Tulostusversio

4/2013

Urkinta: Näppäimilläkin on korvat

Teksti: Kirsi Castrén

Mitkä ovat verkonkäyttäjän mahdollisuudet parantaa viestintänsä turvaa?

CIA:n alihankkijan entisen työntekijän Edward Snowdenin paljastukset Yhdysvaltain laajoista vakoiluohjelmista osoittivat, etteivät sen enempää tavallinen netinkäyttäjä kuin valtionpäämiehetkään ole turvassa urkinnalta. Tuorein skandaali on kotimaasta: ulkoministeriön tietoverkkoa vakoiltiin vuosien ajan haittaohjelman avulla.

Viestintävirasto selvitti vastikään teleyrityksille suunnatulla kyselyllä kansainvälisen tiedustelutoiminnan vaikutuksia suomalaisten tietoturvaan. Teleyritysten arvioiden mukaan urkinta ei ole vaikuttanut viestintäpalvelujen luottamuksellisuuteen. Teleyritykset ilmoittivat toteuttavansa palveluitaan niihin sovellettavan sääntelyn mukaisesti ja luovuttavansa tietoja viranomaisille ainoastaan lainsäädännön puitteissa.

Tietomurtoja ja niiden yrityksiä ei selvityksessä suoranaisesti kartoitettu, sillä niistä teleyrityksillä on sähköisen viestinnän tietosuojalakiin perustuva ilmoitusvelvollisuus Viestintävirastolle.

Käyttäjille tiedotettava turvallisuudesta

Reilu kolmasosa suomalaisista teleyrityksistä toteuttaa viestintäpalvelunsa kokonaan Suomessa ja suomalaisten yritysten toimesta, jolloin palveluihin sovelletaan kotimaista lainsäädäntöä. Loput teleyritykset toteuttavat palvelujaan kokonaan tai osittain ulkomailla, jolloin niiden tietoturvaan saattaa tulla rajoituksia paikallisesta sääntelystä.

Viestintävirasto katsookin, että viestintäpalvelujen käyttäjien valinnanvapaus edellyttää käyttäjien tietoisuuden lisäämistä palvelujen turvallisuusominaisuuksista. Virasto aloittaa lähiaikoina teleyritysten kanssa yhteistyön, jonka yhtenä tavoitteena on tarkentaa tiedottamisen pelisääntöjä.

”Tulemme keskustelemaan muun muassa siitä, pitäisikö teleyritysten ilmoittaa käyttäjilleen ulkomaisten alihankkijoiden käytöstä palvelujen toteuttamisessa”, kertoo turvallisuussääntelyryhmän päällikkö Jarkko Saarimäki Viestintävirastosta.

”Tarkoituksena ei ole ohjata verkon käyttäjiä suosimaan vain kotimaisia palveluntarjoajia, vaan turvata käyttäjille aito mahdollisuus valita tarpeisiinsa soveltuvat palvelut.”

Lait ja tekniikat tarkistuslistalle

Viestintävirastossa toivotaan, että käyttäjät alkaisivat aktiivisemmin miettiä omien tietojensa suojaamisen tarvetta.

”Olisi hyvä pohtia, voisiko joku ulkopuolinen olla kiinnostunut tiedoistasi, ja miten tietojasi käsitellään käyttämissäsi palveluissa”, Saarimäki opastaa.

Lisäksi kannattaa arvioida, onko jollain ulkopuolisella mahdollisuus käsitellä tietoja siten, että tiedot on tarpeen salata.

Palvelun turvallisuutta kannattaa miettiä paitsi teknisten näkökohtien, kuten tietoturvaohjelmiston valinnan, kannalta, myös palveluun sovellettavan lainsäädännön näkökulmasta.

”Suomen ulkopuolelta tarjottaviin palveluihin voidaan soveltaa jopa täysimääräisesti palveluntarjoamismaan sääntelyä, joka voi poiketa merkittävästikin suomalaisesta sääntelystä”, Saarimäki huomauttaa.

Arvioinnin merkitys korostuu erityisesti valittaessa palvelua, johon tallennetaan erittäin arkaluontoisia tietoja, kuten yrityssalaisuuksia.

Kieli ei tee palvelusta suomalaista

Käyttäjä ei aina tule ajatelleeksi, että vaikka verkkopalvelu olisikin tarjolla suomenkielisenä, se ei välttämättä ole Suomen tietosuojalainsäädännön piirissä. Vaikkapa Facebook-tilin perustaessaan käyttäjä tekee sopimuksen ulkomaalaisen yrityksen kanssa.

”Suomalaisten viranomaisten on vaikea tulla väliin, kun käyttäjä on käyttöehdot hyväksyessään hyväksynyt sen, että sopimukseen sovelletaan ulkomaista lainsäädäntöä”, Saarimäki muistuttaa.

EU:ssa on käytössä niin sanottu alkuperämaaperiaate, jonka mukaan maasta toiseen tarjottavissa palveluissa sovelletaan lähtökohtaisesti tarjontamaan lainsäädäntöä. Suomen kuluttaja-asiamiehen tulkintakäytännön mukaan Suomessa tarjottaviin ulkomaisiin palveluihin voidaan kuitenkin joissakin tilanteissa soveltaa suomalaisen kuluttajansuojan säännöksiä.

Viestintävirasto selvittää, voitaisiinko myös Suomen tietoturvasääntelyä ulottaa joiltain osin koskemaan kokonaan ulkomailta tarjottavia viestintäpalveluja. Virasto tekee asiassa kansainvälistä yhteistyötä erityisesti muiden EU-maiden televiranomaisten kanssa.

Vakoilu on totta

Suomen verkkoviestintä ulkomaille kulkee Ruotsin kautta. Vuonna 2009 Ruotsissa säädettiin laki, joka sallii armeijan radiotiedustelulaitokselle (FRA) maan kautta kulkevan ulkomaisen viestiliikenteen niin kutsutun signaalitiedustelun.

Viestintävirasto antoi 2010 Ruotsin lakimuutoksen johdosta määräyksen, jossa korostetaan teleyritysten velvollisuutta tiedottaa asiakkailleen ulkomailla toteutettaviin, suomalaisille tarjottaviin palveluihin kohdistuvista tietoturvauhkista. Tiedotusvelvoite perustuu sähköisen viestinnän tietosuojalakiin.

”Viimeaikaiset vakoiluskandaalit toivottavasti viimeistään hälventävät ne keskustelut, joiden mukaan Ruotsin kiertäminen jotenkin auttaisi meitä”, Saarimäki heittää.

”Nyt nähdään, että vastaavaa tiedustelutoimintaa tekevät muutkin tahot.”

Eri tahojen harjoittamasta valtiollisesta tiedustelutoiminnasta on Suomessakin huhuttu jo vuosia.

”Ulkoministeriöön kohdistunut tietomurto ja kansainväliset vakoiluskandaalit ehkä vain konkretisoivat ilmiötä suurelle yleisölle”, Saarimäki pohtii.

”Me Viestintävirastossa toivoisimme yleisen tietoisuuden tietoturvauhista kasvavan edelleen.”

Lue myös

Urkinta: Lue ainakin ohjekirja »
Gallup: Havaitse urkinta ajoissa »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.