Avoimuus lisää parhaiten tietoturvaa

Mielipidekirjoitus, julkaistu Keskisuomalaisessa 22.9.2022.

S-Pankki on tällä hetkellä isosti julkisuudessa tietomurron takia, jossa virheellisesti toiminut ohjelmistokomponentti oli sallinut käyttäjän toimimaan toisen henkilön nimissä. Pienemmillä otsikoilla on selvinnyt Wilma-järjestelmä, joka sulki API-rajapintansa kolmannen osapuolen ohjelmistoilta. Niiden kautta oli saatavilla liian laajoja tietoja oppilasryhmien kokoonpanoista ilmeisesti ohjelmointivirheen takia.

Samalla kun yhteiskuntamme verkottuu yhä tiiviimmin, myös tietomurrot ja läheltä piti -tilanteet lisääntyvät. Vastaamon tapauksesta ovat kaikki kuulleet, mutta nopealla uutishaulla otsikoissa ovat olleet pelkästään muutaman viime kuukauden sisällä mm. STT, Päijät-Sote, Wärtsilä, Valtra ja Turun yliopisto.

Monia tapauksia yhdistää yksi asia: julkisuuteen ei ole kerrottu murron tarkkoja yksityiskohtia. Tästä on seurannut, ettei muilla alan toimijoilla ole ollut mahdollisuutta kuin arvailla, onko omissa järjestelmissä tai prosesseissa vastaavia virheitä.

Toivon, että S-Pankki samoin kuin muutkin organisaatiot Suomessa ottavat tavaksi julkaista tutkinnan edetessä avoimesti järjestelmissä tai prosesseissa olleet virheet, joista tietoturvapoikkeama on johtunut. IT-alalla on olemassa tähän kansainvälisesti vakiintunut käytäntö: julkinen post mortem -raportointi. Tämä auttaa muita toimijoita välttämään tai korjaamaan samankaltaiset ongelmat ja lisää näin kaikkien turvallisuutta.

Post mortemit ovat sukua liikenneonnettomuuksien tutkintaselostuksille. Niiden päämääränä ei ole osoittaa syyllisiä, vaan käydä läpi tapahtumat neutraalisti ja oppia toimimaan jatkossa paremmin. Raporteissa ei selosteta pelkästään sitä, mikä on mennyt pieleen, vaan pohditaan, miten asiat olisi voinut tehdä toisin ja mitä tapahtuneesta on opittu.

Julkiset post mortemit ovat jo monissa yrityksissä vakiokäytäntö. Suuret toimijat, kuten Google, Cloudflare, Amazon ja Spotify julkaisevat yksityiskohtaiset tiedot järjestelmän vakauteen ja tietoturvaan vaikuttaneista virheistä, niiden selvitysprosesseista ja korjauksista. He toimivat näin myös mielipidevaikuttajina: Monet tietoturvaparannukset ovat suoraan syntyneet näiden raporttien parannusehdotusten myötä. Raportteja tehdään myös itse havaituista tietoturva-aukoista, joita ei välttämättä ole edes hyödynnetty, jälleen tiedon jakamisen nimissä.

Avoin ja ajantasainen tiedottaminen lisää luottamusta organisaatioon. Yksityiskohtien paljastaminen auttaa myös muita välttämään samat virheet. Tietoturva lisääntyy parhaiten, kun kaikki toimivat yhdessä saman tavoitteen eteen.

Mitä piraateille oikein tapahtui?

Perinteinen vaalipohdiskelublogaukseni pidemmän blogaustauon jälkeen vähän jälkijunassa.

Vaikka ottaisi huomioon sen kuntavaaleihin liittyvän faktan, että kaikilla halukkailla ei ole mahdollisuutta äänestää piraattia omassa kunnassaan, 0,1 % valtakunnallinen äänisaalis on pettymys Piraattipuolueen näkökulmasta. Se on myös huonoin vaalitulos koko puolueen olemassaolon aikana.

Valtuustokausi 2017-2021

Kun neljä vuotta sitten kirjoitin menestyksestä Jyväskylän ja Helsingin (sekä jossain määrin Espoon) valtuustoissa, en osannut aavistaa, mitä kaikkea valtuustokauden aikana tulisi tapahtumaan. Tässä vaiheessa olen vielä vahvemmin sitä mieltä, että niissäkin vaaleissa olisi toki pitänyt pärjätä paremmin: Sekä Jyväskylässä että Helsingissä olisi pitänyt saada toinen valtuutettu ja Tampereella, Turussa ja pääkaupunkiseudun muissa kunnissa ainakin yksi paikka.

Kuntavaalien 2017 ja 2021 välinen kausi oli piraateille riitaisa, ja se näkyi varmasti niin sisäisesti kuin ulkopuolellekin. Puoluehallituksen sisällä käytiin useampi luottamustaisto, jotka konkreettisesti johtivat useamman aktiivin loppuunpalaamiseen ja poistumiseen puolueesta.

Hallituksen kriiseistä tärkeimpinä mainittakoon kaksi. Tapani Karvisen ja Jonna Purojärven väliseksi henkilöitynyt kiista päättyi lopulta ensinmainitun eroon vastavalitusta hallituksesta petostuomion aiheuttamien rahankeräyslupariskien takia. Toinen oli Petrus Pennasen ajama jossain määrin ymmärrettävä liberaalipuolueiden yhdistymishanke, joka kulminoitui täystyrmäykseen, piraattien valtuustoryhmän hajoamiseen Helsingissä ja vielä yhden liberaalipuolueen syntymiseen puoluekartalle (Avoin puolue).

Minäkään en ollut näille taistoille immuuni. Luovutin myös taistelut muille puolueen varapuheenjohtajan paikalta keväällä 2018 ja käytännössä usko siihen, että näillä eväillä päästäisiin pitkälle eteenpäin, lopahti eduskuntavaalien 2019 tulosta pragmaattisesti tarkastellessa. Näin kävi myös monille muille puolueen sisällä.

Puolueen johtohahmojen kiistat vaikuttivat väistämättä myös valtuustotoimintaan. Kun resurssit olivat vähissä, valtuustoryhmissä toimivat (niin Helsingissä kuin Jyväskylässäkin) samat henkilöt kuin valtakunnan tason toiminnassakin. Kun aika meni sisäisiin kiistoihin tai valtakunnallisen toiminnan käytännön järjestelyihin, kuntapolitiikka jäi väistämättä paitsioon.

Ja koska jälkiviisastelu on parasta, koen valinneeni tässä kohtaa väärin: Minun olisi ollut parempi keskittyä paikallistoiminnan pyörittämiseen ja valtuustoryhmän ylläpitoon sen sijaan, että lähdin mukaan puolueen valtakunnan tason toimielimiin. Tässä vaiheessa sitä on tosin turha harmitella.

Vaalitulos 2021

Historian huonointa piraattitulosta selittää osittain ehdokaslistojen historiallinen ohuus. Ehdokkaita oli valtakunnallisesti vain 53. Esimerkiksi Jyväskylässä piraattilistaa ei lähdetty edes luomaan, kun oli päivänselvää, että paikallisten aktiivien into ei riittäisi tekemään kunnollista vaalityötä. Ne viime vaaleissa piraattilistalla olleista henkilöistä, joilla intoa vielä riitti, olivat ehdolla muiden puolueiden nimissä. Helsingissä Avoin Puolue oli loppujen lopuksi Pennasen johdolla virallisesti RKP:n listalla.

Kiinnostavin tulos omasta näkökulmastani oli se, että väistyvä valtuutettumme Arto Lampila nappasi paikan vihreiden 7. varavaltuutettuna. Olen ylpeä siitä, että luottamuspaikkaneuvottelujen jälkeen hän on nousemassa Jyväskylän kaupunginhallitukseen! Kaikki vaalityö tähän asti on tuottanut upean tuloksen, vaikkei Arto enää piraattilippua ensisijaisesti heilutakaan. Tähän ei voi olla kuin tyytyväinen.

Piraattien tulevaisuudesta – ja vähän omastanikin

Mainittakoon etten ole paras henkilö kommentoimaan viime aikojen tapahtumia puolueessa, sillä en ole ollut pariin vuoteen tarpeeksi tiiviissä kontaktissa puolueen sisäpiiriin.

Olen joka tapauksessa vahvasti samaa mieltä kuin pari vuotta sitten: Suomen piraattipuolueen huippuhetket ovat jo takanapäin. Näkemykseni ovat edelleen pitkälti samat ja noudattavat melko lailla muiden piraateista muualle siirtyneiden näkökulmia (esim. Lilja Tamminen, Peter Sunde, Ahto Apajalahti). Pienillä resursseilla, sisäänpäinlämpiävällä ja ammattipoliitikkoja kaihtavalla aktiiviporukalla sekä sirpaloituneella liberaalipuoluekentällä on vaikeaa saada laajaa yhteiskunnallista muutosta aikaiseksi.

Rahan vallasta on helppo ottaa esimerkiksi Liike Nyt. Piraattiliikkeen alkuperäisistä opeista selvästi mallia ottaneen julkisen vallan avoimuuden teemoilla ratsastavan liberaaliliikkeen on ollut helppo nojata Harkimon miljooniin (ja hänen + Jungnerin jo olemassa olevaan julkkisstatukseen) rakentaessa mm. laajaa somenäkyvyyttä ja viraalikampanjaa. Muun muassa näiden avulla puolue nousi eduskuntaan vuoden 2019 vaaleissa. Media taas antaa eduskuntapuolueille kyseenalaista legitimiteettietua, joka lisää välittömästi puolueen näkyvyyttä ja houkuttelevuutta. Liike Nyt saikin kuntavaaleissa 49 valtuutettua, joka on melkoinen ero neljä vuotta aiemmin eduskunnan ulkopuolelta ponnistaneiden piraattien kahta (ja nyt nollaa) vastaan.

Väitän, että piraattiaatteen kultakautena voidaan nyt pitää 2000-luvun alkupuolta (ehkä vuosia 2005-2015). Piraattiliikkeen kantavia teemoja alusta asti ovat olleet lisätä hallinnon avoimuutta ja madaltaa kynnystä äänestäjien ja poliitikkojen vuoropuheluun. Vaikuttaa siltä, että nämä tavoitteet ovat jossain mittakaavassa täyttyneet, olkoonkin ettei tapa ollut se, jota itse kaipasin: somealustojen leviäminen on tehnyt viestinnästä hyvinkin välitöntä mutta huonotapaista, ja tunteita herättävät päätösasiat saatetaan perua somekohun päätteeksi jo ennen kuin niitä ollaan tuomassa toimielinten käsittelyyn. Jos äänestäjän muisti oli aiemmin vaalikautta lyhyempi, nykyisin iteraatiovauhti on tipahtanut lähemmäksi päivää.

Kuten aiemmassa kirjoituksessani muotoilin, piraattien sanomaa sähköistyvässä maailmassa kaivataan myös jatkossa. Vuosien mittaan minulle on kuitenkin selvinnyt, että tämän hetken tärkein poliittinen kysymys (ja jossain määrin ainut, jolla on mitään merkitystä tulevaisuuden näkökulmasta) on ilmastonmuutoksen torjuminen. Vaikka olin mukana kirjoittamassa suomalaisten puolueiden sen hetken radikaaleinta ympäristöohjelmaa, sillä ei ole merkitystä, jos puolueella ei ole konkreettisia vaikutusmahdollisuuksia. Ei liene siis järkeä hakata päätä seinään kerta toisensa jälkeen vain ideologisista syistä, jos suuremman vaikutuksen voisi saada aikaiseksi jonkin muun poliittisen liikkeen puitteissa.

Jatkan siis edelleen taukoa politiikasta, mutta olen valmis jatkamaan yhteiskunnallista vaikuttamista kun aika ja toimintamuoto on sopiva.

Kommentti ennen puoluekokousta 30.11.2019

Julkaistu Piraattipuolueen foorumilla 31.10.2019.

En ole osallistumassa 30.11.2019 pidettävään puoluekokoukseen. […]

Mielestäni painostus, jota puoluehallitusta kohtaan on esitetty, on ollut kohtuutonta. Jotkut ovat halunneet nähdä yhdistymispuheissa salaliittoja. On ymmärrettävää, että puheenjohtajan käymät neuvottelut voidaan tulkita väärin. Etenkin ulkopuolisen on vaikeaa erottaa, milloin hän edustaa itseään ja milloin puhuu puoluemme äänellä.

Kuitenkin loppujen lopuksi vaikuttaisi siltä, että erilaisten liberaalien puolueiden liittoutumista on puuhattu vilpittömin aikein. Viestintä vaan on, jälleen kerran (Wiion lakien mukaisesti), epäonnistunut.

En kannata piraattipuolueen yhdistämistä geneerisen liberaalipuolueen alaisuuteen. Liberaalipuolueet eivät ole menneinä vuosikymmeninä menestyneet Suomessa, enkä usko sen asian muuttuvan myös tulevaisuudessa. Puolueellamme on hyvä, mutta edelleen varsin tuntematon brändi, jonka onnistunut toteutus valitettavasti edelleen antaa odottaa itseään.

Piraattiliikkeellä olisi mahdollisuuksia oikealla tavalla markkinoituna. Käytännössä näen pari eri mallia, joiden pohjalta voitaisiin suunnitella parempaa lopputulosta.

Ensimmäinen vaihtoehto on parantaa puolueen rahoitusta. Paremmalla taloudellisella tilanteella voidaan ylläpitää toimivaa puoluekoneistoa palkattuine työntekijöineen ja ostaa näkyvyyttä sanoman kirkastamiseksi. Näkyvyyden kasvaessa puolueeseen liittyisi tai sen aktiivien keskuudesta alkaisi erottua muutamia näkyviä hahmoja, joiden ympärille kampanjointia voisi rakentaa.

Taloudellisia resursseja ollaan yritetty kasvattaa menneinä vuosina laihoin tuloksin. Bitcoin-lahjoituksetkin saatetaan vielä menettää valtiolle.

Toinen vaihtoehto on puolueen reboottaus. Puoluekoneisto jätettäisiin pienempään rooliin. Puolueen ulkopuoliset aktivistit käynnistäisivät toimintaa tiettyjen ydinteemojen (”piracore”) ympärille ruohonjuuritasosta käsin, hajautetusti ympäri maata. Kansanliikkeen kasvaessa puolue olisi luonnollinen kumppani asioiden eteenpäin viemisessä. Näkyviä toimijoita voitaisiin saada puolueen toimintaan näkyviin rooleihin.

Tämä on käytännössä malli, jolla Ruotsin (ja tietyssä mitassa myös Suomen) piraattipuolue on perustettu. Arvattavasti tämä vaatisi edelleen suurta työtä aktiiviporukalta edelleen ilman korvausta, mutta toisaalta työtä ei tarvitsisi tehdä puolueen, vaan tietyn teeman hyväksi.

Ratkaisuja ongelmiimme ei löydy pelkästään puoluehallitusta vaihtamalla. Toimintamme on tällä hetkellä aivan liikaa kaavoihin kangistunutta. Suosittelen valitsemaan kokouksessa mahdollisimman pienen, mutta toimintakykyisen puoluehallituksen, joiden jäsenillä ei ole muita vastuita tai velvollisuuksia puolueen toiminnassa. Ikävä kyllä pelkään, että tämmöisiä henkilöitä ei hirveän paljoa tule löytymään.

Jätän tässä vaiheessa valtakunnan puoluetoiminnan tauolle. Jatkan edelleen yhteydenpitoa Jyväskylän piraatteihin ja jatkan kunnallisessa luottamustoimessani. Henkilökohtaisesti minua jää varmasti pysyvästi harmittamaan, etten osannut tai ehtinyt auttaa piirijärjestöjä omassa toiminnassaan siinä vaiheessa, kun toimin puolueen järjestövastaavana. Toisaalta koen onnistuneeni Arton nostamisessa Jyväskylän kaupunginvaltuustoon.

On ollut mahtavaa tutustua moneen hienoon ihmiseen vuosien mittaan. Samoin mieltäni on lämmittänyt muilta saadut kiitokset ja luottamuksen osoitukset eri vaiheissa. Kiitos kaikille näistä kokemuksista!

Ajatuksia piraattipuolueen tulevaisuudesta

Julkaistu Piraattipuolueen foorumilla 24.9.2019.

Suomen Piraattipuolue on kriisissä. Tämä ei ole ensimmäinen kerta, kun niin käy, mutta tällä kertaa on ensimmäinen kerta, kun puolueen tulevaisuus on varmuudella vaakalaudalla.

Organisaatiomme ongelmat ovat olleet pitkään samat. Tulosta vaaleissa on saatu huonommin kuin on odotettu, ja sekin vähä on tuotettu suoraan aktiivien selkänahasta. Liikaa aikaa on käytetty puolueorganisaation larppaamiseen, sekä erilaisiin skitsoiluihin, luottamuspulaan ja selkäänpuukotukseen. Moni innokas toimija on kääntynyt pois saatuaan osansa palautteesta – joka ei välttämättä ole ollut pahantahtoista, vaan pelkoa siitä, onko puolue ymmärretty oikein. Väitän, että puolue on rakastettu kuoliaaksi.

Piraattipuolue syntyi toisenlaisessa maailmassa kuin nyt. Teknologia on edistynyt hurjaa vauhtia, ja viestimme ei ole pysynyt mukana ajassa. Viestin kirkastamista on haluttu ja uutta brändiä pohdittu. Missä on samaistuminen piraattikirjeisiin, kun streamaus kukistaa ja kinnijäämisen vaara minimaalinen? Menetettiinkö yksityisyys verkossa jo ajat sitten, kun käyttäjät eivät enää välitä missä ja miten dataa säilötään? Miten voimme puhua yhteistyön ja uusien päätöksentekomallien puolesta, kun emme kykene toimimaan niiden mukaisesti edes omassa organisaatiossamme?

En ole menettänyt toivoani piraattiliikkeeseen. Globaalisti katsottuna brändi ja ajatukset on saatu myytyä onnistuneesti äänestäjille useassa maassa useaan otteeseen (näkyvimpiniä Ruotsi, Saksa, Islanti, Tšekki, Luxemburg). Tietääkseni näihin kaikkiin menestyksiin on kuitenkin vaikuttanut oikea-aikainen kriisiin reagoiminen ja näkyvien avainhenkilöjen liittyminen liikkeeseen. Vastaavaa ei ole toistaiseksi tapahtunut eikä ole näköpiirissä Suomessa.

Minulla ei ole valmiita vastauksia siihen, miten tästä pitäisi edetä. Tuntumani on, että liikkeelle pitäisi lähteä täysin uusin ajatuksin puhtaalta pöydältä ja ruohonjuuritasolta. Piraattiaatetta sivuava haktivismi on tänä päivänä vähäistä – vaikka se on juuri se, mikä käynnisti alun perin puoluetoimintaa. Tätä kautta puolue voisi alkaa rakentua uudelleen erilaisten, mahdollisesti myös muista yhteyksistä tunnettujen aktiivien varaan. Samoin puoluejohto pitäisi vaihtaa kokonaan, jotta nykyisistä toimintamalleista ja ajattelutavasta päästään eroon. Mutta onko nyt jo liian myöhäistä?

Panssarit pois kävelykadulta!

Mielipidekirjoitus yhdessä Jonna Purojärven kanssa, julkaistu Keskisuomalaisessa 16.6.2019.

Keskisuomalainen uutisoi 9.6. kuinka poliisi aikoo jatkossa partioida Jyväskylän kävelykadun vilskettä panssarimersulla. Mukavaa keskustatunnelmaa häiritsee jo nyt usein poliisin pakettiauto, ja jatkossa jalankulkijan onkin varottava entistä massiivisempaa järkälettä. Miten turvallisuus lisääntyy, kun pelkoa luodaan jo poliisinkin puolelta?

Emme tarvitse viiden ja puolen tonnin painoista rumilusta tunteaksemme olomme turvallisemmaksi – päinvastoin. Kun auton ohjaamiseen tarvitaan kuorma-autokorttia, se ei kuulu ihmisjoukkoon kuin poikkeustilanteessa jo pelkästään turvallisuussyistä. Mersussa on luultavasti paljon enemmän kuolleita kulmia ja sitä kautta vaaranpaikkoja kuin nykyisissä Transportereissa.

Kaiken lisäksi lain mukaan kävelykadulla päämäärätön ajaminen moottoriajoneuvolla on kiellettyä. Poliisi on tietoisesti tulkinnut lakia kierosti jo vuosikaudet, perustellen sitä mm. tiedustelutoiminnalla tai tarpeella päästä lähtemään kiireellisesti seuraavalle tehtävälle. Tieliikennelakia tulisikin selkeyttää näiltä osin tai poliisin ottaa rehdisti itseään niskasta kiinni. Työtehtävien suunnittelu ei voi perustua siihen, että joka hetki on istuttava autossa.

Ihmisläheiselle, inhimilliselle, ihmisiä kohtaavalle poliisityölle on tilausta. Yhteisöllisyys ja turvallisuus ei lisäänny panssarilasin läpi katsomalla.

Miika Hämynen
Jonna Purojärvi
Jyväskylä