18. heinäkuuta 2017

Cyber Security Base - F-Securen ja Helsingin yliopiston verkkokurssikokemuksia

F-Secure ja Helsingin yliopisto päättivät viime vuoden (2016) lopussa järjestää yhteistyössä tietoturvaan keskittyvät verkkokurssin, eli MOOCin (http://mooc.fi/courses/2016/cybersecurity/). Kun kuulin kurssista loppukesällä, päätin ilmoittautua mukaan, sillä tietoturvaan liittyvät asiat ovat kiinnostaneet jo pitkään.

Kurssi on jo päättynyt, mutta aineisto on edelleen luettavissa täällä: https://cybersecuritybase.github.io/

Kuvaus kurssista


Kurssi kesti n. seitsemän kuukautta, lokakuun puolivälistä toukokuun alkuun saakka. Alkupuoli (lokakuusta tammikuun alkuun) keskittyi nettipalveluiden tietoturvaan. Toisella puoliskolla käsiteltiin laajemmin verkkojen ja tietojärjestelmien tietoturvaa. Lopuksi järjestettiin Capture-The-Flag -kilpailu, jossa viikon aikana piti selvittää mahdollisimman monta 20:sta annetusta tehtävästä.

Kurssilla annettiin aineistoa ja tehtäviä kerran viikossa. Tehtävien tekoon oli aikaa useampi viikko, mutta pysyäkseen hyvin kurssin aikataulussa, kannatti tehtäviä tehdä viikottain. Aineisto koostui pääsiassa kurssin järjestäjän tuottamasta tekstistä, joskus aineistoa oli myös linkitetty ulkoisiin tutkimuksiin ja muihin julkaisuihin.
Tehtävät koostuivat monivalintakysymyksistä ja lyhyehköistä kirjoitelmista (yleensä minimissään n. 300 sanaa, nämä minimipituudet muistuttivat amerikkalaisesta tavasta mitata tekstien pituuksia). Monipuolisuutta tehtäviin toi myös koodaustehtävät, jotka ladattiin Helsingin yliopiston käyttämältä TestMyCode-alustalta. Ohjelmointikielenä käytettiin Javaa ja ohjelmointiympäristönä Netbeansia, mutta tehtävät sai tehdä myös toisella kielellä ja työkalulla. Koodaustehtävät keskittyivät aluksi Spring-frameworkin ja Thymeleafin esittelyyn, myöhemmin tehtävissä oli tarkoitus korjata em. työkaluilla toteutettuja pieniä nettipalveluita (palveluissa oli bugeja ja tietoturva-aukkoja joita käsiteltiin sen viikon muissa tehtävissä tai luentoaineistossa). Kun koodi oli opiskelijan mielestä valmis, se lähetettiin takaisin TestMyCode-palvelimelle, joka vielä testasi koodin toimivuuden ja hyväksyi tehtävän suoritetuksi.

Vuoden lopussa, ensimmäisen puoliskon päätteeksi, annettiin laajempi projekti jonka suorittamiseen oli aikaa kuukauden verran. Projektissa oli tarkoituksena toteuttaa pieni webbipalvelu, joka sisältäisi vähintään viisi erityyppistä tietoturvaongelmaa. Tämän jälkeen tehtävä jatkui n. 1000 sanan kirjoitelmalla, jossa tuli kuvata webbipalvelun viat, niiden hyödyntämistavat ja ratkaisut ongelmien korjaamiseksi. Lopuksi piti tarkistaa kahden muun oppilaan vastaavat projektit ja todeta heidän toteuttamansa webbipalvelu korjausohjeineen toimivaksi. Tehtävän sai suorittaa millä alustalla ja ohjelmointikielellä tahansa, mutta koska tehtävänannossa opiskelijoille annettu projektipohja ja muu kurssin aineisto oli toteutettu Javalla, oli luontaista toteuttaa projekti samalla kielellä.

Toinen puolikas tai "kevätlukukausi" jatkui hieman erilaisella tavalla. Tehtäviä tehtiin edelleen viikottain ja tehtävät sisälsivät monivalintatehtäviä, mutta koodaus jäi kokonaan pois. Luentoaineistona oli entistä usemmin jokin tutkimus tai muu ulkopuolisen tahon kirjoittama teksti. Tilalle tuli myös entistä useammin tehtävät, joissa naputeltiin 300 - 1000 sanan tekstejä ko. viikolla käsitellystä aiheesta. Samalla tuli tutuksi toisten oppilaiden vastaavien kirjoitelmien tarkistukset ja rakentavan palautteen anto.

Tämänkin "lukukauden" lopuksi annettiin taas tehtäväksi enemmän työta vaativa kokonaisuus. Tehtävänä oli murtautua tietoturvaltaan huonosti kofiguroituun palvelimeen käyttäen Metasploit-työkalua ja kirjoittaa löydetyistä haavoittuvuuksista 1000 sanan havaintoraportti. Haavoittuneita palvelimia ei kuitenkaan löydy noin vain, eikä sellaisia yleensä luoda opiskelijoita varten julkiseen internetiin, joten haavoittunut palvelin piti asentaa omalle koneelle virtuaalikoneeksi. Tähän tarkoitukseen on olemassa (ilmeisesti paljonkin käytetty) virtuaalikone nimeltään Metasploitable. Käytimme tehtävässä sen 3:tta versiota.
Kun Metasploitable-koneen oli saanut toimimaan oikein, siihen piti vielä asentaa verkkovalvontatyökalu nimeltään Snort. Snort valvoisi verkkoliikennettä hyökkäysten varalta ja tehtävänannossa kerrottiin, että Metasploit-työkalulla oli tarkoitus löytää kaksi hyökkäystapaa, joita verkkovalvontaohjelmisto ei havaitse ja kolme sellaista, jotka jäävän valvontaohjelmistoon näkyville.
Kaiken tämän jälkeen pääsi itse asiaan eli Metasploit-työkalun käyttöön ja tarkemmin ottaen sen käytön opiskeluun. Tehtävänannossa annettiin linkki Metaslpoitin viralliseen dokumentaatioon, mutta netistä löytyi tähän tarkoitukseen paljon parempaa aineistoa. Itse löysin Youtubesta useamman videon mittaisen esittelyn sen käytöstä Metasploitable-ympäristössä.
Aikaa tämän projektin tekemiseen oli hieman alle 1,5 kuukautta, itse käytin projektin tekemiseen hieman alle kuukauden verran, käytännössä pystyin keskittymään projektiin ainoastaan viikonloppuisin.

Kurssin päätteeksi järjestettiin Capture The Flag -kisa. Yleensä CTF-kisoissa on tarkoituksena ratkaista annettuja tehtäviä ja koota ratkaisuista vihjeitä seuraavaan tai seuraaviin tehtäviin. Kurssilla järjestetyssä CTF:ssä annettiin 20 tehtävää, jotka jaettiin kolmeen vaikeustasoon. Vaikeustasolta seuraavalle pääsi vasta sitten, kun kaikki edellisen tason tehtävät oli ratkaistu. Tehtäviä pystyi suorittamaan vaikeustason sisällä missä tahansa järjestyksessä, eli ratkaisuja ei tarvittu seuraavien tehtävien vihjeeksi. Jotkut tehtävät olivat kuitenkin teemaltaan hyvin samankaltaisia, joten toisen vastaavan tehtävän ratkaisu antoi tavallaan vihjeen seuraavaan tehtävään.
Helpoimman vaikeustason tehtäviä oli 9, keskitason tehtäviä 8 ja loput kolme olivat vaikeimman tason pähkinöitä.
Tehtävät olivat yllättävän monipuolisia. Ne koostuivat yksinkertaisimmillaan salatun tekstin kääntämisestä selkokieleksi arvaamalla salauksesssa käytetty salausalgoritmi. Muutamissa tehtävissä selvitettiin kuvatiedostoon tai binääritiedostoon sisällytettyä salasanaa, pari tehtävää keskittyi huonosti toteutettuun nettipankkisivustoon ja muutama tehtävä vaati hieman matemaattisia taitoja. Hankalimmat arvoitukset vaativat erillisten analysointi- ja testausohjelmistojen käyttöä. Kilpailu kesti ainoastaan 8 päivää ja jokaisen tehtävän nopein ratkaisija sai nimensä näkyviin tehtävän otsikon viereen, tämä loi tavallaan kilpailua osallistujien välille. Kurssin läpäisemiseksi vaadittiin, että opiskelija löytäisi ratkaisun 80%:iin CTF-kilpailun tehtävistä.

Omat kokemukseni


Lähdin kurssille mukaan ehkä liian korkein odotuksin. Oletin, että kurssi opettaisi minulle tärkeitä perusasioita ja jonkin verran myös tarkempia tietoja hyvän tietoturvan suunnittelussa, sekä ohjelmistokehityksessä että verkkoturvallisuudessa yleensä. Lisäksi halusin tietoa analysointi- ja tietoturvan testausohjelmistojen käytöstä. Kurssin loputtua saavutukset ja oppimieni asioiden määrä jäivät vähän vajaaksi.

Alkuosan (syksyn) tehtävät koostuivat pääasiassa ohjelmointitehtävistä. Nämä olivat mukavia verrattuna 1000 sanan essee-teksteihin, mutta ne eivät olleet täysin ongelmattomia. Tehtävissä käytetyistä frameworkeistä minulla ei ollut yhtään käytännön kokemusta, joten suurin osa tehtäviin käyttämästäni ajasta kului frameworkin ja työkalujen käytön opetteluun. Ensimmäiset ohjelmointitehtävät opettivat joitakin perusasioita, mutta ohjeet eivät riittäneet kovinkaan pitkälle. Ymmärrän toki, että uusien asioiden opiskelu vaatii opettelua myös aiheen ympäriltä, mutta välillä ohjelmointitehtävissä tuli sellainen olo, että opettelemmeko käyttämään Spring-frameworkia ja etsimään sen asetuksia vai opettelemmeko tietoturvaan liittyviä asioita (Springia käytetään tällä hetkellä varmasti aika paljon, mutta paljonko sen asetusten opiskelu edesauttaa jonkin toisen frameworkin tietoturvan suunnittelussa?). Tämä korostui omalla kohdallani varsinkin projektitehtävässä, jossa käytin paljon aikaa etsiessäni keinoja toteuttaa erilaisia tietoturvahaavoittuvuuksia annetuilla työkaluilla. Tämä ei tainnut olla tehtävän alkuperäinen tarkoitus.

Kevätkausi keskittyi enemmän luentoaineistojen läpikäyntiin, niihin liittyien tehtävien tekemiseen ja essee-vastausten kirjoittamiseen. Ohjelmointitehtäviä ei enää juurikaan ollut. Itselleni jäi hyvin hämäräksi tuottamiemme tekstien tarkistaminen, kuka niitä kävi läpi ja antoi niille lopullisen hyväksynnän. Jokaisen viikkotehtävän lopussa oli vaatimus tarkistaa kahden muun oppilaan tuottamat tekstit ja antaa niistä rakentavaa palautetta. Joskus toisten oppilaiden tekstit olivat hyvinkin lyhyitä tai ne keskittyivät epäolennaisiin asioihin tehtävänantoon verrattuna. Näihin oli hankalaa antaa rakentavaa palautetta. Joskus vihjasin tekstin lyhyydestä, mutta muilta osin jätin kommentoimatta, sillä useinmiten jäin miettimään, olinko itse ymmärtänyt tehtävänannon väärin. Täysin hämäräksi jäi myös se, lukiko kukaan antamaani palautetta ja vaikuttiko se mihinkään millään tavalla. Itsekin palasin hyvin harvoin katsomaan vanhoja tehtäviäni ja lukemaan saamaani palautetta, todennäköisesti kovin moni muukaan ei palautettaan seurannut. MOOC-alustassa oli myös bugi, jota hyödyntämällä näki mitä muut ovat tehtävänantoon kirjoittaneet ennenkuin kirjoitti itse mitään järkevää tekstiä. Tällöin oli mahdollista luntata toisten tekstejä omiin vastauksiin. Tekstien lyhyyteen oli ilmeisesti kiinnitetty jossain huomioita, sillä tehtäviin alkoi ilmestyä raja-arvo vastauksen minimipituudelle (aiemmin esim. 1000 sanaa saattoi tarkoittaa 800 - 1200 sanaa).

Kevätkauden projektitehtävä oli ennakkoon yksi mielenkiintoisimmista, mutta se aiheutti koko kurssin suurimman pettymyksen. Kevätkauden tehtävissä ei käsitelty projektissa tarvittavia taitoja juuri ollenkaan. Teoriaa käsiteltiin paljonkin, mutta käytännön tiedot tuli hankkia täysin itsenäisesti. Tehtävää lukiessani tuli olo, jossa minulle annettaisiin käyttööni jokin täysin uusi kone, vaikkapa torninosturi, jonka toiminnasta en tiedä ennakolta mitään. Käteeni annetaan nosturin avaimet ja tavoitteeksi annetaan siirtää kontteja ja tavaroita pitkin rakennustyömaata. Sitten taputellaan selälle ja tehtävä alkaa ilman sen kummempia selityksiä. Ohjeistusta ja opastusta olisi kaivannut huomattavasti annettua enemmän.

Aluksi ongelmia tuotti Metasploitable-virtuaalikoneen pystytys ja alustus. Tässä tuli käyttää apuna Vagrant-ohjelmistoa, jonka oli tarkoitus helpottaa ympäristön asennusta. Asennuksessa tuli kuitenkin vastaan erilaisia ongelmia, joista osan sai selville internetistä ja osan kokeilemalla. Tätä projektia varten avattiin erillinen IRC-kanava keskustelua varten, jossa pystyi kysymään toisilta oppilailta apua omiin ongelmiin ja kysymyksiin. IRC-kanavalla käydystä keskystelusta pystyi päättelemään, että osalla opiskelijoista oli suuria vaikeuksia saada virtuaalikonetta pystyyn. Itse taisin päästä asennusvaiheen yli aika vähällä. Asennukseeni jäi joitain virheitä, mutta kone kuitenkin toimi, joten en perehtynyt virheilmoituksiin sen enempää.
Toinen ongelma tuli vastaan verkkovalvontatyökalun asennuksessa. Tämäkään ei ollut ihan yksinkertaista Windows-maailmaan tottuneelle, eivätkä summittaiset asennusohjeetkaan auttaneet asiassa juurikaan. Snortille piti asennuksen jälkeen valita myös sääntökokoelma, jonka mukaan se osaisi valvoa liikennettä, mutta tältä osin jäi ainakin minulle epäselväksi, mitä kokoelmaa meidän olisi pitänyt käyttää (IRC-kanavalla asiaa pohdittiin opiskelijoiden kesken, mutta selkeää vastausta kysymykseen ei saatu).

Vasta näiden asennusten ja konfigurointien jälkeen pääsi suorittamaan itse tehtävää, eli etsimään Metasploitilla haavoittuvuuksia kohdejärjestelmästä. Suurin osa ajastani meni Metasploitin käytön opettelussa ja verkkovalvontatyökalun toiminnan ymmärtämisessä (en tiennyt, milloin valvontatyökalu oikeastaan "näki" hyökkäyksen ja milloin ei, se näytti reagoivan koko ajan kaikkeen mahdolliseen liikenteeseen). Kaiken kaikkiaan tämä projektitehtävä oli äärimmäisen turhauttava, varsinkin kun se ennakolta vaikutti kaikkein mielenkiintoisimmalta pähkinältä.

Kurssin päätteeksi järjestetty CTF-kilpailu oli pääosin mielenkiintoinen tapahtuma. En itse edes yrittänyt päästä ensimmäisten ratkaisijoiden mukaan kilpailemaan "kunniamaininnoista", sillä tiesin olevani tälläisten tehtävien ratkaisemisessa vielä täysin amatööri. Tehtävät olivat pääosin selkeitä mutta haastavia, jokaisessa kohdassa sai vaivata päätään oikein kunnolla. Muutaman tehtävän kohdalla olisi tekstissä voinut hieman tarkentaa, mitä kyseisessä arvoituksessa oli tarkoitus ratkaista ja missä muodossa vastaus pitäisi antaa. Yritin ratkaista erästä asymmetriseen salausmenetelmään liittyvää arvoitusta tavallaan liian "pitkälle" ja käytin turhaa aikaa vastauksen selvittämiseen vaikka olin jo saanutkin sen selville. Oletin, että edellisten tehtävien mukaisesti vastaus piti antaa purettuna selkotekstinä, mutta vastaukseksi riittikin matemaattisen kaavan mukainen salaamattoman tekstin numeraalinen arvo.

Tehtävistä käytiin keskustelua em. IRC-kanavalla ja välillä toiset opiskelijat antoivat toisilleen vihjeitä hankaliksi koettujen tehtävien ratkaisemiseen. CTF-kilpailun ajan käydessä vähiin päätin itsekin kysyä vinkkiä erääseen pulmaan. Kanavalla vastattiin kysymykseeni hyvinkin nopeasti, mutta en saanut toivomaani vastausta. Sain ainoastaan pyynnön olla kysymättä vihjeitä mihinkään tehtävään, että muut saisivat yrittää ratkoa tehtäviä rauhassa. En ollut vielä koko kurssin aikana käyttänyt IRC-kanavan keskustelumahdollisuutta, enkä tämän jälkeen enää palannutkaan kanavalle takaisin.

Lopuksi


Kurssi vaikutti ennakkoon erittäin mielenkiintoiselta ja mukavalta tavalta oppia uusia asioita tietoturvasta. Oletin saavani tietoa erilaisten työkalujen käytöstä ja tietoturvasta yleensä, miten se pitäisi huomioida eri tilanteessa. Ilmaiselta kurssilta ei voi vaatia paljoa, mutta olisin kuitenkin toivonut enemmän. Kaivelemaan jäivät erityisesti Metasploit-työkalun opettelu, johon oletin saavani kurssin järjestäjältä jonkinlaista opastusta. Nyt opettelu jäi täysin omiin käsiin, enkä saanut kovinkaan hyvää kuvaa Metasploitin toiminnasta ja käyttömahdollisuuksista. Ehkäpä sitä ei haluttukaan esitellä tämän enempää, mene ja tiedä. Verkkokurssiin kuuluu tietenkin olennaisena osana itsenäinen opiskelu, mutta on vaikeaa perustella tälläistä toimintatapaa. Itsenäisessä opiskelussa jää aina paljon asioita opettelematta. Opiskelija keskittyy ainoastaan itselleen mielenkiintoisiin asioihin, eikä kokonaisuuden kannalta olennaisia asioita tule edes ajatelleeksi.

Tehtävät jäivät yleisestikin hieman torsoksi. Niissä oli ideaa, mutta toteutus jäi puolitiehen. 1000 sanan essee-vastausten kirjoittamisen ja toisten opiskelijoiden kirjoitusten tarkistamisen jälkeen jäin useinmiten miettimään, mikä oli opettajan rooli koko kurssissa. Opettaja tai opettajat tuottivat  aineistoa ja ohjelmointitehtävät olivat täysin heidän omaa tuotantoaan, mutta opetukselliset seikat jäivät puuttumaan lähes kokonaan. Ehkäpä olisi pitänyt osallistua enemmänkin IRC-keskusteluun, jotta olisi päässyt sisään yhteisöön ja saanut sieltä enemmänkin tukea, mutta loppujen lopuksi siitäkin jäi hieman hapan maku suuhun.

Todennäköisesti vastaava kurssi tullaan toteuttamaan lähiaikoina uudestaankin. Osallistujia taisi olla yli sata, joten kiinnostusta löytyy varmasti seuraavallekin kurssille. Toteutusta kannattaisi kuitenkin vähän miettiä uudelleen, jotta voisi enemmän keskittyä itse aiheen opiskeluun eikä tarvitsisi käyttää niin paljon aikaa oheistoimintojen ymmärtämiseen. Samalla kurssille osallistujien tulisi ymmärtää verkko-opiskelun rajoitteet ja pitää odotukset maltillisena.

22. huhtikuuta 2017

Kirja-arvio: The art of invisibility, Kevin Mitnick


Nähtyäni mainoksen Kevin Mitnickin uudesta kirjasta, päätin ostaa itselleni kopion ja katsoa, minkälaisia neuvoja Mitnick antaa nykypäivän netin käyttäjille (mikäli Mitnick ei ole tuttu henkilö, kannattaa tutustua vaikkapa hänestä tehtyyn Wikipedia-artikkeliin). Yksityisyydestä ja tietoturvasta on vihdoin alettu puhua julkisuudessakin enemmän, joten Mitnickin kirja tuo viimeaikaisten tietovuotojen ja muiden paljastusten avulla lisätietoa siitä, miten tietoturva ja yksityisyys ovat murrettavissa nykypäivän tekniikalla.

Englanninkielisen kirjan virallinen nimi kokonaisuudessaan on The art of invisibility: The world's most famous hacker teaches you how to be safe in the age of big brother and big data. Pitkähkö nimi 309 sivua sisältävälle kirjalle. Suomalaisittain mielenkiintoa herättää myös kirjan esipuhe, jonka on kirjoittanut F-Securen tutkimusjohtaja Mikko Hyppönen. Hyppönen, F-Secure ja F-Securen Tomi Tuominen mainitaan kirjassa vielä esipuheen jälkeenkin tietoturvan asiantuntijoina.

Kirja jätti jälkeensä vähän ristiriitaisen olotilan. Se on selkeästi suunnattu jenkkimarkkinoille, mutta tarkempaa kohderyhmää on hankalampaa tarkentaa. Toisaalta teksti sopii kenelle tahansa tekniikasta ja tietoturvasta tietämättömälle, mutta osittain kirjassa käsitellään hyvinkin tarkasti teknisiä yksityiskohtia, joita on hankalampaa ymmärtää tuntematta aihetta sen tarkemmin.

Toki kirja sisältää yksinkertaisempiakin tietoturvavinkkejä, esimerkiksi avoimen langattoman verkon käytöstä, mutta pääviesti on mielestäni suunnattu (näin eurooppalaisesta näkökulmasta katsottuna) Snowdenin seuraajille tai niille, jotka ovat erittäin huolissaan yksityisyyden menettämisestä. Kirjassa annetaan yksityiskohtaiset ohjeet siitä, miten verkkoon kytkeydytään ja sitä käytetään täysin anonyymisti. Ohjeet alkavat laitteiden ostamisesta (mm. erillinen tietokone, tukiasema ja puhelin) käteisellä ulkopuolisen henkilön avulla, käteisen vaihtamisesta Bitcoineihin ja virtuaalivaluutan lähteen peittämisestä aina Tor-verkon käyttöön VPN-yhteyden läpi. Tällainen lista huomioitavista asioista tuntuu liioittelulta joka sopii hyvin amerikkalaiseen makuun, mutta toisaalta vasta ohjeistuksen lukemisen jälkeen havahtuu, miten paljon aikaa ja vaivaa vaaditaan tänä päivänä oman yksityisyyden totaaliseen suojaamiseen verkossa.

Viimeisten vuosien aikana on tullut julkisuuteen useita erilaisia tietovuotoja ja paljastuksia, joita kirjassa käsitellään osittain hyvinkin yksityiskohtaisesti. Snowdenin tarinasta kerrotaan muun muassa se, miten Snowden ja toimittaja Laura Poitras käyttivät useita sähköpostiosoitteita, PGP-salausta ja Tor-verkkoa hyödykseen keskustellessaan tietovuotoon liittyvistä asioista ennen asian julkistamista. Samalla selviää, miten Snowden otti yhteyttä Poitrakseen ja miten kumpikin osapuoli varmisti, että he todella keskustelivat kuvittelemansa henkilön kanssa.
Lisäksi kirjassa käydään läpi mm. Silk Road -kauppapaikan perustajan ja ylläpitäjän Ross Ulbrichtin tekemiä virheitä, jonka vuoksi sivusto suljettiin ja Ulbricht saatiin kiinni. Tor-verkko itsessään ei pysty turvaamaan yksityisyyttä, mikäli käyttäjä tekee verkossa asioita, joiden avulla hänet voidaan yhdistää johonkin henkilöllisyyteen. Esimerkkinä vaikkapa oman henkilökohtaisen sähköpostin käyttö Tor-verkon läpi.

Loppujen lopuksi kirja on mielenkiintoinen tietoturvasta kiinnostuneille. Mitnick kertoo omia kokemuksiaan hakkeroinnista sekä hakkeroinnin kohteeksi joutumisesta ja antaa ajattelemisen aihetta omienkin tietoturvakäytäntöjen suunnittelussa. Itselleni tuli uutena tietona esimerkiksi kaksivaiheisen tunnistautumisen haasteet ja niiden hyödyntäminen sosiaalisella hakkeroinnilla. Mitnick itse on ääriesimerkki tietoturvakäytännöissään (hän mm. vaihtaa kannettavan tietokoneensa kiintolevyn aina ennen matkalle lähtöään ja jättää sen luotettavalle tutulleen kotimaahansa), mutta ne antavat kuitenkin hyvän pohjan omalle yksityisyyden suojaamisen ja tietoturvan suunnittelulle. Kirjan aliotsikon maininta big datasta jää vähemmälle huomiolle, ehkäpä sen olisi voinut jättää otsikosta kokonaan poiskin.

21. helmikuuta 2017

Tapaus Yle

journalists at play
Otetaan pitkästä aikaa kantaa nykypäivän uutisiin. Viime viikkoina ja kuukausina on keskusteltu paljon Ylen linjauksista, sen toimittajien toimista ja päätoimittajien reagoinneista näihin toimiin.


Homma lähti liikkeelle viime vuoden marraskuussa kun kävi ilmi, että pääministerin läheisillä on kytköksiä Talvivaaran kaivokseen, tai ainakin sielä työskentelevään yritykseen, Katera Steeliin. Epäiltiin, että pääministeri olisi tehnyt päätöksen tukea kaivosta ainakin osittain siitä syystä, että hänen läheisenä saisivat siitä hyötyä. Varsinkin Yle uutisoi asiasta yhden viikonlopun ajan erittäin aktiivisesti, kunnes se seuraavana viikkona lopetti uutisoinnin lähes kokonaan. Erilaisten huhujen ja muiden medioiden uutisten mukaan Ylessä tehtiin linjaus, jolla estettiin käsittelemästä aihetta enempää.

Seuraavaksi nostettiin esiin pääministerin läheisten kytkökset yritykseen, joka julkisti ison yhteistyösopimuksen Intiassa. Julkistaminen sattui samaan aikaan, kun pääministeri itse oli edustusmatkalla Intiassa. Matkan tarkoitus oli luoda uusia kauppasuhteita Intian ja Suomen välille, joten matkalla oli mukana myös yritysten edustajia. Eräs näistä yrityksistä oli se sama firma, jossa pääministerin läheisillä oli yhteyksiä ja joka julkisti isohkon aiesopimuksen Intiassa. Firma oli nimeltään Chemopolis.

Pian tämän jälkeen tuotiin esiin Chemopoliksen taustoja. Näytti siltä, kuin yritys olisi jo pitkään yrittänyt kehittää teknologiaa, jota ei kuitenkaan oltu myyty tai saatu kaupaksi. Aiesopimuksia oli useitakin, mutta mikään niistä ei näyttänyt toteutuneen. Yritys alkoi olla pahasti velkainen, kunnes valtion omistama yhtiö, Fortum, teki sijoituksen Chemopolikseen. Jälleen kerran pääministerin vastuuta asiassa epäiltiin.

The Italian Press

On tärkeää, että meillä on mahdollisimman moniääninen ja vapaa media. Tämä seikka on olennainen osa nykypäivän demokratiaa, jossa päätöksistä ja niiden taustoista saadaan tietoa. Meillä on myös sananvapaus, joka kuuluu toisena tärkeänä osana demokratiaan, jotta jo tehdyistä ja tulevista päätöksistä voidaan keskustella vapaasti.


Mutta


Joskus kuitenkin näyttää siltä, että sananvapauden nojalla yritetään tehdä ehkä vähän liikaakin asioita. Korostan, näyttää siltä, sillä koko tämän aiheen käsittely näissä edellä mainituissa esimerkeissä on pelkästään huhujen ja toispuolisten näkemysten varassa.

En ole myöskään Keskustan kannattaja enkä ole äänestänyt Keskustaa missään edellisissä vaaleissa. En tule todennäköisesti äänestämään tulevissakaan vaaleissa Keskustan ehdokkaita.

Palataan alkuun. Toimittaja siis hoksaa, että pääministerin läheisillä on kytköksiä yritykseen, joka saa keskiarvoa pienemmän sopimuksen (http://yle.fi/uutiset/3-9315671) toisesta yrityksestä, jolle pääministeri lupaa antaa valtion tukea 100 miljoonaa euroa. Tässä yrityksessä, eli Katera Steelissä, pääministerin läheisten omistus on kokonaiset 5,25 prosenttia. Itse asiassa, läheiset eivät omista suoraan 5 prosenttia Katera Steelistä, vaan omistus tulee erillisen holdingyhtiön kautta.

Eli toimittaja epäilee, että pääministeri antaa yritykselle A tukea 100 miljoonaa euroa, jotta yritys B voisi saada A:lta n. 500 000 euron arvoisen sopimuksen, jotta holdingyhtiön kautta omistusta hallinnoivat pääministerin läheiset saisivat rahallista etua. Paljonko etua he voisivat saada? Tätä on vaikea arvioida, mutta yritetään. Arvioidaan, että puolen miljoonan euron urakka on myyty maksimissaan 35 prosentin tuotto-odotuksella. Urakan tarkkaa hintaa ei tiedetä, mutta yleisesti puhutaan 500 000 euron urakasta, joten 35 % vastaa 175 000 euroa. Tästä summasta maksetaan toki monenlaisia veroja, mutta oletetaan, että tuo summa putoaa suoraan viivan alle. Tästä summasta pääministerin läheisille kuuluu 5 % eli 8750 euroa. Tuo summa jaetaan vielä Fortel Invest -yhtiön omistajien kesken, joita ovat ainakin pääministerin aikuiset lapset, tuolloin 3 kpl. Eli jokaiselle lapselle saatiin 2916,67 euroa valtion rahaa (miinus verot).

Mikäli pääministeri teki tietoisesti päätöksen antaa kaivokseen 100 miljoonaa euroa tukea, jotta siitä valuisi n. 3000 euroa (miinus verot) hänen lapsilleen, kuulostaa siltä, että pääministeri yrittää peittää korruption todella hyvin tai että pääministeri ei osaa laskea prosentti- ja miinuslaskuja. En väitä, etteikö pienikin eduntavoittelu olisi väärin, mutta näyttää erittäin epätodennäköiseltä, että joku yrittäisi tällä tavalla kanavoida itselleen tai läheisilleen rahaa. Anna miljoonia jonnekin toisaalle, jotta 0,003 prosenttia jäisi suvun omistukseen.

Seuraavassa tapauksessa Intiassa tehdyn kaupanedistämismatkan jälkeen,  suomalaisyhtiö julkistaa ison aiesopimuksen Intiassa. Jälleen kerran toimittaja löytää yhteyden suomalaisyhtiö Chemopoliksen ja pääministerin välillä. Pääministerin läheiset omistavat osan Chemopoliksesta, jolloin epäiltiin, että pääministeri on taas käyttänyt asemaansa väärin. Paljonko tämä omistus sitten oli? Niin erikoiselta kuin se kuulostaakin, taas kokonaiset 5 prosenttia. Tässäkään tapauksessa omistus ei ole suora, vaan holdingyhtiö Fortel Invest on omistajana Chemopoliksessa.

Herää epäilys, miksi kyseinen yhtiö edes oli mukana edistämismatkalla? Eikö pääministeri huomannut tuttua yhtiötä osallistujalistassa ja miksei hän pudottanut sitä pois, jotta ei aiheuttaisi edellä mainitun kaltaista epäilyä? Kuten tiedetään, Suomi on pieni maa. Pienessä maassa useat toimijat tuntevat toisensa tavalla tai toisella. Tiettyjen aihealueiden edustajat tuntevat kaikki Suomen vastaavat henkilöt. Voisi kuvitella, että menestynyt yrittäjä tuntee useita muitakin yrittäjiä, varsinkin kotiseudultaan. Pitäisikö siis toimia siten, että pääministeri ei saisi edustaa kotipaikkansa yrityksiä lainkaan? Eikö pääministeri saa edustaa sellaisiakaan firmoja, joiden omistajia hän tuntee? Tämä tapaus ei ole ihan yhtä selkeä kuin case Talvivaara, mutta itselleni heräsi tässäkin kohdassa ihmetys, miksi tätä oli edes nostettu julkisuuteen, kytkös oli äärimmäisen pieni.

Viimeisenä listasta löytyy Fortumin tekemä sijoitus edellä mainittuun Chemopolisiin. Yrityksen taustoja tutkittaessa, toimittaja huomasi, että valtionyhtiö Fortum oli tehnyt yritykseen huomattavan sijoituksen ja että Chemopolis olisi ilman tuota sijoitusta ollut erittäin huonossa kunnossa. Jälleen kerran löydettiin yhteys pääministeriin. Pääministeri on vastuussa valtionyhtiöiden ohjauksesta, joten tehtiin oletus, jotta pääministeri olisi tietoisena läheistensä kytköksistä määrännyt tai vaikuttanut jollain tavalla Fortumin Chemopolis-sijoitukseen. Kuten sanottua, pääministerin läheisillä oli kokonainen 5 prosentin omistusosuus Chemopoliksessa holdinyhtiön kautta. Minun on vaikeaa uskoa, että tässäkään tapauksessa pääministeri olisi toiminut jotenkin väärin. Pitäisikö kaikkien valtionyhtiöiden jättää tekemästä sijoituksia pienessä maassa, jossa pääministeri saattaa historiansa vuoksi tuntea useita yritysjohtajia, jotta ei tulisi epäilyksiä pääministerin esteellisyydestä? Toki olisi mahdollista, että valtionyhtiöiden vetovastuu siirrettäisiin toisaalle, mutta on kuitenkin tavallaan luontevaa, että entinen yritysjohtaja käyttää tietotaitoaan myös valtionyhtiöiden toiminnan ohjaamiseen.

On hyvä asia, että toimittajat tutkivat ja selvittävät mahdollisia kytkentöjä johtavissa asemissa olevien henkilöiden ja heidän toimiensa väliltä. Joskus pitäisi kuitenkin pitää jäitä hatussa. Olivatko nämä tapaukset sellaisia, joita pitäisi pitää median pääuutisena päiväkausia? Olivatko epäilyt ja mahdolliset hyödyt todella niin vakavia, että niitä kannatti nostaa keskusteluun päivä toisensa jälkeen? Toimittajat vetosivat sananvapauteen, heillä oli oikeus kertoa näkemistään vääryyksistä. Kyllä, mutta olisiko tapaukset pitänyt kuitenkin suhteuttaa tapahtuneeseen vahinkoon? Omasta mielestäni nämä tapaukset nostettiin kohtuuttomiin mittoihin. Toimittajien pitäisi muistaa, että sananvapauteen kuuluu vastuu. Päätoimittajalla on oikeus ja jopa vastuu siitä, että hänen edustamansa väline tuottaa sellaista aineistoa, joka kestää kriittisen keskustelun puoleen ja toiseen. Päätoimittajalla oli mielestäni oikeus rajata aiheen käsittelyä. Ehkä hänkin vihdoin ymmärsi, miten isoista tai pienistä asioista kohuissa oli kyse. Toimittajat eivät halunneet antaa periksi mahdollisen skuuppinsa edessä. He eivät välttämättä nähneet metsää puilta, miten pienistä asioista löydöksissä oli loppujen lopuksi kyse.

Toivon jatkossakin näkeväni ja lukevani tutkivan journalismin tuottamaa aineistoa. Ongelmien ei aina tarvitse olla isoja epäkohtia. On kuitenkin väärin yrittää tehdä kärpäsestä härkästä. Kannattaa kuunnella myös ulkopuolisia, jotka ehkä osaavat paremmin nähdä asioiden oikeat mittasuhteet.