Tulostusversio

3/2009

Lex Nokia lisäsi tietoturvakeinoja

Teksti: Jarkko Saarimäki

Sähköisen viestinnän tietosuojalain muutos leimautui julkisessa keskustelussa pääasiassa yhteisötilaajan tunnistamistietojen käsittelyoikeuksia laajentavaksi hankkeeksi. Lainmuutoksella kuitenkin myös saatettiin viestintäverkkojen ja -palvelujen ylläpitäjien tietoturvakeinojen valikoima nykyvaatimusten tasolle.

Sähköisen viestinnän tietosuojalain muutos tuli voimaan kesäkuussa. Tunnistamistietojen käsittelyoikeuksien lisäksi muutos koski myös lain 20 pykälää tietoturvatoimenpiteistä. Säännöstä muutettiin, jotta se vastaisi paremmin teleyritysten, lisäarvopalvelun tarjoajien ja yhteisötilaajien tarpeita.

Tietoturvasäännöstä valmisteltaessa otettiin huomioon yhteiskunnan elintärkeiden toimintojen kiinteä riippuvuus viestintäverkoista, viestintäpalveluista ja tietojärjestelmistä. Kriittisen infrastruktuurin suojaamiseen kuuluu olennaisesti myös sähköisten tieto- ja viestintäjärjestelmien toiminnan varmistaminen. Tietoturvauhkien haittavaikutukset on pystyttävä minimoimaan Suomessa suoritettavilla toimenpiteillä, sillä ulkomaisiin toimijoihin ja järjestelmiin voidaan vaikuttaa vain rajallisesti.

Häiriöiden torjumiseksi

Lain mukaan teleyrityksillä, lisäarvopalvelun tarjoajilla ja yhteisötilaajilla sekä niiden lukuun toimivilla on oikeus ryhtyä laissa tarkemmin määriteltyihin välttämättömiin toimiin tietoturvasta huolehtimiseksi.

Käsittelyyn oikeutetut toimijat saavat ryhtyä tietoturvatoimenpiteisiin kolmessa laissa määritellyssä tilanteessa.

Ensinnäkin toimenpiteisiin voidaan ryhtyä viestintäverkkojen tai niihin liitettyjen palvelujen tietoturvalle haittaa aiheuttavien häiriöiden havaitsemiseksi, estämiseksi, selvittämiseksi ja esitutkintaan saattamiseksi.

Haittaa aiheuttavia häiriöitä ovat esimerkiksi haittaohjelmien laaja levittäminen, roskaposti, palvelunestohyökkäykset ja muut toimintakyvyn kannalta hyvin vakavat häiriöt. Tällainen häiriö voi olla myös viestintäverkon normaalin toiminnan häiriintyminen muilla tavoin, kuten esimerkiksi viestintäverkkoon tai -palveluun liitetyissä päätelaitteissa käsiteltävien tietojen oikeudeton muuttaminen tai tuhoaminen.

Viestinnän turvaamiseksi

Toinen toimenpiteet mahdollistava tilanne on viestin lähettäjän tai viestin vastaanottajan viestintämahdollisuuksien turvaaminen.

Tällä on haluttu korostaa palvelun käyttäjien kokeman palvelutason merkitystä. Esimerkiksi käyttäjän vastaanottamien roskapostiviestien määrä voi kasvaa niin suureksi, että hänen tosiasialliset viestintämahdollisuutensa estyvät kokonaan, vaikka viestien määrä ei vielä vaikuttaisikaan koko viestintäverkon tai -palvelun toimintaan.

Phishingin ehkäisemiseksi

Kolmantena tietoturvatoimenpiteet oikeuttavana tilanteena on viestintäpalvelujen kautta laajamittaisesti toteutettavien maksuvälinepetosten valmistelun ehkäiseminen.

Käytännössä säännös tulee sovellettavaksi verkkourkintatilanteissa (phishing), jossa suurelle käyttäjäjoukolle toimitetaan viestejä, joilla on tarkoitus urkkia vastaanottajien identiteetti- ja maksuvälinetietoja.

Manuaalinen käsittely poikkeus

Edellä kuvailluissa tilanteissa sallitut tietoturvatoimenpiteet määritellään laissa.

Sallittua on ensinnäkin viestin sisällön automaattinen analysointi. Analyysillä voidaan tunnistaa esimerkiksi haittaohjelmat ja roskapostit seuraamalla jatkuvasti saapuvia ja usein myös lähteviä viestejä.

Myös viestien välittämistä ja vastaanottamista voidaan automaattisesti estää tai rajoittaa. Tyypillisesti joudutaan estämään tai rajoittamaan automaattisessa analyysissä havaittuja roskapostiviestejä. Toinen yleinen tilanne on palveluun liitetystä, haittaohjelman saastuttamasta päätelaitteesta lähtevän viestinnän estäminen tai rajoittaminen.

Lisäksi viesteistä saa poistaa tietoturvaa vaarantavat haitalliset tietokoneohjelmat, eli tarkoituksellisesti ei-toivottuja tapahtumia tietojärjestelmissä aiheuttavat ohjelmat. Säännöksen perusteluiden mukaan poistamisoikeus koskee myös ei-toivottuja tapahtumia aiheuttavia käskyjä. Siten esimerkiksi haittaohjelmien ohjausliikenteen estäminen on säännöksen nojalla mahdollista.

Myös muiden edellä kuvattuihin toimenpiteisiin rinnastuvien teknisluonteisten tietoturvatoimenpiteiden suorittaminen on sallittua. Tällaisia voivat olla esimerkiksi tietyn liikennetyypin keinotekoinen hidastaminen tai tunnistamistietojen analysointi tieturvaa vaarantavien häiriöiden havaitsemiseksi.

Toimenpiteet on suoritettava automaattisen tietojenkäsittelyn avulla siten, että palvelussa välitettäviä viestejä käsittelee ”kone” eikä ihminen. Tosin poikkeustilanteissa tietyin edellytyksin viestin sisältö voidaan ottaa manuaalisesti käsiteltäväksi. Manuaalisesta käsittelystä on pääsääntöisesti kerrottava viestin lähettäjälle ja vastaanottajalle.

Tunnistamistiedoista epäselvyyttä

Tietoturvatoimenpiteiden suorittaminen edellyttää usein myös tunnistamistietojen käsittelemistä. Lainmuutoksen yhteydessä tehtiin tarkennus tietoturvasta huolehtimiseksi tapahtuvaa tunnistustietojen käsittelyoikeuteen.

Informatiiviseksi tarkoitettu tarkennus on kuitenkin aiheuttanut jonkin verran epäselvyyttä. Sen on pelätty rajoittavan toimijoiden mahdollisuuksia käsitellä tunnistamistietoja ainoastaan säännöksessä nimenomaisesti kuvatuilla tavoilla.

Viestintävirasto on antanut kannanoton asian selventämiseksi. Sen mukaan tietoturvatoimenpiteiden varsinaisen toteuttamisen vaatiman tunnistamistietojen käsittelyn lisäksi myös toimien valmistelemiseksi välttämätön käsittely on edelleen sallittua.

Pykälä uhan luonteen mukaan

Sähköisen viestinnän tietosuojalain muutosten tultua voimaan on keskusteltu tunnistamistietojen käsittelyperusteen lainvalinnasta. Epäselvää on ollut, milloin tunnistamistietoja käsitellään tietoturvasta huolehtimiseksi ja milloin taas väärinkäytösepäilyn selvittämiseksi.

Lain 9 § mahdollistaa tunnistamistietojen käsittelyn tietoturvasta huolehtimisen kannalta välttämättömien toimien suorittamiseksi ja valmistelemiseksi.

Lain 13 a – 13 k §:n säännökset puolestaan oikeuttavat yhteisötilaajan käsittelemään tunnistamistietoja maksullisen tietoyhteiskunnan palvelun, viestintäverkon tai viestintäpalvelun luvattoman käytön ja yrityssalaisuuksien paljastamisen selvittämiseksi.

Sovellettavaa säännöstä valittaessa voidaan karkeana ohjenuorana pitää sitä, että yhteisötilaajan oikeus käsitellä tunnistamistietoja tietoturvasta huolehtimiseksi koskee tilanteita, joissa tietoturva tai käyttäjien viestintämahdollisuudet ovat välittömästi uhattuina.

Väärinkäytössäännöksessä tarkoitetuissa tilanteissa tunnistamistietoja saisi käsitellä myös siinä tapauksessa, että tietoturvaan tai viestintämahdollisuuksiin kohdistuva uhka on välillinen.

Käytännön rajanveto välittömien ja välillisten uhkien välillä on tehtävä aina tapauskohtaisesti.

----

[KIRJOITTAJA]

Jarkko Saarimäki toimii lakimiehenä Viestintävirastossa.

Lue myös

Lex Nokia: Ketkä saavat toimia? »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.