10. tammikuuta 2021

Viiden kirjaimen lupaukset - mietintää 5G:stä

Paljonko asiaa mahtuu viiteen samanlaiseen kirjaimeen? Ilmeisesti paljonkin, mikäli seuraa keskustelua julkisuudessa, jossa 5G:stä on muodostunut iso juttu, The Next Big Thing. Asiaa korostaa varsinkin se, että 5G:stä keskustellaan paljon myös tekniikan alan ulkopuolella.

Uusi tekniikka tulee mahdollistamaan asioita, joista tähän saakka on vain kuviteltu, mm. 4K ja 8K -kuvan vastaanottamisesta tulee mahdollista (Mikrobitti), esineiden internetistä tulee todellisuutta laajemmassa mittakaavassa ja erilaisten robottien etäohjaus toimii viiveettömästi (Elisa). Nopeamman tiedonsiirron lisäksi 5G tuo siis mukanaan ruuhkattomat sekä viiveettömät yhteydet. Yksi 5G tukiasema pystyy palvelemaan suurempaa määrää laitteita ja verkkoviiveet painuvat yksittäisiin millisekunteihin.
Kyseessä on iso mullistus, jollaisesta puhuttiin yhtä laajasti viimeksi 3G:n yhteydessä. Tuolloin tavoitteena oli saada internet-yhteys ja sen tarjoamat multimediapalvelut kaikkien saataville (Iltasanomat, 1999).

Mistä 5G:ssä oikeastaan on kyse? Mihin lupaukset nopeuksista ja uusista palveluista oikein perustuvat? En ole langattoman verkkotekniikan enkä matkapuhelintekniikan asiantuntija, mutta yritetään ottaa selvää.

Lupaukset voisi mielestäni kiteyttää kahteen uuteen asiaan, arkkitehtuuriin ja taajuuksiin.

5G:n arkkitehtuuri rakentuu aiemman 4G:n päälle (DNA, sivu 9). Tämä on järkevää, sillä se mahdollistaa yhteensopivuuden vanhemman sukupolven kanssa. Lisäksi 4G verkkoja voidaan osittain päivittää 5G:n ominaisuuksilla, jolloin operaattorien investointikustannukset pysyvät maltillisena.

Arkkitehtuuri tuo mukanaan mm. verkkojen virtualisoinnin ja viipaloinnin.
Virtualisointi laskee operaattorien investointikustannuksia edelleen, sillä se mahdollistaa tukiaseman ohjelmistojen ajamisen virtuaalikoneilla. Yksi tehokas palvelin riittää toimimaan isäntänä useammalle virtuaaliselle koneelle, joissa ajetaan 5G:n tarvitsemia ohjelmistokomponentteja.
Viipalointi muistuttaa tavallaan priorisointia, paljon kaistaa käyttävälle asiakkaalle voidaan antaa enemmän kapasiteettia käyttöön. 5G:n myötä kapasiteetin hallinnasta tulee luotettavampaa. Paljon kaistastaan maksava asiakas saa todennäköisemmin paremmin vastinetta rahalleen.

Uskon kuitenkin, että markkinointipuheista isompi osuus nojaa 5G:n uusiin taajuuksiin. Kun luvataan kattavaa IOT-laitteiden verkkoa ja suuria nopeuksia samassa lauseessa, tarkoitetaan oikeasti kahta eri asiaa.

5G:n kohdalla ei voida puhua enää yksittäisestä taajuudesta tai taajuusalueesta.
Virallisessa standardissa määritellään kaksi taajuusaluetta, FR1 ja FR2 (Wikipedia). FR1 koostuu taajuuksista, jotka sijaitsevat 6 GHz alapuolella, FR2 sisältää yli 24,5 GHz taajuudet. Itse miellän 5G:n kolmena eri taajuusalueena: matalat alle 1 GHz -taajuudet, nykyisten verkkojen kaltaiset n. 2-3 GHz taajuudet ja millimetriaallot yli 24,5 GHz:ssa.

Lupaukset IOT-laitteiden paremmasta toimivuudesta perustuvat matalimpiin, alle 1 GHz taajuuksiin. Tällöin saadaan hyvä kattavuus isohkolle alueelle (vrt. radioaallot n. 100 MHz). Kääntöpuolena tällä taajuudella on tiedonsiirtonopeus, joka ei ole kummoinen.

Kirjoitushetkellä Suomessa olemassa olevat 5G verkot käyttävät vanhemman 4G:n kaltaisia taajuuksia. Taajuusalueita on kolme 2GHz, 2,6GHz ja 3,5GHz, joista kaksi ensimmäistä ovat myös 4G:n käytössä (Traficom). Suuremmat nopeudet muodostuvat kehittyneestä tekniikasta ja varsinkin uudesta 3,5GHz taajuusalueesta. Nopeutta on, mutta 4G:stä tutut kuuluvuusongelmat vaivaavat uutta taajuusaluetta vieläkin pahemmin. Vanhemmalla 4G signaalilla on paikoittain ongelmia päästä läpi jopa ikkunalaseista, uusissa julkisrakennuksissa tämä onkin otettu huomioon nk. RF-aukoilla (Valtioneuvosto, sivu 12). 5G:n kohdalla onkin lähdetty antennitv:n tielle, asiakas saa talonsa kylkeen uuden antennin (Bittimittari, Petteri Järvinen), jolloin rakennuksen seinää ei tarvitse läpäistä.

Mutta entäs ne etäohjattavat dronet? Ymmärtääkseni juuri tähän kiteytyy 5G:n huikeimmat lupaukset. Yli 24,5 GHz taajuudella toimivan verkon tuomat valtavat nopeudet ja viiveettömyys antaisivat mahdollisuuden tarkkaan etähallintaan vaikkapa kirurgirobottia varten (Etteplan, sivuhuomautuksena: mistähän tämä etäkirurgian mahdollisuus alunperin lähti liikkeelle, nyt se muistetaan aina mainita 5G:n yhteydessä?). Tämä on mielestäni 5G:n suurin sudenkuoppa. Millimetriaaltojen kantavuus lasketaan kymmenissä, mahdollisesti muutamassa sadassa metrissä. Esteitä tukiaseman ja asiakkaan välillä ei saa olla, sade- tai lumikuurokin aiheuttavat ongelmia. Julkisuudessa annetaan ymmärtää, että nämäkin esteet olisivat voitettavissa (Networkworld), mutta nopeuden ja verkkoviiveen kustannuksella (toisinsanoen, korkeamman taajuuden hyödyt menetetään, miksei samantien käytettäisi alempaa taajuutta?).

Itseajava auto 5G verkossa, jatkuvasti kytköksissä verkkoon? Tuskin. Millimetriaaltojen verkkoa varten tarvitaan tukiasemia lähes jokaiseen katuvalotolppaan. Millä ne tukiasemat kytketään verkkoon, valokuidulla? On toki mahdollista käyttää vaikkapa suunta-antenneja tukiasemien datan välittämiseen eteenpäin toiselle tukiasemalle, mutta suurella todennäköisyydellä verkkoviive kasvaa ja jokatapauksessa valokuituverkko tarvitaan lähelle tukiasemaa. Nykyisiä operaattoreita valokuitu ei juurikaan enää kiinnosta, joten tällaiset suunnitelmat voinee unohtaa, Espoon LuxTurrim-verkkoa lukuunottamatta (Osto & logistiikka).

”Raideliikenteessä 5G tarkoittaa nopeita ja toimivia yhteyksiä liikkuvassa junassa sekä esimerkiksi turvallisuusriskien pienentämistä” (Traficom)
Juniin paremmat yhteydet 5G:llä? Mahdollisesti pääkaupunkiseudun paikallisjuniin sellaiset voidaan toteuttaa, muualle parannukset kuulostavat utopistisilta. Nykyisissa junaverkoissa on kapasiteettiongelmia, mutta suurempi ongelma taitaa olla 4G ja 3G verkon kattavuudessa, jota ei ole keskellä metsää.

Uuden sukupolven verkko tuo mukanaan uusia mahdollisuuksia uusille palveluille. Olisi kuitenkin toivottavaa, että visioissa olisi edes jonkinlaista realismia. 3G verkon odotettiin tuovan jotain täysin uutta ja mullistavaa jokaisen elämään. Se toi paljon, mutta esimerkiksi videoiden ja striimien katselu kännykällä on yleistynyt vasta 3,5G ja 4G aikakaudella (asiaan on vaikuttanut osaltaan myös puhelimien kehitys).
5G ei mullista elämää samalla tavalla kuin vaikkapa siirtyminen Laserdiskistä BluRay:hin. Se on jatkumoa verkkotekniikan kehityksessä, jossa kivutaan porras kerrallaan eteenpäin.

20. syyskuuta 2020

Covid-19-taudin vaikutus kuolleisuustilastoihin

Tälle vuosikymmenelle näyttäisi muodostuvan vain yksi puheenaihe, tartuntatauti Covid-19.

Viimeisen puolen vuoden ajan olemme saaneet tottua päivittäisiin tilastoihin tartuntatilanteesta. Tutuiksi ovat tulleet tartuntaluku, sairastuneet 100 000 henkilöä kohti sekä lukemat tartunnoista edellisen kahden viikon ajalta. Uuteen koronavirukseen menehtyneiden määräkin kerrotaan tartuntalukujen yhteydessä. Alkukesästä lukemat kuulostivat hurjilta, varsinkin Italian, Espanjan ja Ruotsin kohdalla.

Samoihin aikoihin mieleeni heräsi eräs kysymys. Miten Covid-19 vaikuttaa, tai on jo vaikuttanut, eri maiden kuolleisuuteen? Etelä-Euroopan isoissa kaupungeissa raportoitiin isoja tartunta- ja kuolleisuuslukuja, mutta miten luvut vertaantuvat normaalitilanteeseen? Ihmisiä menehtyy päivittäin vanhuuteen, sairauksiin, onnettomuuksissa ja väkivallan seurauksena. Itselläni ei ollut mitään käsitystä siitä, mitä ns. "normaali" tarkoittaa tälläisissä tilastoissa.
Nyt vähän myöhemmin kysymys ilmestyi mieleeni uudelleen. Tällä kertaa päätin ottaa asiasta selvää.

Hienoa, tätä juuri kaipasimme, lisää tilastoja ja käppyröitä

Kyllä, taas olisi tarjolla lisää tilastoja jo liian tutuksi käyneestä aiheesta. En itse törmännyt vastaaviin tilastoihin muutamaa sivumainintaa lukuunottamatta, ennenkuin selvitin aihetta tarkemmin. Yle on tehnyt aiheesta parikin uutista (https://yle.fi/uutiset/3-11416249), tuoreempi uutinen on vain joitakin päiviä vanha (https://yle.fi/uutiset/3-11516123)

Yle raportoi prosentuaalisia muutoksia normaaliin verrattuna, mutta miltä konkreettiset luvut sitten näyttävät? Luvut on koottu pääasiassa maiden omien tilastokeskusten sekä Eurostatin kautta. Yhdysvalloissa lukuja ylläpitää tautikeskus CDC. Covid-19-tautiin menehtyneiden määrät on koottu Johns Hopkins -yliopiston ylläpitämästä  julkisesta aineistosta. Linkit lähteisiin ja koottuun aineistoon löytyy tekstin lopusta.

HUOM!
Tulkitsen lukuja insinöörin näkökulmasta, en ole terveysalan ammattilainen. Otathan tämän huomioon kun luet kaavioista tekemiäni päätelmiä.
Olen koonnut tilastot itse manuaalisesti, luvut voivat sisältää virheitä.

Mutta lupasin graafeja, tässä niitä nyt tulee.
Graafeista löytyy viisi erilaista lukua. Palkin alaosa kertoo vuoden 2020 menehtyneiden määrän kyseisellä kuukaudella, josta on otettu pois Covid-19-taudin vaikutus. Palkin yläosa kuvaa Covid-19-tautiin menehtyneitä. Viivoja on kolme, jotka kaikki kuvaavat vuosien 2009 - 2019 menehtyneiden tilastoa. Keskimmäinen viiva kertoo keskiarvon, ylempi ja alempi viiva kertovat ko. vuosien vaihteluvälin (ylemmässä viivassa kyseisen kuukauden suurin lukema vuosilta 2009 - 2019, alemmassa pienin lukema).

Suomen tilastoon Covid-19 ei mielestäni aiheuta merkittävää poikkeamaa. Huhti- ja toukokuussa menehtyneiden määrät ovat hieman yli edellisen 10 vuoden maksimista, mutta ero on pieni. Muutama silmiinpistävä yksityiskohta näkyy tammi- ja maaliskuun 10 vuoden maksimeissa. Piikit johtuvat vuoden 2017 tammikuusta (5492 henkilöä) sekä 2018 maaliskuusta (5395 henkilöä). Lähes yhtä iso luku löytyy 2016 tammikuulta (5336 ihmistä). Ainoa suurempi lukema löytyy vertailujakson ulkopuolelta, vuoden 1993 joulukuulta (5504 ihmistä) ja seuraavaksi pienempi vuoden 1996 tammikuulta (5243).

Ruotsin mallista on puhuttu paljon. Kuvaaja osoittaa, että huhti-kesäkuuhun on muodostunut selkeä kasvu menehtyneiden määrässä, josta Covid-19 näyttisi olleen yksistään vastuussa. Myös Ruotsin vuoden 2018 maaliskuussa on tapahtunut jotain, joka aiheuttaa 10 vuoden maksimiviivaan piikin, tuolloin Ruotsissa menehtyi 9437 ihmistä. Suurempia lukemia löytyy kauempaa historiasta, jostain syystä suurin lukema löytyy Suomea mukaillen vuoden 1993 joulukuusta (11053 henkilöä)

Norjassa tilanne näyttää vastaavalta kuin Suomessa. Covid-19 ei näyttäisi aiheuttaneen merkittävää poikkeamaa edellisen 10 vuoden menehtyneiden määrään. Tämän aineiston erikoisuutena oli Norjan oman tilastokeskuksen (Statistisk sentarlbyrå) sekä Eurostatin lukujen poikkeamat vuosilta 2000-2019. Vuosien kokonaismäärät olivat melkein yhtäläisiä, mutta yksittäisten kuukausien lukemissa oli suuriakin eroja.

Suomea verrataan varsinkin työllisyyteen liittyvissä kysymyksissä usein Saksaan. Myös kuvaaja menehtyneistä näyttää jokseenkin samannäköiseltä, uusi koronavirus ei ole aiheuttanut kovin merkittävää poikkeamaa edeltävän 10 vuoden jaksoon verrattuna. Ainoastaan huhtikuussa näkyy isompi piikki, joka näyttäisi olevan pelkästään Covid-19-taudin aiheuttamaa. Tilastollinen kummallisuus 2018 maaliskuun kanssa jatkuu Saksankin kohdalla. 10 vuoden maksimiarvojen piikki johtuu silloin tilastoidusta 107 104 menehtyneestä henkilöstä. Tämä on ylivoimaisesti suurin lukema keräämässäni Saksan aineistossa (vuodesta 1990 - 2020). Luku löytyy sekä Eurostatin että Saksan oman tilastokeskuksen (Statistisches Bundesamt) raportoimista luvuista. Seuraavaksi isoin luku löytyy vuoden 2017 tammikuusta (96 033).

Alkuvuodesta seurattiin Italian taistelua virusta vastaan pelonsekaisin tuntein. Kuvaajakin osoittaa tilanteen vaikeuden maalis- ja huhtikuussa. Maaliskuun lukema on valtava, vaikka jätettäisiin Covid-19 huomiotta. Tämä johtuu todennäköisesti silloisesta resurssien ja testikapasiteetin puutteesta, jolloin kuolemien syitä ei välttämättä rekisteröity kaikkien osalta oikein (https://voxeu.org/article/covid-19-italy-analysis-death-registry-data). Italian tilastojen koonti oli hieman hankalaa, sillä en löytänyt Italian oman tilastokeskuksen tuottamia tuoreita tilastoja lainkaan. Tilastotiedot päättyivät vuoteen 2018. Tällöin löysinkin Eurostatin Euroopanlaajuiset ja maakohtaiset tilastot, joita käytin apuna muidenkin maiden tilastojen muodostuksessa. Tuoreimmat luvut olivat viikkotasolla, joista muodostin kuukausikohtaiset tilastot. Tämän vuoksi luvut eivät pidä täysin paikkaansa, mutta antavat osviittaa tilanteesta.

Suomen mediassa Ranska on mielestäni jäänyt vähemmälle huomiolle. Kuvaaja osoittaa, että huhtikuussa tilanne Ranskassa pääsi ehkäpä yllättämään, Covid-19-taudin vaikutus näkyy kuvassa selvästi. Ranskan tilastossa 2019 ja 2020 luvut koostuvat alustavista (premilinary) tilastoista, eivätkä pidä täysin paikkansa. Tilanne on vastaava Italian kanssa, luvut antavat kuitenkin kohtuullisen kuvan viruksen vaikutuksista.


Yhdysvaltojen Covid-19-tilanne on puhuttanut viime kuukausina paljon. Keräämieni lukujenikin mukaan näyttäisi siltä, että virus todellakin on aiheuttanut merkittävää kasvua menehtyneiden määrissä. Yhdysvaltojen tilastotietojen arvioinnissa pitää kuitenkin olla varovainen. Erilaiset virastot ja toimijat tuottaavat suuria määriä erilaisia lukuja, mutta koin hankalaksi löytää kunnollista ja ajantasaista tilastoa erityisesti vuosien 2018 - 2020 menehtyneiden määristä. Suuressa maassa tilastointi on varmasti hankalaa, eikä voi millään pysyä ajan tasalla, mutta etsinnän hankaluus yllätti silti. Osavaltioilla olisi varmasti omat tilastonsa, mutta niiden keräämiseen menisi paljon aikaa. Lopulta löysin CDC:n tuottaman viikko-tason aineiston, jonka muutin kuukausitason dataksi. Luvut eivät siis tässäkään tapauksessa ole täysin oikeita, mutta uskoisin aidon tilanteen muistuttavan jotakuinkin kuvaajan esittämää tilannetta.

Yhdistyneen kuningaskunnan (Iso-Britannia ja Pohjois-Irlanti, jatkossa UK) kaavio herätti kysymyksiä käyttämistäni tilastoista. Käyttämällä Johns Hopkinsin tuottamaa tietoa maailmanlaajuisista Covid-19-tautiin kuolleista, UK:n luvut näyttävät pahalta, pahemmalta kuin Italiassa. Huhtikuussa menehtyneitä olisi ollut niin paljon, että jopa puolet uuteen virukseen kuolleista olisi jäänyt kokonaan rekisteröimättä. Heti nähtyäni tämän, lähdin tarkistamaan lukuja uudestaan. UK:n Office for National Statististics (ONS) kokoaa myös tietoja Covid-19:ään liittyvistä kuolemista ja käyttämällä tätä tietoa, saadaan seuraava kaavio

Rekisteröintitarvoissa on eroja. ONS:n tilastot kootaan kuolintodistuksista ja siitä, mainitaanko niissä Covid-19:ää (https://www.ons.gov.uk/peoplepopulationandcommunity/birthsdeathsandmarriages/deaths/methodologies/userguidetomortalitystatisticsjuly2017#information-collected-at-death-registration). Johns Hopkinsin tiedot perustuvat Public Health Englandin ja kansallisen terveyspalvelu NHS:n tuottamaan aineistoon, jossa lasketaan mukaan 28 päivän sisällä positiivisen testituloksen saanut ja sittemmin menehtynyt henkilö (https://coronavirus.data.gov.uk/about-data#daily-and-cumulative-deaths-within-28-days-of-a-positive-test). Katsoi kumpaa kuvaajaa tahansa, on selvää, että huhti- ja toukokuussa menehtyneitä on ollut aiempia vuosia enemmän ja syy on selkeästi Covid-19-taudin aiheuttama.











Espanja oli Italian ohella paljon julkisuudessa alkukeväällä. Kuvaaja näyttää selkeän syyn median huomiolle. Maalis- ja huhtikuussa tapauksia oli niin paljon, että kaikkia tapauksia ei saatu tilastoihin mukaan. Tässäkin tapauksessa voi tosin olla kyse erilaisista tilastointitavoista. Uskon, että kaavio näyttäisi silti hyvin samankaltaiselta, vaikka käytössä olisikin parempaa dataa. Resurssipula ja testauskapasiteetin puute näkyvät kaaviossa selvästi.

Summa summarum

Koronavirus SARS-CoV-2 muutti elämäämme, joiltain osin ehkä pysyvästi. Viruksen aiheuttama tauti on vaarallinen ja toimenpiteitä sen leviämisen estämiseksi kannattaa jatkaa. Joillekin Covid-19-tauti ilmenee lievänä flunssana tai jopa täysin oireettomana. Toisille tauti on ollut kohtalokas.

Virusta ei saa väheksyä. Covid-19 on aiheuttanut virallisesti jo n. miljoonan ihmisen kuoleman (957 632 henkilöä, Johns Hopkins, 20.9.2020).

Kokoamiani lukuja ja niiden perusteella tehtyjä kaavioita katsomalla huomataan, että koronavirus on aiheuttanut ennenaikaisia kuolemia, varsinkin väkirikkaissa maissa. Testauskapasiteetin puute ja resurssipula monessa maassa hankaloittavat tilastointia, mutta on selvää että virus on tehnyt useassa maassa sellaista vahinkoa, jota ei normaalitilanteessa olisi tapahtunut.
Ennen tätä selvitystä olin skeptinen sen suhteen, onko viruksella ollut aidosti vaikutusta menehtyneiden ihmisten määriin. Esimerkiksi Ruotsissa lukuja on selitetty mm. edellisvuoden kevyemmällä influenssa-aallolla (https://yle.fi/uutiset/3-11549210).

Olin väärässä.

Uudella koronaviruksella on ollut maailmanlaajuisia vaikutuksia, joita näemme yllättävänkin harvoin, onneksi. Olisi mielenkiintoista jatkaa tilastojen tutkimista vaikkapa viiden vuoden kuluttua ja selvittää, millaiset vaikutukset viruksella on ollut pidemmällä aikavälillä. Onko virus iskenyt ihmisiin, joilla on ollut jo valmiiksi heikompi vastustuskyky sairauden tai muun syyn vuoksi ja aiheuttanut siten ennenaikaisia kuolemia? Jos näin on, tulevien vuosien tilastoissa menehtyneiden määrä kuukaudessa pitäisi olla keskimääräistä pienempi. Toki tilaston pitäisi palautua ennalleen joidenkin vuosien kuluttua. Kaikki tämä jää nähtäväksi ja riippuu paljon siitä, jääkö virus pysyväksi kiusaksi vai saadaanko se joskus tuhottua kokonaan.

Lähteet

Covid-19-tautiin menehtyneet
Center for Systems Science and Engineering (CSSE), Johns Hopkins University
https://github.com/CSSEGISandData/COVID-19
Yhdistyneet kuningaskunnat, Covid-19-tautiin menehtyneet
Office for National Statististics (ONS)
https://www.ons.gov.uk/peoplepopulationandcommunity/birthsdeathsandmarriages/deaths/datasets/weeklyprovisionalfiguresondeathsregisteredinenglandandwales

Euroopan maiden pohjatilastot (aineistolla täydennetty maakohtaisten tilastokeskusten puutteita)
Eurostat
https://appsso.eurostat.ec.europa.eu/nui/show.do?dataset=demo_mmonth&lang=en (1990 - 2019)
https://appsso.eurostat.ec.europa.eu/nui/show.do?dataset=demo_r_mwk_ts&lang=en (2020)

Suomi
Tilastokeskus
http://pxnet2.stat.fi/PXWeb/pxweb/fi/StatFin/StatFin__vrm__vamuu/statfin_vamuu_pxt_11ll.px/

Ruotsi
Statistikmyndigheten SCB
https://www.scb.se/en/finding-statistics/statistics-by-subject-area/population/population-composition/population-statistics/pong/tables-and-graphs/monthly-statistics--the-whole-country/preliminary-population-statistics-by-month-2020/

Norja
Statistisk sentarlbyrå
https://www.ssb.no/en/statbank/table/12982/tableViewLayout1/

Saksa
Statistisches Bundesamt (Destatis)
https://www-genesis.destatis.de/genesis/online?operation=abruftabelleBearbeiten&levelindex=2&levelid=1600102678199&auswahloperation=abruftabelleAuspraegungAuswaehlen&auswahlverzeichnis=ordnungsstruktur&auswahlziel=werteabruf&code=12613-0006&auswahltext=&werteabruf=start#abreadcrumb

Italia
Eurostatin tilastot, linkki ylempänä

Ranska
L’Institut national de la statistique (Insee)
https://www.insee.fr/en/statistiques/serie/001641603

Yhdistynyt kuningaskunta (UK)
Englanti + Wales
Office for National Statistics
https://www.ons.gov.uk/peoplepopulationandcommunity/birthsdeathsandmarriages/deaths/datasets/monthlyfiguresondeathsregisteredbyareaofusualresidence
Skotlanti
National Records of Scotland
https://www.nrscotland.gov.uk/statistics-and-data/statistics/statistics-by-theme/vital-events/general-publications/weekly-and-monthly-data-on-births-and-deaths/monthly-data-on-births-and-deaths-registered-in-scotland
Pohjois Irlanti
Northern Ireland Statistics and Research Agency (NISRA)
https://www.nisra.gov.uk/publications/monthly-deaths

Espanja
Instituto Nacional de Estadística (INE)
https://www.ine.es/jaxi/tabla.do?path=/t20/e301/provi/l1/&file=02001.px&type=pcaxis&L=1 (2019)
https://www.ine.es/jaxiT3/Tabla.htm?t=6561&L=1 (1990 - 2018)

USA
Centers for Disease Control and Prevention (CDC)
https://wonder.cdc.gov/ucd-icd10.html (1999 - 2018)
https://data.cdc.gov/NCHS/Weekly-Counts-of-Deaths-by-State-and-Select-Causes/muzy-jte6 (2019-2020)

18. heinäkuuta 2017

Cyber Security Base - F-Securen ja Helsingin yliopiston verkkokurssikokemuksia

F-Secure ja Helsingin yliopisto päättivät viime vuoden (2016) lopussa järjestää yhteistyössä tietoturvaan keskittyvät verkkokurssin, eli MOOCin (http://mooc.fi/courses/2016/cybersecurity/). Kun kuulin kurssista loppukesällä, päätin ilmoittautua mukaan, sillä tietoturvaan liittyvät asiat ovat kiinnostaneet jo pitkään.

Kurssi on jo päättynyt, mutta aineisto on edelleen luettavissa täällä: https://cybersecuritybase.github.io/

Kuvaus kurssista


Kurssi kesti n. seitsemän kuukautta, lokakuun puolivälistä toukokuun alkuun saakka. Alkupuoli (lokakuusta tammikuun alkuun) keskittyi nettipalveluiden tietoturvaan. Toisella puoliskolla käsiteltiin laajemmin verkkojen ja tietojärjestelmien tietoturvaa. Lopuksi järjestettiin Capture-The-Flag -kilpailu, jossa viikon aikana piti selvittää mahdollisimman monta 20:sta annetusta tehtävästä.

Kurssilla annettiin aineistoa ja tehtäviä kerran viikossa. Tehtävien tekoon oli aikaa useampi viikko, mutta pysyäkseen hyvin kurssin aikataulussa, kannatti tehtäviä tehdä viikottain. Aineisto koostui pääsiassa kurssin järjestäjän tuottamasta tekstistä, joskus aineistoa oli myös linkitetty ulkoisiin tutkimuksiin ja muihin julkaisuihin.
Tehtävät koostuivat monivalintakysymyksistä ja lyhyehköistä kirjoitelmista (yleensä minimissään n. 300 sanaa, nämä minimipituudet muistuttivat amerikkalaisesta tavasta mitata tekstien pituuksia). Monipuolisuutta tehtäviin toi myös koodaustehtävät, jotka ladattiin Helsingin yliopiston käyttämältä TestMyCode-alustalta. Ohjelmointikielenä käytettiin Javaa ja ohjelmointiympäristönä Netbeansia, mutta tehtävät sai tehdä myös toisella kielellä ja työkalulla. Koodaustehtävät keskittyivät aluksi Spring-frameworkin ja Thymeleafin esittelyyn, myöhemmin tehtävissä oli tarkoitus korjata em. työkaluilla toteutettuja pieniä nettipalveluita (palveluissa oli bugeja ja tietoturva-aukkoja joita käsiteltiin sen viikon muissa tehtävissä tai luentoaineistossa). Kun koodi oli opiskelijan mielestä valmis, se lähetettiin takaisin TestMyCode-palvelimelle, joka vielä testasi koodin toimivuuden ja hyväksyi tehtävän suoritetuksi.

Vuoden lopussa, ensimmäisen puoliskon päätteeksi, annettiin laajempi projekti jonka suorittamiseen oli aikaa kuukauden verran. Projektissa oli tarkoituksena toteuttaa pieni webbipalvelu, joka sisältäisi vähintään viisi erityyppistä tietoturvaongelmaa. Tämän jälkeen tehtävä jatkui n. 1000 sanan kirjoitelmalla, jossa tuli kuvata webbipalvelun viat, niiden hyödyntämistavat ja ratkaisut ongelmien korjaamiseksi. Lopuksi piti tarkistaa kahden muun oppilaan vastaavat projektit ja todeta heidän toteuttamansa webbipalvelu korjausohjeineen toimivaksi. Tehtävän sai suorittaa millä alustalla ja ohjelmointikielellä tahansa, mutta koska tehtävänannossa opiskelijoille annettu projektipohja ja muu kurssin aineisto oli toteutettu Javalla, oli luontaista toteuttaa projekti samalla kielellä.

Toinen puolikas tai "kevätlukukausi" jatkui hieman erilaisella tavalla. Tehtäviä tehtiin edelleen viikottain ja tehtävät sisälsivät monivalintatehtäviä, mutta koodaus jäi kokonaan pois. Luentoaineistona oli entistä usemmin jokin tutkimus tai muu ulkopuolisen tahon kirjoittama teksti. Tilalle tuli myös entistä useammin tehtävät, joissa naputeltiin 300 - 1000 sanan tekstejä ko. viikolla käsitellystä aiheesta. Samalla tuli tutuksi toisten oppilaiden vastaavien kirjoitelmien tarkistukset ja rakentavan palautteen anto.

Tämänkin "lukukauden" lopuksi annettiin taas tehtäväksi enemmän työta vaativa kokonaisuus. Tehtävänä oli murtautua tietoturvaltaan huonosti kofiguroituun palvelimeen käyttäen Metasploit-työkalua ja kirjoittaa löydetyistä haavoittuvuuksista 1000 sanan havaintoraportti. Haavoittuneita palvelimia ei kuitenkaan löydy noin vain, eikä sellaisia yleensä luoda opiskelijoita varten julkiseen internetiin, joten haavoittunut palvelin piti asentaa omalle koneelle virtuaalikoneeksi. Tähän tarkoitukseen on olemassa (ilmeisesti paljonkin käytetty) virtuaalikone nimeltään Metasploitable. Käytimme tehtävässä sen 3:tta versiota.
Kun Metasploitable-koneen oli saanut toimimaan oikein, siihen piti vielä asentaa verkkovalvontatyökalu nimeltään Snort. Snort valvoisi verkkoliikennettä hyökkäysten varalta ja tehtävänannossa kerrottiin, että Metasploit-työkalulla oli tarkoitus löytää kaksi hyökkäystapaa, joita verkkovalvontaohjelmisto ei havaitse ja kolme sellaista, jotka jäävän valvontaohjelmistoon näkyville.
Kaiken tämän jälkeen pääsi itse asiaan eli Metasploit-työkalun käyttöön ja tarkemmin ottaen sen käytön opiskeluun. Tehtävänannossa annettiin linkki Metaslpoitin viralliseen dokumentaatioon, mutta netistä löytyi tähän tarkoitukseen paljon parempaa aineistoa. Itse löysin Youtubesta useamman videon mittaisen esittelyn sen käytöstä Metasploitable-ympäristössä.
Aikaa tämän projektin tekemiseen oli hieman alle 1,5 kuukautta, itse käytin projektin tekemiseen hieman alle kuukauden verran, käytännössä pystyin keskittymään projektiin ainoastaan viikonloppuisin.

Kurssin päätteeksi järjestettiin Capture The Flag -kisa. Yleensä CTF-kisoissa on tarkoituksena ratkaista annettuja tehtäviä ja koota ratkaisuista vihjeitä seuraavaan tai seuraaviin tehtäviin. Kurssilla järjestetyssä CTF:ssä annettiin 20 tehtävää, jotka jaettiin kolmeen vaikeustasoon. Vaikeustasolta seuraavalle pääsi vasta sitten, kun kaikki edellisen tason tehtävät oli ratkaistu. Tehtäviä pystyi suorittamaan vaikeustason sisällä missä tahansa järjestyksessä, eli ratkaisuja ei tarvittu seuraavien tehtävien vihjeeksi. Jotkut tehtävät olivat kuitenkin teemaltaan hyvin samankaltaisia, joten toisen vastaavan tehtävän ratkaisu antoi tavallaan vihjeen seuraavaan tehtävään.
Helpoimman vaikeustason tehtäviä oli 9, keskitason tehtäviä 8 ja loput kolme olivat vaikeimman tason pähkinöitä.
Tehtävät olivat yllättävän monipuolisia. Ne koostuivat yksinkertaisimmillaan salatun tekstin kääntämisestä selkokieleksi arvaamalla salauksesssa käytetty salausalgoritmi. Muutamissa tehtävissä selvitettiin kuvatiedostoon tai binääritiedostoon sisällytettyä salasanaa, pari tehtävää keskittyi huonosti toteutettuun nettipankkisivustoon ja muutama tehtävä vaati hieman matemaattisia taitoja. Hankalimmat arvoitukset vaativat erillisten analysointi- ja testausohjelmistojen käyttöä. Kilpailu kesti ainoastaan 8 päivää ja jokaisen tehtävän nopein ratkaisija sai nimensä näkyviin tehtävän otsikon viereen, tämä loi tavallaan kilpailua osallistujien välille. Kurssin läpäisemiseksi vaadittiin, että opiskelija löytäisi ratkaisun 80%:iin CTF-kilpailun tehtävistä.

Omat kokemukseni


Lähdin kurssille mukaan ehkä liian korkein odotuksin. Oletin, että kurssi opettaisi minulle tärkeitä perusasioita ja jonkin verran myös tarkempia tietoja hyvän tietoturvan suunnittelussa, sekä ohjelmistokehityksessä että verkkoturvallisuudessa yleensä. Lisäksi halusin tietoa analysointi- ja tietoturvan testausohjelmistojen käytöstä. Kurssin loputtua saavutukset ja oppimieni asioiden määrä jäivät vähän vajaaksi.

Alkuosan (syksyn) tehtävät koostuivat pääasiassa ohjelmointitehtävistä. Nämä olivat mukavia verrattuna 1000 sanan essee-teksteihin, mutta ne eivät olleet täysin ongelmattomia. Tehtävissä käytetyistä frameworkeistä minulla ei ollut yhtään käytännön kokemusta, joten suurin osa tehtäviin käyttämästäni ajasta kului frameworkin ja työkalujen käytön opetteluun. Ensimmäiset ohjelmointitehtävät opettivat joitakin perusasioita, mutta ohjeet eivät riittäneet kovinkaan pitkälle. Ymmärrän toki, että uusien asioiden opiskelu vaatii opettelua myös aiheen ympäriltä, mutta välillä ohjelmointitehtävissä tuli sellainen olo, että opettelemmeko käyttämään Spring-frameworkia ja etsimään sen asetuksia vai opettelemmeko tietoturvaan liittyviä asioita (Springia käytetään tällä hetkellä varmasti aika paljon, mutta paljonko sen asetusten opiskelu edesauttaa jonkin toisen frameworkin tietoturvan suunnittelussa?). Tämä korostui omalla kohdallani varsinkin projektitehtävässä, jossa käytin paljon aikaa etsiessäni keinoja toteuttaa erilaisia tietoturvahaavoittuvuuksia annetuilla työkaluilla. Tämä ei tainnut olla tehtävän alkuperäinen tarkoitus.

Kevätkausi keskittyi enemmän luentoaineistojen läpikäyntiin, niihin liittyien tehtävien tekemiseen ja essee-vastausten kirjoittamiseen. Ohjelmointitehtäviä ei enää juurikaan ollut. Itselleni jäi hyvin hämäräksi tuottamiemme tekstien tarkistaminen, kuka niitä kävi läpi ja antoi niille lopullisen hyväksynnän. Jokaisen viikkotehtävän lopussa oli vaatimus tarkistaa kahden muun oppilaan tuottamat tekstit ja antaa niistä rakentavaa palautetta. Joskus toisten oppilaiden tekstit olivat hyvinkin lyhyitä tai ne keskittyivät epäolennaisiin asioihin tehtävänantoon verrattuna. Näihin oli hankalaa antaa rakentavaa palautetta. Joskus vihjasin tekstin lyhyydestä, mutta muilta osin jätin kommentoimatta, sillä useinmiten jäin miettimään, olinko itse ymmärtänyt tehtävänannon väärin. Täysin hämäräksi jäi myös se, lukiko kukaan antamaani palautetta ja vaikuttiko se mihinkään millään tavalla. Itsekin palasin hyvin harvoin katsomaan vanhoja tehtäviäni ja lukemaan saamaani palautetta, todennäköisesti kovin moni muukaan ei palautettaan seurannut. MOOC-alustassa oli myös bugi, jota hyödyntämällä näki mitä muut ovat tehtävänantoon kirjoittaneet ennenkuin kirjoitti itse mitään järkevää tekstiä. Tällöin oli mahdollista luntata toisten tekstejä omiin vastauksiin. Tekstien lyhyyteen oli ilmeisesti kiinnitetty jossain huomioita, sillä tehtäviin alkoi ilmestyä raja-arvo vastauksen minimipituudelle (aiemmin esim. 1000 sanaa saattoi tarkoittaa 800 - 1200 sanaa).

Kevätkauden projektitehtävä oli ennakkoon yksi mielenkiintoisimmista, mutta se aiheutti koko kurssin suurimman pettymyksen. Kevätkauden tehtävissä ei käsitelty projektissa tarvittavia taitoja juuri ollenkaan. Teoriaa käsiteltiin paljonkin, mutta käytännön tiedot tuli hankkia täysin itsenäisesti. Tehtävää lukiessani tuli olo, jossa minulle annettaisiin käyttööni jokin täysin uusi kone, vaikkapa torninosturi, jonka toiminnasta en tiedä ennakolta mitään. Käteeni annetaan nosturin avaimet ja tavoitteeksi annetaan siirtää kontteja ja tavaroita pitkin rakennustyömaata. Sitten taputellaan selälle ja tehtävä alkaa ilman sen kummempia selityksiä. Ohjeistusta ja opastusta olisi kaivannut huomattavasti annettua enemmän.

Aluksi ongelmia tuotti Metasploitable-virtuaalikoneen pystytys ja alustus. Tässä tuli käyttää apuna Vagrant-ohjelmistoa, jonka oli tarkoitus helpottaa ympäristön asennusta. Asennuksessa tuli kuitenkin vastaan erilaisia ongelmia, joista osan sai selville internetistä ja osan kokeilemalla. Tätä projektia varten avattiin erillinen IRC-kanava keskustelua varten, jossa pystyi kysymään toisilta oppilailta apua omiin ongelmiin ja kysymyksiin. IRC-kanavalla käydystä keskystelusta pystyi päättelemään, että osalla opiskelijoista oli suuria vaikeuksia saada virtuaalikonetta pystyyn. Itse taisin päästä asennusvaiheen yli aika vähällä. Asennukseeni jäi joitain virheitä, mutta kone kuitenkin toimi, joten en perehtynyt virheilmoituksiin sen enempää.
Toinen ongelma tuli vastaan verkkovalvontatyökalun asennuksessa. Tämäkään ei ollut ihan yksinkertaista Windows-maailmaan tottuneelle, eivätkä summittaiset asennusohjeetkaan auttaneet asiassa juurikaan. Snortille piti asennuksen jälkeen valita myös sääntökokoelma, jonka mukaan se osaisi valvoa liikennettä, mutta tältä osin jäi ainakin minulle epäselväksi, mitä kokoelmaa meidän olisi pitänyt käyttää (IRC-kanavalla asiaa pohdittiin opiskelijoiden kesken, mutta selkeää vastausta kysymykseen ei saatu).

Vasta näiden asennusten ja konfigurointien jälkeen pääsi suorittamaan itse tehtävää, eli etsimään Metasploitilla haavoittuvuuksia kohdejärjestelmästä. Suurin osa ajastani meni Metasploitin käytön opettelussa ja verkkovalvontatyökalun toiminnan ymmärtämisessä (en tiennyt, milloin valvontatyökalu oikeastaan "näki" hyökkäyksen ja milloin ei, se näytti reagoivan koko ajan kaikkeen mahdolliseen liikenteeseen). Kaiken kaikkiaan tämä projektitehtävä oli äärimmäisen turhauttava, varsinkin kun se ennakolta vaikutti kaikkein mielenkiintoisimmalta pähkinältä.

Kurssin päätteeksi järjestetty CTF-kilpailu oli pääosin mielenkiintoinen tapahtuma. En itse edes yrittänyt päästä ensimmäisten ratkaisijoiden mukaan kilpailemaan "kunniamaininnoista", sillä tiesin olevani tälläisten tehtävien ratkaisemisessa vielä täysin amatööri. Tehtävät olivat pääosin selkeitä mutta haastavia, jokaisessa kohdassa sai vaivata päätään oikein kunnolla. Muutaman tehtävän kohdalla olisi tekstissä voinut hieman tarkentaa, mitä kyseisessä arvoituksessa oli tarkoitus ratkaista ja missä muodossa vastaus pitäisi antaa. Yritin ratkaista erästä asymmetriseen salausmenetelmään liittyvää arvoitusta tavallaan liian "pitkälle" ja käytin turhaa aikaa vastauksen selvittämiseen vaikka olin jo saanutkin sen selville. Oletin, että edellisten tehtävien mukaisesti vastaus piti antaa purettuna selkotekstinä, mutta vastaukseksi riittikin matemaattisen kaavan mukainen salaamattoman tekstin numeraalinen arvo.

Tehtävistä käytiin keskustelua em. IRC-kanavalla ja välillä toiset opiskelijat antoivat toisilleen vihjeitä hankaliksi koettujen tehtävien ratkaisemiseen. CTF-kilpailun ajan käydessä vähiin päätin itsekin kysyä vinkkiä erääseen pulmaan. Kanavalla vastattiin kysymykseeni hyvinkin nopeasti, mutta en saanut toivomaani vastausta. Sain ainoastaan pyynnön olla kysymättä vihjeitä mihinkään tehtävään, että muut saisivat yrittää ratkoa tehtäviä rauhassa. En ollut vielä koko kurssin aikana käyttänyt IRC-kanavan keskustelumahdollisuutta, enkä tämän jälkeen enää palannutkaan kanavalle takaisin.

Lopuksi


Kurssi vaikutti ennakkoon erittäin mielenkiintoiselta ja mukavalta tavalta oppia uusia asioita tietoturvasta. Oletin saavani tietoa erilaisten työkalujen käytöstä ja tietoturvasta yleensä, miten se pitäisi huomioida eri tilanteessa. Ilmaiselta kurssilta ei voi vaatia paljoa, mutta olisin kuitenkin toivonut enemmän. Kaivelemaan jäivät erityisesti Metasploit-työkalun opettelu, johon oletin saavani kurssin järjestäjältä jonkinlaista opastusta. Nyt opettelu jäi täysin omiin käsiin, enkä saanut kovinkaan hyvää kuvaa Metasploitin toiminnasta ja käyttömahdollisuuksista. Ehkäpä sitä ei haluttukaan esitellä tämän enempää, mene ja tiedä. Verkkokurssiin kuuluu tietenkin olennaisena osana itsenäinen opiskelu, mutta on vaikeaa perustella tälläistä toimintatapaa. Itsenäisessä opiskelussa jää aina paljon asioita opettelematta. Opiskelija keskittyy ainoastaan itselleen mielenkiintoisiin asioihin, eikä kokonaisuuden kannalta olennaisia asioita tule edes ajatelleeksi.

Tehtävät jäivät yleisestikin hieman torsoksi. Niissä oli ideaa, mutta toteutus jäi puolitiehen. 1000 sanan essee-vastausten kirjoittamisen ja toisten opiskelijoiden kirjoitusten tarkistamisen jälkeen jäin useinmiten miettimään, mikä oli opettajan rooli koko kurssissa. Opettaja tai opettajat tuottivat  aineistoa ja ohjelmointitehtävät olivat täysin heidän omaa tuotantoaan, mutta opetukselliset seikat jäivät puuttumaan lähes kokonaan. Ehkäpä olisi pitänyt osallistua enemmänkin IRC-keskusteluun, jotta olisi päässyt sisään yhteisöön ja saanut sieltä enemmänkin tukea, mutta loppujen lopuksi siitäkin jäi hieman hapan maku suuhun.

Todennäköisesti vastaava kurssi tullaan toteuttamaan lähiaikoina uudestaankin. Osallistujia taisi olla yli sata, joten kiinnostusta löytyy varmasti seuraavallekin kurssille. Toteutusta kannattaisi kuitenkin vähän miettiä uudelleen, jotta voisi enemmän keskittyä itse aiheen opiskeluun eikä tarvitsisi käyttää niin paljon aikaa oheistoimintojen ymmärtämiseen. Samalla kurssille osallistujien tulisi ymmärtää verkko-opiskelun rajoitteet ja pitää odotukset maltillisena.

22. huhtikuuta 2017

Kirja-arvio: The art of invisibility, Kevin Mitnick


Nähtyäni mainoksen Kevin Mitnickin uudesta kirjasta, päätin ostaa itselleni kopion ja katsoa, minkälaisia neuvoja Mitnick antaa nykypäivän netin käyttäjille (mikäli Mitnick ei ole tuttu henkilö, kannattaa tutustua vaikkapa hänestä tehtyyn Wikipedia-artikkeliin). Yksityisyydestä ja tietoturvasta on vihdoin alettu puhua julkisuudessakin enemmän, joten Mitnickin kirja tuo viimeaikaisten tietovuotojen ja muiden paljastusten avulla lisätietoa siitä, miten tietoturva ja yksityisyys ovat murrettavissa nykypäivän tekniikalla.

Englanninkielisen kirjan virallinen nimi kokonaisuudessaan on The art of invisibility: The world's most famous hacker teaches you how to be safe in the age of big brother and big data. Pitkähkö nimi 309 sivua sisältävälle kirjalle. Suomalaisittain mielenkiintoa herättää myös kirjan esipuhe, jonka on kirjoittanut F-Securen tutkimusjohtaja Mikko Hyppönen. Hyppönen, F-Secure ja F-Securen Tomi Tuominen mainitaan kirjassa vielä esipuheen jälkeenkin tietoturvan asiantuntijoina.

Kirja jätti jälkeensä vähän ristiriitaisen olotilan. Se on selkeästi suunnattu jenkkimarkkinoille, mutta tarkempaa kohderyhmää on hankalampaa tarkentaa. Toisaalta teksti sopii kenelle tahansa tekniikasta ja tietoturvasta tietämättömälle, mutta osittain kirjassa käsitellään hyvinkin tarkasti teknisiä yksityiskohtia, joita on hankalampaa ymmärtää tuntematta aihetta sen tarkemmin.

Toki kirja sisältää yksinkertaisempiakin tietoturvavinkkejä, esimerkiksi avoimen langattoman verkon käytöstä, mutta pääviesti on mielestäni suunnattu (näin eurooppalaisesta näkökulmasta katsottuna) Snowdenin seuraajille tai niille, jotka ovat erittäin huolissaan yksityisyyden menettämisestä. Kirjassa annetaan yksityiskohtaiset ohjeet siitä, miten verkkoon kytkeydytään ja sitä käytetään täysin anonyymisti. Ohjeet alkavat laitteiden ostamisesta (mm. erillinen tietokone, tukiasema ja puhelin) käteisellä ulkopuolisen henkilön avulla, käteisen vaihtamisesta Bitcoineihin ja virtuaalivaluutan lähteen peittämisestä aina Tor-verkon käyttöön VPN-yhteyden läpi. Tällainen lista huomioitavista asioista tuntuu liioittelulta joka sopii hyvin amerikkalaiseen makuun, mutta toisaalta vasta ohjeistuksen lukemisen jälkeen havahtuu, miten paljon aikaa ja vaivaa vaaditaan tänä päivänä oman yksityisyyden totaaliseen suojaamiseen verkossa.

Viimeisten vuosien aikana on tullut julkisuuteen useita erilaisia tietovuotoja ja paljastuksia, joita kirjassa käsitellään osittain hyvinkin yksityiskohtaisesti. Snowdenin tarinasta kerrotaan muun muassa se, miten Snowden ja toimittaja Laura Poitras käyttivät useita sähköpostiosoitteita, PGP-salausta ja Tor-verkkoa hyödykseen keskustellessaan tietovuotoon liittyvistä asioista ennen asian julkistamista. Samalla selviää, miten Snowden otti yhteyttä Poitrakseen ja miten kumpikin osapuoli varmisti, että he todella keskustelivat kuvittelemansa henkilön kanssa.
Lisäksi kirjassa käydään läpi mm. Silk Road -kauppapaikan perustajan ja ylläpitäjän Ross Ulbrichtin tekemiä virheitä, jonka vuoksi sivusto suljettiin ja Ulbricht saatiin kiinni. Tor-verkko itsessään ei pysty turvaamaan yksityisyyttä, mikäli käyttäjä tekee verkossa asioita, joiden avulla hänet voidaan yhdistää johonkin henkilöllisyyteen. Esimerkkinä vaikkapa oman henkilökohtaisen sähköpostin käyttö Tor-verkon läpi.

Loppujen lopuksi kirja on mielenkiintoinen tietoturvasta kiinnostuneille. Mitnick kertoo omia kokemuksiaan hakkeroinnista sekä hakkeroinnin kohteeksi joutumisesta ja antaa ajattelemisen aihetta omienkin tietoturvakäytäntöjen suunnittelussa. Itselleni tuli uutena tietona esimerkiksi kaksivaiheisen tunnistautumisen haasteet ja niiden hyödyntäminen sosiaalisella hakkeroinnilla. Mitnick itse on ääriesimerkki tietoturvakäytännöissään (hän mm. vaihtaa kannettavan tietokoneensa kiintolevyn aina ennen matkalle lähtöään ja jättää sen luotettavalle tutulleen kotimaahansa), mutta ne antavat kuitenkin hyvän pohjan omalle yksityisyyden suojaamisen ja tietoturvan suunnittelulle. Kirjan aliotsikon maininta big datasta jää vähemmälle huomiolle, ehkäpä sen olisi voinut jättää otsikosta kokonaan poiskin.

21. helmikuuta 2017

Tapaus Yle

journalists at play
Otetaan pitkästä aikaa kantaa nykypäivän uutisiin. Viime viikkoina ja kuukausina on keskusteltu paljon Ylen linjauksista, sen toimittajien toimista ja päätoimittajien reagoinneista näihin toimiin.


Homma lähti liikkeelle viime vuoden marraskuussa kun kävi ilmi, että pääministerin läheisillä on kytköksiä Talvivaaran kaivokseen, tai ainakin sielä työskentelevään yritykseen, Katera Steeliin. Epäiltiin, että pääministeri olisi tehnyt päätöksen tukea kaivosta ainakin osittain siitä syystä, että hänen läheisenä saisivat siitä hyötyä. Varsinkin Yle uutisoi asiasta yhden viikonlopun ajan erittäin aktiivisesti, kunnes se seuraavana viikkona lopetti uutisoinnin lähes kokonaan. Erilaisten huhujen ja muiden medioiden uutisten mukaan Ylessä tehtiin linjaus, jolla estettiin käsittelemästä aihetta enempää.

Seuraavaksi nostettiin esiin pääministerin läheisten kytkökset yritykseen, joka julkisti ison yhteistyösopimuksen Intiassa. Julkistaminen sattui samaan aikaan, kun pääministeri itse oli edustusmatkalla Intiassa. Matkan tarkoitus oli luoda uusia kauppasuhteita Intian ja Suomen välille, joten matkalla oli mukana myös yritysten edustajia. Eräs näistä yrityksistä oli se sama firma, jossa pääministerin läheisillä oli yhteyksiä ja joka julkisti isohkon aiesopimuksen Intiassa. Firma oli nimeltään Chemopolis.

Pian tämän jälkeen tuotiin esiin Chemopoliksen taustoja. Näytti siltä, kuin yritys olisi jo pitkään yrittänyt kehittää teknologiaa, jota ei kuitenkaan oltu myyty tai saatu kaupaksi. Aiesopimuksia oli useitakin, mutta mikään niistä ei näyttänyt toteutuneen. Yritys alkoi olla pahasti velkainen, kunnes valtion omistama yhtiö, Fortum, teki sijoituksen Chemopolikseen. Jälleen kerran pääministerin vastuuta asiassa epäiltiin.

The Italian Press

On tärkeää, että meillä on mahdollisimman moniääninen ja vapaa media. Tämä seikka on olennainen osa nykypäivän demokratiaa, jossa päätöksistä ja niiden taustoista saadaan tietoa. Meillä on myös sananvapaus, joka kuuluu toisena tärkeänä osana demokratiaan, jotta jo tehdyistä ja tulevista päätöksistä voidaan keskustella vapaasti.


Mutta


Joskus kuitenkin näyttää siltä, että sananvapauden nojalla yritetään tehdä ehkä vähän liikaakin asioita. Korostan, näyttää siltä, sillä koko tämän aiheen käsittely näissä edellä mainituissa esimerkeissä on pelkästään huhujen ja toispuolisten näkemysten varassa.

En ole myöskään Keskustan kannattaja enkä ole äänestänyt Keskustaa missään edellisissä vaaleissa. En tule todennäköisesti äänestämään tulevissakaan vaaleissa Keskustan ehdokkaita.

Palataan alkuun. Toimittaja siis hoksaa, että pääministerin läheisillä on kytköksiä yritykseen, joka saa keskiarvoa pienemmän sopimuksen (http://yle.fi/uutiset/3-9315671) toisesta yrityksestä, jolle pääministeri lupaa antaa valtion tukea 100 miljoonaa euroa. Tässä yrityksessä, eli Katera Steelissä, pääministerin läheisten omistus on kokonaiset 5,25 prosenttia. Itse asiassa, läheiset eivät omista suoraan 5 prosenttia Katera Steelistä, vaan omistus tulee erillisen holdingyhtiön kautta.

Eli toimittaja epäilee, että pääministeri antaa yritykselle A tukea 100 miljoonaa euroa, jotta yritys B voisi saada A:lta n. 500 000 euron arvoisen sopimuksen, jotta holdingyhtiön kautta omistusta hallinnoivat pääministerin läheiset saisivat rahallista etua. Paljonko etua he voisivat saada? Tätä on vaikea arvioida, mutta yritetään. Arvioidaan, että puolen miljoonan euron urakka on myyty maksimissaan 35 prosentin tuotto-odotuksella. Urakan tarkkaa hintaa ei tiedetä, mutta yleisesti puhutaan 500 000 euron urakasta, joten 35 % vastaa 175 000 euroa. Tästä summasta maksetaan toki monenlaisia veroja, mutta oletetaan, että tuo summa putoaa suoraan viivan alle. Tästä summasta pääministerin läheisille kuuluu 5 % eli 8750 euroa. Tuo summa jaetaan vielä Fortel Invest -yhtiön omistajien kesken, joita ovat ainakin pääministerin aikuiset lapset, tuolloin 3 kpl. Eli jokaiselle lapselle saatiin 2916,67 euroa valtion rahaa (miinus verot).

Mikäli pääministeri teki tietoisesti päätöksen antaa kaivokseen 100 miljoonaa euroa tukea, jotta siitä valuisi n. 3000 euroa (miinus verot) hänen lapsilleen, kuulostaa siltä, että pääministeri yrittää peittää korruption todella hyvin tai että pääministeri ei osaa laskea prosentti- ja miinuslaskuja. En väitä, etteikö pienikin eduntavoittelu olisi väärin, mutta näyttää erittäin epätodennäköiseltä, että joku yrittäisi tällä tavalla kanavoida itselleen tai läheisilleen rahaa. Anna miljoonia jonnekin toisaalle, jotta 0,003 prosenttia jäisi suvun omistukseen.

Seuraavassa tapauksessa Intiassa tehdyn kaupanedistämismatkan jälkeen,  suomalaisyhtiö julkistaa ison aiesopimuksen Intiassa. Jälleen kerran toimittaja löytää yhteyden suomalaisyhtiö Chemopoliksen ja pääministerin välillä. Pääministerin läheiset omistavat osan Chemopoliksesta, jolloin epäiltiin, että pääministeri on taas käyttänyt asemaansa väärin. Paljonko tämä omistus sitten oli? Niin erikoiselta kuin se kuulostaakin, taas kokonaiset 5 prosenttia. Tässäkään tapauksessa omistus ei ole suora, vaan holdingyhtiö Fortel Invest on omistajana Chemopoliksessa.

Herää epäilys, miksi kyseinen yhtiö edes oli mukana edistämismatkalla? Eikö pääministeri huomannut tuttua yhtiötä osallistujalistassa ja miksei hän pudottanut sitä pois, jotta ei aiheuttaisi edellä mainitun kaltaista epäilyä? Kuten tiedetään, Suomi on pieni maa. Pienessä maassa useat toimijat tuntevat toisensa tavalla tai toisella. Tiettyjen aihealueiden edustajat tuntevat kaikki Suomen vastaavat henkilöt. Voisi kuvitella, että menestynyt yrittäjä tuntee useita muitakin yrittäjiä, varsinkin kotiseudultaan. Pitäisikö siis toimia siten, että pääministeri ei saisi edustaa kotipaikkansa yrityksiä lainkaan? Eikö pääministeri saa edustaa sellaisiakaan firmoja, joiden omistajia hän tuntee? Tämä tapaus ei ole ihan yhtä selkeä kuin case Talvivaara, mutta itselleni heräsi tässäkin kohdassa ihmetys, miksi tätä oli edes nostettu julkisuuteen, kytkös oli äärimmäisen pieni.

Viimeisenä listasta löytyy Fortumin tekemä sijoitus edellä mainittuun Chemopolisiin. Yrityksen taustoja tutkittaessa, toimittaja huomasi, että valtionyhtiö Fortum oli tehnyt yritykseen huomattavan sijoituksen ja että Chemopolis olisi ilman tuota sijoitusta ollut erittäin huonossa kunnossa. Jälleen kerran löydettiin yhteys pääministeriin. Pääministeri on vastuussa valtionyhtiöiden ohjauksesta, joten tehtiin oletus, jotta pääministeri olisi tietoisena läheistensä kytköksistä määrännyt tai vaikuttanut jollain tavalla Fortumin Chemopolis-sijoitukseen. Kuten sanottua, pääministerin läheisillä oli kokonainen 5 prosentin omistusosuus Chemopoliksessa holdinyhtiön kautta. Minun on vaikeaa uskoa, että tässäkään tapauksessa pääministeri olisi toiminut jotenkin väärin. Pitäisikö kaikkien valtionyhtiöiden jättää tekemästä sijoituksia pienessä maassa, jossa pääministeri saattaa historiansa vuoksi tuntea useita yritysjohtajia, jotta ei tulisi epäilyksiä pääministerin esteellisyydestä? Toki olisi mahdollista, että valtionyhtiöiden vetovastuu siirrettäisiin toisaalle, mutta on kuitenkin tavallaan luontevaa, että entinen yritysjohtaja käyttää tietotaitoaan myös valtionyhtiöiden toiminnan ohjaamiseen.

On hyvä asia, että toimittajat tutkivat ja selvittävät mahdollisia kytkentöjä johtavissa asemissa olevien henkilöiden ja heidän toimiensa väliltä. Joskus pitäisi kuitenkin pitää jäitä hatussa. Olivatko nämä tapaukset sellaisia, joita pitäisi pitää median pääuutisena päiväkausia? Olivatko epäilyt ja mahdolliset hyödyt todella niin vakavia, että niitä kannatti nostaa keskusteluun päivä toisensa jälkeen? Toimittajat vetosivat sananvapauteen, heillä oli oikeus kertoa näkemistään vääryyksistä. Kyllä, mutta olisiko tapaukset pitänyt kuitenkin suhteuttaa tapahtuneeseen vahinkoon? Omasta mielestäni nämä tapaukset nostettiin kohtuuttomiin mittoihin. Toimittajien pitäisi muistaa, että sananvapauteen kuuluu vastuu. Päätoimittajalla on oikeus ja jopa vastuu siitä, että hänen edustamansa väline tuottaa sellaista aineistoa, joka kestää kriittisen keskustelun puoleen ja toiseen. Päätoimittajalla oli mielestäni oikeus rajata aiheen käsittelyä. Ehkä hänkin vihdoin ymmärsi, miten isoista tai pienistä asioista kohuissa oli kyse. Toimittajat eivät halunneet antaa periksi mahdollisen skuuppinsa edessä. He eivät välttämättä nähneet metsää puilta, miten pienistä asioista löydöksissä oli loppujen lopuksi kyse.

Toivon jatkossakin näkeväni ja lukevani tutkivan journalismin tuottamaa aineistoa. Ongelmien ei aina tarvitse olla isoja epäkohtia. On kuitenkin väärin yrittää tehdä kärpäsestä härkästä. Kannattaa kuunnella myös ulkopuolisia, jotka ehkä osaavat paremmin nähdä asioiden oikeat mittasuhteet.