Ydinmateriaaliviraston salainen sopimus paljastaa valtion laajamittaisen digitaalisen tiedonkaappauksen
Tuore tiedonvälityksen vapautta koskevan lain (FOIA) mukainen pyyntö liittyy jälleen yhteen tapaukseen, jossa Yhdysvaltain hallitus ostaa valvontatyökaluja kolmansilta osapuolilta.
Tämä Augury-niminen laite on kuitenkin hieman erilainen, sillä sitä käyttää maan “ydinpelotteesta” vastaava virasto (Defense Threat Reduction Agency (DTRA)).
Samalla kyseisen työkalun valmistajat väittävät, että sillä on pääsy yli 90 prosenttiin maailman internet-tiedoista.
Tällä DTRA liittyy Yhdysvaltain armeijan, FBI:n, laivaston siviilipuolen NCIS:n (Naval Criminal Investigative Service), IRS:n, Cyber Commandin, Defense Counterintelligence and Security Agencyn (puolustuksen vastavakoilu- ja turvallisuusvirasto) joukkoon.
Aiempien raporttien mukaan näiden sopimusten kokonaisarvo on “vähintään” 3,5 miljoonaa dollaria – tarkentamatta ajanjaksoa.
Paljastuksista tekee mielenkiintoisia kyseisten tietojen luonne: kyse on netflow-tiedoista, protokollasta, jolla kerätään IP-liikenteen metatietoja verkkolaitteiden välillä.
Laitteisiin kuuluvat reitittimet, kytkimet ja isännät, ja tavallisesti IPS:t ja palvelinten omistajat ovat ainoat, jotka voivat (pitäisi) päästä käsiksi niihin.
Näin ollen ilmeisesti laaja valvonta tapahtuu internetin runkoverkon tasolla.
Aiemmista asiakirjoista kävi ilmi, että Augury välittää myös verkkoselaustietoja (vieraillut URL-osoitteet, evästeet), sähköpostitietoja, pakettikaappauksia (PCAP) ja reititystietoja (nykyisiä tai historiallisia) – ja näitä tietoja päivitetään tiettävästi “tunneittain”.
FOIA-asiakirjojen uusimmat paljastukset nimeävät työkalun valmistajan ja yrityksen, jolla on kyseisiä tietoja myytävänä, Argonne Ridge Groupiksi (ARG), joka on Team Cymru -yhtiön tytäryhtiö.
Verkkosivustollaan Team Cymru mainostaa tuotteidensa tarjoavan ”välitöntä tietoa uhkista” ja reagoivan nopeasti hälytyksiin ”yhdellä lasilla reaaliaikaisen IP-tiedustelun avulla”.
Samalla Team Cymru ilmoittaa, että se työllistää entisiä kansallisten ja alan CSIRT-tiimien (Computer Security Incident Response) jäseniä, entisiä lainvalvonta- ja sotilasvirkailijoita, Internet-palveluntarjoajien runkoverkkoinsinöörejä, Fortune 500 -yritysten verkkoinsinöörejä….
Vaikka sopimus on tehty valtion viraston ja kolmannen osapuolen välillä, näyttää siltä, että yleisesti ottaen tämä liiketoiminta ”pysyy perheessä”.
Lisää tähän vielä pelien, verkkosovellusten, ytimien, suurteholaskennan ja big datan kehittäjät ja järjestelmäinsinöörit, jotka myös työskentelevät yrityksessä.
Ja sopimus, jonka DTRA on tehnyt ARG:n (Team Cymru) kanssa, maksoi Yhdysvaltain veronmaksajille 490 000 dollaria pelkästään vuonna 2023, samojen dokumentoitujen lähteiden mukaan.
Yhdestä FOIA-asiakirjasta käy ilmi, että DTRA selittää Auguryn lisensoinnin tarpeellisuutta keinona valvoa palvelinten välistä viestintää, myös yksityisten palvelinten välillä, ja perustelee sitä tarpeella ”tunnistaa” infrastruktuuria, joka kuuluu sen mielestä pahansuoville toimijoille.
Toisessa asiakirjassa DTRA toteaa, että sen on ”tuettava jatkuvia arviointeja Yhdysvaltojen ja liittoutuneiden kansallisten/teattereiden kriittisten järjestelmien, verkkojen, arkkitehtuurien, infrastruktuurien ja varojen haavoittuvuudesta”.
Auguryn lupaus on, että se voi kerätä kymmeniä miljoonia tietueita päivittäin, se on ”tehokas” seuranta- ja kartoitustyökalu ja ”ainoa ohjelmistotyökalu, joka tarjoaa näin kattavan tietojenkäsittely- ja tiedonkeruuratkaisun”.
Näiden lukujen osalta Yhdysvaltain hallituksen aiemmassa hankintasopimuksessa puhuttiin ”vähintään 100 miljardista uudesta tietueesta joka päivä”, ja 550 keräyspisteen sanotaan olevan suunnattu ympäri maailmaa, jokaiseen maanosaan napa-alueita lukuun ottamatta.
Riippumatta siitä, kumpi näistä väitteistä pitää paikkansa, Yhdysvaltain hallituksen sopimukset Auguryn käytöstä osoittavat sen valtavat valvontakapasiteetit; ja voisi sanoa, että tietojen moninaisuus ja niin monien liittovaltion virastojen kiinnostus osoittavat jälleen yhden tavan, jolla Yhdysvaltain hallitus ”tekee yhteistyötä” – tai ”salaliittoutuu”, jos niin halutaan, yksityisten yritysten kanssa kiistanalaisissa skenaarioissa.
FOIA-asiakirjojen mukaan Team Cymru-ISP:n ”kumppanuus” toimii siten, että jälkimmäiset antavat yritykselle tietojaan ja saavat vastineeksi ”uhkatietoja”. Järjestely paljastettiin aiemmin senaattori Roy Wydenille.
Tämä tapahtui sen jälkeen, kun Wyden ilmoitti, että eräs ilmiantaja otti yhteyttä hänen toimistoonsa siitä, että NCIS:n väitettiin ostavan ja käyttävän näitä tietoja ilman lupaa.
”Aika hullua” – näin siteeraa tiedotusväline asiaankuuluvien asiantuntijoiden reaktioita siihen, että näitä tietoja voidaan kerätä ja sitten myydä tällä tavalla.
DTRA:n sopimus Auguryn käytöstä sisältää koulutusta ja useita määräyksiä, jotka kyseenalaistavat Yhdysvaltojen vakoiluyhteisön suosikkiharhaluulon, nimittäin sen, että jos sinulla ei ole mitään salattavaa, sinulla ei ole mitään pelättävää.
Esiin tulleiden sähköpostiviestien mukaan sopimus sisältää kuitenkin jonkinlaisen salassapitovelvollisuuden, jonka tarkoituksena on estää raakatietojen jakaminen, jos se voi paljastaa ARG:n olevan niiden lähde.
Lisäksi ”kumpikaan osapuoli ei saa antaa lehdistötiedotteita tai julkisia lausuntoja toisesta osapuolesta tai vaihdetuista tiedoista ilman toisen osapuolen etukäteen antamaa kirjallista suostumusta”, yhdessä asiakirjassa sanotaan.
Näyttää siltä, että kumpikaan osapuoli ei ole tällä hetkellä halukas tekemään mitään tästä, sillä sekä DTRA että Team Cymru ovat toistaiseksi jättäneet kommenttipyyntömme huomiotta.
Hallitusten ja ulkopuolisten alihankkijoiden suorittama internetin valvontatietojen kerääminen on teknisesti kehittynyt ja eettisesti erittäin haastava prosessi. Vaikka tätä käytäntöä perustellaan usein kansallisen turvallisuuden nimissä, siihen liittyy erilaisia menetelmiä ja välineitä, joilla kerätään valtavia määriä Internet-tietoja, mikä voi johtaa ongelmallisiin seurauksiin yksityisyyden suojan, laillisuuden ja avoimuuden kannalta.
Nykyaikaisen internetvalvonnan selkäranka on usein välineitä, joilla voidaan siepata ja analysoida monenlaisia verkossa siirrettyjä tietoja. Yleisiä kerättyjä tietotyyppejä ovat mm:
Netflow Data: Tähän liittyy verkkolaitteiden välistä IP-liikennettä koskevien metatietojen kerääminen. Internet-palveluntarjoajat (ISP) ja verkon ylläpitäjät käyttävät sitä yleensä liikennevirran ymmärtämiseen ja verkon suorituskyvyn hallintaan.
Verkkoselaustiedot: Keräämällä tietoja käyttäjien vierailuista URL-osoitteista sekä evästetietoja saadaan tietoa yksittäisistä selaustottumuksista ja mieltymyksistä.
Sähköpostin metatiedot: Tämä sisältää tietoja sähköpostien lähettäjistä, vastaanottajista ja ajankohdista, joiden avulla voidaan kartoittaa viestintämalleja paljastamatta sähköpostien sisältöä.
Pakettikaappaukset (PCAP): Nämä ovat yksityiskohtaisempia, sillä ne kaappaavat kokonaisia verkkoja pitkin kulkevia datapaketteja, mikä mahdollistaa syvällisen näkyvyyden internet-liikenteen sisältöön ja luonteeseen.
Reititystiedot: Tieto siitä, miten datapaketit ohjataan internetissä, voi paljastaa verkkoinfrastruktuurien rakenteen ja toiminnalliset erityispiirteet.
Vaikka nämä menetelmät ovat teknisesti vaikuttavia, niitä käytetään mittakaavassa ja tavalla, joka usein rikkoo oikeudellisia puitteita ja eettisiä rajoja.
Yksityisyyden suojaan liittyvät huolenaiheet
Suuren mittakaavan tiedonkeruun ensisijainen huolenaihe on sen vaikutus yksilön yksityisyyteen. Valvontatyökalut voivat mahdollisesti seurata miljoonien internetin käyttäjien toimintaa, usein ilman heidän nimenomaista suostumustaan. Tämä mahdollisuus herättää merkittäviä kysymyksiä turvallisuuden varmistamisen ja kansalaisten yksityisyyden suojan välisen tasapainon löytämisestä. Henkilökohtaiseen elämään tunkeutuminen voi olla laajaa ja paljastaa henkilön kiinnostuksen kohteet, tavat ja viestinnän.
Oikeudelliset ja eettiset haasteet
Valvontakäytäntöjen laillisuus tulee usein kyseenalaiseksi. Eri maissa on erilaisia lakeja tarkkailusta, ja kansainväliset operaatiot voivat vaikeuttaa oikeudenkäyttöä entisestään. Lisäksi valtion virastojen ja yksityisten yritysten kumppanuus näissä operaatioissa voi johtaa eturistiriitoihin ja vastuuvelvollisuuden puutteeseen, kun kaupalliset motiivit saattavat jättää varjoonsa yleisen edun ja oikeudet.
Avoimuus ja vastuuvelvollisuus
Avoimuus on toinen kriittinen kysymys. Valvontatoimet ovat usein salaisia, eikä yleisölle anneta juurikaan tietoa siitä, mitä tietoja kerätään, miten niitä käytetään ja kenellä on pääsy niihin. Tämä salailu heikentää demokraattista valvontaa ja vähentää hallituksen vastuuvelvollisuutta kansalaisille. Salassapitosopimukset ja salassa pidettävät toimet voivat estää mielekkään keskustelun ja poliittisen päätöksenteon, joka heijastaa yleistä kiinnostusta ja huolta.
Hallitukset, erityisesti Yhdysvaltojen kaltaisilla lainkäyttöalueilla, joutuvat usein liikkumaan kansallisten turvallisuusvaatimusten ja perustuslaillisen suojan, erityisesti neljännen lisäyksen sisältämän suojan, välisessä monimutkaisessa vuorovaikutuksessa. Tällä lisäyksellä suojellaan kansalaisia kohtuuttomilta etsinnöiltä ja takavarikoilta, ja siinä edellytetään, että kaikki etsinnät ja takavarikot on hyväksyttävä tuomioistuimessa ja että niihin on oltava todennäköinen syy. Aikakaudella, jolloin digitaalisesta valvonnasta on tullut normi, menetelmät, joilla hallitukset keräävät tietoja, voivat joskus kiertää näiden oikeudellisten puitteiden rajat.
Strategiset hankinnat oikeudellisen valvonnan kiertämiseksi
Yksi tapa, jolla hallitukset voivat kiertää suorat neljännen lisäyksen haasteet, on valvontatietojen ostaminen kolmansilta osapuolilta. Tässä lähestymistavassa hyödynnetään oikeudellista harmaata aluetta: riippumattomilta kaupallisilta yksiköiltä hankittujen tietojen ei useinkaan katsota kuuluvan samojen perustuslaillisten suojatoimien piiriin, joita sovellettaisiin valtion virastojen suoraan keräämiin tietoihin.
Näin tämä yleensä toimii:
Kolmannen osapuolen doktriini: Yhdysvaltain korkein oikeus on historiallisesti katsonut, että kolmansille osapuolille vapaaehtoisesti annettuja tietoja ei suojata neljännen lisäyksen nojalla (kuten tapauksissa Smith v. Maryland). Hallitukset voivat väittää, että tietojen ostaminen kolmansilta osapuolilta ei ole ”etsintä”, koska yksityishenkilöt ovat jo luopuneet yksityisyyden suojaa koskevista odotuksistaan jakamalla tietojaan kolmansille osapuolille (esim. Internet-palveluntarjoajille ja teknologiayrityksille).
Sopimusten tekeminen tiedonvälittäjien kanssa: Hallitukset tekevät sopimuksia yksityisten yritysten kanssa, jotka ovat erikoistuneet tietojen keräämiseen ja analysointiin. Nämä yritykset toimivat kapasiteetilla, jonka avulla ne voivat laillisesti kerätä valtavia määriä tietoja, jotka ne voivat sitten myydä valtion virastoille. Tiedot sisältävät usein yksityiskohtaisia käyttäjätietoja, jotka on kerätty erilaisista verkkotoiminnoista.
Suoran valvonnan välttäminen: Ostamalla tietoja kolmannelta osapuolelta valtion virastot voivat välttää omien valvontatyökalujensa käytön, joka saattaisi edellyttää lupia tai joutua julkisen ja oikeudellisen valvonnan kohteeksi. Tämä menetelmä voi peittää hallituksen suoran osallistumisen tiedonkeruutoimiin.
Oikeudelliset ja eettiset näkökohdat
Vaikka tämä käytäntö on mahdollisesti lainmukainen nykyisten tulkintojen mukaan, se herättää merkittäviä eettisiä ja yksityisyyden suojaan liittyviä kysymyksiä:
Yksityisyyden suojan heikkeneminen: Menetelmä voi johtaa laajalle levinneisiin valvontakäytäntöihin, joissa kerätään valtavia määriä henkilötietoja ilman suoraa suostumusta tai tietoisuutta, mikä voi vaikuttaa miljooniin pahaa aavistamattomiin henkilöihin.
Vastuullisuus ja avoimuus: Kolmansien osapuolten kautta tapahtuvan tiedonhankinnan epäsuora luonne voi johtaa avoimuuden ja vastuuvelvollisuuden puutteeseen. Ilman tiukkaa valvontaa tietojen väärinkäytön tai väärinkäytön riski on suuri.
Mahdollinen ylilyönti: Kolmannen osapuolen tietojen tarjoamat laajat mahdollisuudet voivat houkutella virastoja ylittämään rajat ja käyttämään tietoja tarkoituksiin, jotka ylittävät kansallisen turvallisuuden tai lainvalvonnan alkuperäisen soveltamisalan.
Oikeudelliset haasteet ja kehittyvä oikeuskäytäntö: Kun tietoisuus näistä käytännöistä lisääntyy, ne asetetaan yhä useammin kyseenalaisiksi tuomioistuimissa. Oikeudelliset lausunnot neljännen lisäyksen soveltamisesta digitaalisiin tietoihin kehittyvät, ja tulevat tuomioistuinten päätökset voivat asettaa uusia rajoituksia näille käytännöille.