Tieto ei tallentunut Mäntsälään vaan Moskovaan: Liettua varoittaa Suomea Yandexin taksisovelluksesta – "Puhelin jatkaa GPS-datan lähettämistä vaikkei sovellusta enää käyttäisikään"

Näin varoittaa MTV:n haastattelussa Liettuan puolustusministeriö. Ministeriön mukaan Suomen ja Hollannin viranomaiset eivät ole pystyneet sopimaan, kumman pitäisi alkaa tutkia asiaa.

Yandex loistaa hinnoillaan – mutta se tietoturva

Nyt ne ovat täällä – nimittäin venäläisen Yandex-yhtiön edulliset taksit. Aluksi takseja on joitakin satoja, mutta toimintaa aiotaan laajentaa. 

Yandexin takseihin – suomalaiselta nimeltään Yango-takseihin – kuitenkin liittyy vakavia tietoturvaongelmia ja jopa tahallisen tiedustelukäytön riski, joka on huomattu sekä Virossa että Liettuassa.

Yandex on suostunut luovuttamaan kaiken informaationsa Venäjän viranomaisten käyttöön. Sitä vaatii Venäjän lainsäädäntökin. Yhtiö on kuitenkin alun perin kiistänyt Liettuan tietoturvaviranomaisille, että dataa tallennettaisiin muualle kuin EU-alueelle. Viranomaisten omat selvitykset osoittivat muuta.

MTV Uutisten haastattelussa Liettuan puolustusministeriö kehottaa Suomea ja suomalaisia varovaisuuteen. Ministeriön mukaan taksisovelluksen on Liettuassa todettu ottavan haltuunsa valtavan määrän käyttäjädataa – paljon enemmän kuin mitä taksipalvelu tarvitsisi.

Sovellus saa pääsyn mm. mikrofoniin, kameraan, yhteystietoihin, valokuviin, sosiaaliseen mediaan, turvatietoihin, paikannustietoihin sekä tekstiviesteihin.

– Epäluulomme todella heräsivät, kun huomasimme että vaikka käyttäjä lopettaisi Yandex-taksisovelluksen käytön, se pysyy aktiivisena. Puhelin jatkaa GPS-tietojen ja erittäin hyvin kryptatun datan lähettämistä jonnekin EU:n ulkopuolelle, kuvailee Liettuan varapuolustusministeri Edvinas Kerza.

Kerza on huolissaan myös siksi, että Yandex-yhtiöllä on monella tavalla läheiset suhteet Venäjän valtioon.  Yandexin on mm. raportoitu luovuttaneen käyttäjätietoja Venäjän tiedustelulle useissa eri tapauksissa.

Tieto ei tallentunut Mäntsälään vaan Moskovaan

Yandex-yhtiö väitti alunperin että kaikki tiedot tallennetaan Mäntsälän datakeskukseen eli turvallisesti EU-alueelle. Liettuan kyberturvallisuuskeskuksen mukaan tämä ei pidä paikkansa vaan todellisuudessa käyttäjädataa siirrettiin kryptattuna Venäjälle.

– Kysyimme heiltä, mihin data tallennetaan. He vastasivat: Palvelinkeskukseen Suomeen. Jäljitimme kuitenkin tiedonsiirron EU:n ulkopuolelle, Venäjälle - Jekaterinburgiin ja Moskovaan.  Kysyimme miksi siitä valehdeltiin, jolloin he myönsivät että se ei ollut totta, Kerza kuvailee.

"Meillä ei ole poliittisia näkemyksiä, olemme vain yhtiö"

Yandex-yhtiö kiistää kaikki syytökset. 

– Yandex Taxi toimii ihan samalla tavalla kuin muutkin taksiyhtiöt. Emme kerää mitään ylimääräistä. Ainoa pakollinen tieto on puhelinnumero, ilman sitä kuski ei löydä tilaajaa. Emme tarvitse etu- tai sukunimeä tai passitietoja, sellaisia meillä ei ole eikä niitä tarvita, sanoo yhtiön PR-johtaja Natalia Zhuravlova.

Yhtiö pitää kritiikin syynä ainakin osittain sitä että kyseessä on venäläisomisteinen yhtiö. 

– Kaikella kunnioituksella kaikkien maiden viranomaisia kohtaan, Yandex, Yandex Taxi ja Yango ovat epäpoliittisia tahoja. Meillä ei ole poliittisia, uskonnollisia tai sukupuoleen sidottuja tai muitakaan näkemyksiä. Olemme vain palvelu.

– Tämä on iso kansainvälinen yhtiö jolla toki on juuret Venäjällä, mutta on omituista syyttää meitä vain siksi että sillä on venäläiset juuret. Yhtiö on rekisteröity Hollantiin ja toimimme tiukasti EU:n lainsäädännön mukaisesti niin GDPR:n kuin muunkin suhteen, Zhuravlova vakuuttaa.  

"Suomi ja Hollanti eivät saa sovittua, kenen pitäisi tutkia"

Suomen ja Hollannin viranomaiset eivät varapuolustusministerin mukaan ole päässeet yksimielisyyteen siitä, kuinka asiaa pitäisi selvittää, koska yhtiö on rekisteröity Hollantiin mutta palvelinkeskus on Suomessa.

– Ongelma on suoraan sanottuna se, että Suomen ja Hollannin viranomaiset riitelevät kumman maan tätä pitäisi tutkia, Kerza toteaa. 

Ministerillä onkin terveiset Suomen kyberturvallisuuskeskukselle.

– Kehotan Suomen kyberturvallisuuskeskusta ottamaan yhteyttä meihin. Tarjoamme sovelluksesta kaiken teknisen tiedon, jonka voitte itse todentaa ja selvittää toimiiko sovellus samoin kuin Liettuassa.

Kerza kehottaa myös suomalaisviranomaisia suorapuheisuuteen.

– Ratkaisu jonka teimme jo kaksi vuotta sitten on se, että me kerromme yleisölle suoraan. Emme voi kieltää yrityksiä toimimasta, mutta voimme tiedottaa yleisöä, varoittaa ja tarjota heille faktaa.

Kehotamme kaikkia katsomaan mitä tietoja he suostuvat luovuttamaan sovelluksille. Osan tällaisista vaatimuksista voi estää, esimerkiksi kameran ja mikrofonin käytön. Itse en halua että puhelin seuraa koko ajan GPS-tietojani. Tällä hetkellä, perusasetuksilla, tämä sovellus pääsee käsiksi ihan kaikkeen.

Yandexin vastaisku: Palveluita jopa ilmaiseksi

Tiedotuslinja on kuitenkin toiminut vain osittain: Urkintakohun myötä sovelluksen suosio ymmärrettävästi romahti Liettuassa, mutta Yandex vastasi alkamalla tarjoa palveluitaan jopa ilmaiseksi.

– Yandex on laittanut tähän valtavasti rahaa. He ovat alkaneet tarjota ilmaisia palveluita, ja moni kuvittelee että mitä väliä, eihän minulla ole mitään tärkeää puhelimessani.

Mutta tämä on todellinen ongelma, koska puhelimen tiedot ovat nykyään täynnä erilaista informaatiota - pankkitunnuksista aina sosiaalisen median salasanoihin ja ystävien yhteystietoihin. Jos joku pääsee niihin käsiksi, hänen ei tarvitse vakoilla sinua kotimaassasi vaan hän voi tehdä sen ihan mistä tahansa, Kerza toteaa.