29
Jul 09

Tietoturva: mitä vähemmän, sen parempi

ReadWriteWeb kirjoitti tänään Facebook-applikaatioiden tietoturvapolitiikoista, tai pikemminkin niiden puutteesta. Social Hacking -blogin selvitys aiheesta osoitti, että kolmasosalla Facebookin 25 suosituimmasta applikaatiosta joko ei ollut ollenkaan tietoturvapolitiikkaa tai sitten linkki siihen tarjottiin käyttäjälle vasta tämän jo asennettua applikaation. RWW päivitteli tulosta ja vaati, että Facebook pakottaisi applikaatiot laittamaan tietoturvaan liittyvän dokumentaation näkyvästi esille.

Kirjoituksesta johtui mieleeni hiljattain tehty tutkimus, josta pomoni mainitsi eilen. Siinä kaksi verrokkiryhmää käytti samaa palvelua, johon talletettiin henkilökohtaisia tietoja. Erona ryhmien välillä oli, että toiselle ryhmälle kerrottiin näyttävästi, kuinka ehdottoman hyvää huolta heidän tiedoistaan palvelussa pidetään. Toiselle ryhmälle tietoturvasta ei mainittu sanallakaan. Lopputulos? Ryhmä, jolle tietoturvasta oli kerrottu, oli huomattavasti varovaisempi tallettaessaan tietojaan ja käyttäessään palvelua – koska käyttäjät tulivat ajatelleeksi tietoturvaa vasta, kun siitä oli puhe, ja tällöin huolestuivat.

Tutkimuksen tekijöiden mukaan Facebook ja muut vastaavat palvelut tiedostavat varsin hyvin tutkimuksessa havaitut seikat. Siksi ne piilottavat tietoturvapolitiikat niin kauas valikkoviidakkoon kuin suinkin laki sallii. Näin käyttäjät eivät tule ikinä kyseisiä dokumentteja lukeneeksi, eivätkä siis ajattele koko asiaa, vaan syöttävät iloisina palveluihin yhteystietonsa ja kännikuvansa.

Pitäisikö tästä kaikesta sitten olla huolestunut? Minusta ei. Ylipäänsä olen sitä mieltä, että tietoturvasta hössötetään aivan liikaa, ja useissa tapauksissa moinen hössötys lähinnä estää uudistusten tapahtumisen. Jos Facebook olisi välittänyt tietoturvasta yhtä paljon kuin sen kriitikoiden mielestä olisi syytä, se ei olisi menestynyt yhtä hyvin. Linus Torvalds muotoili taannoin mielipiteensä tietoturvaintoilijoista vielä astetta kärjekkäämmin.

En oikein ymmärrä, mitä se salainen tieto on, jota niin kovasti halutaan suojella. Yleensä sellaiseksi mainitaan esimerkiksi yhteystiedot. Mutta nyt kuitenkin on niin, että ihmisillä on yhteystiedot, koska he haluavat, että muut voivat ottaa heihin yhteyttä! Jos näitä tietoja pitää kovin tarkasti suojella, yhteydenotto vaikeutuu.

Minua ainakaan ei pelota hirveästi, että epämääräinen taho saisi tietoonsa osoitteeni ja puhelinnumeroni. Mitä se niillä tekisi? Aina välillä uutisoidaan, kuinka rikolliset voivat esimerkiksi avata pankkitilejä Facebookista kähvelletyillä tiedoilla. En pysty ymmärtämään miten moinen käytännössä tapahtuu. Ainakin Suomessa pankkitilin avaaminen vaatii muutakin kuin osoitteen ja puhelinnumeron kertomisen, esimerkiksi kuvallisen henkilöllisyystodistuksen esittämisen, ja sitä ei Facebookista saa.

Suurin huolenaiheeni lienee sähköpostiosoitteen joutuminen spämmerien käsiin. Eikä sekään vielä maailmaa kaada: ainakin Gmailin spämmifiltterit toimivat nykyisin varsin tehokkaasti, joten roskapostista ei tarvitse juurikaan huolehtia.

Törmäsin tänään myös vastakkaiseen esimerkkiin suhtautumisessa tietoturvaan. Kyseessä on itse asiassa toista asiaa, nettikeskustelujen tasoa, käsittelevä, sinänsä itsessäänkin varsin hupaisa artikkeli. Huomioni kiinnittyi kuitenkin erityisesti kirjoittajan vastineeseen järjestyksessä toiseen artikkelin saamista kommenteista. Kommentoija epäili kirjoittajan itsensä piiloutuvan myös nimimerkin taakse, johon tämä vastasi postaamalla kommenttiin paitsi osoitteensa ja puhelinnumeronsa myös henkilötunnuksensa! Moinen kuulostaa jo minustakin aika riskialttiilta toiminnalta. Toisaalta, eipä sillä henkilötunnuksellakaan taida vielä loppujen lopuksi ns. hämäräperäinen taho paljoa tehdä.

Summa summarum: tietoturva on minusta jossakin määrin tärkeä asia, muttei ollenkaan niin tärkeä kuin se, että meillä ylipäänsä on käytössämme erilaisia hienoja palveluita, jotka hauskuttavat meitä tai helpottavat elämäämme. Mitä vähemmän tietoturvan kanssa joutuu olemaan tekemisissä, sen parempi. Heti huomenna voisinkin piilottaa Kassin käyttöehdot visusti valikkoviidakon taakse.

Mutta älkäätte huolestuko, Kassin käyttäjät. Lupaan, että tiedoistanne pidetään palvelussa erinomaisen hyvää huolta.