Vakoilua 365 päivää vuodessa?

    Tampereen yliopisto on ilmoittanut siirtyvänsä ensi helmikuussa Office 365 -palvelun käyttöön. Tämän sähköposti- ja pilvipalvelun tiedetään lisäävän riskiä siihen, että palvelussa olevia tiedostoja ja viestejä luovutetaan käyttäjän tietämättä viranomaiskäyttöön. Suora lainaus yliopiston omasta Office 365 -infosta:

    Palvelulla käsiteltävä data ei sijaitse yliopiston omassa konesalissa vaan Microsoftin palvelukeskuksissa, joiden Microsoft ilmoittaa sijaitsevan Euroopassa.

    Microsoftilla on velvollisuus antaa viestinnästä tietoja Yhdysvaltain viranomaisille oikeuden päätöksellä, mikä on osa viranomaisten tiedonhankinnan keinovalikoimaa, joka on varsin moninainen.

    Palvelun kaikkien osien kohdalla on syytä pitää mielessä, että mitään salaista tai muuten erityisen sensitiivistä aineistoa ei saa käsitellä palvelussa tai palvelun välityksellä.

    Muutoksen kriittiset kohdat koskettavat erityisesti tiedostojen säilyttämistä pilvipalvelussa. Vaikka tutkimustulokset ovatkin julkisia, voi tutkimusmateriaali itsessään olla arkaluontoista esimerkiksi haastateltavan iän ja taustan tai tutkimusaiheen poliittisen luonteen vuoksi. Uuden pilvipalvelun käyttöehdot hyväksymällä tutkija asettaakin työnsä alttiiksi paitsi toisistaan poikkeaville lainsäädännöille myös mahdollisille poikkeustilasäädöksille, jotka antavat kyseenalaisin ja kevyin, jopa epädemokraattisin perustein pääsyn pilvipalvelimissa oleviin tietoihin. Näin myös suomalainen tutkija tulee osaksi geopoliittisia valtakamppailuja.

    Tilannetta voi lähestyä myös tutkimuseettisesti: miten tutkija kykenee säilyttämään haastateltavien ja muiden tutkimukseen osallistuvien anonymiteetin? Millaisista asioista tutkija voi olla vastuussa, mikäli arkaluontoisen tiedon säilyttäminen ei ole enää sen paremmin tutkijan kuin yliopistonkaan hallinnassa? Vaikka sähköpostin kautta ei aineistoa kulkisikaan, siirtyminen pilvipalveluun tarkoittaa, että tutkimukseen osallistuviin tahoihin on entistä vaikeampaa olla yhteydessä sähköpostitse heidän anonymiteettiään vaarantamatta. Tältä osin muutos vaikeuttaa tutkimuksen tekemistä merkittävästi. Koska uusi pilvitallennuspalvelu ei auta suojaamaan haastateltavien, informanttien tai muiden tutkimukseen osallistuvien henkilöllisyyttä tutkimuseettisten periaatteiden vaatimalla tavalla, on tutkijan mietittävä vaihtoehtoisia tallennus- ja varmuuskopiointijärjestelmiä kuten ulkoisen kovalevyn käyttöä. Henkilökohtaisen rinnakkaisjärjestelmän luominen vaatii kuitenkin lisäresursseja yliopistolta ja on kömpelö ja epävarma. Nyt tehdyllä ratkaisulla siirrytäänkin tallennus- ja arkistointimenetelmien osalta 10 vuotta taaksepäin, kun tutkimusmateriaalien saatavuus muuttuu uudelleen riippuvaiseksi tutkijoiden työkoneista ja ulkoisista kovalevyistä. Tämä vaikeuttaa tutkijoiden arkea monin tavoin, varsinkin etätyön tekemistä, vaikka pilvipalveluiden käyttöönottoa on perusteltu päinvastaisin argumentein. Myös tutkimusprojekteihin liittyvää sisäistä viestintää täytyy siirtää sähköpostista pois – mikä ei ole tätä päivää.

    Yliopistosähköpostien kautta kulkee myös paljon muuta luottamuksellista materiaalia kuin suoraan tutkimukseen liittyvää. Yliopistoissa organisoidaan ja koordinoidaan tieteellisten lehtien vertaisarvio- ja julkaisuprosesseja, joissa keskeisiä pääsääntöjä ovat luottamuksellisuus ja anonymiteetin suojaaminen. Pilvipalvelussa näitä ei voida taata. Kyse ei olekaan pelkästään taloudellisiin intresseihin, esimerkiksi liikesalaisuuksien vuotoon perustuvasta pelosta, kuten pilvipalveluiden käytön osalta usein tuodaan esiin; kysymys on myös tutkimuseettinen ja kietoutuu monin tavoin osaksi tutkijan arkea ja sen sujuvuutta.

    Toivomme, että uuteen järjestelmään siirtymisestä vastaavat tahot kertovat, miten esille nostamiimme huolenaiheisiin on jo ennakolta varauduttu.

    Nina V. Nygren
    post-doc apurahatutkija

    Mikko Joronen
    Tutkijatohtori, Suomen Akatemian huippututkimusyksikkö RELATE

    Tiina Vaittinen
    apurahatutkija, Tampereen rauhan- ja konfliktintutkimuskeskus TAPRI
    Managing Editor, Nordic Journal of Migration Research

    Pia Bäcklund
    Tutkijatohtori, Suomen Akatemian huippututkimusyksikkö RELATE

    Anna-Kaisa Kuusisto-Arponen
    Akatemiatutkija

    Nina Tynkkynen
    Yliopistotutkija

    Anni Jäntti
    Yliopisto-opettaja

     

    Tietohallinnon vastaus:

    Henkilökunnan it-palvelut säilyvät turvallisina

    On tärkeää oikaista syntyneet väärinkäsitykset. Yliopiston henkilökunnan it-palveluista ei jää pois mitään olemassa olevaa sen vuoksi, että kaikille tulee käyttöön Office 365 -palvelu. Tämä tarkoittaa vain sitä, että kun jokaiselle tehdään O365-tili, niin koko yliopistoyhteisö voi käyttää jaettuja kalentereita. Yliopiston työntekijä voi edelleen niin halutessaan käyttää entistä sähköpostia ja tallentaa tiedostonsa oman levyjärjestelmän varmennettuun kansioon. Itse asiassa tätä tallennuspalvelua ollaan kehittämässä joustavammaksi samalla kun tarjolle tulee pilvipalvelun sujuvat mahdollisuudet tiedostojen yhteiskäyttöön.

    Itse kukin tutkija, opettaja tai muu työntekijä saa päättää, kumpaa sähköpostipalvelua (O365 tai uta.fi) käyttää ja laittaako pilvipalvelun OneDrive for Business -tallennustilaan tiedostojaan. Tietohallinto muistuttaa kuitenkin: Luottamuksellisia tietoja ei pidä lähettää salaamattomana millään sähköpostilla tai salassa pidettäviä tietoja ei pidä tallentaa pilvipalveluun. Tästä löytyy ohjeet intrasta. Tietohallinto taas ei voi arvioida tutkijoiden puolesta heidän tuotostensa luottamuksellisuutta. Sen tueksi, että tietohallinto kuitenkin uskaltaa suositella yleisesti pilvipalvelun käyttöä, tuon esille seuraavia palvelun tarjoajan toimia turvallisuuden takaamiseksi (lisätietoa löytyy sivulta: http://office.microsoft.com/fi-fi/business/office-365-luottamuskeskus-pilvipalveluiden-tietoturva-FX103030390.aspx):

    – Kaikkien EU-maiden tietosuojaviranomaiset ovat hyväksyneet Microsoftin pilvipalvelusitoumukset.

    – Microsoft luovuttaa tietoja vain oikeuden päätöksellä. Kuten lienette huomanneet, lehdissä on uutisoitu monen kuukauden ajan yhdestä tapauksesta, jossa Microsoft ei ole suostunut luovuttamaan tietoja yhden tuomarin päätöksen perusteella, vaikka kysymyksessä on rikosepäily.

    – Euroopassa tarjottavan palvelun data on Euroopassa ja varmasti yhtä hyvän suojauksen takana kuin mitä yliopiston voimavaroin voidaan omaan konesaliin järjestää. Meille on tullut kutsu käydä tarkistamassa tilanne paikan päällä.

    – Tiedot säilyvät yliopiston ja yliopistolaisten omaisuutena ja hallinnassa samalla tavalla kuin omissa palveluissa.

    Palveluja kehitetään edelleen. Nyt jo on käytettävissä uta.fi-postin salaaminen (ohjeet ovat tulossa, mutta yksinkertaisesti riittää, että vastaanottajan osoitteen loppuun laittaa .s, jolloin vastaanottaja saa linkin viestin noutamiseksi). Pilvipalveluun on myös saatavana salaus, jonka käyttöönottoa harkitaan, kun kampussopimus uusitaan. On tärkeää, että kaikki verkkopalvelujen käyttäjät kantavat huolta tietosuojasta. Yliopiston palvelujen järjestämisestä vastuullisena joudun katsomaan kokonaisuutta, jossa täytyy ottaa huomioon nykyaikaiset palvelut, omat voimavarat ja palvelujen tarjoajien luotettavuus. Maailma digitalisoituu, eikä jokainen organisaatio voi rakentaa räätälöityjä peruspalveluja. On parempi hankkia palvelut toimittajilta, jotka näkevät oman toimintansa jatkuvuuden edellytysten olevan turvatuissa palveluissa ja joiden kanssa yliopisto organisaationa voi tehdä sopimuksen.

    Seppo Visala
    tietohallintojohtaja