Koronavilkku on tärkeä sovellus mutta Bluetooth tulee hallita
Tietoturvasta keskustellaan, kun valtiovalta Suomessa – poikkeuksellisesti, kyllä – tulee sovellusmarkkinoille. Muistutetaan, että kun Koronavilkku on ladattu, joka tapauksessa käyttäjän tulee hyväksyä uusi yhteys. Ei se kuitenkaan ihan näin mene. Vilkku vain pannaan päälle omasta puhelimesta eikä sen jälkeen hyväksytä yhtään mitään. Bluetooth on järkevää kytkeä päälle vain, kun on mukana vilinässä ja kohtaa ihmisiä.
Mutta päällä ollessa Bluetooth kenttä reagoi koko ajan lukuisiin tätä protokollaa käyttäviin kojeisiin, jääkaapeista leivänpaahtimiin ja seksileluihin. Muuten, jos yhteyspyynnöt hyväksytään summanmutikassa, se on sama kuin availisi epäilyttäviä linkkejä sähköpostistaan. IPhonen sovellusasetuksista löytyy kaksi eri näkymää, jotka kertovat Koronavilkun vaihtamista tiedoista: katsomme listan: altistustarkistukset, ja edelleen valikko ”tarkista tiedot”. Siellä näkyy kaikki tarpeellinen. Androidissa taas toimii ominaisuus, joka löytyy valitsemalla Asetukset > Google > Covid-19-tuki > altistumistarkistukset. Tämä on käyttöjärjestelmätason ominaisuus, jota löytyy uusimmalla Android-versiolla varustetuista puhelimista. Ensimmäinen näkymä kertoo, milloin sovellus on viimeksi ollut yhteydessä taustajärjestelmän palvelimille vaihtaakseen tietoja. Toinen näkymä puolestaan näyttää 6 avainta, jotka ovat viimeisimmällä tarkistuskerralla saatuja jo sairastuneiden tartuntakoodeja. Näkymät tulevat nopeasti tutuiksi.
Puhelimista jotkut saattavat oletuksena piilottaa yhteyttä ottavien Bluetooth-laitteiden näkyvyyden.
Tämä johtuu asetuksista, esim. Huaweissa, jossa Vilkku toimii, valikot ovat aika pirulliset. Samsung helpompi. Tässä voi hyvällä syyllä poiketa puhelimen myyneeseen liikkeeseen hakemaan neuvoa…
Palavereissa olemme todenneet, että kyse on yhteiskunnallisesti merkittävästä sovelluksesta, ja näin muodoin kynnys käsitellä sen mahdollisia turvapuutteita saattaa olla hieman tavallista korkeammalla tasolla. Näin tuumitaan – Vaikka jämäkkää turvaohjeistusta kai tarvittaisiin eritoten yhteiskunnallisesti merkittävän sovelluksen käyttöön?
Turvallisuustiedotus huteralla pohjalla
Se, että Kyberturvallisuuskeskuksen tiedote on niin sekava, että siinä asiakohdat lyövät toistaan korvalle, ei juuri lisää luottamusta – kylläkin kuvaavaa tärkeässä asiassa. Tiedote löytyy täältä.
Kyberturvallisuuskeskus: ”Onko Bluetoothin ja BLE:n käyttäminen esimerkiksi puhelimessani turvallisuusriski? Ei varsinaisesti.”
Eikö? Vastuutonta väheksyntää, jos saan sanoa.
”Jos laite on niin sanotusti vihamielinen”
Kyberturvallisuuskeskus: ”Jos laite on niin sanotusti vihamielinen ja se pystyy käsittelemään tietojasi, sellaisessa tilanteessa mikään tietoturvapäivitys ei auta.”
Toisaalta tämäkään ei ole aivan totta. Totaalinen esto on mahdollinen. Sen minkä minä olen oppinut 30 v. aikana on, että aliarvioimalla kyberrikollisia ja niiden metkuja ei pitkälle pötkitä.
Sitten Kyberturvallisuuskeskus jatkaa tähän malliin: ”Jos yhdistät puhelimesi sinulle tuntemattomaan Bluetooth-laitteeseen ja annat sille luvan käsitellä tietojasi, tällainen laite voi päästä käsiksi esimerkiksi puhelinluetteloosi tai tekstiviesteihisi.” …mutta myös sekä selainhistoriaan, tallennettuihin salasanoihin, ja erilaisiin rahapeli- ja pankkiyhteyssoftiin. Tietysti pienellä koodinpätkällä voi estääkin kaiken jaon.
Singaporessa helmi-maaliskuussa käyttöön otettu Tracetogether app toimii niin kuin pitääkin, ja on selkeästi ohjeistettu. Positiivisen testin jälkeen terveysviranomaiset antavat koodin, joka syötetään oman puhelimen appiin, ja sitten puhelimessa olevat viimeisen 4 viikon kontaktit otetaan käyttöön. Appi varoittaa mahdollisesta altistumisesta ja ohjaa testeihin. Suomessa Vilkkua oli ladattu jo 1½ miljoonaa kertaa ennen kuin sinne syötettiin koodit ensimmäisistä korona-altistuneista.