Kuukauden vieras: Tomi Tuomisen ohjeilla irti urkinnasta

Tomi Tuominen on nSense-yhtiön johtava tietoturva-asiantuntija. nSense on vuonna 2006 perustettu tietomurtoihin ja niiltä suojautumiseen erikoistunut asiantuntijayritys. http://www.nsense.net

© Tomi Tuominen on nSense-yhtiön johtava tietoturva-asiantuntija. nSense on vuonna 2006 perustettu tietomurtoihin ja niiltä suojautumiseen erikoistunut asiantuntijayritys. http://www.nsense.net

”Urkinnalta voi suojautua vain ennakkoon; virheitä ei voi paikata jälkikäteen. Itsen ja tietojen lisäksi on suojattava lähde, joka ottaa aina isoimman riskin”, korostaa tietoturva-alan asiantuntija Tomi Tuominen.

Siellä missä on tutkivaa journalismia, on usein myös tahoja, jotka haluavat vaikeuttaa tai estää tietojen julkaisemisen. Toimittajan on osattava ennakoida, kuka valvoo ja millä tavalla.

”Määrittele ensin vastapuoli, onko se valtio, yritys, työnantaja vai jutunteon kohde. Kartoita sitten miten ja millä tämä kykenee valvomaan. Valitse sen jälkeen turvallisimmat työtavat ja -välineet”, Tuominen opastaa.

Suojaa tieto ja sen kulku

Kaikista televerkoissa kiinni olevista päätelaitteista voidaan kerätä metatietoja, esimerkiksi sijaintitietoja. Tietoja yhdistelemällä voidaan paljastaa laitteen paitsi käyttäjän toiminta myös lähteet ja kontaktit. Älypuhelin on mukana kulkeva taskukokoinen jäljitin, jolla voidaan huomaamattomasti nauhoittaa tietoja ja keskusteluja.

”Jos televerkkoihin ei voi luottaa, on sim-kortti otettava pois, ja käytettävä vaikkapa kahvilan langatonta yhteyttä ja VNP-palvelua, esimerkiksi F-Securen helppokäyttöistä Freedome-sovellusta”, neuvoo Tuominen.

Päätelaitteisiin jätettyjä takaportteja ei tarvita urkintaan, jos toimitaan ympäristössä, jossa tietojen keruu on laillista, esimerkkinä USA ja Patriot Act. Tällöin pitäisi, yleisten webmail-palvelimien sijaan, käyttää omaa sähköpostipalvelinta.  Jollei salaa tietoliikennettään, voi tietoihin murtautua reitittimienkin kautta.

”Sähköpostien salaaminen onnistuu parhaiten PGP:llä (Pretty Good Privacy), jonka käyttöönotossa kannattaa konsultoida asiantuntijoita. Tietoliikennettään voi suojata BitSync -ohjelmistolla, jossa ei tarvita keskitettyä palvelinta, vaan tieto siirtyy päätelaitteiden välillä, kunhan osapuolet ovat sopineet ns. jaetusta salaisuudesta. Tallentamiseen on turvallisin ns. rautasalattu näppäimellinen usb-massamuistilaite”, Tuominen suosittelee.

Älä paljastu, älä paljasta

Toimittajan vastuulla on suojella urkinnalta ja paljastumiselta koko viestintäketjua, itsestä tietolähteeseen.
Teknisiäkin ratkaisuja tärkeämpää on kurinalainen toimintamalli ja ennakkoon sovitut, yhteiset pelisäännöt.
Toimittajaa, tietolähdettä tai muita kontakteja ei tulisi voida jäljittää eikä yhdistää toisiinsa − jälkikäteenkään.

”Tapaa lähteesi valvonnalta suojatussa paikassa. Sopikaa vasta siellä, miten jatkossa pidätte yhteyttä, ja miten toimitte ja viestitte ongelmien ilmetessä. Luo etukäteen molemmille uudet verkkoidentiteetit, esimerkiksi sähköpostit, joita käytetään vain kyseistä viestintää varten. Hanki etukäteen kummallekin uusi päätelaite. Pitkäaikaiseen tiedonvaihtoon tarvitaan useita päätelaitteita ja identiteettejä. Kyseisiä identiteettejä tai laitteita ei luonnollisesti käytetä mihinkään muuhun viestintään tämän jälkeen”, summaa Tuominen.

Teksti: Tarja Rea Luomanperä