Tulostusversio

1/2010

Sähköiset palvelut: Teleyritysten kerrottava uhista

Teksti: Jarkko Saarimäki

Ruotsin puolustusvoimien radiolaitoksella (FRA) on ollut viime joulukuusta alkaen mahdollisuus seurata Suomesta Ruotsin kautta ulkomaille suuntautuvaa sähköistä viestintää maanpuolustustarkoituksessa. Aiempaa suurempi osa Suomesta lähtevästä viestinnästä voi joutua tiedustelutoiminnan piiriin.

Sähköisen viestinnän seuraaminen eli signaalitiedustelu perustuu Ruotsissa viime vuoden lokakuussa vahvistettuun, FRA-laiksi ristittyyn säännökseen. Sillä annettiin Ruotsin puolustusvoimien radiolaitokselle oikeus kohdistaa tiedustelutoimia myös Ruotsin rajat kiinteässä verkossa ylittävään sähköiseen viestintään. Radiolaitoksella oli jo aikaisemmin oikeus seurata rajat ylittäviä radiolähetteitä.

Merkittävä osa Suomesta ulkomaille menevästä tietoliikenteestä kulkee Ruotsin kautta. Näin ollen FRA-laki vaikuttaa myös suomalaisiin teleyrityksiin ja niiden asiakkaisiin.

Ilmoitus asiakkaille

Suomessa sähköisen viestinnän tietosuojalain mukaan teleyrityksen on huolehdittava palvelunsa tietoturvasta. Jos tietoturvatilanteeseen vaikuttaa erityinen uhka, siitä on ilmoitettava palvelun tilaajille.

Ilmoitusvelvollisuus perustuu lain 21 pykälään. Viestintäviraston ilmoitusvelvollisuudesta antaman määräyksen mukaan erityisestä uhkasta on tiedotettava viipymättä teleyrityksen nettisivuilla tai muulla tarkoituksenmukaisella tavalla. Samalla teleyrityksen on kerrottava tilaajan ja käyttäjän käytettävissä olevista toimenpiteistä ja niiden todennäköisistä kustannuksista.

Ilmoitusvelvollisuus turvaa asiakkaiden oikeuden tietää omaan tietoturvaansa ja palvelun käytettävyyteen oleellisesti vaikuttavista seikoista. Samalla he saavat tietoa keinoista, joilla havaittuja uhkia on mahdollista poistaa.

Teleyrityksen on ilmoitettava tunnistamistaan palveluihinsa kohdistuvista tietoturvauhkista myös Viestintävirastolle. Näin ilmoitusvelvoitteen valvonta helpottuu, ja Viestintävirasto saa paremmin tietoa verkkojen toimivuudesta ja tietoturvan ilmiöistä ja ongelmista.

Ulkomailla käyvät palvelut ongelmallisia

Teleyrityksen velvollisuus huolehtia palvelujensa tietoturvasta koskee myös ulkomailla toteutettavia palveluja. Tällaisesta on kyse esimerkiksi suomalaisille tarjottavassa sähköpostipalvelussa, jonka palvelimet sijaitsevat Suomen ulkopuolella.

Osittain ulkomailla toteuttavissa palveluissa teleyritysten mahdollisuudet huolehtia tietoturvasta ovat kuitenkin rajalliset. Tietoturvatoimenpiteitä voi rajoittaa esimerkiksi toteutusmaassa harjoitettava tiedustelutoiminta tai siellä sovellettava pakottava lainsäädäntö, jolla annetaan kolmansille tahoille mahdollisuus päästä käsiksi viestintään. Tällainen tilanne on kysymyksessä esimerkiksi viestinnässä, jota Ruotsin radiolaitos seuraa.

Teleyritysten ilmoitusvelvollisuuden merkitys korostuu, kun on kyse toisen valtion alueella toteutettavista palveluista. Tällaisten palveluiden käyttäjät eivät välttämättä aina tiedosta sitä, että heidän toiselle suomalaiselle lähettämänsä viesti voi joutua jonkin muun valtion tiedustelutoiminnan piiriin.

Käyttäjille on tiedotettava, jos suomalaisten välinen viestintä tai sen tunnistamistiedot käyvät viestinnän luottamuksellisuutta rajoittavan valtion alueella. Vastaavasti on ilmoitettava, jos suomalaisten teleyritysten viestintäverkkojen välisen liikenteen vaihtaminen toteutetaan tällaisen valtion alueella. Ilmoitus on tehtävä myös silloin, kun liikenne palveluun tai vaihtopisteeseen kulkee tällaisen valtion läpi. Ilmoitusvelvollisuuden muodostumisen edellytyksenä on kuitenkin se, että teleyritys ei pysty omilla toimillaan poistamaan kaikkia ulkomailla toteuttavaan palveluunsa kohdistuvia tietoturvauhkia.

Ilmoitusvelvollisuus koskee myös palvelun tietoturvatilanteen merkittäviä muutoksia.

Suomen rajojen ulkopuolella siirrettävään tietoliikenteeseen kohdistuva tiedustelu on otettu huomioon myös Viestintäviraston määräyksessä tietoturvailmoituksista. Uudistettu määräys tuli voimaan tämän vuonden alussa.

Määräyksessä korostetaan erityisesti edellä kuvattua teleyritysten velvollisuutta tiedottaa asiakkailleen ulkomailla toteutettaviin, suomalaisille asiakkaille tarjottaviin palveluihin kohdistuvista tietoturvauhkista.

Turvallisia palveluja ulkomaillakin

Palvelun toteuttaminen ulkomailla ei kuitenkaan välttämättä tarkoita sitä, että palveluun kohdistuisi jokin tietoturvauhka. Teleyritys voi tietyissä tilanteissa huolehtia palvelunsa tietoturvasta esimerkiksi salakirjoittamalla ulkomailla välitettävän liikenteen. Liikenteen salaamisella voidaan välttää ainakin osa niistä rajoituksista, joita paikallinen lainsäädäntö voi asettaa viestinnän luottamuksellisuudelle.

Teleyrityksen mahdollisuudet salata liikenne riippuvat kuitenkin kyseisen valtion lainsäädännöstä. Laki voi esimerkiksi velvoittaa teleyrityksen purkamaan salauksen, jos tiedustelutoimintaa suorittava taho sitä vaatii.

Tiedustelua useissa maissa

Ruotsin FRA-lain saamasta julkisuudesta huolimatta on muistettava, että myös useiden muiden valtioiden arvioidaan harjoittavan vastaavaa tiedustelutoimintaa. Usein esimerkkinä käytetään Yhdysvaltojen, Kanadan, Australian, Ison-Britannian ja Uuden-Seelannin tiedusteluyhteistyötä. Vastaavasti on esitetty väitteitä Venäjän viestintään kohdistamista tiedustelutoimista. Eri yhteenliittymien suorittamasta tiedustelutoiminnasta tai siinä käsitellyistä tietoaineistoista ei ole kuitenkaan saatavissa juurikaan virallisia tietoja.

Kun muiden valtioiden tiedustelu otetaan huomioon, voidaankin Ruotsin FRA-lain ehkä merkittävimpänä vaikutuksena suomalaisten viestinnän luottamuksellisuudelle pitää sitä, että aiempaa suurempi osa Suomesta lähtevästä viestinnästä joutuu tiedustelutoiminnan piiriin.

Vastaavasti muiden maiden harjoittama tiedustelu saattaa viedä pohjaa viestinnän luottamuksellisuuden takaamiseen tähtääviltä toimenpiteiltä, jotka on suunnattu ainoastaan Ruotsin signaalitiedustelua vastaan. 

----

[KIRJOITTAJA]

Jarkko Saarimäki toimii kehityspäällikkönä Viestintävirastossa.

Lue myös

Sähköiset palvelut: Teleyritys ei vastaa ulkomaisista palveluista »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.