Jollain naapurillamme on täysin suojaamaton langaton verkko. Päädyin surffaamaan väärällä yhteydellä ihan vahingossa, kun valitsin verkkolistalta väärän verkon ja DHCP jakeli minulle kyselemättä IP-osoitteen. Sen verran viivyin verkossa, että ehdin selvittää ulkoisen ip-osoitteen. Mitähän tällaisessa tapauksessa pitäisi tehdä? Yrittää ilmoittaa operaattorin kautta asianomaiselle vai vaieta tietomurtosyytteiden pelossa?
Rikoksen rajat
Tämän päivän Hesarissa Petteri Järvinen kirjoittaa Vieraskynä-palstalla otsikolla Tietomurron yrityskin on rikos. (Linkki Petteri Järvisen kirjoitukseen Helsingin Sanomissa 27.4.2003 poistettu 9.7.2009, koska sitä ei ollut enää vapaasti luettavissa.) Juttu kritisoi ennakkotapausta (linkki KKO:n ennakkoratkaisuun poistettu 9.7.2009, koska se ei enää toiminut), jonka mukaan pelkkä porttiskannaus on jo rikos, josta voidaan tuomita mittaviin korvaksiin.
Kirjoituksessa Järvinen vertaa porttiskannausta autovarkauden yrittämiseen, josta tuskin ketää rangaistaan. Hän myös kysyy aiheellisesti, eikö pankin olisi joka tapauksessa varauduttava tietomurtoihin, mistä väistämättä aiheutuu kustannuksia.
Yhden porttiskannauksen, joita tulee varsinkin ulkomailta päivittäin muutenkin, ei luulisi voivan – ainakaan kun puhutaan pankin turvajärjestelyistä – johtaa rutiinitöitä laajempiin toimiin. Jos pankin turvajärjestelyt ovat todella sillä tasolla, että porttiskannaus antaa aihetta palkata konsultteja ja uusia järjestelmiä, on pankin asiakkaiden syytä todella huolestua.
Päätös on tietysti vielä harmillisempi ennakkotapauksena. Määritelmä tietomurron yrityksestä on nyt asetettu todella tiukaksi. Nykyisin, kun ohjelmistopohjaisia työasemakohtaisia palomuureja on käytössä kaikilla peruskäyttäjistä alkaen, tavallista verkkoliikennettä tulkitaan murtoyrityksiksi kovin heppoisin perustein, usein aivan nollatiedoilla. Vaikka väärin perustein ei ketään tuomittaisikaan, on silti ikävää joutua käymään oikeutta syyttömänä, turhista kustannuksista yhteiskunnalle puhumattakaan.
Porttiskannaus on mielestäni osittain verrattavissa tilanteeseen, jossa käyttäjä etsii tietoa www-sivuilta arvaillen polkua osoiteriviä muokkaamalla. Kovin monen www-palvelun tietoturva on sillä tasolla, että oikean rivin veikkaamalla kolahtaa kohdalle jättipotti – sivujen täysin suojaamaton www-pohjainen ylläpito. Vastuullinen kansalainen ilmoittaa löydöstään tietenkin verkkosivuston ylläpidolle. Vai ilmoittaako sittenkään? Voiko vahingossa tapahtunutta tietomurtoa pitää rikoksena? Miten osoittaa löydön tapahtuneen vahingossa? Miten manuaalinen osoitteiden kokeilu ja tehokkaampi ohjelmallinen skannaus eroavat käytännössä toisistaan?