Yksityisyyden rakentaminen

Yhteiskunnan kasvavat yksityisyyshuolet ovat tehneet suunnitellusta yksityisyydestä (privacy by design) suositun lähestymistavan. Suunniteltu yksityisyys tarkoittaa, että suojaus suunnitellaan, toteutetaan ja integroidaan tuotteisiin ja palveluihin, jotta käyttäjien huolet helpottaisivat. Toistaiseksi on kuitenkin olemassa vain vähän kirjallisuutta siitä, miten tämä käytännössä tehdään tietojärjestelmissä.

Kun suunnitellaan yksityisyyden säilyttäviä järjestelmiä, pääperiaatteet ovat:

  • Minimoi luottamustarpeet: rajoita tarvetta luottaa muiden tahojen käytökseen arkaluontoisen tiedon käsittelyssä. Esim. elektronisten kansalaisaloitteiden tapauksessa kryptoprimitiivien käyttö poistaa käyttäjiltä tarpeen luottaa viranomaisiin käyttäjien identiteettien suojaamisessa.
  • Minimoi riski: rajoita tietovuodon todennäköisyyttä ja vaikutuksia. Esim. Tor-verkossa yhden Tor-reitittimen rämettäminen (compromising) ei paljasta arkaluontoista tietoa käyttäjän verkkoselaamisesta. Jos sisääntulosolmu (entry node) kaapataan, ei saada selville viestien varsinaista määränpäätä, vaan ainoastaan seuraava solmu. Jos taas ulosmenosolmu (exit node) kaapataan, ei saada selville, mistä viesti alun perin tuli, vaan ainoastaan edeltävä solmu.

Näiden periaatteiden toteuttamiseksi käytännössä pyritään minimoimaan:

  • kerääminen: rajoitetaan datan keräämistä ja varastointia;
  • paljastaminen: rajoitetaan tiedon virtaamista muille kuin niille, joita tiedot koskevat. Tämä koskee suoraa (varsinainen asia) ja epäsuoraa tietoa (tietokantakyselyt jne.);
  • replikointi: rajoitetaan dataa varastoivien tai käsittelevien tahojen määrää;
  • keskittäminen: vältetään yhden pisteen epäonnistumisia (single point of failure) järjestelmän yksityisyysominaisuuksien suhteen;
  • yhdistettävyys: rajoitetaan hyökkääjän mahdollisuuksia yhdistää dataa;
  • säilyttäminen: rajoitetaan datan säilytysaikaa.

Järjestelmästä tulisi ensimmäisenä tunnistaa karsittavat tietovirrat. Näitä ovat kaikki, joissa tieto kulkee muille kuin niille, joita tiedot koskevat. Tämän jälkeen tulisi miettiä, mikä on vähin määrä tietoa, jolla asiat voidaan toteuttaa. Tarpeettomien tietovirtojen karsimisessa voidaan käyttää esim. seuraavia keinoja:

  • Paikallisen tiedon käyttö: arkaluontoiset tiedot voidaan käsitellä käyttäjän laitteella ja siirtää vain lopputulos.
  • Tiedon salaus: tieto voidaan salata paikallisesti ja lähettää vain salattu tieto eteenpäin.
  • Yksityisyyden säilyttävien kryptoprotokollien käyttö: Jos dataa pitää myös käsitellä, se voidaan prosessoida paikallisesti jotakin yksityisyyden säilyttävää protokollaa käyttämällä ennen siirtämistä palveluun, jolloin tietojen paljastumista palvelussa voidaan vähentää.
  • Hämärryttäminen: data voidaan käsitellä paikallisesti erilaisin hämärrytysmenetelmin, esim. vähentää tarkkuutta tai lisätä kohinaa.
  • Anonymisointi: poistetaan datasta identifioiva tieto ja käytetään lähettämiseen anonyymia kanavaa.

On tärkeää myös arvioida yksityisyystekniikoiden vaikutus. Systemaattinen arviointi koostuu yleensä mekanismin mallintamisesta probabilistisena muunnoksena, eli tietynlaiset tulokset tietynlaisilla syötteillä ovat todennäköisempiä kuin toiset. Seuraavaksi määritetään uhkamalli, eli mitä hyökkääjä voi nähdä ja mitä hän tietää etukäteen. Kolmanneksi oletetaan, että hyökkääjä tuntee yksityisyysmekanismin ja mietitään, miten hän pyrkisi mitätöimään sitä. Tämä tehdään yleensä analysoimalla todennäköisyysjakaumia tai esim. koneoppimisen avulla lasketaan, mitä hyökkääjä voisi saada selville. Näistä saadaan todennäköisyysjakauma, josta nähdään, mitä hyökkääjä voisi saada selville kustakin syötteestä. Jakauman avulla hyökkääjällä olevaa paljastamiskykyä voidaan mitata.

Arkipäiväistä yksityisyyttä

Ehkäpä muistat GDPR-luvun esimerkistä kehotuksen hylätä nettisivujen tarjoamat evästeet aina, kun mahdollista. Kyseinen esimerkki ei kuitenkaan järin perustellut, miksi näin kannattaisi tehdä. Siispä käsitellään tässä yksityisyyden kannalta ehkäpä ongelmallisin evästetyyppi: kolmannen osapuolen seurantaevästeet (third-party tracking cookies). Tarkalleen ottaen ne ovat esimerkiksi mainosmyyjien (amazon-adsystem.com, doubleclick.net) evästeitä, jotka seuraavat käyttäjää verkkosivujen välillä.

Esimerkiksi, kun vierailemaasi verkkosivuun sisältyy mainosbanneri, ei sitä välttämättä ole tallennettu verkkosivulle vaan selaimesi hakee sen mainostajan sivulta, eli esimerkiksi amazon-adsystem.com:ista. Samalla mainostaja asettaa selaimeesi oman evästeensä. Mikäli nyt käyt jollakin toisella verkkosivulla, joka käyttää samaa mainostajaa, tämä pystyy evästeen avulla seuraamaan selaamistasi. Mainostaja saa siis tietää, millä verkkosivuilla vierailet ja esimerkiksi mitä tuotteita katselet verkkokaupassa. Näin se voi kohdentaa sinulle mainontaa muillakin verkkosivuilla. Ehkäpä kovimmat tarjoushaukat ovat vain mielissään siitä, että he saavat relevantteja mainoksia selaamiskäyttäytymisensä perusteella, mutta hintana on tällöin oma yksityisyys.

Monet verkkosivustot sisältävät “jaa”-painikkeita tai upotettua sisältöä eri sosiaalisen median alustoilta. Saman periaatteen mukaisesti kuin mainosbannerit, nämä elementit haetaan tarjoajiensa palvelimilta. Esimerkiksi uutissivustolle upotetut Facebook-julkaisut tai sosiaalisen jakamisen widgetit ladataan suoraan Facebookin palvelimilta. Samalla Facebook voi saada seurantateknologioidensa kautta tiedon siitä, että olet vieraillut kyseisellä sivulla. Vuoden 2026 alkuun saakka tämä koski myös Facebookin “Like”-painiketta. Sen jälkeen Meta on lopettanut näiden ulkoisten lisäosien tuen, mutta samankaltaisia seurantamekanismeja on edelleen olemassa muiden upotettujen sisältöjen kautta. Herää kysymys, tarvitseeko Facebookin tietää kenenkään verkkoselauksesta näin paljoa, mutta näinhän he toki tekevät rahansa: käyttäjätietoja hyödyntämällä ja myymällä.

On myös hyviä uutisia: kolmannen osapuolen seurantaevästeitä rajoitetaan yhä enemmän suurten selainvalmistajien toimesta. Firefox ja Safari estävät ne oletuksena (2023—), mikä rajoittaa merkittävästi sivustojen välistä seurantaa. Chromium-pohjaiset selaimet, kuten Chrome ja Microsoft Edge, etenevät varovaisemmin: ne sallivat edelleen kolmannen osapuolen evästeet, mutta tarjoavat käyttäjille hallintamahdollisuuksia ja seurannan estoon tarkoitettuja ominaisuuksia sekä kehittävät samalla vaihtoehtoisia, yksityisyyttä paremmin huomioivia teknologioita.

Uusia mainostenkohdennuksen teknologioita on toki kehitteillä, mutta näissä yksityisyys on otettu paremmin huomioon. Tästä huolimatta vaikuttaisi siltä, että jatkossakin luovutat itsestäsi enemmän tietoja hyväksymällä evästeet kuin hylkäämällä ne.

Vastaa kysymykseen.

Yksityisyyden säilyttäviä järjestelmiä suunniteltaessa voidaan noudattaa kuutta minimointimenettelyä. Ainakin kaksi niistä ovat kuitenkin sellaisia, etteivät ne vähennä samalla hetkellä olemassaolevien (suojattavien) databittien määrää. Mitkä ne ovat? Minimoi
Palautusta lähetetään...