Seuraavassa on lyhennelmä lausunnostani koskien Suomen sitoutumista Wassenaar-järjestelyn mukaiseen tietoturvaohjelmistojen vientivalvontaan. Halutessasi voit lukea myös pidemmän version.

Following is a brief summary of my public statement concerning the commitment of the Government of Finland to the export control of data security software according to Wassenaar arrangement. (In Finnish only, sorry)



Wassenaar-järjestely vaarantaa tietoturvan kehityksen

Kaimani ja kollegani Timo Rinne kirjoitti Helsingin Sanomain
mielipidesivulla 21.12.1998 otsikolla "liberaalia salauspolitiikkaa".

Kirjoituksen sisältö koskien Wassenaar-järjestelyn vaikutuksia
suomalaiseen tietokoneohjelmistojen vientiteollisuuteen oli varsin
oikeaan osunut.  Mikäli järjestelyn vaatimukset siirrettäisiin
tiukasti tulkittuna lainsäädäntöön, olisivat vaikutukset tiettyjen
suomalaisten yritysten osalta musertavia.

Väite siitä, että Suomen osallistuminen Wassenaar-järjestelyyn olisi
peruuttamaton, ei pidä paikkaansa.  Eduskunta voi joko ratifioida tai
jättää ratifioimatta järjestelyyn liittyvät säädökset.  On myös
epätodennäköistä, että Suomen päätökseen vaikuttavat seikat todella
olisi perusteltua salata kansallisen turvallisuuden takia.
Todennäköisesti asiassa on käytetty lähinnä kaupallista painostusta.

Se, että Wassenaar-järjestelyn alaisia tuotteita saa edelleen vapaasti
käyttää ja levittää maan rajojen sisäpuolella ei tarkoita sitä,
etteikö järjestelyllä kajottaisi kansalaisten yksityisyyteen.
Ulkomaille matkustava Suomen kansalainen ei saisi viedä mukanaan
salaustuotetta ollakseen turvallisesti yhteydessä kotimaahan.

Lisäksi korkealuokkaisen tietoturvaohjelmiston tekeminen on vaikeaa ja
hyvin kallista.  Pienissä maissa ollaan helposti tilanteessa, jossa
korkealuokkaista tietoturvatekniikkaa ei kannata tuottaa markkinoiden
pienuuden takia.  Tämä johtaa pian tilanteeseen, että uusia
tietoturvatuotteita ei ole saatavilla, jolloin on yhdentekevää saako
niitä käyttää ja levittää maan sisällä.

Tätä kautta heikennetään, paitsi kansalaisten yksityisyyttä, myös
yritysten tietoturvaa.  Väite siitä että vahvat salausmenetelmät
olisivat vain harvojen suomalaisorganisaatioiden käytössä on väärä.
Esim. PGP- ja SSH-ohjelmistot ovat käytössä useassa monessa
suomalaisessa yrityksessä.  Vapaa salausohjelmien hyödynnettävyys on
Wassenaar-järjestelyn perusteella vaarassa, jolloin mahdollisuudet
tietoturvaan merkittävästi rajoittuvat.

Mielipiteestä, että myös Wassenaar-järjestelyn sallimilla
ns. heikennetyillä salaustuotteilla olisi paikkansa, olen jyrkästi eri
mieltä.  Suomalaiset pankit käyttävät Internet-palveluissaan
40-bittisiin avaimiin perustuvaa salausta.  Kyseisen salauksen voi
murtaa muutamassa päivässä tavallisella kotitietokoneella ja noin
miljoona markkaa maksavalla laitteella muutamassa sekunnissa.

Ajatus vähemmän kriittisten kohteiden tietoturvallisuuden
suojaamisesta muilla kuin Wassenaar-järjestelyn tarkoittamilla
salausjärjestelmillä on outo.  Julkisessa tietoverkossa tapahtuvaa
tietoliikennettä ei voi järkevästi suojata muilla menetelmillä ja
rajanveto kriittisten ja ei-kriittisten tietojärjestelmien välillä on
jotakuinkin mahdotonta.

Wassenaar-järjestelyn taustalla on periaatteessa tarve estää
ns. kaksikäyttötuotteiden leviäminen rikollisjärjestöjen ja
vihamielisten valtioiden käyttöön.  Nykyisessä globaalien
tietoverkkojen maailmassa tuskin minkään muun hyödykkeen salakuljetus
on niin helppoa kuin tietokoneohjelman.  Salaustuotteiden joutumista
"vääriin käsiin" voidaan hillitä vain tekemällä salausohjelmien
tuottaminen taloudellisesti kannattamattomaksi.  Tällöin kyseiset
ohjelmistot eivät ole kenenkään muunkaan käytettävissä, mikä ei tunnu
huolettavan kaimaani eikä hänen edustamaansa Tietoturva ry:tä.


Helsingissä, 22.12.1998

Timo J. Rinne <tri@iki.fi>
puheenjohtaja, OtaData ry
tekninen johtaja, SSH Communications Security Oy