Tulostusversio

3/2008

Lyhyesti tietoturvasta 3/2008

ENISAlle kolmen vuoden jatkoaika

EU-maiden viestintäministerit ovat sopineet, että EU:n tietoturvaviraston ENISAn toimikautta jatketaan kolmella vuodella.

EU:n tietoturvavirasto perustettiin vuonna 2004. Sen määräajaksi sovittiin tuolloin viisi vuotta.

ENISA:n tehtävänä on varmistaa korkeatasoinen verkko- ja tietoturva, jolla edistetään EU:n sisämarkkinoiden toimivuutta. Lisäksi viraston yhtenä tavoitteena on ollut luoda verkko- ja tietoturvakulttuuri eurooppalaisille.

------

Google kohentaa tietoturvallisuutta

Hakukoneyhtiö Google on ilmoittanut vastaisuudessa anonymisoivansa hakukoneensa käyttäjien IP-osoitteet 9 kuukauden jälkeen. Tähän asti tietoja on säilytetty tunnistettavassa muodossa 18 kuukautta.

EU:n tietosuojaviranomaiset ovat arvostelleet Googlea ja muita hakukoneyrityksiä käyttäjätietojen liian pitkistä säilytysajoista. Google on perustellut tietojen pitkää säilytysaikaa hakutoimintojen parantamisella ja tietoturvasyillä.

Googlen päätös säilytysajan lyhentämisestä on vastaus EU:n tietosuojadirektiivin artiklan 29 mukaiselle työryhmälle, joka julkaisi huhtikuussa julkaissut kannanoton internetin hakukoneiden toiminnasta. Työryhmän kannanoton mukaan käyttäjätietoja saa pääsääntöisesti säilyttää enintään kuusi kuukautta.

Työryhmä on keskustellut hakukoneyritysten kanssa siitä, onko niiden noudatettava EU:n tietosuojasäännöksiä, ja kuinka kauan käyttäjätietoja saa säilyttää.

Google ilmoitti viime kesänä anonymisoivansa 18–24 kuukautta vanhemmat käyttäjätiedot, mutta työryhmälle säilytysaika oli liian pitkä.

----

Haavoittuvuus uhkaa kolmasosaa .fi-nimipalveluista

Viestintäviraston tietoturvayksikkö CERT-FI:n selvityksen mukaan suomalaisten .fi-päätteisten verkkotunnusten nimipalvelimista noin kolmanneksessa on hyökkäykselle altistava haavoittuvuus.

Haavoittuvat nimipalvelutoteutukset ovat alttiita hyökkäystavalle, jossa hyökkääjä voi väärentää nimipalvelutietoja ja uudelleenohjata nimipalvelun käyttäjiä haitallisille sivustoille.

Haavoittuvuuden takia kaikki nimipalvelun toimivuudesta ja sieltä saatavien tietojen oikeellisuudesta riippuvat järjestelmät ovat välillisesti vaarassa.

CERT-FI julkaisi varoituksen haavoittuvuudesta heinäkuussa. Sen selvityksen mukaan Suomen .fi-päätteisisten verkkotunnusten nimipalvelimista avoimia on noin kolmannes. Avoimista nimipalvelimista paikkamatta on niin ikään vielä noin kolmannes. CERT-FI:n tietojen mukaan merkittävien suomalaisten internet-yhteyspalveluntarjoajien nimipalvelimet on päivitetty ja suojattu.

Internetin nimipalvelussa nimipalvelimet muuttavat ihmisten ymmärtämiä internet-osoitteita internet-liikenteen reitityksessä käytettäviksi numeerisiksi IP-osoitteiksi. Nimenselvityksen yhteydessä käyttäjän tietokoneella oleva asiakasohjelmisto ottaa yhteyttä verkon ylläpitäjän osoittamaan nimipalvelimeen.

Haavoittuvissa nimipalvelutoteutuksissa sivullinen pystyy syöttämään vääriä tietoja esimerkiksi asiakasohjelmiston välimuistiin. Näin nimeä kysyvät järjestelmät saavat vastaukseksi väärennetyn osoitteen eli ohjaavat käyttäjän haitalliselle sivustolle.

----

Verkkorikokset kuriin ajantasaisilla säädöksillä

Tietokoneita ja tietokoneverkkojen tarjoamia mahdollisuuksia hyväksi käyttävä verkkorikollisuus on asettanut oikeusjärjestelmän uusien haasteiden eteen. LL.M Xingan Lin väitöstutkimuksen mukaan verkkorikollisuuden ja sääntelyn välisen aukon kuromiseen vaaditaan ylikansallista lainsäädäntöä.

Tietokonejärjestelmien moninaiset roolit rikoksenteossa ja internetin desentralisaatio hajautuminen aiheuttavat sen, että kyberrikollisuuden vastustamiseen on entistä vaikeampi löytää tehokkaita menetelmiä.

Väitöskirjassa on tutkittu verkkorikosten ominaispiirteitä sekä rikosten tutkimista ja siihen liittyviä toimivaltaongelmia.

Xingan Lin oikeussosiologian ja kriminologian alaan kuuluva väitöskirja Cybercrime and Deterrence: Networking Legal Systems in the Networked Information Society tarkastettiin Turun yliopistossa elokuussa.

----

Tietosuojatyöryhmä kannattaa ilmoituspakkoa

Tietosuojadirektiivin artiklan 29 mukainen työryhmä kannattaa sähköisen viestinnän tietosuojadirektiivin muutosta, joka velvoittaisi viestintäpalvelujen tarjoajia ilmoittamaan tietoturvaloukkauksista.

Ilmoitusvelvollisuuden tulisi kuitenkin koskea myös tietoyhteiskuntapalvelujen tarjoajia, kuten verkkopankkeja, verkkoyrityksiä ja terveydenhoitopalveluja verkossa tarjoavia tahoja.

Työryhmä korostaa, että on tärkeää ilmoittaa kaikille asianomaisille henkilöille, jos heidän henkilötietonsa ovat vaarantuneet tai on riski niiden vaarantumisesta.

Työryhmä ehdottaa, että tietyissä olosuhteissa kansallisella sääntelyviranomaisella olisi oltava valtuudet ilmoittaa yleisölle tietoturvaloukkauksesta tai vaatia tätä kyseiseltä yritykseltä.

----

Auditoinnissa vihreää valoa sähköäänestykselle

Sähköisen äänestyksen kokeilu syksyn kunnallisvaaleissa voidaan toteuttaa suunnitellulta pohjalta, todetaan kokeilua käsittelevässä arviointiraportissa. Siinä on selvitetty sähköisen äänestyksen tietoturvallisuuteen liittyviä mahdollisia ongelmia sekä toimenpiteitä niiden ehkäisemiseksi.

Arviointi on tehty Turun yliopiston matematiikan laitoksella oikeusministeriön toimeksiannosta. Raportin mukaan sähköisen äänestyksen kokeilu on turvallisella pohjalla edellyttäen, että kaikki toimijat noudattavat annettuja pelisääntöjä.

Sähköisessä äänestyksessä keskeistä on huolehtia siitä, ettei yksikään osapuoli pysty huijaamaan muita.

”Valvonnan toimivuuden varmistaminen on hankkeen suuriin haaste”, raportissa todetaan.

”Olisi ehkä syytä pohtia, riittääkö se, että järjestelmän suunnittelijat ja ’sisäpiiriläiset’ pystyvät vakuuttumaan sen turvallisuudesta. Tämä luottamus pitäisi voida siirtää myös äänestäjien keskuuteen.”

Valvonnan kannalta kriittisimpinä kohtina arviointiryhmä pitää äänestyskorttien antamista ja vaalituloksen laskentaa. Auditointiryhmän johtaja, professori Juhani Karhumäen mukaan vaalivirkailijoiden ohjeistus ja koulutus onkin avainasemassa. Kaikilta vaalipaikalla olevilta virkailijoilta tulisi vaatia ainakin jonkinlaisia tietoteknisiä taitoja, jotta yksi henkilö ei pysty ohjailemaan äänestystilannetta.

”Erityisen ongelmallinen on tilanne, jossa yksi vaalivirkailija on alan ekspertti ja muut statisteja”, raportissa todetaan.

Ääntenlaskennassa tulisi pystyä varmistumaan siitä, että äänet lasketaan oikeasta uurnasta ja oikeilla ohjelmilla. Äänten laskennasta vastaa vaalipaikalla viisi vaalilautakunnan jäsentä. Arviointiryhmä ehdottaa, että ääntenlaskijat jaettaisiin kahteen ryhmään, jotka käyttävät kumpikin omia koneitaan ja ohjelmiaan ja joilla kummallakin on salasana uurnaan.

Oikeusministeriön mukaan raportin toimenpide-ehdotukset toteutetaan tarpeellisin osin.

Sähköistä äänestystä kokeillaan kunnallisvaaleissa Karkkilan, Kauniaisten ja Vihdin kunnissa. Kokeilukuntien äänioikeutetut voivat äänestää sähköisesti kyseisten kuntien yleisissä ennakkoäänestyspaikoissa ja vaalipäivän äänestyspaikoissa.

Kansalaisten sähköisiä oikeuksia ajavan Effi ry:n mielestä äänestysjärjestelmä ei ole riittävän tietoturvallinen eikä siten täytä vaalilain vaatimusta vaalisalaisuuden säilyttämisestä. Effi kehottaa äänestäjiä pitäytymään turvallisemmassa vaihtoehdossa eli paperilippuäänestyksessä.

Lue myös

Lyhyesti tietosuojasta 3/2008 »
Lyhyesti yksityisyydestä 3/2008 »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.