Hyppää pääsisältöön
TuoreimmatLiigaSääRikosPolitiikkaAsian ytimessä.doc
Uutiset
KotimaaUlkomaatRikosPolitiikkaTalousMielipiteetSää
Urheilu
LiigaMM-ralliJääkiekon MM-kisatJääkiekkoF1JalkapalloYleisurheilu
Viihde
SeurapiiritTV-ohjelmatElokuvatKuninkaallisetMusiikkiSalatut elämät
Lifestyle
RuokaTerveys ja hyvinvointiSeksi ja parisuhdeAutotHoroskooppi
Makuja
ReseptitRuokauutiset
Videot
MTV Uutiset LiveUusimmat
Tv-opas
Muistilista
  • MTV UutisetKonepajankuja 7
    00510 Helsinki
  • Uutistoimituksen päivystys010 300 5400
  • Uutisvinkkiuutiset@mtv.fi
  • WhatsApp040 578 5504
Sisällöt
  • Tomi Einonen
    Vastaava päätoimittaja
  • Ilkka Ahtiainen
    Uutispäätoimittaja
  • Mona Haapsaari
    Julkaisupäällikkö
  • Teemu Niikko
    Toimituspäällikkö, urheilu
Liiketoiminta ja kehitys
  • Jaakko Hietanen
    Head of Digital Development
Muut palvelut
  • MTV Katsomo
  • Makuja
Asiakaspalvelu
  • MTV Uutiset -palaute
  • MTV Katsomon asiakaspalvelu
MTV Uutiset on sitoutunut noudattamaan Journalistin ohjeita
  • Julkisen sanan neuvosto (JSN)
  • Tietoa yhtiöstä
  • Avoimet työpaikat
  • Mainosta MTV:ssä
  • Tietosuojalauseke
  • Käyttöehdot
EtusivuVideotTuoreimmatLuetuimmatOdota

Asiantuntija Yandex-kohusta: Kyberturvallisuuskeskuksella ei ole resursseja tutkia yksittäisten sovellusten tietoturvaa

7:31Kuinka toimia mobiilisovelluksien kanssa
Julkaistu 13.11.2018 20:44
Toimittajan kuva

Joonas Lepistö

joonas.lepisto@mtv.fi

LepistoJoonas

MTV Uutiset kysyi Suomen viranomaistaholta, miten he aikovat menetellä Liettuassa kuohuttaneeseen Yandexin taksipalveluun liittyneeseen urkintakohuun. Kyberturvallisuuskeskus suhtautuu myönteisesti Liettuan haluun tarjota taksisovelluksesta keräämänsä tiedon Suomen käyttöön.

Yandex aloitti taksisovelluksensa Suomessa marraskuun alussa. Sovellus käyttää nimeä Yango.

Miten viranomaiset suhtautuvat tähän Yandexin sovellukseen Suomessa?

– Kyberturvallisuuskeskus on tietoinen tästä Liettuan viranomaisten antamasta suosituksesta tähän Yandexin käyttöön liittyen, mutta kyberturvallisuuskeskuksella ei ole resursseja lähteä analysoimaan ja tutkimaan yksittäisten sovellusten tietoturvaa, joita sovelluskaupoista löytyy, valitettavasti, arvioi kyberturvallisuuskeskuksen erityisasiantuntija Tomi Kinnari. 

Onko tässä Liettuan ulostulossa jotain sellaista, minkä pitäisi herättää huolen?

– Yleisesti sovellusten tietoturvaan kannattaa kiinnittää huomiota. Esimerkiksi tässä Liettuan tapauksessa oli otettu kantaa sovelluksen käyttöoikeuksien melko laajaan pyytelyyn. Tässä kannattaa ottaa huomioon, sovelluksesta riippumatta, sovelluksen käyttötarkoitus ja käyttötarpeet ja toisaalta minkälaisia käyttöoikeuksia se sovellus käyttäjältä pyytää ja miettiä, onko nämä tarpeellisia sovelluksen toiminnan kannalta. 

– Monessa tapauksessa sovelluksilta voi ottaa tiettyjä oikeuksia pois, mutta silti niiden toiminnallisuus säilyy riittävän hyvänä, vaikkei sille antaisikaan niitä kaikkia pyytämiä käyttöoikeuksia.

Onko tämä Yandex-sovellus sellainen, että kuluttaja uskaltaa sen ladata itselleen?

– En osaa ottaa kantaa tähän yksittäiseen sovellukseen. Yleisesti, sovelluksia ladatessa, kannattaa aina miettiä, mikä on se sovelluskauppa, mistä se sovellus ladataan. Onko se sovelluksen toimittaja luotettava? Onko sovelluksen pyytämät käyttöoikeudet järkeviä sovelluksen käyttötarkoitukseen nähden? Ja minkälaiset käyttöehdot sovelluksessa on eli esimerkiksi missä sovelluksen data säilytetään ja miten sitä siirretään. 

Liettuan apulaispuolustusministeri kertoo, että he ovat valmiita antamaan keräämänsä tiedot Suomen käyttöön ja tarjoamaan apua tässä kyseisessä tapauksessa. Aiotteko ryhtyä toimenpiteisiin liittyen tähän avunantoon?

– Eurooppalaisilla tietoturvatoimijoilla on erilaisia tiedonvaihtoverkostoja, mitä kautta saadaan tietoon. Tietenkin otetaan vastaan kaikki mahdollinen tieto, mikä tähän sovellukseen liittyy, jos liettualaisilla on tarjota tähän sovellutuksesta tehtyä analyysiä.

Eli aiotte pyytää näitä tietoja Suomeen?

– Voidaan pyytää, jos heillä on tarjota analyysiä tähän liittyen.

Yandex on suostunut luovuttamaan kaiken informaationsa Venäjän viranomaisten käyttöön. Sitä vaatii Venäjän lainsäädäntökin. Yandexin takseihin liittyy vakavia tietoturvaongelmia ja jopa tahallisen tiedustelukäytön riskiä. Tällaista on huomattu sekä Virossa että Liettuassa. Miten tällaiseen pitäisi suhtautua Suomessa?

– Suomalaisen kuluttajan ja miksei organisaatiodenkin kannattaa miettiä, minkälaisia sovelluksia käyttää ja mitä niissä käyttöehdoissa mainitaan. Ja missä sovellus säilyttää käyttäjän tietoja ja henkilötietoja ja muitakin tietoja – onko ne esimerkiksi Suomessa tai Euroopan alueella vai siirretäänkö ne Euroopan ulkopuolelle. Ja minkälainen lainsäädäntö on siinä maassa, missä niitä tietoja säilytetään tai minkä maan yli niitä tietoja siirretään.

Kyseinen sovellus saa pääsyn muun muassa mikrofoniin, kameraan, yhteystietoihin, valokuviin, sosiaaliseen mediaan, turvatietoihin, paikannustietoihin sekä tekstiviesteihin. Minkä verran tämän tyyppisellä sovelluksella olisi käytännössä tarvetta päästä tietoihin?

– Tarkalleen on vaikea sanoa, miten se sovellus näitä tietoja käyttää. Monelle näistä tiedoista on varmasti järkevä käyttötarkoitus, mutta lopulta kunkin käyttäjän pitää tehdä se päätös, antaako sovellukselle näin laajat käyttöoikeudet, vai evääkö esimerkiksi mikrofonin tai muiden käyttöoikeuden sovellukselta, jos se sovellus ei sitä mihinkään käytännössä tarvitse.

Onko siinä mitään arveluttavaa, että sovellus antaa kaiken tietonsa Venäjän viranomaisten käyttöön?

– En osaa tässä tapauksessa kommentoida tätä asiaa, koska en tiedä, tapahtuuko näin.

Mikäli nämä Liettualta saadut tiedot pitävät paikkansa, pidättekö tätä tietoturvaongelmana tätä kyseistä sovellusta tai yritystä?

– Jos käyttöehdoissa on mainittu, että käyttödataa ei siirretä Suomen tai EU:n ulkopuolelle, mutta jos näin tapahtuu, niin toki se on käyttöoikeuksien vastaista toimintaa. Kyberturvallisuuskeskuksella ei ole tietoa, minne kaikkiin paikkoihin tässä dataa liikkuu ja onko käyttäjäoikeuksia rikottu vai ei.

Mikäli liettualaisten antamasta analytiikasta löytyy jotain, mihin pitäisi reagoida, niin miten tähän voitaisiin reagoida?

– Jos käy ilmi, että sovellus toimii toisin kuin käyttöehdoissa on mainittu, niin toki asiasta voidaan tiedottaa tai ottaa yhteyttä valmistajaan ja kysyä heiltä lisätietoja siitä, että miksi näin tapahtuu. 

Onko viranomaisten mahdollista puuttua Yandexin toimintaan?

– En osaa vastata tuohon, koska en ole lakimies. Se mitä voidaan tehdä, on keskustella valmistajan kanssa ja jos nähdään, että käyttöoikeuksia on rikottu, niin voidaan ottaa yhteyttä sovelluskauppoihin tai tiedottaa asiasta muuten. 

Kysytään vielä kuluttajalähtöinen kysymys loppuun. Lataisitteko itse kyseisen sovelluksen?

– En halua kommentoida. 

Lisää aiheesta:

Tiktok on suomalaisten viranomaisten puhelimissa pääasiassa kielletty, mutta vapaa-ajan käyttöä ei juuri valvotaVoisiko kyberhyökkäys estää tv-lähetyksiä Suomessa? Asiantuntija Benjamin Särkkä vastaa ja kertoo, millaisia yrityksiä kalastella tietoa Suomeen kohdistuu nytHakkeri tyrmää somejuorut koronasovelluksen tietoturvasta: Oli vielä keväällä epäuskoinen, mutta suosittelee nyt sovellusta – "Pieni hinta siitä, että voi pelastaa jonkun hengen"Hakkerit löivät älykellovalmistaja Garminin polvilleen – "Maksakaa rahaa niin saatte tiedostot takaisin käyttöönne"Tietoturva-asiantuntija: Tietyt seikat Yandexin kohutussa taksisovelluksessa herättävät epäilyksiä – kiinnitä näihin asioihin huomiota, kun lataat uusia sovelluksiaTieto ei tallentunut Mäntsälään vaan Moskovaan: Liettua varoittaa Suomea Yandexin taksisovelluksesta – "Puhelin jatkaa GPS-datan lähettämistä vaikkei sovellusta enää käyttäisikään"
TietoturvaTurvallisuusTaksitLiettuaViroVenäjäKotimaa

Tuoreimmat aiheesta

Tietoturva
  • 14.11.13:29
    Black Friday

    Black Friday on riskialtis tarjousviidakko – erityisesti näitä asioita rikolliset hyödyntävät

  • 4.11.05:00
    Kyberturvallisuus

    MTV selvitti: Poliisi käyttää kiistellyn israelilaisyhtiön murtajalaitteita

  • 30.10.19:57
    Pankit

    Tämä arkinen asia altistaa digihuijauksille – "Pankit eivät tee tarpeeksi", sanoo IT-asiantuntija

  • 30.10.15:57
    Danske Bank

    Huijaukset liikaa – Danske Bank pohtii Turvatili-nimen vaihtamista

  • 28.10.11:54
    Aktia Pankki

    Aktialle liki miljoonan euron rapsut – laiminlöi tietoturvallisuuden