Uskaltaako ostaa kiinalaista kännykkää? Ajatus voi käydä monen mielessä kännykkäostoksilla, sillä etenkin Huawein tietoturvaa on epäilty.
Kysyimme väitteistä Huaweilta, tietoturvayhtiö F-Securelta sekä Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksesta.
– Asia ei ole kovin mustavalkoinen, toteaa heti kärkeen tutkimusyhteistyöstä ja kuluttajaturvallisuudesta vastaava johtaja Mika Lehtinen F-Securelta.
Johtava asiantuntija Juhani Eronen Kyberturvallisuuskeskuksesta toteaa, että älypuhelinmarkkinoiden tilanne ylipäätään on ollut pitkään kuluttajan kannalta hankala.
– Maailmasta löytyy paljon enemmän valmistajia, jotka eivät kiinnitä huomiota tietoturvaan ja yksityisyyden suojaan, kuin on valmistajia, jotka tekevät näin.
Tikunnokkaan nostetaan vuorotellen eri yrityksiä, vaikka yleensä kyse on Erosen mukaan koko teollisuudenalan ongelmista. Tietoa laitteiden turvallisuudesta on kovin huonosti saatavilla.
Huawein kyberturva- ja tietosuojajohtaja Marja Dunderfelt vakuuttaa, että kyberturvallisuus on yrityksen tärkeysjärjestyksen kärjessä.
Hänen mukaansa Huawei on ottanut opiksi esimerkiksi Ison-Britannian valtion kyberturvallisuustutkijoiden vuosittaisista suosituksista. Huaweilla on ollut vuodesta 2010 muutosohjelma, johon on investoitu 2 miljardia dollaria.
Dunderfeltin mukaan tietoturva huomioidaan Huaweilla tuotteen jokaisessa vaiheessa. Ennen uuden tuotteen päätymistä valmistukseen sen testaa tuotekehitysorganisaatiosta itsenäinen laboratorio.
– Veto-oikeus on Ison-Britannian hallituksen entisellä teknologiajohtajalla John Suffolkilla. Hänellä on oikeus vetää tuote pois ihan tuotekehityksen alkuun asti. Tuote lähtee sitten uuteen kehitysprosessiin eikä sitä lanseerata ennen kuin se on turvallinen.
Dunderfeltin mukaan laitetoimitusasiakkailla on myös oikeus tutkia Huawein tuotteiden lähdekoodia ja käyttää siihen omia ulkopuolisia asiantuntijoitaan. Tämän voi kuitenkin tehdä ainoastaan Huawein tätä tarkoitusta varten perustamissa "läpinäkyyvyskeskuksissa".
Dunderfelt kertoo, että Huaweilla on kaikille järjestelmilleen sertifikaatit ja sitä auditoidaan paljon.
Tietoturva-asiantuntijoiden mukaan Huawein käytännöt kuulostavat hyviltä.
Olisin puhelimen käyttäjänä enemmän huolissani siitä, mitä dataa käyttävät ja lähettävät puhelimeen ladattavat eri sovellukset.
Marja Dunderfelt, Huawei
Juhani Eronen huomauttaa, ettei Kyberturvallisuuskeskus ole tutkinut älypuhelinten turvallisuutta eikä hän siksi ota varsinaisesti kantaa yksittäisiin valmistajiin.
Auditointien merkitystä hän kuitenkin pitää rajallisena, sillä älypuhelimilta puuttuvat yhteiset turvallisuusstandardit.
– Tällä hetkellä monellekaan tuotekategorialle ei ole yhteisesti sovittua vaatimuskehikkoa, johon tarkastus pitäisi sitoa ja joka olisi tehty kuluttajan tarpeita ajatellen. Auditoinnilla sinänsä voidaan tarkoittaa melkein mitä tahansa ja se on ongelma.
Mika Lehtinen toteaa, että ilman standardia tehdyn auditoinnin tulkinta vaatii enemmän osaamista. Hänestä ulkopuolinen tarkastus on silti hyväksi.
– Se auttaa tuomaan uskottavuutta ja luottamusta. Siitähän tässä pitkälti on kyse.
On väitetty, että Kiina voisi vakoilla käyttäjiä kiinalaisyrityksen laitteiden kautta. Huawein viestintäpäällikkö Niklas Mannfolk näkee, että kyse on enemmänkin Yhdysvaltain ja Kiinan välisestä kauppasodasta. Hän sanoo, että todisteita väitteiden tueksi ei ole esitetty.
Vakavin väite on, että yritys olisi jättänyt laitteisiinsa niin sanottuja takaportteja, joiden kautta Kiinan valtio pääsisi käsiksi niihin.
– Meillä niin tiukat käytännöt tuotekehityksessä, että tällaisen on mahdoton päästä läpi. Monet silmät, monet kädet -periaate, Marja Dunderfelt sanoo.
Sama pätee hänen mukaansa ohjelmistopäivityksiin.
Tietoturva-asiantuntijat huomauttavat, että tiukimmatkaan tarkastukset eivät takaa virheettömyyttä.
– Puhelimet ovat ihmisten tekemiä ja aina kun ihmiset tekevät asioita, niihin tulee virheitä, joita voidaan hyödyntää, Mika Lehtinen toteaa.
Juhani Eronen näkee, että on käytännössä mahdotonta todistaa, onko jossakin puhelimessa takaporttia. Tutkimuksissakaan ei välttämättä löydetä kaikkia mahdollisia ongelmia, jotka voivat mahdollistaa ulkopuolisen hyökkäyksen. Toisaalta jos virhe löytyykin, on hyvin vaikea todistaa, onko se siellä tarkoituksella.
– Nämä tuotteet ovat hyvin monimutkaisia.
Huawein tuotteiden tarkastajat eivät ole Huawein tai varsinkaan Kiinan valtion palveluksessa, Dunderfelt sanoo.
– Valvontamme alla sen sijaan eivät ole sovellukset, joita puhelimeen ladataan. Olisin puhelimen käyttäjänä enemmän huolissani siitä, mitä dataa käyttävät ja lähettävät puhelimeen ladattavat eri sovellukset.
Myös F-Securen Mika Lehtinen toteaa, että sovellukset ovat käyttäjälle suurin riski. Hän kuitenkin huomauttaa, että kiinalaiskännyköissä ei ole turvatoimistaan tunnettuja sovelluskauppoja Google Playta tai Apple storea.
– Tästä seuraa se, että siellä on muita sovelluskauppoja, joista kuluttajat lataavat sovelluksia. Näiden verkkokauppojen tietoturvamekanismit voivat olla huonompia.
Lehtisellä ei kuitenkaan ole varsinaista tietoa kiinalaisten sovelluskauppojen turvatoimista.
Dunderfeltin mukaan Lehtisen huoli on Huawein sovelluskaupassa turha. Hän sanoo Huawein valikoivan, testaavan ja arvioivan tarkasti kaikki sovellukset, jotka sen sovelluskaupassa julkaistaan. Käyttäjien yksityisyyttä loukkaavat tai tietoja varastavat sovellukset poistetaan.
Takaisin alkuperäiseen kysymykseen.
Mika Lehtinen pohtii, että kiinalaiskännykkä voi olla riski esimerkiksi tutkivalle journalistille, poliitikolle tai äänekkäälle Kiina-kriitikolle. Tavallisen länsimaisen kuluttajan puolesta hän sen sijaan ei ole huolissaan.
– En pidä uskottavana, etteikö Kiinan valtiolla olisi vaikutusta kiinalaisyrityksiin. Näkemykseni kuitenkin on, että kuluttajatuotteet eivät ole ensisijainen työkalu esimerkiksi tehdä kyberhyökkäyksiä länsimaissa.
Lehtinen toteaa, että länsimarkkinat ovat Kiinalle tärkeät, joten kiinalaiset laitteet ovat tavalliseen kuluttajakäyttöön varsin hyviä.
Hän kehottaa kuitenkin suosimaan suuria ja tunnettuja valmistajia, sillä ne huolehtivat paremmin esimerkiksi tietoturvapäivityksistä. Tuntemattoman halpiskännykän tilaaminen kiinalaisesta verkkokaupasta todennäköisesti ei ole hyvä idea.
Juhani Eronen kehottaa kiinnittämään kännykkävalinnassa ylipäätään huomiota laitevalmistajan avoimuuteen. Jos ongelmat myönnetään ja niille tehdään jotain, tilanne on parempi kuin jos niitä yritetään kieltää ja piilotella.
Myös yrityksen tietosuojalausunnot kannattaa lukea.
– Olen ajatellut, että jos minä itse en ymmärrä tietosuojalausuntoa, se ei ole kauhean hyvä.
