Siirry sisältöön
Etusivu Ajankohtaista Teknoblogi Päästä päähän -salaustekniikan heikentäminen vaarantaisi kyberturvallisuuden Euroopassa

Päästä päähän -salaustekniikan heikentäminen vaarantaisi kyberturvallisuuden Euroopassa

Euroopan komissio ehdottaa useiden jäsenvaltioiden tukemana päästä päähän -salaustekniikan (end-to-end-encryption, E2EE) heikentämistä sähköisten viestintäpalveluiden yhteydessä, jotta viranomaiset voivat skannata yksityistä viestiliikennettä. Jos ehdotus hyväksytään, se luo ennennäkemättömän, perusoikeuksia loukkaavan valvontamekanismin.

Esityksen tavoitteena on estää ja torjua lasten seksuaalista hyväksikäyttöä, jota jokainen järkevä ihminen ehdottomasti kannattaa. Euroopan komissio antoi toukokuussa 2022 ehdotuksen uusista säännöistä näiden kauhistuttavien tekojen torjumiseksi. Komission ehdottama tapa tämän tärkeän tavoitteen saavuttamiseksi olisi kuitenkin erittäin ongelmallinen.

Päästä päähän -salaus on vahvin olemassa oleva salaustekniikan käytäntö. Se on sisäänrakennettu moniin päivittäisessä elämässämme käyttämiimme viestintäsovelluksiin ja -palveluihin, myös liiketoiminnan sovelluksiin. Se on keskeinen osa tavallisten ihmisten verkkotietosuojaa. Päästä päähän -salattujen sovellusten avulla käyttäjien tiedot suojataan käyttäjän omilla salausavaimilla, ja palvelimille lähetetään vain salattu versio käyttäjien tiedoista. Tämän ansiosta palvelun ylläpitäjätkään eivät pääse käsiksi salattuun käyttäjätietoon.

Päästä päähän -salaus toimii nykyaikaisen digitaalisen infrastruktuurin ja viestinnän perustana. Vahvan päästä päähän -salauksen ylläpitäminen on olennainen perusoikeuksiemme takaamiseksi, kuten oikeuden (aineettomaan) omaisuuteen, yksityis- ja perhe-elämän kunnioittamiseen sekä sananvapauteen. Inklusiivinen ja kestävä digitaalinen talous rakentuu asianmukaiselle tietosuojan tasolle sekä kyberturvallisuudelle, joka estää rikollisuutta ja suojaa globaaleja arvo- ja toimitusketjujamme laittomalta vaikuttamiselta, vakoilulta, laittomilta tietovuodoilta ja sabotoinnilta.

Salaustekniikan heikentäminen ei ole mahdollista ilman kyberturvallisuuden ja tietosuojan vaarantamista. Tämä johtuu siitä, että heikennetty salaustekniikka ei kestäisi pahantahtoisia yrityksiä purkaa sitä, mukaan lukien salauksenpurkutarkoituksiin alun perin jaettujen salausavainten väärinkäyttö.

”Päästä päähän -salaustekniikan heikentäminen ei ole mahdollista ilman kyberturvallisuuden ja tietosuojan vaarantamista.”

Euroopan unionilla on kunnianhimoinen ohjelma rakentaa parempaa digitaalista elämää eurooppalaisille ja lisääntynyt kyberturvallisuus on yksi sen kulmakivistä. Maamerkilliset sääntelytoimenpiteet, kuten NIS2-direktiivi ja kyberkestävyyssäädös, on tarkoitettu vahvistamaan digitaalinen infrastruktuurimme ja päivittäin käyttämiemme laitteiden sekä palveluiden turvallisuutta. EU-rahoitus puolestaan mahdollistaa uusien teknologioiden kehittämisen ja käyttöönoton suojaksemme. Valitettavasti tällä hetkellä käsittelyssä oleva lainsäädäntöehdotus heikentäisi näitä hienoja pyrkimyksiä ja vaarantaa kyberturvallisuuden Euroopassa.

Salaus on keskeinen tekijä tarjottaessa yksityisiä ja turvallisia viestintäpalveluita, joita käyttäjät, mukaan lukien lapset, tarvitsevat pysyäkseen verkossa turvassa. Hyväntahtoisetkin pyrkimykset tarjota laillinen salauspurkuratkaisu päästä päähän -salaustekniikalle heikentäisivät merkittävästi tietoturvahyötyjä, koska ne tekisivät kaikki tällaisten palveluiden käyttäjät haavoittuvammiksi pahantahtoisille hyökkäyksille.

Viranomaisille takaportin luominen elektronisten viestintäpalveluiden yhteydessä tarkoittaisi sitä, että samoja takaportteja voitaisiin käyttää myös muihin valtiollisiin tarkoituksiin. Tämä heikentäisi merkittävästi digitaalista luottamusta ja toisi väistämättä samat mahdollisuudet myös rikollisten saataville. Päästä päähän -salaustekniikan heikentämisestä kärsisivät eniten tavalliset eurooppalaiset ja yritykset, joiden yksityisyyttä loukattaisiin ja jotka menettäisivät pääsyn turvallisiin viestintäpalveluihin. Rikolliset ja muut pahantahtoiset toimijat löytäisivät todennäköisesti muita tapoja kommunikoida salaisesti.

Ehdotuksesta on esitetty oikeudellisia ja perustuslaillisia huolenaiheita monissa yhteyksissä. Median lähteiden mukaan Suomen valtio ilmoitti (vuodetussa) kannassaan selkeästi, että luonnos asetukseksi ei täytä rajoittamistoimien tiukkaa tarpeellisuuden ja suhteellisuuden vaatimusta (EU:n perusoikeuskirjan mukaisesti) Euroopan unionin tuomioistuimen oikeuskäytännön mukaisesti. EU:n neuvoston oikeudellinen palvelu on huomauttanut samoista ongelmista.

”Vahva salaustekniikka on olennainen osa luottamuksen tarjoamista ja ylläpitämistä digitaalisiin palveluihin ja järjestelmiin.”

On välttämätöntä, että suurin osa jäsenvaltioista uudelleenarvioi kantansa Euroopan perusoikeuksiin ja digitaaliseen turvallisuuteen liittyvät tärkeät huolenaiheet huomioiden. Vahva salaustekniikka on olennainen osa luottamuksen tarjoamista ja ylläpitämistä digitaalisiin palveluihin ja järjestelmiin. Kehittäessään politiikkaa lapsiin kohdistuvan seksuaalisen hyväksikäytön torjumiseksi päättäjien ei tulisi pyrkiä heikentämään päästä päähän -salausta, vaan keskittyä siihen, miten lapset voidaan pitää tehokkaasti turvassa säilyttäen muut perusoikeudet. Lopulliseen asetukseen tulisi sisällyttää selkeä kanta, jossa ei vaadita päästä päähän -salaustekniikan heikentämistä.

On olemassa kymmeniä muita tehokkaita tapoja, joilla alustat voivat paremmin suojella lapsia seksuaaliselta hyväksikäytöltä. Tämä voisi toteutua hyödyntämällä ikään sopivaa suunnittelua ja oletusasetuksia, jotka minimoivat tietojen keräämisen käyttäjiltä, tukevat turvallista vuorovaikutusta alustoilla ja suojautuvat haitalliselta sisällöltä ja vuorovaikutukselta, seksuaaliselta hyväksikäytöltä ja manipuloinnilta.

Euroopan unioni ja Yhdysvallat ovat juuri ehdottaneet korkean tason periaatteita lasten ja nuorten suojelusta ja vaikutusmahdollisuuksien lisäämisestä digitaalisessa ympäristössä. Ne vaativat hallituksia noudattamaan kansainvälisen oikeuden asettamia ihmisoikeusvelvoitteita, mukaan lukien verkkoympäristöön liittyvät toimet ja käytännöt sekä yksityisyyteen liittyvät lailliset velvoitteet.