Rikoksen rajat

Tämän päivän Hesarissa Petteri Järvinen kirjoittaa Vieraskynä-palstalla otsikolla Tietomurron yrityskin on rikos. (Linkki Petteri Järvisen kirjoitukseen Helsingin Sanomissa 27.4.2003 poistettu 9.7.2009, koska sitä ei ollut enää vapaasti luettavissa.) Juttu kritisoi ennakkotapausta (linkki KKO:n ennakkoratkaisuun poistettu 9.7.2009, koska se ei enää toiminut), jonka mukaan pelkkä porttiskannaus on jo rikos, josta voidaan tuomita mittaviin korvaksiin.

Kirjoituksessa Järvinen vertaa porttiskannausta autovarkauden yrittämiseen, josta tuskin ketää rangaistaan. Hän myös kysyy aiheellisesti, eikö pankin olisi joka tapauksessa varauduttava tietomurtoihin, mistä väistämättä aiheutuu kustannuksia.

Yhden porttiskannauksen, joita tulee varsinkin ulkomailta päivittäin muutenkin, ei luulisi voivan – ainakaan kun puhutaan pankin turvajärjestelyistä – johtaa rutiinitöitä laajempiin toimiin. Jos pankin turvajärjestelyt ovat todella sillä tasolla, että porttiskannaus antaa aihetta palkata konsultteja ja uusia järjestelmiä, on pankin asiakkaiden syytä todella huolestua.

Päätös on tietysti vielä harmillisempi ennakkotapauksena. Määritelmä tietomurron yrityksestä on nyt asetettu todella tiukaksi. Nykyisin, kun ohjelmistopohjaisia työasemakohtaisia palomuureja on käytössä kaikilla peruskäyttäjistä alkaen, tavallista verkkoliikennettä tulkitaan murtoyrityksiksi kovin heppoisin perustein, usein aivan nollatiedoilla. Vaikka väärin perustein ei ketään tuomittaisikaan, on silti ikävää joutua käymään oikeutta syyttömänä, turhista kustannuksista yhteiskunnalle puhumattakaan.

Porttiskannaus on mielestäni osittain verrattavissa tilanteeseen, jossa käyttäjä etsii tietoa www-sivuilta arvaillen polkua osoiteriviä muokkaamalla. Kovin monen www-palvelun tietoturva on sillä tasolla, että oikean rivin veikkaamalla kolahtaa kohdalle jättipotti – sivujen täysin suojaamaton www-pohjainen ylläpito. Vastuullinen kansalainen ilmoittaa löydöstään tietenkin verkkosivuston ylläpidolle. Vai ilmoittaako sittenkään? Voiko vahingossa tapahtunutta tietomurtoa pitää rikoksena? Miten osoittaa löydön tapahtuneen vahingossa? Miten manuaalinen osoitteiden kokeilu ja tehokkaampi ohjelmallinen skannaus eroavat käytännössä toisistaan?

Muutoksia

Siistin vähän etusivun ulkoasua (muut sivut seuraavat perässä) ja kokeilin samalla päivittää koodin taulukottomaksi XHTML:ksi, ihan vain opiskelumielessä. Hyvin onnistui, mielestäni, tosin testasin toiminnan vain Mozillalla ja IE:llä. Tuohon tyhjään oikeaan laitaan heitän sitten jossain vaiheessa vakioinfoa tms., jos tämä sisältö alkaa kasvaa ja muutenkin muotoutua selkeämmin.

Tekisi mieli kehittää näitä sivuja vähän muutenkin, mutta kun olen niiiiin laiska. Joku blogi-tyyppinen ratkaisu voisi olla kyllä ihan jännä, mutta en viitsi aloittaa jos en ole ihan varma jaksavani viikkoa pidempään. Lienee viisasta.