21. lokakuuta 2015

Pakkokeinolaki ja tietokoneen hakkerointi poliisin toimesta

Tuli tässä mieleeni, kun oma kotietsintä ja takavarikkokin on takana, lukea kuin piru raamattua pakkokeinolakia. Sieltä tuntui nimittäin paljastuvan mielenkiintoinen porsaanreikä tietokoneen hakkerointiin viranomaisten toimesta. En ole asiantuntija lakipykälistä, enkä niiden tulkinnoista, mutta omasta mielestäni tuo vaatii kyllä pientä pohdiskelua. Varsinkin, kun tiedämme, että Suomen viranomaiset tyypillisesti venyttävät jokaista tulkintaa absurdiuteen asti, perustellessaan omaa toimintaansa ja oikeuksiaan toimia.

Pakkokeinolain 8. luvun 20§:ssa puhutaan laite-etsinnästä yhtä sun toista, mm. että sitä voidaan käyttää, kun rikoksesta voidaan tuomita yli 6kk vankeutta, eli de facto melkein mistä tahansa rikoksesta epäiltyyn! Lisäksi todetaan, että etsintä voidaan kohdistaa myös tietokoneeseen tai vastaavaan. Lisäksi saman luvun 23§ mukaan tietojärjestelmien ylläpitäjien jne. pitää antaa tietoja ja auttaa poliisia tässä mm. salasanoja jne. antamalla. Fakta on, että poliisi voi aivan vapaasti epäillä ketä tahansa mistä tahansa rikoksesta ilman mitään konkreettisia todisteita, joten tämä tarkoittaa, että kenen tahansa tietokoneeseen voidaan suorittaa ko. etsintä millä tahansa verukkeella hyvänsä...ja ylläpitäjien, operaattorien jne. on avustettava siinä poliisia antamalla pääsy ko. järjestelmiin.

Pakkokeinolain 10. luvun 23§:ssa puhutaan teknisestä laitetarkkailusta yhtä sun toista, mm. että sitä voi käytännössä käyttää tietokoneeseen tms. vain, kun sen kohdehenkilöä epäillään terrorismirikoksen valmistelusta. Toisin sanoen, että tietokoneen tietosisältöä voidaan tarkkailla laitteilla tai ohjelmistoilla vain ja ainoastaan, jos epäiltyä epäillään terrorismirikoksesta. Tämähän kuulostaa hyvältä ja ihan kohtuulliselta minusta. (Tai siis kuulostaisi, jos poliisilla pitäisi olla oikeasti todellisia, perusteltuja epäilyjä, koska poliisihan voi aina keksiä tai kuvitella epäilevänsä ketä tahansa mistä tahansa rikoksesta, myös siis terrorismista.)

Analogi näiden kahden asian erosta voisi olla vaikkapa, että siinä, missä laite-etsintä olisi kuin se, että poliisi tulee asuntoosi ollessasi kotona ja ottaa valokuvan huoneestasi - niin tekninen laitetarkkailu olisi kuin se, että poliisi tulee ja salaa asentaa videokameran asuntoosi ja nauhoittaa ja tarkkailee kaikkea siellä tapahtuvaa niin pitkään kuin haluaa. (Juu, poliisi ei saa asentaa videokameraa asuntoosi, kyse on analogiasta, älkää hyppikö seinille kommenttiosiossa tästä!)

Huolestuttavin asia ei ole kuitenkaan kumpikaan näistä lakipykälistä tai niiden tulkinnoista. Suurin huolenaine on saman lain 8. luvun 27§, jossa sanotaan:
27§ Laite-etsinnän toimittaminen etäetsintänä 
Rikostutkinnallisten tarkoituksenmukaisuussyiden tai asian kiireellisyyden sitä edellyttäessä laite-etsintä saadaan toimittaa etäetsintänä, jossa laite-etsintä toimitetaan käyttämättä etsinnän kohteena olevan henkilön luona tai hallussa olevaa laitetta.
Lukekaapa tuo tarkkaan ja huolella läpi. Jos kylmät väreet eivät mene selkäpiirtäsi pitkin, et ole ymmärtänyt lukemaasi, joten lueppa uudestaan.

Poliisi voi etänä, siis de facto netin kautta tms. suorittaa laite-etsinnän tietokoneeseesi milloin tahansa tai miten monta kertaa tahansa peräkkäin (kunhan poliisin itse itselleen myöntämä paperi sen sallii) ja hankkia näin tiedot tietokoneen sisällöstäsi - kunhan ko. tietokone ei ole luonasi tai hallussasi! Jos siis otat kannattavan tietokoneesi mukaasi ja jätät sen vaikkapa pöydälle tai autoosi, tämä ehto täyttyy ja poliisi voi sillä hetkellä iskeä ja suorittaa laite-etsinnän etänä!

Huomaa, että poliisi voi hankkia siis tiedot koko tietokoneen sisällöstäsi. Myös tietokoneen muistisi sisällöstä. Myös sen sisältämistä salausavaimista jne.! Vaikka joka päivä, kerran minuutissa tai kerran sekunnissa, vaikka kuukauden ajan putkeen jos poliisi vain niin haluaa! Ja muista, että operaattorien ja ylläpitäjien jne. pitää auttaa heitä ja tarjota heille pääsy ko. tietoihin! Tämä on tietenkin de facto sama asia kuin tekninen laitetarkkailu, jossa tietokoneen sisältöä ja toimintaa TARKKAILLAAN, mutta tämä on lakiteknisesti huomattavasti kevyemmin perustein tehtävissä! Tässä tietokoneen sisältöä ja toimintaa ei varsinaisesti tarkkailla, vaan ainoastaan JÄLJENNETÄÄN, mutta lopputulos on de facto sama, kun tuo jäljentäminen tehdään totaalisesti tai useita kertoja tms. jne.!

Huppista keikkaa.

Toki, pakkokeinolaissa puhutaan 10. luvun 26§:ssa, että poliisi voi salaa tai suojauksia kiertäen käyttää (vain?) teknistä tarkkailua - siinä ei puhuta siis 8. luvun mukaisista laite-etsinnöistä tms.! Eli ikäänkuin poliisi ei voisi siis suorittaa laite-etsintää salaa tai suojauksien kiertäen, mutta teknistä tarkkailua voi kyllä. Kuitenkaan missään ei ekplisiittisesti sanota, etteikö poliisi voisi kiertää suojauksia myös laite-etsinnässä tms. Esimerkiksi minun SIM-korttini PIN-koodin poliisi mursi/kiersi kyllä ottaessaan sen minulta takavarikkoon. Kun tähän vielä lisätään todellakin tuo 8. luvun 23§, eli operaattorien jne. yhteistyövelvollisuus, niin tuohan tarkoittaa, että poliisilla voi olla de facto "portit täysin auki" kenen tahansa tietokoneelle, milloin tahansa, miltei mistä syystä tahansa, myös suojaukset murtaen ja myös operaattorien avustamana jne.!

Varsin pelottavaa. Ja kohtuutonta.

Laite-etsinnän toimittaminen etänä on varmaankin tarkoitettu siihen, että poliisi voi kaivella vaikkapa Google Drivessa tai Dropboxissa tai työpaikkasi verkkolevyllä olevia tietojasi. Mutta kun pilkkua viilaa, niin sitä voidaan käyttää paljon, paljon muuhunkin! Ja kun voidaan käyttää, edes teoriassa, niin voitte olla varmoja, että Suomen poliisi varmasti käyttää jos vaan tarvetta ilmenee.

Miten suojautua sitten?

Jos oletamme, että poliisi noudattaa tarkkaan lakia ja mitään mysteerisiä takaportteja ei ole olemassa tietokoneessasi (joita operaattorit voisivat hyväksikäyttää), niin paras keino on pitää tietokone koko ajan luonasi ja hallussasi. Siltä varalta, että joudut jättämään tietokoneen niin, ettei se ole hallussasi tai luonasi, niin kryptaa kaikki ja sammuta tietokone...sammutettuun tietokoneeseen on luonnollisesti mahdotonta tehdä etänä laite-etsintää ja kryptatusta sisällöstä ei saa viranomainen selvää vaikka takavarikoisi laitteen.

Ongelmana on toki se, että poliisi voi aina VÄITTÄÄ, että laite ei ollut sinun hallussasi hetkenä X ja silloin siihen on ollut laillista suorittaa etänä tehtävä laite-etsintä. Sinulla ei ole mitään mahdollisuutta todistaa, että viranomainen valehtelee, etkä ole vain "unohtanut tietokonettasi päälle ja pöydälle" tms. Onneksi Suomen poliisi ei tietenkään koskaan riko lakeja, eikä valehtele, eikä väärinkäytä asemaansa, kuten kaikkein muiden maiden poliisit tekevät, eikö vaan häh?

2 kommenttia:

Anonyymi kirjoitti...

Ainoa todellinen suoja on täydellinen anonymiteetti jota on ikävä kyllä mahdoton saavuttaa ellei muuta kiven alle ja pysy siellä.. Suomesta tehdään ajatusrikosvaltiota.

Anonyymi kirjoitti...

Kysyitkö muuten operaattoriltasi vastauksia tähän asiaan liittyen? Itse vuosia sitten epäilin että puhelintani kuunnellaan (en ole tekemisissä laittomuuksien kanssa, mutta tunnen sellaisia ketkä ovat), sain vastauksena muistaakseni DNA:ta että vaikka olisin, he eivät sitä tiedä/saa kertoa. Tämä siis asiakaspalvelun kommentti, ei noiden operaattorien pomojen yhteystietoja saa mistään.

Ihan kiinnostuksena kysyn.

Kaikkea hyvää ja vaikuttamisen jatkamista.