Suomessa on valmisteilla esitys sähköisen viestinnän palveluista annetun lain tarkentamiseksi. Valiokunnan mietinnöissä on noussut otsikoihin ns. ”Huawei-laki.  Ruotsin, Britannian ja Yhdysvaltojen selkeään Huawei kieltoon nähden Suomi on päätymässä diplomaattisempaan, mutta vaikeasti tulkittavaan lain kirjaukseen. Esityksen mukaan ”viestintäverkkolaitetta ei saa käyttää viestintäverkon kriittisissä osissa, jos on painavia perusteita epäillä, että kyseisen laitteen käyttäminen vaarantaisi kansallista turvallisuutta tai maanpuolustusta.”

Huawai-laista annetun mietinnön perustelut ja tavoitteet ovat selkeitä. Kannanotoissa 5G verkkojen palveluiden osalta perustelut kuitenkin ontuvat. Kaikki langaton liikenne ajetaan lopulta kiinteissä verkoissa ja palvelutkin ovat pääosin kiinteän verkon palveluita. Mietinnössä ei kuitenkaan viitata mitenkään siihen tosiasiaan, että viranomaiset siirtyvät Virve-verkosta kaupalliseen 5G verkkoon. Tässä valossa turvallisuutta tulisi tarkastella aiempaa kriittisemmin.

Kuka määrittää ”painavan perusteen”?

Teleoperaattoreiden ja kansalaisten kannalta jää avoimeksi, kuka määrittelee ”painavan perusteen”, kuinka se määritellään ja missä elinkaaren vaiheessa määrittely tapahtuu? Miljardeja investoiva operaattori jää helposti hankalaan asemaan. Riskejä voidaan pienentää tiiviillä yhteistyöllä viranomaisten sekä laite- ja ohjelmistovalmistajien suuntaan, mutta määrittely on silti vähintäänkin lavea.

Onko takaovista näyttöä?

Vuonna 2013 uutisoitiin USA asejärjestelmissä käytetystä mikropiireistä, josta löytyi takaovi. Takaovi olisi mahdollistanut pääsyn asejärjestelmään kriisitilanteessa. Keskeistä oli, että mikropiiri oli suunniteltu lännessä, mutta valmistettu Kiinassa. Muistan asian erinomaisesti, koska sain tuolloin luettavakseni tulostetun listan kaikista mikropiirin sisältävistä asejärjestelmistä erään NATO-maan lähetystössä vieraillessani.  Vierailu oli epävirallinen, eikä liittynyt sen aikaiseen työhöni, vaikka keskustelu liittyikin Kiinan luotettavuuteen tietojärjestelmissä ja verkoissa.

Bugi vai tahallinen vakoilu?

Aiemmin esitelty esimerkkitapaus herättää ensimmäisen tärkeän kysymyksen: ”kenellä on kyvykkyydet ja resurssit havainnoida tällainen takaportti”? Jos maailman mahtavin maa ei pysty tähän ajoissa, niin onko realistista olettaa, että Suomi pystyy? Elektroniikkateollisuuden sopimusvalmistuksen ketju on pitkä, joten vastuulliset ja kyvykkäät tahot tuskin löytyvät sieltäkään. Varmaa on ainakin, että teleoperaattoreilla tällaista kyvykkyyttä ei ole.

Toinen tärkeä kysymys on todistustaakka. Esimerkkitapauksessa näyttöä takaportin käyttämisestä ei ainakaan julkisuudessa ole esitetty. Miten ja kuka voi todistaa, että kyseinen ”virhe” on suunnitelmallinen eikä tahaton vahinko mikropiirin valmistuksessa (bugi)? Tämän luokan näyttöä ei oletettavasti käsitellä normaalin oikeusmenettelyn prosessina.

Yleensä nojaamme tämäntyyppisen ongelmien tiedonhankinnassa länsimaisiin lähteisiimme. Käytännön haasteen tuo fakta, että monet länsimaiset kumppanimme ovat nyt rajanneet määritellyt valmistajat pois verkkotoimittajiensa listalta. Koska länsimaisiin kumppaneihin ei tässä tilanteessa voi tukeutua, Suomen paikallisten toimijoiden tehtäväksi jää vastaavien takaporttien löytäminen ja tahalliseksi todistaminen.

Mallia Venäjältä?

2010-luvulla Venäjän tytäryhtiöllämme oli paikallisen viranomaisen lupa vahvan (länsimaisen) salauslaitteen omistamiseen ja operointiin suomalaisille asiakkaille. Toimitusprosessi oli hankala ja hidas. Jokainen uusi laitemalli toimitettiin paikalliselle viranomaisille tutkittavaksi noin 1 kk – 2 kk ajaksi. Mitä prosessin aikana tapahtui, lienee selvää. Vastuiden selkiyttämiseksi meillä pitäisi olla vastaava prosessi ja tiedossa oleva taho, joka laitteet ja ohjelmistot tarkistaa.

Sittemmin Venäjän lainsäädäntö on muuttunut merkittävästi tietoliikenteen salauksen sekä Internet-liikenteen ohjauksen osalta yhä tiukemman kontrollin suuntaan. Upseeriliiton päätoimittajan Martti Lehdon pääkirjoitus 4/2020 ”Hajoaako Internet” kuvaa hyvin nykyistä kehitystä vapaan Internetin tulevaisuudesta. Jokainen valtio suojelee kansalaisiaan. Kuten meidänkin mietinnöissämme, varsin usein on ”painavia perusteita epäillä”.

Onkin ”painavia perusteita epäillä”, että Suomen Huawei-laki on mahdoton valvoa ja toteuttaa.

 

 

Hannu Rokka, Senior advisor

5Feet Networks Oy