Apu

Uhka tietoturvalle? Venäjän Googleksi kutsutun Yandexin palvelinkeskus toimii yhä Mäntsälässä – Tästä syystä kukaan Suomessa ei tiedä, mitä keskuksen kautta kulkee

Uhka tietoturvalle? Venäjän Googleksi kutsutun Yandexin palvelinkeskus toimii yhä Mäntsälässä – Tästä syystä kukaan Suomessa ei tiedä, mitä keskuksen kautta kulkee
Venäjän hallinto on Ukrainan sodan myötä tiukentanut sotasensuuria ja tiedonsaantioikeutta. Tietoturvahuolien takia ovat useat EU-maat, kuten Viro, kieltäneet Yandexin taksinvälityspalvelun Yangon käytön.
Julkaistu: 5.4.2022

Venäjän Googleksi kutsutun internet-yhtiö Yandexin ympärillä kuohuu. Yandexin hallinnoiman taksipalvelun toiminta on vastikään kielletty muun muassa Virossa. Suomessa palvelu toimii nimellä Yango ja ainakin toistaiseksi sen toiminta jatkuu huolimatta Yango-sovellukseen kohdistuneista tietoturvaepäilyistä.

Yandexilla on Suomessa palvelinkeskus, jonka takana on Yandexin suomalainen tytäryhtiö Yandex Oy. Voiko Mäntsälässä toimiva palvelinkeskus muodostaa Suomessa tietoturvauhkan?

– Digimaailmassa ei ole varsinaisesti rajoja. Internetissä sillä missä joku palvelu tuotetaan ei ole merkittävästi ole kyberuhkien näkökulmasta väliä, oli palvelu sitten Suomessa tai toisella puolella maailmaa. Siinä mielessä en näkisi Suomessa toimivan palvelinkeskuksen osalta erityistä riskiä missään turvallisuusoloissa, sanoo Sauli Pahlman, Traficomin Kyberturvallisuuskeskuksen ylijohtaja.

– Palvelunestohyökkäykset Suomeen tai muihinkin maihin tulee ympäri maailmaa yleensä bottiverkkojen toteuttamina. Hyökkääjä pyrkii aktiivisesti peittämään jälkensä, oli kyberhyökkäyksen luonne mikä tahansa.

”Ei meillä ole sellaista tiedonsaantioikeutta, että mitä täsmällisiä palveluja mikäkin konesali tarjoaa.”

Sauli Pahlman, Traficomin Kyberturvallisuuskeskuksen ylijohtaja.

Valvonta edellyttää perusteltua epäilyä tai näyttöä

Yandexin palvelinkeskuksen viranomaisvalvonta Suomessa perustuu NIS-direktiiviin eli EU:n verkko- ja tietoturvadirektiiviin. Sen digitaalisten palvelujen sääntely koskee verkossa toimivan markkinapaikan, hakukonepalvelun ja pilvipalvelun tarjoajia. Sääntelyn piiriin kuuluvat vain riittävän suuret yritykset. Sääntely koskee siis nimenomaan palveluja, ei palvelinkeskusta fyysisenä rakennuksena. Se, minkä jäsenvaltion viranomainen on toimivaltainen, määräytyy yhtiön päätoimipaikan mukaan.

– Valvonta edellyttää jonkinlaista perusteltua epäilyä tai näyttöä siitä, että toimija ei noudata sääntelyn mukaisia velvoitteita. Se yleensä tapahtuu niin, että valvova viranomainen, kuten Kyberturvallisuuskeskus, saa tietoa joko yhtiöltä itseltään, asiakkailta tai mediasta liittyen siihen, että siellä on joku häiriötilanne tai tietoturvaloukkaus, jota sitten lähdetään selvittämään.

Se, ketkä ovat Yandexin Suomen palvelinkeskuksen asiakkaita, tai mitä palveluja sen kautta tarkalleen tuotetaan, ei ole tiedossa.

– Ei meillä ole sellaista tiedonsaantioikeutta, että mitä täsmällisiä palveluja mikäkin konesali tarjoaa. Toimijoilla ei ole myöskään rekisteröitymisvelvoitetta eli ne itse tunnistavat olevansa EU:n NIS-sääntelyn piirissä ja toimivat sen mukaisesti, kertoo Pahlman.

Sama koskee myös muita yhtiöitä, jotka tarjoavat esimerkiksi konesali- tai pilvipalveluja asiakkailleen. Tällaisia yhtiötä ovat esimerkiksi Google, Microsoft ja Amazon, joista Googlella on palvelinkeskus Haminassa.

”Tietosuojasääntely pätee kaikkeen toimintaan EU-alueella. Sen osalta toimivaltainen viranomainen olisi taksivälitysyhtiön päätoimipaikan maan toimivaltainen tietosuojaviranomainen.”

Sauli Pahlman, Traficomin Kyberturvallisuuskeskuksen ylijohtaja.

Viro kielsi Yandexin taksipalvelun – Suomi ei

Yandexin taksipalvelu Yango lanseerattiin vuonna 2011 ja se aloitti toimintansa Suomessa vuonna 2018. Viranomaiset Virossa ja Liettuassa ovat olleet usean vuoden ajan taksipalvelun käyttäjistä keräämistä tiedoista ja niiden käytöstä huolissaan.

Tämän vuoden maaliskuun lopussa Viron hallitus ilmoitti estävänsä Yandexin taksipalvelujen tarjoamisen Virossa. Päätöstä perustellaan sillä, että tavoitteena on estää Venäjän turvallisuuspalvelua keräämästä ja käyttämästä tietoa virolaisista käyttäjistä.

Viron pääministeri Kaja Kallas kertoo Viron hallituksen verkkosivuilla, että Viro on myös ehdottanut EU:n määräämiä pakotteita Yandexille. Myös Latviassa kiellettiin Yandexin taksinvälityspalvelun toiminta tänä vuonna.

Jos Yandexin taksisovelluksen käyttäjätietoja siirtyy EU-alueelta sen ulkopuolelle, olisi valvovalla viranomaisella valvonnan paikka.

– Taksivälityspalvelun tarjoamiseen Suomessa ei sisälly lakisääteisiä kelpoisuusvaatimuksia, mutta tietosuojasääntely pätee kaikkeen toimintaan EU-alueella. Sen osalta toimivaltainen viranomainen olisi taksivälitysyhtiön päätoimipaikan maan toimivaltainen tietosuojaviranomainen, sanoo Sauli Pahlman.

Yandexin toimitusjohtaja Arkady Volozh ja Venäjän entinen pääministeri Dmitri Medvedev testasivat Yandexin kuljettajatonta automaattitaksia Moskovassa 2018. Kuva: EPA-EFE / Alexander Astafyev / Sputknik / Government Press Service / All Over Press.

Käyttäjistä kerätään dataa palvelimille Venäjällä ja Suomessa

Talouslehti Financial Times uutisoi maaliskuun lopussa, että Yandexin kehittämän, monissa sovelluksissa käytetyn komponentin avulla kerätään käyttäjätietoa ja siirretään Venäjällä ja Suomessa sijaitseville palvelimille. Huolena on, että dataa voidaan luovuttaa Venäjän viranomaisille näiden vaatiessa sitä. Se voisi antaa viranomaisille työkaluja käyttäjien seurantaan. Yandex kommentoi artikkelissa, että yksittäisiä käyttäjiä olisi käytännössä äärimmäisen vaikea identifioida käyttäjiä kerättyjen tietojen perusteella.

Komponenttia on käytetty Applen iOS- että Googlen Android-sovelluksissa. Kyseessä on sdk eli asennuspaketti nimeltä AppMetrica. Sovelluskehittäjä voi käyttää sitä monenlaisten sovellusten osana esimerkiksi keräämään käyttäjästä analytiikkatietoa, kuten sovellusten käyttöä sekä tietoa käyttäjän sijainnista ja laitteistosta. Vastaavan tyyppisiä komponentteja on myös muilla yhtiöillä, kuten Googlella. Käyttäjä ei kuitenkaan välttämättä tiedä, että Yandexin komponenttia käytetään käyttäjän puhelimelle asennetussa pelissä, viestisovelluksessa, tai paikannuspalvelussa.

Yhtiönä Yandex on ajautunut talousvaikeuksiin Venäjän hyökättyä Ukrainaan. Vaikka Yandex ei ole EU:n asettamien Venäjä-pakotteiden piirissä, lisättiin Yandexin johtaja Tigran Khudaverdyan maaliskuun puolivälissä EU:n pakotelistalle. Emoyhtiön digitaaliset mainostulot ovat kärsineet sodasta. Teknologiapakotteiden lisäksi yhtiön asemaa kuristaa ruplan pudonnut kurssi.

Yandexin PR-osasto ei vastannut Avun sähköpostitse lähettämään haastattelupyyntöön tätä juttua varten.

1 kommentti