Verkkoa selatessasi et välttämättä tule pohtineeksi sitä, että toimiasi seurataan jatkuvasti. Lähes jokainen verkkosivusto, jolla vierailet, kerää sinusta tietoa ja lähettää sitä eteenpäin. Näitä tietoja voidaan käyttää hyväksi esimerkiksi kohdennetussa mainonnassa.
Käyttäjien seuranta on noussut jälleen puheenaiheeksi sen jälkeen, kun Iltalehti otti käyttöön uuden evästekäytännön. Sen mukaan käyttäjän on joko pakko suostua seurantaan ja kohdennettuun mainontaan tai tehtävä maksullinen tilaus seurannan välttämiseksi. Jos kumpikaan vaihtoehto ei tunnu itselle sopivalta, käyttäjälle ei jää muuta vaihtoehtoa kuin olla vierailematta IL:n verkkosivuilla.
Aihe on herättänyt runsaasti keskustelua ja monet ovat olleet huolissaan yksityisyytensä puolesta. Esillä on ollut myös näkemyksiä, joiden mukaan käytäntö olisi tietosuoja-asetuksen (GDPR) vastainen. Käytännöstä tehtiinkin lyhyessä ajassa useita kanteluita tietosuojavaltuutetulle.
Mitä seurantaevästeet ovat?
Keskustelua seuratessa moni on saattanut jäädä pohtimaan, mitä nämä kohua herättäneet seurantaevästeet tarkalleen ottaen ovat ja mitä ne tekevät. Kysyimme asiasta liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen tietoturva-asiantuntijalta Tiina Ahposelta.
Tässä yhteydessä seurantaevästeillä tarkoitetaan sellaisia evästeitä ja niiden kaltaisia tekniikoita, joilla pyritään seuraamaan käyttäjän verkkokäyttäytymistä.
– Tämän tyyppisiä evästeitä käytetään yleisesti kohdennettuun mainontaan tai sitten sivuston kävijätietojen keräämiseen ja analysointiin, Tiina Ahponen kertoo Verkkouutisille.
Ensin mainittujen evästeiden avulla pyritään rakentamaan profiili käyttäjän kiinnostuksen kohteista ja näyttämään mainoksia, jotka vastaavat käyttäjän aiempaa toimintaa ja mahdollisia kiinnostuksenkohteita. Näitä ovat esimerkiksi aiemmin selatut sivustot, ostokset ja käytetyt hakusanat.
– Näillä myös mitataan mainonnan tehokkuutta (klikkauksia tai konversioita eli ostoja). Käytännössä kohdennettu mainonta perustuu yksilöllisiin tunnisteisiin, jota sitten jaetaan erilaisten mainosverkostojen kanssa. Näin käyttäjille voidaan näyttää kohdennettuja mainoksia myös muilla sivustoilla, Ahponen havainnollistaa.
Kävijätietojen keräämiseen käytetyillä evästeillä seurataan esimerkiksi sitä, miten käyttäjät käyttävät sivustoa. Kerättyä tietoa voi olla esimerkiksi se, mistä päin maailmaa käyttäjä tulee sivustolle ja kauanko hän viipyy sivustolla. Evästeet voivat kerätä tietoa myös siitä, mitä kautta henkilö saapuu sivustolle.
Joskus evästeiden avulla voidaan yltää hyvinkin tarkkaan seurantaan.
– Analytiikkaratkaisuja on monenlaisia. Kaikista laajimmilla seurantatyökaluilla sivuston käyttöanalytiikka voi olla erittäin yksityiskohtaista ja tarkkaa hiiren liikkeitä, vierityksiä ja sivunvaihtoja myöten, Ahponen kertoo.
Voivatko tiedot päätyä vääriin käsiin?
Evästeet voivat herättää huolta joissakin käyttäjissä. Onko niissä riskinä, että omia henkilökohtaisia tietoja voisi päätyä evästeiden kautta vääriin käsiin?
Ahponen huomauttaa, että evästeet itsessään eivät ole vaarallisia. Niiden suojaamaton käsittely tai väärinkäyttö voivat kuitenkin johtaa siihen, että henkilökohtaisia tietoja voisi vuotaa tai niitä käytettäisiin ilman lupaa.
Esimerkkinä hän kertoo tilanteen, jossa ulkopuolinen saisi haltuunsa käyttäjän jonkin sivuston istuntoevästeen. Ongelmia ilmenee siinä vaiheessa, jos ulkopuolinen taho pystyisi esittämään haltuunsa saaman evästeen sivustolle siten, että hän pääsisi kirjautumaan sen avulla sivustolle. Tällöin hän saisi haltuunsa myös käyttäjän tiedot kyseisellä sivustolla. Se taas riippuu sivuston luonteesta ja käyttötarkoituksesta, millaisia tietoja sivuille olisi tallennettu.
Kovin todennäköistä tai helppoa tällainen väärinkäyttö ei kuitenkaan olisi.
– Verkkosivustojen ylläpitäjät kuitenkin pääsääntöisesti toteuttavat tekniset suojatoimenpiteet, joilla tällaiset väärinkäytökset estetään, Ahponen kertoo.
Hänen mukaansa evästeisiin ja henkilökohtaisiin tietoihin liittyvä riski voisi muodostua myös evästeiden avulla kerätyn verkkokäyttäytymisdatan kautta.
– Jos joku pahantahtoinen taho pääsisi tähän dataan käsiksi esimerkiksi palveluntarjoajaan kohdistuneen tietomurron seurauksena, niin silloinhan käyttäjän verkkokäyttäytymisestä muodostuva mahdollisesti yksityiskohtainenkin profiili voisi myös joutua vääriin käsiin.
Asiantuntija pitää tietynlaisena riskinä yksityisyydelle myös sitä, että kolmansien osapuolien evästeiden osalta käyttäjän voi olla vaikea hahmottaa, mihin tiedot päätyvät tai mikä taho niitä käyttää.
Juuri kolmansien osapuolten evästeet ovat herättäneet huolta myös IL:n tapauksessa. Hyväksymällä kohdennetun seurannan käyttäjä antaa luvan tietojensa luovuttamiseen yhteensä 84 eri sovelluskumppanille. Luvan antaessaan moni käyttäjä ei tätä välttämättä ymmärrä, sillä selainkumppaneiden luettelo on löydettävissä vasta erillisen valikon takaa.
Seurantaa voi rajoittaa, mutta ei estää kokonaan
Lähes kaikki verkkosivustot keräävät jotain tietoa käyttäjästään. Onko se edes mahdollista, että verkon käyttäjä pystyisi suojautumaan kaikelta seurannalta?
Ahposen mukaan käyttäjän on hyvä kiinnittää verkkosivustoja selaillessaan huomiota siihen, millaisia valintoja evästemekanismit tarjoavat ja tutustua huolellisesti siihen mihin tarkoituksiin evästeitä käytetään.
– Käyttäjä voi pääsääntöisesti valita, että sallii vain välttämättömät evästeet tai päättää, mitä muita evästeitä hyväksyy. Evästeiden kautta tapahtuvaa seurantaa voi pyrkiä rajoittamaan, mutta koska erilaisia seurantatekniikoita on monia niin täydellinen suojautuminen voi olla haastavaa, hän kertoo.
Seurantaa voi rajoittaa useilla yksinkertaisilla toimenpiteillä. Ensimmäinen liittyy siihen, millaisella verkkoselaimella sivustoilla vierailee.
– Useimmissa selaimissa voi estää kolmansien osapuolien evästeiden käytön, jotkin selaimet tekevät tätä automaattisesti. Selaimiin on myös erikseen asennettavia lisäosia tai laajennuksia, jotka voivat estää mainos- ja seurantaskriptejä, Ahponen kertoo.
Toinen keino rajoittaa seurantaa on käyttää yksityistä selaustilaa. Se ei kuitenkaan tarkoita sitä, että sinusta ei kerättäisi mitään tietoja. VU on kertonut yksityiseen selaustilaan liittyvistä harhaluuloista tässä jutussa.
– Yksityinen selaustila estää evästeiden tallentumisen pidempiaikaisesti ja istuntotiedot poistuvat selaimen sulkemisen jälkeen, mutta yksityisen selaustilan käyttö ei estä verkkosivustoja keräämästä tietoja esimerkiksi IP-osoitteesta, Ahponen huomauttaa.
Hänen mukaansa selaimen välimuistin tyhjentäminen poistaa historiatiedot selailluista sivustoista, mutta ei välttämättä vielä varsinaisia evästeitä.
– Evästeiden poistamisen voi halutessaan tehdä yhtä lailla selaimen asetuksista tai asettaa selaimen tekemään tämän automaattisesti joka kerta, kun selaimen sulkee.
On kuitenkin hyvä huomioida, että poistamalla kaikki evästeet poistuvat myös mahdolliset pidempiaikaiset kirjautumisevästeet.
– Eli mikäli käyttää sivustoja, joihin haluaisi pysyä kirjautuneena pidempään, täytyy näihin sitten kirjautua uudelleen, Ahponen muistuttaa.
Edes VPN ei automaattisesti suojaa kaikelta
Kun puhutaan verkkoseurannalta suojautumisesta, usein puheeksi tulevat myös välityspalvelimet eli VPN-yhteydet. Silloin verkkoa käytetään erillisen välityspalvelimen kautta, jolloin verkkosivut eivät näe käyttäjän oikeaa IP-osoitetta tai sijaintia. VU on kertonut VPN-yhteyksistä aiemmin tässä jutussa.
Ahposen mukaan VPN-yhteys luo ylimääräisen suojauskerroksen verkkoliikenteelle, jos esimerkiksi käyttää avoimia tai vieraita langattomia verkkoja julkisilla paikoilla tai vaikkapa matkustaessa.
VPN-yhteys ei kuitenkaan automaattisesti tarkoita sitä, etteikö sinua silti voitaisi seurata.
– Käyttäjän on myös hyvä huomioida, että sivustoihin kirjautuneena oleminen esimerkiksi samojen sosiaalisen median tilien välityksellä yhdistää usein joitakin tietoja, kun samaa käyttäjätiliä käytetään useassa paikassa, Ahponen huomauttaa.
LUE MYÖS:
Vakoillaanko sähköpostiasi tai sometiliäsi? Nämä merkit paljastavat
Hölmöilitkö netissä? Näin helposti sinut voidaan jäljittää
Käytätkö vanhaa laitetta netissä? Virhe voi tulla kalliiksi