Turvaluokiteltujen tietojen vuotaja tulee Puolustusvoimien sisältä

Suomessa jahdataan nyt kiivaasti sitä henkilöä tai niitä henkilöitä, jotka ovat saattaneet Suomen puolustushallinnon laatimia turvaluokiteltuja asiakirjoja Helsingin Sanomille ja sitä kautta julkisuuteen.

Vuodon tekijää jahtaavat sekä poliisiviranomaiset että lehdistö. Kuka oikein vuoti turvaluokitellut asiakirjat ja mistä syystä.

Yle kirjoitti eilen jutussa otsikolla ”Erittäin salaisia puolustusvoimien papereita vuoti lehdistöön – kaikista näistä varotoimista huolimatta” seuraavasti (Yle 19.12.2017):

”Asiantuntijat ovat melko varmoja, että valtionhallinnosta on vuodettu paperisia asiakirjoja. Hakkerin murtautuminen tietokoneelle vaikuttaa epätodennäköiseltä.”

Jutussa julkisen hallinnon digitaalisen turvallisuuden johtoryhmän (VAHTI) pääsihteeri Kimmo Rousku epäili, että sähköisessä muodossa olevaa tietoa ei olisi siirtynyt vääriin käsiin:

”Jos spekuloisin, niin arvelisin, että paperimuodossa olevat asiakirjat ovat jollain tavalla päätyneet väärään paikkaan. Kyllä tämä vaikuttaa tiettyihin asiakirjoihin liittyvältä yksittäiseltä tapaukselta.”

Kimmo Rouskulle tiedoksi, että asiakirjoja on ollut paljon ja varastaminen on ollut tiedostopohjallisesti järjestelmällistä, mutta todennäköisesti yhteen lyhyeen ajankohtaan sidottu.

VAHTI on valtiovarainministeriön alainen julkisen hallinnon digitaalisen turvallisuuden johtoryhmä, jonka tehtävä on toimia julkisen hallinnon digitaalisen turvallisuuden kehittämisestä ja ohjauksesta vastaavien organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä.

Myös Iltalehti epäili eilen, että salassa pidettävät asiakirjat olivat päätyneet Helsingin Sanomille paperimuodossa.

Toimittaja Olli Ainola kirjoitti eilen artikkelissa otsikolla ”Näkökulma: HS:n salaisten tietojen vuotaja ei voi olla hakkeri, tuskin myyräkään – kuka sitten? seuraavasti (Iltalehti 19.12.2017):

”Vuodon asiakirjat ovat noin kymmenen vuoden takaisia; näin on kerrottu. Tuolloin ja jo sitä ennen hakkereiden on ollut mahdoton päästä käsiksi TL1-turvaluokan eli erittäin salaisiin puolustusvoimien asiakirjoihin, sillä niitä ei saanut käsitellä elektronisesti lainkaan.

Paperiset asiakirjat on numeroitu ja niillä on ollut erikseen nimetyt vastaanottajat. Asiakirjaan tutustuminen on kuitattu henkilökohtaisella allekirjoituksella, jonka jälkeen se on pitänyt palauttaa asiakirjan tuoneelle kuriirille. TL 2-turvaluokan asiakirjoja on voitu lähettää elektronisesti, mutta vain puolustusvoimien suljetussa tietoverkossa.”

Ylen ja Iltalehden lisäksi väärässä oli myös eduskunnan puolustusvaliokunnan puheenjohtaja Ilkka Kanerva maanantaisessa A-studiossa, jossa hän epäili, ettei TLL I- ja TLL II -turvaluokan asiakirjoja saa ulos valtionhallinnosta helposti (Yle Areena 18.12.2017).

Nyt ollaan pahasti väärillä jäljillä, jos tutkinta keskittyy paperiasiakirjojen salassapitoon. Rikosjutun ratkaisu ei löydy sieltä.

Ratkaisu löytyy päinvastoin sähköisessä muodossa olevista asiakirjoista, niiden salaamisesta ja niiden vuotamisesta Helsingin Sanomille. Helsingin Sanomat on tässä asiassa vähäisessä sivuroolissa, eikä jutun ratkaisuun tarvita Helsingin Sanomia.

Keskusrikospoliisin tutkinnan tulee keskittyä niihin vuodettuihin sähköisiin asiakirjoihin, jotka ovat Puolustusvoimissa ja todennäköisemmin Viestikoelaitoksessa, jota nimeä Puolustusvoimien tiedusteluelin käytti vuoteen 2014 saakka. Kun kyse on sähköisistä asiakirjoista, myöskään digitaalista tietomurtoa ulkopuolelta ei voida lähtökohtaisesti sulkea pois.

                                                                                       ****

Helsingin Sanomien toimittajien Laura Halmisen ja Tuomas Pietiläisen laatimassa jutussa, joka löytyy vain netistä (HS 16.12.2017), on yksi kohta, joka paljastaa kaiken. Tuo kohta on esitetty tämän kirjoituksen kuvissa 1, 2 ja 3. Kuvat 2 ja 3, jotka on otettu MTV3:n lauantaisista kello 19.00 uutisista kuvakaappauksena, ovat selkeämpiä kuin kuva 1. Kuvassa 3 on esitetty TLL II-leima yksityiskohtaisemmin, joka on siis sekin alkuperin otettu Helsingin Sanomien jutusta.

Mitä voidaan päätellä tuosta Helsingin Sanomien käyttämässä asiakirjassa suoritetusta kuvakaappauskuvasta?

Aluksi se, että asiakirja on tehty tekstinkäsittelyohjelmalla, siis tietokoneella. Tekstinkäsittelyohjelma on Microsoftin Word. Myös muut Helsingin Sanomien kuvat heidän hallussaan olevista asiakirjoista vahvistavat, että salaiset asiakirjat tehdään sähköillä tekstinkäsittelyohjelmilla. Salaisiakaan asiakirjoja ei toki enää naputella vanhoilla mekaanisilla kirjoituskoneilla 1980-luvun tyyliin.

Paljastavaa kuvissa 1, 2 ja 3 on, että turvaleimassa, joka on siis myös tehty Wordilla, JulkL-tekstiosuuden alla on punainen aaltoviiva, mikä kuvaa Wordin oikoluvussa sanan kirjoitusvirhettä. JulkL on lyhennys julkisuuslaista, virallisemmin laista viranomaisten toiminnan julkisuudesta (21.5.1999/621).

Turvaleimassa on puolestaan vihreä aaltoviiva TLL II -tekstiosuuden alla samoin kuin turvaleiman alla olevassa -tiedustelukoneella -tekstiosuuden alla. TLL II tarkoittaa toiseksi korkeinta turvallisuusluokkaa, joka on kakkosluokka. Korkeimman ykkösluokan tunnus on TLL I.

Nuo punaiset ja vihreät aaltoviivat tekstien alla ovat koko selvitystyön ydin.

Ne kertovat, että:

• Oheinen asiakirja on joko toimitettu Word-muodossa Helsingin Sanomille tai vaihtoehtoisesti Word-asiakirjan ollessa tiekoneella auki näytössä, on näytöstä otettu kuvakaappaus tai kuvakaappauksia, toisin sanoen näyttökuvakaappauksia.

• Word-asiakirja on muodostettu ajankohtana, jolloin Word-tekstinkäsittelyohjelma kuvasi vielä oikoluvussaan havaitsemia oikeinkirjoitus- ja kielioppivirheitään vihreällä aaltoviivalla (TLL II -teksti ja tiedustelukoneella -teksti on alleviivautunut Wordin oikoluvussa vihreällä aaltoviivalla).

• Virheellisesti kirjoitettua sanaa Word edelleen alleviivaa punaisella aaltoviivalla (esim. JulkL-teksti), sen sijaan nykyisessä Wordissa oikeinkirjoitus- ja kielioppivirheitä Word ilmaisee sinisellä kaksoisviivauksella virheen alla, ei enää vihreällä aaltoviivalla.

On todennäköistä, että ne Helsingin Sanomien asiakirjat, jotka ovat etenkin TLL 2 -turvaluokissa, on toimittu Word-asiakirjoista kuvakaappauksia, ei Word-asiakirjoina. Word-asiakirjan kopiointi ja toimitus olisi ollut liian paljastavaa. Myös paperimuodossa asiakirjojen toimitus lienee mahdollista, jos paperikopio on tulostettu kuvakaappauksesta.

On todennäköistä, että salaisten asiakirjojen luovuttaja tai luovuttajat ovat työstäneet esimerkiksi kuvankäsittelyohjelmalla näyttökuvakaappausta ennen kuin se on lähetetty Helsingin Sanomille. Toisin sanoen, että kuvakaappaus on näyttänyt viralliselta asiakirjalta, mutta jossa kuitenkin on noita punaisia ja vihreitä aaltoviivoja osoittamassa, että vuodettu asiakirja on ollut Word-muotoinen.

Kun tekstissä on vihreää aaltoviivaa, on siitä pääteltävissä, mitä Word-tekstinkäsittelyversiota on käytetty.  Toisin sanoen, minä ajankohtana Puolustusvoimissa ja Viestikoelaitoksessa on käytetty sellaista Word-tekstinkäsittelyversiota, joka ilmoitti oikoluvun oikeinkirjoitus- ja kielioppivirheitään vihreällä aaltoviivalla. Nykyisissä docx-teksteissä oikeinkirjoitus- ja kielioppivirheet Word ilmoittaa sinisellä tuplaviivalla. En enää muista, milloin ohjelmissa vihreä aaltoviiva muuttui siniseksi tuplaviivaksi.

Word-versiot vuodesta 1997 ovat Word 97 (Word 8), Word 2000 (Word 9), Word XP (Word 2002 tai Word 10), Word 2003 (Word 11 tai Microsoft Office Word 2003), Word 2007, Word 2010 ja Word 2013.

                                                                                       ****

Tuo Word-dokumentti, jota toimittajat Laura Halminen ja Tuomas Pietiläinen ovat käyttäneet nettijutussaan, on Puolustusvoimien helposti tunnistettavissa. ”Venäjä tiedusteli harjoitusta ainakin IL-20 -tiedustelukoneella. Kone tukeutui harjoituksen aikana Kaliningradiin ja suoritti tiedustelulentoja Itämerellä” -tekstin avulla Word-asiakirjan ja sen sijainnin selvittäminen onnistuvat helposti Puolustusvoimissa.

Asiakirjan on laatinut todennäköisesti Viestikoelaitos 2000-luvun ensimmäisen vuosikymmenen puolivälin tienoilla. Teksti löytyy varmasti muutamassa sekunnissa siltä Puolustusvoimien tai Viestikoelaitoksen (nykyisin Viestikoekeskuksen) palvelimelta, jossa Puolustusvoimat säilyttävät Word-dokumenttejaan.

Jos Puolustusvoimilla on tietohallinta edes jollakin tavoin hallinnassa, mihin kyllä mikään ei anna viitteitä tällaisten asioiden tapahtuessa, niin tuon Word-dokumentin avulla Keskusrikospoliisi saa kaiken tiedon, mitä se tarvitsee vuotajan tai vuotajien paljastamiseksi, vaikka asiakirja lienee toimittu Helsingin Sanomille jo 2000-luvun ensimmäisen vuosikymmenen puolivälissä, tai tuolloin tiedot on ainakin varastettu. Helsingin Sanomat on todennäköisesti säilönyt saamiaan dokumentteja pitkään.

Asia on vielä helpompaa, jos Word-dokumentin salaukset ja avaaminen salasanalla ovat olleet kunnossa. Jos Puolustusvoimien tietohallinta on vähänkin jollakin tasolla etenkin salaisissa asiakirjoissa, sillä ei ole merkitystä, että 2000-luvun ensimmäisen vuosikymmenen puolivälissä käytössä olleet tietokonepäätteet ja ehkäpä palvelimet ovat jo poistettu käytöstä. Lokitiedot varmasti löytyvät helposti.

Mielenkiintoista on tietää, missä vaiheessa salaiseksi tulevien asiakirjojen Word-luonnoksia aletaan salata ja milloin asiakirjasta tulee juridisesti salainen. Vasta siinä vaiheessako, kun asiakirjassa on Word-muotoinen turvaleima?

Tuo edellä mainitun Word-asiakirjan tekijät, avaajat ja tallentajat siis selviävät helposti ja ehkäpä vuotaja on se, joka sitä on viimeksi avannut erillään muista tuon Word-dokumentin koneellensa, ottanut näyttökuvakaappauksia ja sulkenut Word-dokumentin ilman tallennusta. Joka tapauksessa tuo on tapahtunut jo kauan sitten.

Vuotaja on siis henkilö, joka on päässyt kiinni Word-muotoisiin dokumentteihin ja hän on ollut ”sähköisesti” siellä, missä dokumenttikin. Ainakin osa, jos ei kaikki Helsingin Sanomille toimitetuista asiakirjoissa ovat olleet kopioita papereista. Ainakin TLL II -asiakirjat on rosvottu Word-muodosta, sen sijaan TLL I -asiakirjat ovat ehkä olleet paperimuodossa. Lieneekö salauskäytäntö TLL I- ja TLL II -asiakirjoissa kovinkin erilainen siinä vaiheessa, kun asiakirjaa tehdään Word-muodossa?

Lopuksi tuli mieleen, kun Helsingin Sanomat jakaa noin selkeitä vinkkejä Word-toheloinnin kautta tekijästä, että haluaako lehti tuon Word-asian perusteella vuodon tekijän tai tekijät julkisuuteen?

                                                                                       ****

Lisäys 21.12.2017:

Asiakirjojen alkuperäinen vuotoajakohta ajoittunee 2000-luvun ensimmäisen vuosikymmenen puolivälin tienoille blogissa kerrotusti. Ehkäpä vuoteen 2008, jos asiakirjat on toimitettu kerralla.

Vuosikymmenen puolivälissä tapahtui muutakin Viestikoelaitoksen asioihin ja laitoksen asiakirjojen salassapitoon liittyen. Vuonna 2007 Yle uutisoi seuraavasti: ”Puolustusvoimat saa salata tärkeimmän tiedustelulaitoksensa, Ilmavoimien Viestikoelaitoksen yleisluonteisetkin tiedot, katsoo Korkein hallinto-oikeus” (Yle 9.4.2007).

Yle ei saanut Korkeimman hallinto-oikeuden päätöksen vuoksi pyytämiään tietoja Viestikoelaitoksesta.

Juttua Ylellä hoitivat toimittajat Ylen toimittajat Olli Ainola ja Ari Lehikoinen, jotka tekivät Ylelle Viestikoelaitosta käsittelevän jutun jo keväällä 2004 (23.4.2004), josta Yle kirjoitti ohjelmaesittelyn näin:

”Tikkakoski Jyväskylä. Havumetsä peittää kalliot, joiden uumeniin on louhittu Suomen armeijan salaisimmat sopukat. Tämän lähemmäksi kamera ei pääse. Tuolla jossain on ilmavoimien esikunta ja puolustusvoimien elektronisen sodankäynnin hermokeskus. Sen tärkein osa on huippuvarjeltu Viestikoelaitos.”

Oliko suurin osa Helsingin Sanomien haltuunsa saamista asiakirjoista ajankohdalta ennen Korkeimman hallinto-oikeuden päätöstä tai pian sen jälkeen vuoteen 2008 saakka tuo vuosi mukaan lukien, kun Yle yritti oikeusteitse saada tietoja Viestikoelaitoksesta noin vuotta aikaisemmin?

Ei ole näyttöä eikä edes epäilystä, että Ylelle tai sen toimittajille olisi jokin taho Viestintäkoelaitokselta toimittanut salaisia asiakirjoja vuosina 2004-2007, mutta toki vuoden 2004 Ylen televisio-ohjelma on voinut antaa sytykettä joillekin Viestikoelaitoksen henkilöille harrastaa ”avoimuutta”. Mikä sai Ylen aktivoitumaan Viestintäkoelaitokseen 2000-luvun ensimmäisen vuosikymmenen alkupuolella?

Osa Helsingin Sanomien tiedoista on vuodelta 2008 ja pääosa ennen tuota ajankohtaa ja siis ennen korkeimman hallinto-oikeuden päätöstä. Oliko Viestikoelaitokselta jokin henkilö pettynyt Korkeimman hallinto-oikeuden päätökseen ja antoi sen vuoksi tietoja julkisuuteen? Kulkivatko tiedot Helsingin Sanomiin suoraan vai välikäsien kautta?