Sisältöön

Supon verkkotiedustelu - SecMeter

Ohita valikko
Ohita valikko

Supon verkkotiedustelu

Yritysturvallisuus > Suojelupoliisi
Ohita valikko
Tietoliikennevalvonnan menetelmät, prosessit ja yhteiskunnalliset vaikutukset


Tietoliikenneverkot muodostavat yhteiskunnan hermoston. Lähes kaikki viestintä, kaupankäynti, hallinto, turvallisuuspalvelut ja sosiaalinen vuorovaikutus kulkevat nykyisin digitaalisten verkkojen kautta.

Tietoverkot tarjoavat mahdollisuuksia rikollisuudelle, kyberhyökkäyksille, terrorismille, vakoilulle ja muulle haitalliselle toiminnalle. Tämän johdosta viranomaiset, kuten muun muassa Puolustusvoimat ja supo ovat kehittäneet laajoja menetelmiä tietoliikenteen valvontaan, analysointiin ja tiedusteluun.

Tietoliikennevalvonta tarkoittaa kaikkea toimintaa, jossa viranomainen seuraa, tallentaa, analysoi tai käsittelee sähköistä viestintää turvallisuuden, rikostutkinnan tai tiedustelun tarkoituksessa.

Menetelmät vaihtelevat kohdennetusta rikostutkinnasta massaluonteiseen signaalitiedusteluun. Valvonta voi kohdistua puhelinliikenteeseen, internetiin, mobiiliverkkoihin, satelliittiyhteyksiin, pilvipalveluihin tai yritysverkkoihin.

Teknisesti verkkovalvonta perustuu liikenteen kopiointiin, analysointiin ja mallintamiseen. Käytössä ovat muun muassa verkkotapit, DPI-järjestelmät, metadata-analyysi ja automaattiset uhkantunnistusjärjestelmät. Valvontamenetelmät ulottuvat yksinkertaisesta lokitietojen keruusta erittäin kehittyneisiin signaalitiedustelu- ja tekoälyjärjestelmiin.

Valvonta herättää aina merkittäviä yhteiskunnallisia ja eettisiä kysymyksiä. Demokratioissa pyritään tasapainottamaan turvallisuus ja yksityisyys oikeudellisen valvonnan avulla, mutta teknologian kehitys tekee tästä jatkuvasti haastavampaa.

Tulevaisuudessa tekoäly, pilvipalvelut, IoT ja kvanttilaskenta tulevat muuttamaan sekä valvonnan mahdollisuuksia että tietosuojan haasteita. Siksi tietoliikennevalvonnasta käytävä keskustelu tulee säilymään keskeisenä osana digitaalisen yhteiskunnan kehitystä.
Turvallisuuden ja yksityisyyden tasapaino
Verkkotiedustelu herättää väistämättä keskustelua yksityisyydensuojasta ja kansalaisvapauksista. Suomessa tiedustelutoimintaa pyritään tasapainottamaan vahvalla lainsäädännöllä, oikeudellisella valvonnalla ja parlamentaarisella kontrollilla. Lainsäädännön tarkoituksena on varmistaa, että:

  • tiedustelua käytetään vain vakaviin turvallisuusuhkiin
  • toiminta on oikeasuhtaista
  • kansalaisten oikeuksia ei rajoiteta tarpeettomasti

Tietoliikenne
Tietoliikenne viittaa kaikenlaiseen digitaaliseen tai analogiseen viestintään, joka siirtyy verkkojen kautta. Näitä ovat esimerkiksi:

  • Puhelut
  • Tekstiviestit
  • Sähköpostit
  • Verkkosivuliikenne
  • Videopuhelut
  • Sosiaalisen median viestit
  • Pilvipalveluiden data
  • IoT-laitteiden liikenne
  • Yritysverkkojen sisäinen liikenne

Tietoliikenne voidaan jakaa sisältötietoon ja metatietoon. Sisältötieto sisältää varsinainen viestin sisällön, kuten puhelun äänen tai sähköpostin tekstin. Metatieto sisältää tiedon viestinnästä kuka kommunikoi, kenen kanssa, milloin, kuinka pitkään, mistä sijainnista ja mitä palvelua käytettiin. Monissa tiedustelujärjestelmissä metatieto on erityisen tärkeää, koska sen avulla voidaan rakentaa laajoja verkostoanalyysejä ilman varsinaisen viestin lukemista.

Tietoliikennetiedustelu
Sotilastiedustelulaissa sallitaan rajat ylittävän tietoliikenteen tiedustelu tietyissä tilanteissa. Käytännössä tämä tarkoittaa, että kansainvälistä internetliikennettä voidaan suodattaa teknisillä järjestelmillä ennalta määriteltyjen hakuehtojen perusteella. Teknisesti tällainen järjestelmä muistuttaa suurta verkkoliikenteen analyysialustaa:

  • liikennettä kopioidaan runkoverkoista tai kansainvälisistä yhteyksistä
  • metadataa (IP-osoitteet, yhteyksien ajankohdat, protokollat) analysoidaan

hakuehtoja voidaan kohdistaa esimerkiksi:

  • tiettyihin palvelimiin
  • haittaohjelmien tunnisteisiin
  • vieraan valtion tiedustelutoimintaan liittyviin infrastruktuureihin
  • terrorismiin tai kyberuhkiin liittyviin viestintäkuvioihin

Kohdennettu verkkotiedustelu
Laki mahdollistaa myös tekniset tiedonhankintakeinot yksittäisiin kohteisiin esimerkiksi:

  • tekninen seuranta
  • tekninen kuuntelu
  • ohjelmiston tai laitteen asentaminen kohteeseen
  • televalvonta
  • telekuuntelu tietyin ehdoin

Näillä viitataan käytännössä esimerkiksi:

  • haittaohjelma- tai implanttityyppisiin työkaluihin
  • etävalvontaohjelmistoihin
  • verkkolaitteiden analysointiin
  • päätelaitteiden tunnistamiseen
  • salatun liikenteen ympärillä olevan metadatan tutkimiseen

Laki sotilastiedustelusta kuvaa mahdollisuuden asentaa “laite, menetelmä tai ohjelmisto” tiedustelun toteuttamiseksi.

Julkisesti ei kuitenkaan kerrota:

  • mitä ohjelmistoja käytetään
  • miten haavoittuvuuksia hyödynnetään
  • mitä yhteistyötä tehdään muiden maiden tiedustelupalvelujen kanssa
  • mitä infrastruktuuria käytetään

Nämä ovat salassa pidettäviä kansallisen turvallisuuden syistä.


Puolustusvoimien tiedustelulaitoksen rooli Suojelupoliisin tietoliikennetiedustelussa
Sotilastiedustelulain 72–73 § muodostavat käytännössä suomalaisen tietoliikennetiedustelun teknisen ydinarkkitehtuurin. Ne ovat poikkeuksellisen merkittäviä, koska ne määrittelevät viranomaisten välisen työnjaon, tiedusteluinfrastruktuurin omistajuuden sekä sen, miten verkkoliikenne siirtyy operatiiviseen analyysiin.

Pykälät osoittavat selvästi, että Suomessa:

  • kansallisen tason tietoliikennetiedustelun tekninen infrastruktuuri kuuluu Puolustusvoimien tiedustelulaitokselle,
  • supo käyttää tätä infrastruktuuria toimeksiantoperusteisesti omiin siviilitiedustelutehtäviinsä.

Kyse ei siis ole kahdesta täysin erillisestä verkkotiedustelujärjestelmästä, vaan yhteisestä teknisestä SIGINT-kerroksesta, jonka pääoperaattorina toimii Puolustusvoimien tiedustelulaitos.

Kytkennän suorittaminen ja liikenteen ohjaaminen
Sotilastieduselulain 72 § sisältää teknisesti erittäin merkittävän kohdan:

  • “Kytkennän suorittaja ... ohjaa luvassa tarkoitetun viestintäverkon osan tietoliikenteen Puolustusvoimien tiedustelulaitokselle.”

Tämä tarkoittaa käytännössä sitä, että:

  • viestintäverkosta tehdään liikennekopiointi,
  • kopioitu liikenne siirretään tiedustelujärjestelmään,
  • ja varsinainen tekninen käsittely tapahtuu Puolustusvoimien tiedustelulaitoksen infrastruktuurissa.

Pykälä vahvistaa epäsuorasti, että Suomessa käytetään:

  1. verkkotappeja (network TAP),
  2. SPAN-portteja,
  3. optisia splittereitä,
  4. tai muita lawful interception -tyyppisiä ratkaisuja.

Liikenteen peilaus toteutetaan todennäköisesti:

  • runkoverkoissa,
  • kansainvälisissä yhteyksissä,
  • Internet Exchange -pisteissä,
  • tai muissa strategisissa verkkosolmukohdissa.

Kytkennän suorittaja juridisena abstrahointina
Laki ei käytä termejä:

  • teleoperaattori,
  • verkkoyhtiö,
  • palveluntarjoaja,

vaan neutraalia ilmaisua:

  • kytkennän suorittaja.

Tämä on merkittävä yksityiskohta, koska se viittaa siihen, että järjestelmä on suunniteltu teknologianeutraaliksi ja mahdollistaa useiden eri toimijoiden osallistumisen liikenteen tekniseen peilaukseen.

Kytkennän suorittaja on käytännössä:

  • teleoperaattori, kuten esimerkiksi Elisa, Telia tai DNA,
  • runkoverkkotoimija,
  • Internet Exchange -operaattori,
  • valtion tekninen palvelutoimija,
  • tai muu viestintäverkon hallinnoija.

Teknisesti tämä viittaa keskitettyyn SIGINT-arkkitehtuuriin, jossa liikenne:

  • peilataan verkkotasolla,
  • toimitetaan keskitettyyn analyysijärjestelmään,
  • suodatetaan automatisoidusti,
  • ja vasta pieni osa päätyy jatkokäsittelyyn.

Supon toimeksiantoperusteinen tiedustelu

Sotilastiedustelulain 73 § ratkaisee viranomaisten välisen työnjaon erittäin selkeästi. Pykälässä määritellään tietoliikennetiedustelun tekninen toteuttaminen suojelupoliisin puolesta. Tämä tarkoittaa käytännössä seuraavaa toimintamallia:

  • Supo määrittää tiedustelutarpeen
  • Supo hakee luvan tuomioistuimelta
  • Puolustusvoimien tiedustelulaitos toteuttaa teknisen keruun
  • Kerätty tieto toimitetaan takaisin supolle

Tämä osoittaa, että:

  • raskas tekninen SIGINT-infrastruktuuri on keskitetty Puolustusvoimille,
  • mutta tiedustelun operatiivinen tavoite voi olla siviilitiedustelullinen.

Rakenteellisesti tämä ratkaisu muistuttaa muiden länsimaiden malleja, joissa:

  • yksi viranomainen operoi teknistä verkkotiedustelua,
  • ja toinen käyttää tiedustelutuotteita sisäisen turvallisuuden tehtäviin.

Tilastollinen analyysi ja metadata-tiedustelu
Sotilastiedustelulain  73 §:n ensimmäinen kohta puhuu “teknisten tietojen tilastollisesta analyysistä”. Tämä on teknisesti erittäin merkittävä ilmaus. Se viittaa siihen, että järjestelmä painottaa:

  • metadata-analytiikkaa,
  • liikennemallien tutkimista,
  • yhteysverkostojen analyysiä,
  • poikkeamahavaintoja,
  • sekä automaattista korrelaatiota.

Käytännössä tämä voi tarkoittaa esimerkiksi:

  • IP-osoitteiden välisiä yhteyksiä,
  • liikenteen ajoitusta,
  • protokollien käyttöä,
  • liikennemäärien muutoksia,
  • TLS-yhteyksien metatietoja,
  • yhteysgraafien rakentamista,
  • sekä koneellista riskiluokittelua.

Pykälä viittaa siten siihen, että ensimmäinen analyysikerros on pitkälti automatisoitu ja analyytikon käsiteltäväksi päätyy vain osa liikenteestä.

Sisällön ja teknisen toteutuksen erottaminen
Sotilastiedustelulain 73 §:n viimeinen momentti on juridisesti ja teknisesti erittäin merkittävä “Puolustusvoimien tiedustelulaitos ei saa ... selvittää viestin sisältöä.” Tämä tarkoittaa, että Supon toimeksiannossa PVTL saa toteuttaa teknisen tiedustelun, mutta ei varsinaisesti analysoida viestien sisältöä. Tällä erotetaan tekninen liikenteen käsittely ja varsinainen tiedustelullinen sisältöanalyysi. Käytännössä järjestelmä näyttää rakentuvan siten, että:


  • PVTL toimii teknisenä SIGINT-operaattorina,
  • Supo toimii siviilitiedustelullisena analysoijana.

Tämä toimivaltuuksien erottelu on rakennettu itse arkkitehtuuriin eikä pelkästään hallinnollisiin prosesseihin.

Suomen tiedusteluarkkitehtuurin rakenne

Sotilastiedustelulain 72–73 § perusteella suomalainen tietoliikennetiedustelu näyttää rakentuvan seuraavasti:

  • Verkkokerros
  • kansainväliset yhteydet
  • runkoverkot
  • IX-pisteet
  • operaattoriverkot

Keruukerros

  • TAP/SPAN-peilaus
  • liikennekopiointi
  • lawful interception -rajapinnat

Kansallinen SIGINT-kerros

  • Puolustusvoimien tiedustelulaitos

  1. vastaanottaa liikenteen
  2. suorittaa automaattisen suodatuksen
  3. toteuttaa hakuehdot
  4. analysoi metadataa
  5. tuottaa osumia

Siviilitiedustelukerros

  • Supo

  1. määrittää tiedustelutarpeen
  2. analysoi tiedustelutuloksia
  3. arvioi sisällön merkityksellisyyttä
  4. muodostaa uhka-arviot
  5. käynnistää operatiiviset toimet


Kyberuhkien ja avoimen verkon analyysi
Merkittävä osa verkkotiedustelusta on myös OSINTia (open-source intelligence), eli avointen lähteiden tiedustelua. Siinä analysoidaan esimerkiksi:

  • sosiaalista mediaa
  • keskustelufoorumeita
  • uutisverkostoja
  • bottiverkkoja
  • disinformaatiokampanjoita
  • haittaohjelmien infrastruktuuria

Tähän käytetään:

  • automaattista datankeruuta
  • koneoppimista
  • verkostoanalyysiä
  • kieliteknologiaa
  • uhkatiedustelujärjestelmiä

Verkkotiedustelun tekninen toteutus
Suomessa verkkotiedustelu perustuu vuoden 2019 tiedustelulakeihin. Käytännössä kyse ei ole koko internetin jatkuvasta seuraamisesta, vaan erittäin suurten tietovirtojen automaattisesta analysoinnista. Verkkotiedustelussa kiinnostuksen kohteena ovat erityisesti:

  • liikennemallit
  • yhteysosoitteet
  • haittaohjelmien tunnisteet
  • poikkeava verkkokäyttäytyminen
  • metadata

Tietoliikennettä voidaan lain sallimissa rajoissa peilata analysoitavaksi erityisesti:

  • runkoverkoista
  • kansainvälisistä kuituyhteyksistä
  • internetin yhdysliikennepisteistä
  • suurista datakeskuksista

Automaattiset järjestelmät etsivät poikkeamia, jotka voivat viitata:

  • kybervakoiluun
  • haittaohjelmiin
  • palvelunestohyökkäyksiin
  • kriittiseen infrastruktuuriin kohdistuviin hyökkäyksiin

Toimintaa valvovat:

  • tiedusteluvaltuutettu
  • tuomioistuimet
  • eduskunnan tiedusteluvalvontavaliokunta

Lawful Intercept ja liikenteen peilaus
Verkkotiedustelun tekninen toteutus perustuu usein niin sanottuihin lawful intercept -järjestelmiin ja liikenteen peilaamiseen. Lawful intercept tarkoittaa järjestelmää, jonka avulla teleoperaattori voi lain sallimissa rajoissa kopioida tiettyä verkkoliikennettä viranomaisen analysoitavaksi. Varsinaista verkkoliikennettä ei pysäytetä eikä uudelleenreititetä, vaan siitä tehdään rinnakkainen kopio analyysijärjestelmälle.

Tällaisia järjestelmiä käytetään erityisesti:

  • teleoperaattorien runkoverkoissa
  • kansainvälisissä kuituyhteyksissä
  • datakeskuksissa
  • internetin yhdysliikennepisteissä

Verkkotiedustelun tekniset menetelmät

Pakettikaappaus (Packet Capture)
Pakettikaappaus on yksi keskeisimmistä verkkovalvonnan menetelmistä. Valvontajärjestelmät voivat kopioida näitä paketteja analysointia varten. Internetliikenne koostuu datapaketeista, jotka sisältävät:

  • Lähettäjän osoitteen
  • Vastaanottajan osoitteen
  • Protokollatiedot
  • Varsinaisen datan

Network TAP
Yksi verkkovalvonnan keskeisistä teknologioista on TAP-laite (Network TAP). TAP-laitteet ovat erikoistuneita verkkolaitteita, joiden tehtävä on kopioida tietoliikennettä analysoitavaksi ilman, että itse verkkoliikenne häiriintyy. Kyseessä on passiivinen laite, joka kopioi verkkoliikenteen ilman vaikutusta itse liikenteeseen. TAP-laitteita käytetään:

  • Tietoliikenteen monitorointiin
  • Tiedusteluun
  • Forensiikkaan
  • Kyberturvallisuusanalyysiin

Passiiviset TAP-järjestelmät ovat suosittuja, koska:

  • Niillä ei ole IP-osoitetta
  • Niitä on vaikea havaita
  • Ne eivät häiritse liikennettä
  • Ne tarjoavat täydellisen näkyvyyden liikenteeseen

TAP-laite sijoitetaan esimerkiksi:

  • kuitukaapelin yhteyteen
  • runkoreitittimeen
  • verkkokytkimeen

Kun verkkoliikenne kulkee tällaisen pisteen läpi:

  • alkuperäinen liikenne jatkaa normaalisti määränpäähänsä
  • TAP tekee samanaikaisesti identtisen kopion liikenteestä
  • kopio siirtyy analyysijärjestelmälle

TAP-laitteita käytetään erityisesti:

  • runkoverkoissa
  • datakeskuksissa
  • internetin yhdysliikennepisteissä
  • kansainvälisten kuituyhteyksien liityntäpisteissä

Koska suuri osa nykyisestä internetliikenteestä on salattua HTTPS- ja VPN-liikennettä, analysoinnissa keskitytään usein metadataan ja liikennemalleihin:

  • IP-osoitteisiin
  • yhteyksien aikaleimoihin
  • liikennemääriin
  • yhteyksien rakenteeseen

Vaikka TAP-teknologia on suurelle yleisölle lähes näkymätöntä, se muodostaa tärkeän osan kyberturvallisuutta ja verkkovalvontaa.

Port Mirroring ja SPAN
Verkkokytkimet voivat peilata liikennettä analyysijärjestelmille. SPAN-portti:

  • Kopioi valitun verkkosegmentin liikenteen
  • Lähettää datan analyysilaitteelle
  • Mahdollistaa reaaliaikaisen seurannan

Tätä käytetään usein:

  • Yritysverkoissa
  • Teleoperaattoreilla
  • Viranomaisvalvonnassa

Deep Packet Inspection (DPI)
Deep Packet Inspection tarkoittaa datapakettien syvällistä tarkastelua. Joissakin maissa DPI-järjestelmiä käytetään internetin laajamittaiseen valvontaan. Perinteinen reititin tarkastelee vain:

  • Osoitteita
  • Reititystietoja

DPI-järjestelmä voi analysoida myös:

  • Sovellustyypin
  • Viestin sisällön
  • Käyttäytymismallit
  • Haittakoodit
  • Tiedostotyypit

DPI:tä käytetään:

  • Haitallisen liikenteen tunnistamiseen
  • Sensuuriin
  • Verkkosuodatukseen
  • Liikenteen priorisointiin
  • Tiedusteluun

Puhelin- ja mobiiliverkkojen valvonta
Teleoperaattoreilla on monissa maissa, kuten myös Suomessa velvollisuus mahdollistaa viranomaisille laillinen telekuuntelu. Tämä voi sisältää:

  • Puheluiden kuuntelun
  • Tekstiviestien tallennuksen
  • Sijaintitiedot
  • Datayhteyksien seurannan

IMSI Catcher -järjestelmät
IMSI Catcher on laite, joka esiintyy matkapuhelintukiasemana. Joissakin tapauksissa välittää liikennettä analysoitavaksi. Se voi:

  • Tunnistaa lähialueen puhelimet
  • Kerätä IMSI-tunnuksia
  • Seurata liikkeitä

Näitä käytetään esimerkiksi:

  • Vakavien rikosten tutkinnassa
  • Vastatiedustelussa
  • Terrorismin torjunnassa

ISP-yhteistyö
Internet-palveluntarjoajat ovat velvoitettuja:

  • Säilyttämään lokitietoja
  • Luovuttamaan tietoja viranomaisille
  • Mahdollistamaan teknisen valvonnan
  • Toteuttamaan oikeuden määräyksiä

Lokitietojen keruu
Lokit voivat sisältää:

  • IP-osoitteet
  • Yhteysajat
  • Käytetyt palvelut
  • Datamäärät
  • Reititystiedot

Lokitietojen avulla voidaan jäljittää:

  • Verkkohyökkäyksiä
  • Luvattomia yhteyksiä
  • Rikollista toimintaa

Signaalitiedustelu (SIGINT)
SIGINT eli signal intelligence tarkoittaa sähköisten signaalien tiedustelua.

Se sisältää:

  • Radioliikenteen seurannan
  • Satelliittiviestinnän analyysin
  • Internetliikenteen seurannan
  • Sotilasviestinnän kuuntelun

Kansainväliset tiedusteluverkostot
Useat maat, kuten myös Suomi tekevät yhteistyötä tiedustelussa. Tunnettuja yhteistyöjärjestelmiä ovat:

  • Five Eyes
  • NATO-tiedusteluyhteistyö
  • EU:n turvallisuusyhteistyö

Näissä vaihdetaan:

  • Tiedustelutietoa
  • Teknisiä havaintoja
  • Haittaindikaattoreita
  • Kyberuhkatietoa

Pilvipalvelujen merkitys
Yhä suurempi osa viestinnästä tapahtuu pilvipalveluissa. Viranomaiset voivat pyytää tietoja palveluntarjoajilta oikeusprosessin kautta tietoja:

  • Sähköposteista
  • Pikaviestimistä
  • Videopalveluista
  • Tiedostopalveluista

Metadata-analyysi
Tiedustelu perustuu usein massiiviseen metadata-analyysiin. Tekoälyä käytetään:

  • Verkostojen tunnistamiseen
  • Käyttäytymisanalyysiin
  • Poikkeamien löytämiseen
  • Riskiprofilointiin

End-to-End-salaus
Salaus vaikeuttaa sisällön lukemista. Monet palvelut käyttävät vahvaa salausta:

  • Signal
  • WhatsApp
  • iMessage
  • HTTPS
  • VPN-yhteydet

Viranomaisten haasteet
Kun liikenne on salattua:

  • Sisältöä ei voida helposti lukea
  • Metadata jää usein näkyviin
  • Päätepisteistä tulee tärkeämpiä

Tämän vuoksi viranomaiset voivat käyttää:

  • Laitetutkintaa
  • Haittaohjelma-analyysiä
  • Päätevalvontaa
  • Pilvipalvelupyyntöjä

Tekoäly verkkovalvonnassa
Valvontajärjestelmät käsittelevät valtavia datamääriä. Tekoäly voi:

  • Tunnistaa epäilyttäviä kuvioita
  • Luokitella liikennettä
  • Ennustaa uhkia
  • Löytää poikkeamia

Tekoäly voi myös analysoida:

  • Normaalista poikkeavaa toimintaa
  • Liikennemääriä
  • Viestintäverkostoja
  • Aikakäyttäytymistä

IoT ja kaikkialle ulottuva valvonta
Älylaitteiden lisääntyminen kasvattaa valvonnan mahdollisuuksia, mutta samalla ne luovat uusia tiedusteluhaasteita. Valvontakohteita ovat muun muassa:

  • Kamerat
  • Sensorit
  • Ajoneuvot
  • Kodin laitteet
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön