© Olavi Kanervisto & Tietotila Oy 1999

Minä, tietokonerikollinen?

EDUSKUNTA SAI TOUKOKUUSSA käsiteltäväkseen hallituksen esityksen rikoslain muuttamiseksi. Sen mukaan "vaaran aiheuttamisesta tietojenkäsittelylle" saatetaan tuomita jopa kaksi vuotta vankeutta.

Myös "tietokonevirusten valmistuksesta ja levittämisestä" voidaan rangaista (jos syyllinen löydetään). Tietokoneviruksella tarkoitetaan uuden lain mukaan "tietojenkäsittelylle tai tieto- ja telejärjestelmän toiminnalle haittaa aiheuttamaan tai sellaisen järjestelmän sisältämiä tietoja tai ohjelmistoja vahingoittamaan suunniteltua tietokoneohjelmaa tai ohjelmakäskyjen sarjaa."

Tämä määritelmä jättäisi suurimman osan tunnetuista viruksista rangaistavuuden ulkopuolelle. Siksi lain perusteluissa laajennettiin tietokoneviruksen käsitettä kattamaan myös kaikki "tuholaisohjelmat", kuten Troijan hevoset sekä luottamuksellisia tietoja kuten salasanoja kaappaavat ohjelmat, jotka eivät kykene itsenäisesti leviämään tietokoneesta toiseen. Suomen laki kutsuu siis nyt näitäkin tietokoneviruksiksi.

Lähetekeskustelussa puheenvuoroja käyttäneet kansanedustajat valittivat, että he eivät ymmärtäneet, mitä ovat päättämässä. Eipä ihmekään, kun lain valmistelussa peruskäsitteetkin oli näin käännetty päälaelleen.

Voimassa olevan lainsäädännön mukaan vahingonteko, kuten tietovälineelle tallennetun tiedon oikeudeton hävittäminen, turmeleminen tai kätkeminen voi tuottaa tekijälleen jopa neljä vuotta vankeutta. Myös tietokonevirus voidaan katsoa vahingontekovälineeksi. Vanhan lain mukaan saattaa siis saada puolta ankaramman rangaistuksen.

UUSI LAKI KIELTÄÄ paitsi virusohjelman valmistamisen, myös lain tarkoittaman ohjelmakäskyjen sarjan "asettamisen saataville".

Vuosi sitten, tämän lehden numerossa 5/98 julkistin laatimani "ohjelmakäskyjen sarjan", jonka avulla tietokoneen kiintolevyltä pyyhitään peruuttamattomasti sekä "poistetut" ohjelmat että käyttäjän omat tiedostotkin. Ohje on yhä esillä internetissä.

Tämän "viruksen" käyttämisen jälkeen mitään muistissa olleita tiedostoja ja ohjelmia ei pystytä enää palauttamaan, kuten käyttöjärjestelmän DEL- ja ERASE-komentojen tai Windows-roskakorin tyhjentämisen jälkeen on mahdollista tehdä.

Syy pyyhintäohjeen julkaisemiseen oli se, että Microsoftin käyttöjärjestelmistä puuttuvat välineet kiintolevyn täydelliseksi tyhjentämiseksi. Kun laite vaihtaa omistajaa, entinen haltija ei ehkä halua ostamiensa ohjelmien ja henkilökohtaisten asiakirjojensa kopioiden joutuvan korvauksetta uuden käyttäjän haltuun.

Tulee olemaan mielenkiintoista nähdä, vaativatko viranomaiset minua kohta poistamaan tuon "tuho-ohjelman" rakennusohjeen verkkosivuiltani. Otan tuon riskin luottaen siihen, että sitten sotasyyllisyys- ja asekätkentäjuttujen Suomessa ei ketään ole tuomittu teosta, joka ei sen suoritushetkellä ollut rangaistava.

JOS OLISIN JURISTI, haluaisin selvittää, voitaisiinko uuden lain perustella syyttää Microsoftin ohjelmien jälleenmyyjiä. Internet-selaimet yhdessä käyttöjärjestelmän tiedostonhallinnan toimintatavan kanssa vaarantavat ehkä lain tarkoittamalla tavalla tietojenkäsittelyä mahdollistamalla luottamuksellisten tietojen, kuten internet-pankkiyhteyksien helpon kopioinnin tietokoneen kiintolevyltä. Maksuliikennetiedothan tallentuvat yhteyden aikana levylle mm. selaimen ns. välimuistiin tilapäistiedostoina, joiden olemassa olosta tavallisella käyttäjällä ei ole aavistustakaan.

Microsoftin Word-tekstinkäsittelyohjelma mahdollistaa viruksen tapaan toimivien, itsestään leviävien makro-osien tallentumisen käyttäjän tekstitiedostoihin. Microsoft Office -toimisto-ohjelmapakettiin kuuluu myös "Troijan hevos"-osia, jotka saattaisivat vastata Suomen lain uutta "virus"-määritelmää.

Mitä tarkoitusta varten Excel 97:n solusta X97, L97 löytyy lentosimulaattori? Vastanneeko tämän "pääsiäismunan" käynnistyminen vahingossa uuden lain määritelmää tietojärjestelmän toiminnan haittaamisesta?

Entä Word-kirjoitusohjelmaan sisältyvä "Word 97 Pinball" -fortunapeli? Ainakin yritykset, joiden työntekijät ovat oppineet ohjelmansa niin hyvin että löytävät tuon pelin, voisivat oikeutetusti väittää sen haittaavan tietojenkäsittelyä — tai ainakin tuhlaavan työaikaa. (Tai tuskin sentään — Word 97 Pinball on kaikista vuosien varrella näkemistäni flippereistä ulkoasultaan karuin ja pelattavuudeltaan surkein.) Mutta mahdollisia syytetoimia ajatellen sen laatijoiden nimilista rullaa ruudun oikeassa puoliskossa kuin Hollywood-filmissä ikään.

VIIME NUMEROSSA julkaistu "Töyssyjä tiedon valtatiellä" toi tavallista enemmän palautetta. Yksi viestin lähettäjä kertoi luopuneensa Soneraplaza-aloitussivusta siksi, että ei halua maanantaisin nähdä kolmen päivän vanhoja "uutisia". Sama henkilö ilmoitti myös, että Soneran verkkosivuista ilmaiseksi laadittava (www.cast.org/bobby) "Bobby"-yhteensopivuusvirhetarkistuslista on paperille tulostettuna 25 liuskan pituinen!

Toinen kirjoitusta kommentoineista huomautti, että tekstissä mainittuja 38.400 bps modeemeita ei ole olemassakaan, ja mikäli ilmoitettu nopeus olisi todellinen, 100 kilotavun www-sivu siirtyisi verkosta jopa 20 sekunnissa toteamani 45 sekunnin sijasta.

Tiedän, että tuo uuden Explorer-selaimeni ilmoittama siirtonopeus ei pidä paikkaansa. Ostin modeemini aikoinaan 33.000 bps -nopeuksisena, joksi Windows95 sen myös tunnisti, vaikka ilmoittikin tiedonsiirron nopeudeksi 56.000 bps.

Päivitettyäni Windows98-versioon uusi käyttöjärjestelmä tunnisti saman laitteen vain 28.800 bps nopeuksiseksi ja alkoi näyttää (pakatun?) tiedonsiirron enimmäisnopeutena tuota mainittua 38.400-lukemaa. Uusin Windows siis "hidasti" modeemiani laskentatavasta riippuen 4.200 tai tai 17.600 bps verran.

Explorer-selaimen ilmoittamalla teoreettisella nopeudella ei liene vaikutusta www-sivujen vastaanottoaikaan. Mutta eikö internet-yhteysnopeuden tämänkaltainen huonontaminen ohjelmapäivityksellä saattaisi täyttää uuden rikoslain määrittämät rangaistavuuden edellytykset "haittaamalla tai vahingoittamalla tietojärjestelmän toimintaa"?