Tulostusversio

3/2009

Sähköinen liiketoiminta: Toisen nimissä netissä

Teksti: Kirsi Castrén

Henkilöllisyyksien varastaminen verkossa yleistyy sähköisten palvelujen lisääntyessä. Poliisi ja lainsäätäjä kurovat umpeen etumatkaa, jonka teknologian nopea kehitys on antanut identiteettivarkaille.

Sähköisessä maailmassa on helppo esiintyä toisena. Esimerkiksi Facebookin kaltaisissa verkkoyhteisöissä tapahtuu melko usein identiteettivarkautta.

"Rikoslaissa on säädetty, että väärän tiedon antaminen viranomaiselle tai viranomaisen rekisteriin on kriminalisoitu, mutta yksityiselle henkilölle ei", toteaa ylitarkastaja Johanna Kari sisäministeriöstä.  

Verkkoyhteisöt ovat yksityisiä rekistereitä, eikä niissä toisen nimellä esiintyminen siis toistaiseksi ole rikos. 

Johanna Kari toimii puheenjohtajana sisäministeriön ohjelmassa, jossa tutkitaan identiteettivarkauksia, niiden ennaltaehkäisyn mahdollisuuksia ja lainsäädännön kehittämistarpeita. Kysymys, pitäisikö myös yksityiselle toisen nimellä esiintyminen kriminalisoida, on eräs pohdittavina olevista lakiuudistuksista.

Identiteettivarkauksista eniten poliisia työllistävät ansaitsemistarkoituksessa tehdyt tietojenkalastelut, joissa ostetaan tuotteita toisen nimissä esimerkiksi väärennetyn ajokortin ja väliaikaisen osoitteenmuutoksen avulla.

"Identiteettivarkausohjelman tarkoitus on jäsentää identiteettivarkauksien kokonaiskuvaa kansalaisen oikeusturvan kannalta," Kari kertoo.

"Yksityisyyden suoja on perustuslaillinen oikeus, ja pohdimme muun muassa, mikä on valtion tehtävä ja mitä ovat muut vastuuviranomaiset kansalaisten suojaamisessa identiteettivarkauksilta."  

Lainsäädäntötyö tulee olemaan pitkä urakka, hän uskoo.

"Aihe on laaja ja vaikea, etenkin juridis-teknisesti. Myös oikeusministeriön lainsäädäntötyön tiukka aikataulu vaikuttaa siihen, miten nopeasti mahdolliset muutokset saavat lainvoiman."

Päivitykset kuntoon

Palveluntarjoajan vastuu asiakkaan suojaamiseksi tietoverkkorikollisuudelta kasvaa sitä mukaa, kun sähköiset palvelut monipuolistuvat. Ylitarkastaja Sari Kajantie keskusrikospoliisista muistuttaa sivustojen ylläpitäjiä varmistumaan siitä, että kaikki ohjelmistovalmistajien tarjoamat päivitykset on tehty ja että itse palvelussa ei ole haavoittuvuuksia.

"Nykyisin tässä ei enää juuri ole ongelmia. Tämän hetken haaste ovat hyökkäykset verkkopalvelun asiakkaan koneelle, jonka turvajärjestelyt eivät ole palveluntarjoajan hallussa", Kajantie sanoo.

Esimerkiksi pankkien palvelinten tietoturvaratkaisuissa on yleensä huomioitu, että asiakkaan pääte ei välttämättä ole riittävästi suojattu. Tämä on Kajantien mukaan selitys siihen, että Suomessa on vältytty maailmalla yleisiltä miljardiluokan huijauksilta pankkiasioinnissa.

Verkkohuijarien keinovalikoimaan kuuluvat muun muassa päätteelle asennettavat, näppäinpainalluksia tallentavat ohjelmat. Esimerkiksi Keski-Euroopassa ja USA:ssa, jossa pankkiasioinnin usein ainoana suojana ovat käyttäjätunnukset ja salasanat, on tällä konstilla päästy pitkälle.

Suomessa yleistyvät Kajantien mukaan istunnon kaappaukset, joissa tietokone otetaan haltuun ulkoapäin ilman, että käyttäjä on siitä tietoinen. Istunnon kaappaaminen on mahdollista Windows-käyttöjärjestelmän haavoittuvuuksien kautta.

Verkkosivujen ylläpidosta vastaaville on saatavilla ajantasaista tietoturvaohjeistusta Viestintävirastosta ja myös internetistä.

"Netissä hiukan surffaamalla löytyy esimerkiksi yhteisöjen verkkosivujen ja keskustelupalstojen ylläpitäjille paljon hyviä harrastelijoiden laatimia, mutta erittäin päteviä ja huolellisesti tehtyjä ohjeita esimerkiksi hakusanoilla 'php-security' tai 'bulletin board security'", Kajantie opastaa.

Valtuuksien puute hidastaa tutkintaa

Poliisin yhtenä ongelmana tietoverkkorikollisuuden tutkinnassa on Kajantien mukaan se, ettei henkilötietojen keruu sinänsä ole laitonta, vaan vasta niiden hyväksikäyttö. Esimerkiksi salasanojen ja käyttäjätunnusten keräämistä voidaan tutkia rikoksena vasta, kun on tietoa niiden tulevasta käytöstä vaikkapa maksuvälinepetokseen.

"Tietotekninen jälki, jonka avulla voi päästä rosmon jäljille, on olemassa vain silloin, kun tieto kaapataan. Silloin ei poliisilla kuitenkaan vielä ole toimivaltuuksia. Valtuuksia on vasta, kun rikos on tapahtunut, jolloin ei ole enää tietoteknistä jälkeä," Kajantie havainnollistaa.

Identiteettivarkausohjelman työryhmä harkitseekin ehdotettavaksi toisen henkilöllisyydellä esiintymisessä tarvittavan teknisen tiedon keräämisen kriminalisointia.

Toimivaltuuksien puuttuessa poliisi on kehittänyt uudenlaisen näkökulman tietoverkkorikosten torjuntaan.

"Rikollisten toimintaa pyritään vaikeuttamaan esimerkiksi hidastamalla heidän rahaliikennettään ja tekemällä siitä siten vähemmän kannattavaa", Kajantie kuvaa.

Palveluntarjoajan vastuuta selkeytetään

Valtioneuvoston vuoteen 2015 ulottuvassa sisäisen turvallisuuden ohjelmassa on yhtenä erityisalueena tietoverkkorikollisuuteen liittyvien riskien torjunta.

"Ohjelmassa kartoitetaan muun muassa keinoja, joilla verkkopalvelujen tarjoajien juridista vastuuta voitaisiin selkeyttää", kertoo ohjelman sihteeristön pääsihteeri Tarja Mankkinen

Sähköisen viestinnän tietosuojalaki velvoittaa viestintäpalvelun yhteisötilaajan huolehtimaan tietoturvasta. Henkilötietolaki vaatii palveluntarjoajaa suojaamaan palvelimella olevat henkilötiedot.

Se, mikä milloinkin on riittävä suojaus, ja milloin palveluntarjoajan voidaan katsoa laiminlyöneen suojausvelvoitteensa, ratkaistaan tapauskohtaisesti, kertoo tietotekniikkarikoksiin erikoistunut kihlakunnansyyttäjä Kukka-Maaria Kankaala.

"Lait pyritään, ja ne pitäisikin pyrkiä laatimaan tekniikkaneutraaleiksi siten, että kun uusia teknologioita tulevaisuudessa kehitetään, ne kantaisivat mahdollisimman pitkälle," hän sanoo.

Toisen verkkotunnuksia havitteleva syyllistyy todennäköisesti myös rikoslaissa määriteltyyn tietomurtoon. Tietomurtoasioiden parissa toimiva kihlakunnansyyttäjä Janne Kangas huomauttaa, että rikosnimikkeen ehdot täyttyvät, vaikkei tunnusten saamiseksi tarvitsisi ohittaa teknisiä suojauksia.

"Tietomurto toteutuu jo, kun mennään tietojärjestelmään toisen henkilön aiemmin antamalla salasanalla ilman salasanan omistajan lupaa."

"Etenkin nuorilla on tapana varomattomasti kertoa toisilleen esimerkiksi sähköpostinsa salasanoja," Kangas pahoittelee.

Viisaaseen nettikäytökseen

Valtiovarainministeriö on hiljattain osoittanut poliisille lisärahoitusta tietoverkkorikollisuuden torjuntaan sisäisen turvallisuuden ohjelman toimenpidepäätöksen mukaisesti. Viranomaisten keinot internetin uhkien hallinnassa ovat kuitenkin väistämättä rajalliset. 

"Poliisin johto on monesti tuonut esille, että netti on maailma, jota ei viranomaisvalvonnalla pystytä kontrolloimaan. Sivuston ylläpitäjien omavalvonta ja yhteistyö viranomaisten kanssa on siksi äärimmäisen tärkeää", Tarja Mankkinen toteaa.

"Jos ylläpitäjä havaitsee sivuilla ei-toivottua aineistoa, se tulee poistaa. Mikäli asiassa epäillään tapahtuneen rikos, siitä tulee ilmoittaa poliisille."   

Kuluttaja tekee viime kädessä itse päätöksensä siitä, miten toimii internetissä. Mankkinen ennakoi, että valistuskampanjat järkevästä nettikäyttäytymisestä tulevat yleistymään Suomessakin. 

"Myös internetin kohdalla on ryhdyttävä edistämään ihmisten omaa kontrollia ja tietoisuutta siitä, että netissäkään ei voi tehdä asioita, joita ei tekisi todellisessa maailmassa".

Lue myös

Sähköinen liiketoiminta: Yksityisyys säilyy yhteisössäkin »
Sähköinen liiketoiminta: Laki tuo Viestintävirastolle uutta valvottavaa »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.