Panaman yhtyneet paperitehtaat

27.04.2016

Kimmo Kuokka

Mossack Fonsecan tietovuodosta eli ns. Panaman papereista on viime viikkoina keskusteltu varsin näyttävästi sekä toimitetussa että sosiaalisessa mediassa. Keskustelun pääpaino on ollut nimissä, joita Mossack Fonsecan asiakaslistalta löytyi.

Nimikohun taakse on osittain jäänyt itse tietomurto, jonka ansiosta sähköpostit ja dokumentit ovat toimittajien haltuun päätyneet. Jos yrityksen toimenkuva on lakimiespalvelujen tarjoaminen toisille yrityksille, niin näin äkkiseltään sitä kuvittelisi, että tietoturvaan olisi panostettu huolella. Totuus vaan ei voisi olla kauempana, sillä tietoturva-asiantuntijoiden raporttien perusteella Mossack Fonsecan tietoturva oli täysin retuperällä.

Mossack Fonseca oli rakentanut julkisen verkkopalvelunsa maailman yleisimmän julkaisujärjestelmän WordPressin päälle. Mossack Fonsecan WordPress hyödynsi useita komponentteja, joissa oli tunnettuja haavoittuvuuksia. Järjestelmään tunkeutuminen ei ole ollut triviaalia, sillä murrossa tarvittava skripti eli ohjelmakoodi on löydettävissä verkosta.

Reikäisen WordPress-alustan lisäksi Mossack Fonsecalla oli asiakkaille suunnattu extranet-palvelu, joka oli rakennettu Drupal-alustalle. Tämäkin järjestelmä oli unohdettu oman onnensa nojaan, toisin sanoen se oli vanhentunut ja täynnä tunnettuja haavoittuvuuksia.

Yhtiön hölmöily ei rajoittunut reikäisten julkaisujärjestelmien käyttöön, vaan umpihölmöjä ratkaisuja oli enemmänkin: WordPress-palvelin oli julkisessa verkossa ilman palomuurin turvaa, ja sähköpostipalvelin oli samassa verkossa sen kanssa. Kattavan artikkelin Mossack Fonsecan tietoturvaongelmista voi lukea esimerkiksi WordFencen sivuilta.

Kun länsi-eurooppalainen haluaa panamalaisen lakimiesfirman asiakkaaksi, on hänen motiivinsa lähes varmuudella omaisuuden kätkeminen. Mitä enemmän tapausta pohtii, sen todennäköisemmältä alkaa vaikuttaa teoria, että tiedot ikään kuin haluttiinkin vuotaa julkisuuteen. Tämän tason tietoturvattomuutta ei voi vahingossa syntyä.

En tunne Panaman tietoturvaosaamista sen paremmin, mutta esimerkiksi Suomessa kuka tahansa kadunmies saa turvallisemman tietojärjestelmän, jos menee sokkona ostamaan yritykselleen ”kotisivut” ja ”sähköpostit”. Mossack Fonseca on julkisuudessa kieltänyt syväkurkkuväitteet ja puhunut yksinomaan tietomurrosta. Jos kyseessä tosiaan on murto, niin joku oli käynyt avaamassa kaikki ovet ja katsonut toisaalle, vaikka ei olisi tietoja suoraan eteenpäin luovuttanutkaan.

Viestinnällisesti tapaus on noudattanut mediasodankäynnistä tuttua kaavaa. Länsimainen media nosti välittömästi Putinin kuvan tietovuodosta kertovien artikkelien yhteyteen, vaikka Putinin nimeä ei listoilta suoraan löytynyt. Venäjällä asia kuitattiin lähinnä länsimaisena propagandana. Konkreettisia seuraamuksia syntyi muun muassa Islannissa, jossa pääministeri Sigmundur David Gunnlaugsson siirtyi sivuun tehtävistään.

Vaikka kaikki medialle toimitetut dokumentit julkistettaisiinkin kokonaisuudessaan, niin senkään jälkeen ei ole tiedossa, oliko aineistoa käpälöity ennen sen lähettämistä medialle. Salaliittoteorioiden ystävillä riittää työnsarkaa, kun he pyrkivät todistamaan, kenen asiaa tietovuoto nykyisellään eniten tukee. Tapauksen masinoijaa on etsitty sekä idästä että lännestä.

Toistaiseksi tapauksesta on eniten hyötynyt media, joka tekee tietomurrolla rahaa laatimalla aineiston pohjalta kohuartikkeleita massoille. Täydellinen lista asiakirjoissa mainituista yrityksistä on luvattu julkistaa toukokuun alussa, joten tuolloin on odotettavissa jälleen runsaasti Panaman papereihin liittyvää lööppimateriaalia.


Piditkö tästä artikkelista? Saattaisit pitää myös näistä:

Seitsemän teesiä uudelle tietoyhteiskunnalle“Tietoyhteiskunta-akatemian päätöspäivänä julkaistiin seitsemän teesiä uudelle tietoyhteiskunnalle.”

Data ja luottamus“Datan merkityksen kasvaessa kansalaisista on tullut myös kriittisempiä, tiedostavampia ja varovaisempia.”

Äiti reissutöissä Harjutorin saunassa – ja muita Google-hakujen kummallisuuksia“Tutkimattomat ovat googlaajan tiet.”

 

Kuva: Flickr-käyttäjä torbakhopper (Creative Commons)

Tilaa Kaiku Helsingin uutiskirje:

TILAA