Jättiläinen Google nauttii skaalaeduista ja tarjoaa toimivia sekä edullisia tuotteita, mutta merkittävällä tietoturva-aukolla. Löytyykö avoimen lähdekoodin puolelta varteenotettavia vaihtoehtoja?
Google on historiallisesti hoitanut tietoturva-asiansa ja yleensäkin ohjelmistojensa laadunvalvonnan varsin hyvin, esimerkiksi Microsoftiin ja Facebookiin verrattuna jopa todella hyvin. Googlen palvelimella olevaan sähköpostilaatikkoon murtautuminen on huomattavasti vaikeampaa kuin pääsy keskimääräisen yrityksen IT-osaston ylläpitämälle sähköpostipalvelimelle. Huippuosaajien rakentamat turvalliset tietojärjestelmät, tehokas valvonta, nopea poikkeamiin reagoiminen ja tietoturvaan kannustava kulttuuri tuo käyttäjille hyvän suojan sekä satunnaisia murtoyrityksiä että suunnattuja hyökkäyksiä vastaan.
Googlella on kuitenkin yksi tietoturva-aukko, jota se ei voi korjata: hallintoalue USA.
Amerikkalaisena yhtiönä Googlen on noudatettava USA:ssa voimassa olevaa FISA-lakia, joka sallii USA:n hallinnon vakoilla mitä tahansa ulkomaalaista aluetta, henkilöä tai yhteisöä hankkiakseen mitä tahansa tietoa. Melkein ainoa rajoite on USA:n perustuslain 4. lisäyksen yksityisyysmääräykset, jotka kuitenkin suojaavat vain USA:n kansalaisia.FISA-lain toimeenpano on erittäin hyvin rahoitettu, ja viimeisen kymmenen vuoden aikana tiedusteluorganisaatioille on annettu entistä enemmän valtuuksia. USA:n sisällä julkista keskustelua käydäänkin totalitaarisen valtion tunnusmerkit täyttävän vakoilukoneiston noususta. USA:n ulkopuolella ihmisiä huolestuttaa se, että nämä lait eivät anna ulkomaalaisille minkäänlaista oikeussuojaa. Yhdysvaltojen YK:n ihmisoikeusjulistuksen vastaisista käytännöistä on noussut keskustelua erityisesti Edward Snowdenin paljastusten jälkeen.
Pitäisikö vakoilusta huolestua?
USA ei suinkaan ole ainoa vakoilua harrastava valtio. Kaikki, joilla on riittävästi resursseja, tekevät sitä.
Jopa Ruotsissa on vuonna 2008 FRA-lailla annettu tiedusteluorganisaatioille oikeus salakuunnella mitä tahansa Ruotsin rajat ylittävää tietoliikennettä. Googlen käyttäjiä se ei kuitenkaan haittaa, koska Ruotsi ei tiettävästi pääse Googlen järjestelmien sisään. Googlen käyttäjät ovat hyvässä suojassa kaikilta muilta paitsi USA:n tiedusteluelimiltä.
Olennainen kysymys kuuluukin seuraavasti: onko käyttäjälle haittaa, että mitkä tahansa tiedot mistä tahansa amerikkalaisyrityksen hallinnassa olevasta tietokoneesta saattavat päätyä USA:n hallinnon ja sen kumppaneiden käsiin?
Vastaus on ilman muuta kyllä, jos käyttäjänä on EU:n virkamies, joka esimerkiksi valmistelee USA-EU-kauppasopimusta. Tai jos käyttäjä on ranskalaisen Rafalen työntekijä, joka valmistelee neljän miljardin tarjousta hävittäjälentokoneista Brasilialle, kun samassa tarjouskilpailussa on mukana myös amerikkalaisten Hornetit.
Sen sijaan jos käyttäjä on työntekijä pienessä suomalaisessa yrityksessä tai yhdistyksessä, joka ei toimi kansainvälisillä markkinoilla, niin asialla ei varmaankaan ole merkitystä. Voi kuitenkin olla vaikea vetää rajaa, missä vaiheessa jonkin yrityksen tai muun organisaation toiminta on ulkopuolisille kiinnostavaa. Ja päätöstä suojautumisesta helposti lykätään. Toisaalta, jos suojaustoimenpiteet aloitetaan vasta kun ollaan varmoja, että tietoa on syytä suojata vakoilulta, on suojattava tieto todennäköisesti jo ehtinyt vuotaa.
Luottamus hyvä, läpinäkyvyys parempi
Seuraava kysymys on, löytyykö Googlea turvallisempia vaihtoehtoja, joissa toteutuu sama tekninen laatu kuin Googlen tuotteissa?
Ehkä Ranskasta tai Saksasta löytyisi vastaavanlainen palveluntarjoaja? Entä jos Ranskakin haluaa käyttää palvelua urkintavälineenä? Voiko vakoiluongelman ratkaista jotenkin pysyvästi?
Kun puhutaan tietoturvasta, on nostettava esiin avoimen lähdekoodin tärkeys. Jos koodi ei ole avointa, jää ohjelmiston turvallisuus ja toiminta ylipäänsä täysin sen valmistajan saaman luottamuksen varaan. Avoin lähdekoodi ei takaa, että ohjelmisto on turvallinen, mutta ilman sen tuomaa läpinäkyvyyttä ja toimittajariippumattomuutta suurin osa tietoturvaan liittyvistä prosesseista ovat mahdottomia ylläpitää.
Avoimen lähdekoodin etuna on se, että ohjelmistoon on julkisessa prosessissa vaikeampi ujuttaa takaportteja. Samalla suuri määrä silmäpareja auttaa löytämään myös tahattomat tietoturva-aukot. Suljetun koodin tietoturvakulttuuri saattaa olla epäterveellisen peittelevä ja vähättelevä, mihin avoimen koodin käytännöt ovat tehokas ehkäisykeino: julkisen paineen alla tietoturva-aukot myönnetään ja korjataan nopeasti, eikä tietoturvallisesti epäilyttävää koodia uskalleta alunperinkään sujauttaa osaksi avoimen koodin ohjelmistoa.
Käytännössä esimerkiksi kansainvälisessä CVE-haavoittuvuustietokannassa nähdään, että suljettuihin ohjelmistoihin verrattuna avoimen lähdekoodin ohjelmistoissa on vähemmän haavoittuvuuksia ja ne ovat lievempiä.
Avoimet vaihtoehdot
Googlellakin tietoturvan olennaisena osana on merkittävä avoimen lähdekoodin ohjelmistojen hyödyntäminen. Google on myös itse yksi isoimpia avointa lähdekoodia tuottavia yrityksiä. Googlen loppukäyttäjille näkyvät ohjelmistot kuten Gmail, Drive tai Hangouts eivät kuitenkaan ole saatavilla avoimena lähdekoodina – Google ei halua tehdä yhteistyötä mainosalustojensa suhteen –, joten Googlea turvallisempaa vaihtoehtoa etsittäessä on löydettävä näille vastaavat avoimet ohjelmistot.
Itse asiassa avoimia vaihtoehtoja on huomattavan paljon. Kyse ei ole niiden puutteesta, vaan laadusta: voivatko ne tarjota Googlen vertaista palvelua? Alla esittelen yhden ratkaisun kuhunkin tarpeeseen.
Kolab
Kolab on alun perin Saksan tietoturvavirasto BSI:n rahoituksella kehitetty ryhmätyöohjelmisto, joka hoitaa sähköpostin, yhteystiedot ja kalenterin, sekä jakaa näitä tietoja käyttäjien kesken organisaation sisällä. Ohjelmiston kehityksessä tietoturva on luonnollisesti ollut keskeisessä asemassa ja esimerkiksi sähköpostin salaaminen on helppoa, kun taas Gmail ei tarjoa minkäänlaista sähköpostin salausratkaisua.
Kolabissa on panostettu myös paljon yhteensopivuuteen. Avoimien standardien ansiosta sähköpostia, yhteystietoja ja kalentereita voi käyttää melkein millä tahansa laitteella ja ohjelmistolla. Kolabia voi käyttää helposti nettiselaimen kautta.
OwnCloud
OwnCloud on tiedostopalvelin, eli siihen voi tallentaa mitä tahansa tiedostoja Google Driven tapaan. Tiedostoihin pääsee käsiksi mistä tahansa verkon kautta ja niitä voi jakaa muille käyttäjille haluamallaan tavalla. OwnCloud tunnistaa sinne tallennetut musiikkitiedostot ja valokuvat, ja tarjoaa normaalin tiedostoselaimen lisäksi erilliset käyttöliittymät musiikkikirjaston hallintaan ja valokuvien katseluun.
OwnCloudissa on myös ominaisuuksia, joita ei ole Google Drivessä, kuten kaikkien tiedostojen automaattinen versiointi ja varmuuskopiointi. Selainkäytön ohella OwnCloud toimii suoraan useimmilla käyttöjärjestelmillä.
Etherpad Lite ja EtherCalc
Etherpad Lite on Googlen toimesta avoimena lähdekoodina julkaistun Etherpad-ohjelmiston perillinen. Alkuperäinen Etherpad oli aikoinaan osa Google Wave -palvelua, josta sittemmin kehkeytyi Google+. Etherpad Lite tarjoaa selainpohjaisen tekstimuokkaimen, jossa useampi käyttäjä voi muokata samaa tekstiä samaan aikaan. Vastaava ohjelma laskentataulukoiden monikäyttäjämuokkaukseen on EtherCalc.
Työasemissa suositusta LibreOffice-toimisto-ohjelmistosta on ollut tekeillä selainpohjainen LibreOffice Online jo vuodesta 2011. Valmistuessaan se olisi huomattavasti parempi kuin Google Drive, koska LibreOfficessa täyttää kaikki täysimittaisen asiakirjakäsittelyn vaatimukset. Valitettavasti Google Drivelle ei vielä ole kunnollista avointa vaihtoehtoa.
Jitsi
Jitsi on viestintäohjelma tekstiviestejä sekä ääni- ja videopuheluita varten. Viestintä on salattavissa. Jitsi ei toimi yksinään, vaan lisäksi tarvitaan esimerkiksi käyttäjätili itse ylläpidetyllä palvelimella tai ostettuna palveluna.
Omalla pilvellä
Entä sitten pilvipalvelut?
Yksityistä pilveä pidetään julkista pilveä turvallisempana ratkaisuna, koska silloin pilvipalvelun tarjoava palvelin on omassa hallinnassa. Kustannussyistä se ei kuitenkaan sovi kaikille, sillä tietoturvallisuuden ylläpitäminen ja koodaustyö vaatii resursseja, joihin yleensä vain suuryrityksillä tai esimerkiksi puolustusvoimilla on varaa.Toinen vaihtoehto on hankkia Googlea vastaavaa palvelua kotimaiselta yritykseltä. Näin yksityisen pilven kustannus jakautuisi useammalle käyttäjälle ja kaikki samat hyödyt olisivat saatavilla, jos palvelua tuottava yritys tekee sen käyttäen avoimen lähdekoodin ohjelmistoja sekä käyttäen henkilöstöä ja laitteistoja, jotka sijaitsevat Suomen lainkäyttöalueella. Tällaisia yrityksiä voi etsiä esimerkiksi Suomen avointen tietojärjestelmien COSS ry:n kautta.
Kolmas vaihtoehto on valita palveluntarjoaja maasta, jolla tiedetään olevan tiukka yksityisyyden suoja, kuten esimerkiksi Saksan tietyistä osavaltioista tai Sveitsistä. Esimerkiksi OwnCloudia ja Kolabia kehittävät yritykset tarjoavat kyseisiä ohjelmistoja myös palveluna.
Erityisen mielenkiintoinen vaihtoehto on MyKolab, joka vahvasti markkinoi tarjoavansa saman tason suojauksen kuin sveitsiläiset pankit. Koska ohjelmisto on avointa lähdekoodia, voi asiakas helposti koska tahansa myös vaihtaa itse ylläpidettyyn tai muulta palveluntarjoajalta hankittuun Kolabiin, mikä varmasti motivoi MyKolabia tarjoamaan ensiluokkaisen palvelun.
Raha ratkaisee
Googlen tai avoimen lähdekoodin ohjelmistoista ei makseta lisenssimaksua. Näin ollen kustannusvertailu perustuu siihen, paljonko palvelun tuottaminen itse tai hankkiminen toisesta yrityksestä maksaa.
Google jättiläisenä nauttii skaalaeduista ja pystyy tarjoamaan korkean suorituskyvyn ja huippuasiantuntijoiden ylläpitämiä järjestelmiä erittäin edullisesti. Esimerkiksi Google Apps for Business maksaa vain kolme euroa kuukaudessa, kun taas MyKolabin kuukausimaksu on vähintään kahdeksan euroa ja se sisältää vain osan siitä palvelujoukosta, mitä Google tarjoaa.
Vaihtoehtoja Googlelle siis löytyy, mutta niiden järkevyys riippuu siitä, onko käyttäjä valmis maksamaan kalliimmasta ratkaisusta.
Jos organisaatio ei käytä Googlea vaan esimerkiksi Microsoftin tuotteita, voi avoin vaihtoehto olla edullisempi ja vaihto pois Microsoftista kannattavaa. Sen sijaan jos Googlen palvelut ovat jo käytössä, on sen tarjoaman hintaedun kanssa yksinkertaisesti kovin vaikea kilpailla. Vertailussa on tietysti huomioitava käyttökustannuksen lisäksi vakoilun kohteeksi joutumisen kustannus.
Itse en usko, että tulemme näkemään mitään tavallisten käyttäjien joukkopakoa Googlesta. Käytännön edut voittavat teoreettiset riskit.
Sen sijaan kansainväliset teknologiayhtiöt ja kasvuyhtiöt, joilla on amerikkalaisia kilpailijoita sekä kykyä hyödyntää avoimen lähdekoodin ratkaisuja, todennäköisesti tulevat niin tekemään. Myös poliittiset puolueet, yhteiskunnallisesti toimivat ryhmät ja tutkivat journalistit tulevat panostamaan tietojensa suojaamiseen. Omien tietojen suojaaminen ei sitä ehkä vaadi, mutta ainakin tietolähteiden ja liittolaisten tietojen turvaaminen vaatii.
Jos ei osaa pitää salaisuuksia, ei voi voittaa muiden luottamusta.