Asiantuntija Yandex-kohusta: Kyberturvallisuuskeskuksella ei ole resursseja tutkia yksittäisten sovellusten tietoturvaa

Yandex aloitti taksisovelluksensa Suomessa marraskuun alussa. Sovellus käyttää nimeä Yango.

Miten viranomaiset suhtautuvat tähän Yandexin sovellukseen Suomessa?

– Kyberturvallisuuskeskus on tietoinen tästä Liettuan viranomaisten antamasta suosituksesta tähän Yandexin käyttöön liittyen, mutta kyberturvallisuuskeskuksella ei ole resursseja lähteä analysoimaan ja tutkimaan yksittäisten sovellusten tietoturvaa, joita sovelluskaupoista löytyy, valitettavasti, arvioi kyberturvallisuuskeskuksen erityisasiantuntija Tomi Kinnari. 

Onko tässä Liettuan ulostulossa jotain sellaista, minkä pitäisi herättää huolen?

– Yleisesti sovellusten tietoturvaan kannattaa kiinnittää huomiota. Esimerkiksi tässä Liettuan tapauksessa oli otettu kantaa sovelluksen käyttöoikeuksien melko laajaan pyytelyyn. Tässä kannattaa ottaa huomioon, sovelluksesta riippumatta, sovelluksen käyttötarkoitus ja käyttötarpeet ja toisaalta minkälaisia käyttöoikeuksia se sovellus käyttäjältä pyytää ja miettiä, onko nämä tarpeellisia sovelluksen toiminnan kannalta. 

– Monessa tapauksessa sovelluksilta voi ottaa tiettyjä oikeuksia pois, mutta silti niiden toiminnallisuus säilyy riittävän hyvänä, vaikkei sille antaisikaan niitä kaikkia pyytämiä käyttöoikeuksia.

Onko tämä Yandex-sovellus sellainen, että kuluttaja uskaltaa sen ladata itselleen?

– En osaa ottaa kantaa tähän yksittäiseen sovellukseen. Yleisesti, sovelluksia ladatessa, kannattaa aina miettiä, mikä on se sovelluskauppa, mistä se sovellus ladataan. Onko se sovelluksen toimittaja luotettava? Onko sovelluksen pyytämät käyttöoikeudet järkeviä sovelluksen käyttötarkoitukseen nähden? Ja minkälaiset käyttöehdot sovelluksessa on eli esimerkiksi missä sovelluksen data säilytetään ja miten sitä siirretään. 

Liettuan apulaispuolustusministeri kertoo, että he ovat valmiita antamaan keräämänsä tiedot Suomen käyttöön ja tarjoamaan apua tässä kyseisessä tapauksessa. Aiotteko ryhtyä toimenpiteisiin liittyen tähän avunantoon?

– Eurooppalaisilla tietoturvatoimijoilla on erilaisia tiedonvaihtoverkostoja, mitä kautta saadaan tietoon. Tietenkin otetaan vastaan kaikki mahdollinen tieto, mikä tähän sovellukseen liittyy, jos liettualaisilla on tarjota tähän sovellutuksesta tehtyä analyysiä.

Eli aiotte pyytää näitä tietoja Suomeen?

– Voidaan pyytää, jos heillä on tarjota analyysiä tähän liittyen.

Yandex on suostunut luovuttamaan kaiken informaationsa Venäjän viranomaisten käyttöön. Sitä vaatii Venäjän lainsäädäntökin. Yandexin takseihin liittyy vakavia tietoturvaongelmia ja jopa tahallisen tiedustelukäytön riskiä. Tällaista on huomattu sekä Virossa että Liettuassa. Miten tällaiseen pitäisi suhtautua Suomessa?

– Suomalaisen kuluttajan ja miksei organisaatiodenkin kannattaa miettiä, minkälaisia sovelluksia käyttää ja mitä niissä käyttöehdoissa mainitaan. Ja missä sovellus säilyttää käyttäjän tietoja ja henkilötietoja ja muitakin tietoja – onko ne esimerkiksi Suomessa tai Euroopan alueella vai siirretäänkö ne Euroopan ulkopuolelle. Ja minkälainen lainsäädäntö on siinä maassa, missä niitä tietoja säilytetään tai minkä maan yli niitä tietoja siirretään.

Kyseinen sovellus saa pääsyn muun muassa mikrofoniin, kameraan, yhteystietoihin, valokuviin, sosiaaliseen mediaan, turvatietoihin, paikannustietoihin sekä tekstiviesteihin. Minkä verran tämän tyyppisellä sovelluksella olisi käytännössä tarvetta päästä tietoihin?

– Tarkalleen on vaikea sanoa, miten se sovellus näitä tietoja käyttää. Monelle näistä tiedoista on varmasti järkevä käyttötarkoitus, mutta lopulta kunkin käyttäjän pitää tehdä se päätös, antaako sovellukselle näin laajat käyttöoikeudet, vai evääkö esimerkiksi mikrofonin tai muiden käyttöoikeuden sovellukselta, jos se sovellus ei sitä mihinkään käytännössä tarvitse.

Onko siinä mitään arveluttavaa, että sovellus antaa kaiken tietonsa Venäjän viranomaisten käyttöön?

– En osaa tässä tapauksessa kommentoida tätä asiaa, koska en tiedä, tapahtuuko näin.

Mikäli nämä Liettualta saadut tiedot pitävät paikkansa, pidättekö tätä tietoturvaongelmana tätä kyseistä sovellusta tai yritystä?

– Jos käyttöehdoissa on mainittu, että käyttödataa ei siirretä Suomen tai EU:n ulkopuolelle, mutta jos näin tapahtuu, niin toki se on käyttöoikeuksien vastaista toimintaa. Kyberturvallisuuskeskuksella ei ole tietoa, minne kaikkiin paikkoihin tässä dataa liikkuu ja onko käyttäjäoikeuksia rikottu vai ei.

Mikäli liettualaisten antamasta analytiikasta löytyy jotain, mihin pitäisi reagoida, niin miten tähän voitaisiin reagoida?

– Jos käy ilmi, että sovellus toimii toisin kuin käyttöehdoissa on mainittu, niin toki asiasta voidaan tiedottaa tai ottaa yhteyttä valmistajaan ja kysyä heiltä lisätietoja siitä, että miksi näin tapahtuu. 

Onko viranomaisten mahdollista puuttua Yandexin toimintaan?

– En osaa vastata tuohon, koska en ole lakimies. Se mitä voidaan tehdä, on keskustella valmistajan kanssa ja jos nähdään, että käyttöoikeuksia on rikottu, niin voidaan ottaa yhteyttä sovelluskauppoihin tai tiedottaa asiasta muuten. 

Kysytään vielä kuluttajalähtöinen kysymys loppuun. Lataisitteko itse kyseisen sovelluksen?

– En halua kommentoida.