lukea. Suorittimen avulla sivu myös kryptaa eli salakirjoittaa
tietonsa ennen niiden lähettämistä. Näin
passin ja lukijan välistä tietoliikennettä ei
voida salakuunnella, tai voihan sitä salakuunnella, mutta
sisällöstä ei saa mitään selvää. Lisäksi on hyvä tietää, että passin
vastaus passin sisältöä tiedustelevalle
lukijalle on satunnainen ja kertoo ainoastaan sen, että kyseessä on
passi. Passia ei siis voi tunnistaa eikä esimerkiksi tienvarsipommia räjäyttää passin
lukijalle kättelyvaiheessa antaman vastauksen perusteella.
Valitettavasti näiden teknisten yksityiskohtien selvittäminen
vaati hallintovaliokunnalta melkoista sitkeyttä. Vasta
kun passiprojektista vastaava projektipäällikkö saatiin
lopulta kuultavaksi, valiokunta pystyi varmistumaan siitä,
että uusien passien tietoturva on ainakin toistaiseksi ajanmukaisella
tasolla. Nämä eivät ole ensisijaisesti
teknisiä kysymyksiä, vaan ensisijaisesti on kyse
kansalaisoikeuksista ja -vapauksista, joita uuden teknologian
avulla joko heikennetään tai vahvistetaan. Siksi
nämä kysymykset ovat niin tärkeitä ja
vaativat meidän poliitikkojen huomiota, ja siksi nämä kysymykset
on käsiteltävä riittävällä tarkkuudella
myös hallituksen esitysten perusteluissa tai ainakin ministeriöltä saatavissa lausunnoissa.
Mutta vaikka uusien rfid-passien tekninen toteutus turvaa kansalaisten
tietoturvan ja yksityisyyden tällä hetkellä,
riittääkö se myös tulevaisuudessa?
Uusien passien tietoturvan riittävyyttä onkin
seurattava jatkuvasti. Näitä passeja myönnetään
usean vuoden ajan, ja jokainen on käytössä viisi
vuotta. Tietokoneiden laskentateho kasvaa kuitenkin koko ajan Mooren
lain mukaan, ja on hyvin mahdollista, että nämä nyt
käyttöön otettavat passit on mahdollista
murtaa brute force -menetelmällä jo
kymmenen vuoden kuluttua. Voi hyvinkin olla, että me joudumme
jonain päivänä vielä vetämään
liikenteestä suuren joukon käytössä olevia
passeja, koska niiden suojaus on murrettu.
Tämä ei tosiaankaan ole kaukaa haettu ajatus. Meillä on
nimittäin käsillä tismalleen vastaava tapaus.
Autoissa otettiin muutama vuosi sitten käyttöön
rfid-teknologiaan perustuva käynnistyksenestojärjestelmä.
Sitä on pidetty täysin murtovarmoina, ja vakuutusyhtiöt
ovat epäilleet asiakkaitaan vakuutuspetoksen yrityksestä,
jos nämä ovat väittäneet, että heidän
nykyaikaisella ajonestolaitteella varustettu autonsa on varastettu.
Nyt on kuitenkin pakko alkaa uskoa. Keski-Euroopassa on käynnissä uusien
luksusautojen murtoaalto. Kiinni jääneiltä varkailta
on löytynyt sylimikro ja rf-antenni. Nykyaikaisella sylimikrolla
ajonestojärjestelmän käyttämä 40-bittinen
suojaus avautuu muutamassa minuutissa. Esimerkiksi jalkapallotähti
David Beckhamilta on tällä tekniikalla varastettu
jo kaksi BMW X5 -maastoautoa. Biometristen passien tiedot on suojattu
50-bittisellä suojauksella. Kuinka monta vuotta 50 bittiä kestää?
Toivottavasti me osaamme olla herkkäkorvaisempia kuin
autonvalmistajat ja vakuutusyhtiöt, sillä tieto
ajonestojärjestelmien heikosta suojauksesta paljastui tutkijoille
jo viime vuoden puolella. Autonvalmistajat ja vakuutusyhtiöt
eivät kuitenkaan reagoineet mitenkään,
ennen kuin autoja alkoi kadota eri puolilla Eurooppaa.
Arvoisa puhemies! Biometrisiä tietoja sisältävien
rfid-passien tietoturvan ympärillä käyty
keskustelu on valitettavasti jättänyt varjoonsa
toisen, käytännössä paljon merkittävämmän
uhan kansalaisten yksityisyydelle: henkilötietokannat.
Kun passeja luetaan raja-asemilla, rajaviranomaisten tietokoneille
syntyy tietokantoja, jotka sisältävät
meidän henkilötietomme ja valokuvamme, lähitulevaisuudessa
myös sormenjälkemme, jatkossa mahdollisesti myös
dna-tietomme. Mitä näillä tiedoilla tehdään?
Miksi niitä ylipäänsä kerätään?
Eikö tarkoituksena olekaan ainoastaan varmistaa, että passi
on oikealla henkilöllä? Kuka varmistaa, miten
esimerkiksi Yhdysvaltain, Kiinan tai Iranin viranomaiset meidän henkilötietojamme
käyttävät? Pääseekö Suomen tietosuojavaltuutettu
mahdollisesti tarkistamaan heidän rajaviranomaistensa tietoturvan?
Jo nyt on mahdollista etsiä valvontakamerakuvista henkilöä hänen
kasvokuvansa perusteella. Ei ole kaukaa haettu ajatus, että raja-asemalla
luettua kasvokuvaa käytetään esimerkiksi
suomalaisen toimittajan seuraamiseen hänen tehdessään
juttua Kiinan tai Venäjän kaltaisessa maassa.
Myös poliisiviranomaisille kertyy
uusien passien myötä valtava henkilötietokanta.
Vaikka passin myöntäminen ja oikealle henkilölle luovuttaminen
ei vaadi passin rfid-sirulle sijoitettavien tietojen keräämistä tietokantaan,
niin aiotaan kuitenkin tehdä. Väkisinkin herää kysymys: Miksi?
Mitä näillä tiedoilla on tarkoitus tehdä? Tällä hetkellä esimerkiksi
sormenjälkiä tai dna-tietoja voidaan kerätä vain
osana rikoksen tutkintaa. Lähivuosina poliisilla on arkistossaan
kuitenkin lähes kaikkien suomalaisten sormenjäljet, enkä usko
dna-tietojenkaan keräämisen olevan kaukana.
Viime vuosien trendinä onkin ollut antaa poliisille
ja turvallisuusviranomaisille aina vaan enemmän oikeuksia
ja valtuuksia. Pitäisin melkoisena ihmeenä, jos
poliisi ei lähivuosina saisi oikeuksia myös näiden
tietokantojen käyttöön. Mitäs
pelättävää tavallisella lainkuuliaisella
kansalaisella on, joku tietysti kysyy kohta ja paljastaa unohtaneensa
koko 1900-luvun historian. Meillä on ollut Suomessa vain
poikkeuksellisen hyvä tuuri. Emme me ole sen parempia ihmisiä kuin
muutkaan. Francon Espanja, Honeckerin DDR, Lukašenkan Valko-Venäjä,
mitä he olisivatkaan antaneet tällaisesta tietokannasta?
Me emme saa unohtaa, että aina kun viranomaiselle annetaan
uusia valtuuksia, myös viranomaisten valvontaa on terävöitettävä ja
toiminta tehtävä aiempaa läpinäkyvämmäksi.
Eikä ihmisten pidä pelätä ainoastaan
viranomaisten väärinkäytöksiä.
Kyllä rikollisetkin osaavat. Identiteettivarkaus on tällä hetkellä maailman
nopeimmin yleistyvä järjestäytyneen rikollisuuden
laji. Ihmisten henkilötietoja sisältävät
tietokannat ovat näille rikollisille suoranaisia kultakaivoksia. Meidän
on siis suojattava nämä tietokannat kuin kultakaivokset.
Antero Kekkonen /sd:
Herra puhemies! Täytyy heti tähän
sanoa, että edeltävän puhujan puheenvuoro
parani loppua kohti suorastaan huikeisiin sfääreihin.
Minä nimittäin olin hyvin säikähtänyt,
kun hän ikään kuin innostuneena puhui
asiasta lukulaitteen näkökulmasta. Kun siihen
liittyi tämä naparengaskin, joka tietää enemmän
kuin ilmeisesti maailman tietokoneet yhteensä, niin säikähdin,
onko mahdollista, että tällaiseen teknologiauskoon
voimme hurahtaa, mutta kun tämä puheenvuoro jatkui,
niin se kyllä teki vähän turhaksi
tämän minun puheenvuoroni.
Nimittäin kun ed. Kasvi viittasi esimerkkinä vaikkapa
Honeckerin DDR:ään, niin jos DDR:ssä olisi
ollut tällainen laitteisto, eivät kai minkäänlaiset
painajaiset riitä näkemään niitä kauhukuvia,
mitä siitä olisi saattanut seurata.
Herra puhemies! Se mitä tässä yritän
sanoa, on tietenkin se, että silloin kun lähdemme
teknologian matkaan tällä vauhdilla kuin me nyt
olemme lähdössä ja jo lähteneet,
se edellyttää mitä suurimmassa määrin
mitä merkittävimpiä vastatoimia ja sen
laatuisia valvontajärjestelmiä, joista en tiedä,
pystytäänkö niitä demokraattisen
päätöksenteon kautta luomaan. Mutta ehkä tässäkin vastauksessa
on sitten vastateknologia, jota toivottavasti pystytään
joillakin demokraattisilla elimillä valvomaan.
Keskustelu päättyy.