Sivusimme aiemmassa turva-alan osaajaa esittelevässä blogissamme WhatsApp tietoturva -aihetta. Nyt myös Yle on tärkeästä aiheesta kirjoittanut. Kasasimme asiantuntijoistamme tiimin ja kävimme tarkemmin läpi WhatsApp pikaviestimen ja muidenkin vastaavien ohjelmistojen ongelmia.
WhatsApp on tietoturvariski, se johtuu monesta eri osatekijästä. Yksi syy on se, että WhatsApp pitää tiedot tallessa jossain. Tuo epämääräisyys voi kuulostaa liioittelulta, mutta valitettavan reaalinen väite kyseessä. WhatsApp ei kerro palvelimiensa sijaintia, meneekö dataa ulos EU alueelta, vai ei.
GDPR tuo paljon lisäturvaa viestintää, mutta yhdysvaltalaiset yhtiöt (kuten Facebook Inc., joka omistaa WhatsApp -palvelun) eivät niitä sääntöjä kovinkaan hyvin noudata. Jonka takia nämä toimijat myös usein uhittelevat lähtevänsä pois markkinoiltamme.
Siinä on yksi iso riskitekijä lisää – käytetään sovellusta, jonka käyttö saattaa olla mahdotonta jatkossa. Joka pakottaa nopeisiin hätäratkaisuihin, joka ruokkii lisää tietoturvaongelmia.
Miksi välittää WhatsApp:n tietoturvariskistä?
Usein kuulemma väitteen, että ei ole mitään syytä pelätä tietoturvariskejä. Harvoin näin käytännössä on, koska yritys, kunta tai muu viranomaistoimija on vastuussa asiakkaidensa tiedon käsittelystä GDPR sääntöjen (ja muidenkin ohjeistuksien) mukaisesti. Joten jos käyttää WhatsApp -palvelua, joka ei täytä kriteereitä, voi olla vastuussa tietovuodon kulujen korvaamisesta.
Toinen yleinen väite on se, että WhatsApp suojaa jo viestit lähettäjän ja vastaanottajan välillä. Tuo on toki totta ja WhatsApp suhteellisen vakuuttavasti myös kertoo suojauksen tasosta. Ongelmia syntyy kuitenkin myös monessa muussa tilanteessa, kuin vain tiedon lähettämisessä tai vastaanottamisessa.
WhatsApp ryhmä voidaan jo sinällään katsoa GDPR:n vastaiseksi rekisteriksi. Tieto ryhmän jäsenistä voi olla kaikkien muiden saatavilla ja heidän jaettavissa kenelle tahansa. Lisäksi erinäiset tietoturva-aukot voivat päästää ulkopuolisen tarkkailemaan näitä tietoja.
WhatsApp julkaisee ansioituneesti tiedot siitä, mitä aukkoja on tilkitty koodipuolella. Tosin, kun listaa lukee, huomaa nopeasti, että ohjelmisto on ollut täynnä tietoturvariskejä ja lisää varmasti on tiedossa.
Miksi siis välittää WhatsApp:n tuottamasta tietoturvariskistä – koska se voi tulla kalliiksi käyttäjälleen. Yritysvakoilu on sujuvampaa sen kautta, kuin monissa muissa kanavissa. Tiedonhallinta, rekisterien ylläpito yms on sujuvampaa monissa muissa palveluissa.
Unohtamatta tietenkään sitä, että WhatsApp ei ole kotimainen, ei edes eurooppalainen, yhtiö. Jolloin on lähtökohtaisesti syytä olla skeptinen palvelun tarjoamaan tietoturvatasoon.
Pelottelua ja keksittyjä riskejä pikaviestipalveluista
WhatsApp kertoo sivustollaan tietoturva-aukoista, jotka on korjattu. Ne eivät ole fiktiivisiä ongelmia. Jokainen voi käydä lukemassa, mitä missäkin päivitysversiossa on saatu kuntoon. Eli tiedämme faktana, että aiemmin WhatsApp ei ollut turvallinen alusta. Miksi se tilanne olisi yllättäen muuttunut?
Suurin osa pikaviestipalveluista on ulkomaalaisten yhtiöiden omistuksessa olevia. Yritysvakoilu tai jopa valtiollisen tason vakoilu on monissa maissa arkea. Yhdysvalloissa NSA valvoo monia eri kanavia ja muilla valtioilla on omansa.
Jos valtiollinen viranomainen pakottaa pikaviestipalveluntarjoajan avaamaan sovelluksensa vakoiluun tai valvontaan – näin todennäköisesti myös tapahtuu.
On siis hyvä olla tietoinen siitä, kenen omistamalla alustalla lähettää viestejä.
Usein myös törmäämme väitteeseen, että pikaviestimissä ei liiku oleellista tietoa. Harvoin mikään tieto on epäoleellista. Hyvinkin arkista tietoa voidaan käyttää moneen eri käyttötarkoitukseen ja etenkin ”social hacking” on helppoa, jos pääsee seuraamaan kohteen pikaviestittelyä.
Riskit ovat aina keksittyjä, kunnes ne realisoituvat. Niillä pelottelu on joillekin hyvä liiketoimi, me emme aktiivisesti siihen osallistu. Haluamme kuitenkin kertoa ongelmista avoimesta ja syitä sille, miksi emme esim. WhatsApp palvelua suostu linkittämään alustaamme.
Kuka omistaa pikaviestipalvelut?
Facebook Inc. (Yhdysvallat)
WhatsApp (entisten Yahoo:n työntekijöiden perustama ja Facebookille myynti 2014)
Messenger (entinen Facebook Messenger)
Instagram
Microsoft (Yhdysvallat)
LinkedIn -keskustelu
Skype (videokeskustelut+chat)
Teams (videokeskustelut+chat)
Rakuten (Japani)
Viber (perustajat Israelista ja Valko-Venäjältä, tapasivat Israelin erikoisjoukkojen palveluksessa)
Zoom Video Communications (Yhdysvallat)
Zoom (monista tietoturvariskeistä tunnettu alusta)
Alphabet / Google (Yhdysvallat)
Google Hangout
Google Meet
Tencent (Kiina)
WeChat (Tunnetusti osa Kiinan valtiollista valvontaa)
QQ (nuorison suosima pikaviestipalvelu Kiinassa)
QZone (linkittyy palveluun QQ)
ByteDance Ltd. (Kiina)
TikTok (esim. Intiassa kielletty ohjelmisto, liittyen alustan tietoturvariskeihin)
Twitter Inc. (Yhdysvallat)
Twitter
Snap Inc. (Yhdysvallat)
SnapChat
Discord Inc. (Yhdysvallat)
Discord (etenkin pelaajien suosima alusta)
Slack Technologies (Yhdysvallat)
Slack (useiden start up -yhtiöiden suosima alusta)
Lisäksi isolista erinäisiä alustoja, kuten Telegram, Chanty, Flock, RocketChat jne – joista yksikään ei lähtökohtaisesti noudata GDPR:n periaatteita. Joissain palveluissa on mahdollista, että EU:n sisällä data pysyy käyttäjien välisessä viestinnässä, mutta siitäkin huolimatta on olemassa erinäiset riskit, jotka liittyvät ohjelmiston omistajan/ylläpitäjän taustaan EU alueen ulkopuolella.
Jos haluat keskustella kotimaisesta ratkaisusta erinäisiin viestinnän tarpeisiin, ota yhteyttä suuntaamme.