Following is a brief summary of my public statement concerning the commitment of the Government of Finland to the export control of data security software according to Wassenaar arrangement. (In Finnish only, sorry)
Wassenaar-järjestely vaarantaa tietoturvan kehityksen Kaimani ja kollegani Timo Rinne kirjoitti Helsingin Sanomain mielipidesivulla 21.12.1998 otsikolla "liberaalia salauspolitiikkaa". Kirjoituksen sisältö koskien Wassenaar-järjestelyn vaikutuksia suomalaiseen tietokoneohjelmistojen vientiteollisuuteen oli varsin oikeaan osunut. Mikäli järjestelyn vaatimukset siirrettäisiin tiukasti tulkittuna lainsäädäntöön, olisivat vaikutukset tiettyjen suomalaisten yritysten osalta musertavia. Väite siitä, että Suomen osallistuminen Wassenaar-järjestelyyn olisi peruuttamaton, ei pidä paikkaansa. Eduskunta voi joko ratifioida tai jättää ratifioimatta järjestelyyn liittyvät säädökset. On myös epätodennäköistä, että Suomen päätökseen vaikuttavat seikat todella olisi perusteltua salata kansallisen turvallisuuden takia. Todennäköisesti asiassa on käytetty lähinnä kaupallista painostusta. Se, että Wassenaar-järjestelyn alaisia tuotteita saa edelleen vapaasti käyttää ja levittää maan rajojen sisäpuolella ei tarkoita sitä, etteikö järjestelyllä kajottaisi kansalaisten yksityisyyteen. Ulkomaille matkustava Suomen kansalainen ei saisi viedä mukanaan salaustuotetta ollakseen turvallisesti yhteydessä kotimaahan. Lisäksi korkealuokkaisen tietoturvaohjelmiston tekeminen on vaikeaa ja hyvin kallista. Pienissä maissa ollaan helposti tilanteessa, jossa korkealuokkaista tietoturvatekniikkaa ei kannata tuottaa markkinoiden pienuuden takia. Tämä johtaa pian tilanteeseen, että uusia tietoturvatuotteita ei ole saatavilla, jolloin on yhdentekevää saako niitä käyttää ja levittää maan sisällä. Tätä kautta heikennetään, paitsi kansalaisten yksityisyyttä, myös yritysten tietoturvaa. Väite siitä että vahvat salausmenetelmät olisivat vain harvojen suomalaisorganisaatioiden käytössä on väärä. Esim. PGP- ja SSH-ohjelmistot ovat käytössä useassa monessa suomalaisessa yrityksessä. Vapaa salausohjelmien hyödynnettävyys on Wassenaar-järjestelyn perusteella vaarassa, jolloin mahdollisuudet tietoturvaan merkittävästi rajoittuvat. Mielipiteestä, että myös Wassenaar-järjestelyn sallimilla ns. heikennetyillä salaustuotteilla olisi paikkansa, olen jyrkästi eri mieltä. Suomalaiset pankit käyttävät Internet-palveluissaan 40-bittisiin avaimiin perustuvaa salausta. Kyseisen salauksen voi murtaa muutamassa päivässä tavallisella kotitietokoneella ja noin miljoona markkaa maksavalla laitteella muutamassa sekunnissa. Ajatus vähemmän kriittisten kohteiden tietoturvallisuuden suojaamisesta muilla kuin Wassenaar-järjestelyn tarkoittamilla salausjärjestelmillä on outo. Julkisessa tietoverkossa tapahtuvaa tietoliikennettä ei voi järkevästi suojata muilla menetelmillä ja rajanveto kriittisten ja ei-kriittisten tietojärjestelmien välillä on jotakuinkin mahdotonta. Wassenaar-järjestelyn taustalla on periaatteessa tarve estää ns. kaksikäyttötuotteiden leviäminen rikollisjärjestöjen ja vihamielisten valtioiden käyttöön. Nykyisessä globaalien tietoverkkojen maailmassa tuskin minkään muun hyödykkeen salakuljetus on niin helppoa kuin tietokoneohjelman. Salaustuotteiden joutumista "vääriin käsiin" voidaan hillitä vain tekemällä salausohjelmien tuottaminen taloudellisesti kannattamattomaksi. Tällöin kyseiset ohjelmistot eivät ole kenenkään muunkaan käytettävissä, mikä ei tunnu huolettavan kaimaani eikä hänen edustamaansa Tietoturva ry:tä. Helsingissä, 22.12.1998 Timo J. Rinne <tri@iki.fi> puheenjohtaja, OtaData ry tekninen johtaja, SSH Communications Security Oy