Tietosuoja 1/2015 - Lehtiluukku.fi

Haluatko ostaa tämän lehden?

Vaikuttaako lehti kiinnostavalta? Voit lukea koko lehden valitsemalla "Lisää ostoskoriin". Mukavia lukuhetkiä!

Olet esikatselutilassa. Lue koko lehti

Kumppanimainonta askarruttaa kuluttajaa. TIMO LEHTIMÄKI: RISKIENHALLINTA on ykkösasia tietoturvan ja tietosuojan erikoislehti 1 • 2015 15€ Tietosuojavastaaville on kysyntää MIKÄ SUOJAISI PALVELUNESTOHYÖKKÄYKSILTÄ
Julkaisijat Patenttija rekisterihallitus Tietosuojavaltuutetun toimisto Tietosuojalautakunta Viestintävirasto Tietoturvan ja tietosuojan erikoislehti Maaliskuu 2015 Toimitussihteeri Päivi Männikkö, Stellatum Oy paivi.mannikko@stellatum.fi Ulkoasu Tarja Salonen, Sininen Arkki Oy tarja.salonen@sininenarkki.fi Päätoimittaja Hanna Tamminen, Viestintävirasto hanna.tamminen@ficora.fi Toimituspäälliköt Eija Kara, tietosuojavaltuutetun toimisto, eija.kara@om.fi Anna Lauttamus-Kauppila, Patenttija rekisterihallitus, anna.lauttamus-kauppila@prh.fi 1 • 2015 KANNEN KUVA OLLI HÄKÄMIES OLLI HÄKÄMIES ”Suomessa ei vieläkään ymmärretä, kuinka tärkeää tietoliikenteen ja kriittisten tietojärjestelmien toimivuus on.” 20 Sisältö 4 Pääkirjoitus 5 Lyhyesti 7 Miten on. 8 Esineiden internet on jo totta teollisuudessa 15 Kolumni 16 Asiantuntijalta Tekoäly auttaa löytämään tuntemattomat poikkeamat Antti Juvonen 18 Rekisteröi tämä Reseptikeskus kasvaa vauhdilla 19 Kysy meiltä 20 Timo Lehtimäki: Bittien kulkua turvaamassa 24 Lait ja säädökset 26 Pankkipalveluille täyslaidallinen hyökkäystä tietosuoja 1 • 2015 2
39 Näkökulma Tietoyhteiskuntakaari – kootut pelisäännöt 40 Some hyötykäyttöön selkein ohjein 43 Ikuisesti rekisterissä 44 Ilmiö numeroina 45 Selailtua 46 Verkkolehdessä ja seuraavassa numerossa HÄMEEN KIRJAPAINO OY 441 209 Painotuote ClimateCalc CC-000025/FI H IIL IN EU TRA ALI PAINO TU OT E HÄMEEN KIRJAPAINO OY 441 209 Painotuote ClimateCalc CC-000025/FI H IIL IN EU TRA ALI PAINO TU OT E tietosuoja-lehti.fi Mikä järjestelmä ei olisi haavoittuva . 0400 435 636 anne.paavilainen@stellatum.fi 27. vuosikerta ISSN 0786-5767 Painopaikka Hämeen kirjapaino Oy 29 Gallup Varaudutaan, mutta aina voi parantaa 30 Työssä tietosuojavastaavana 34 Vakuutettua turvaa 36 Kumppanuusmarkkinointi kohentumassa. MAIJA NYMAN 36 MIKKO TÖRMÄNEN 8 tietosuoja 1 • 2015 3. Toimitusneuvosto puheenjohtaja, Reijo Aarnio, tietosuojavaltuutetun toimisto Sari Laine-Lassila, FiCom ry Jukka Ihanus, Stellatum Oy Eila Ratasvuori, Helsingin kaupunki Kimmo Rousku, Valtori Ahti Saarenpää, Lapin yliopisto Anu Talus, oikeusministeriö ja toimituspäälliköt Toimituskunta Eija Alavesa, Erka Koivunen ja Nelli-Maija Melin, Viestintävirasto Lauri Karppinen, tietosuojavaltuutetun toimisto Olli Ilmarinen, Patenttija rekisterihallitus sekä toimituspäälliköt Toimitussihteeri Päivi Männikkö, Stellatum Oy paivi.mannikko@stellatum.fi Ulkoasu Tarja Salonen, Sininen Arkki Oy tarja.salonen@sininenarkki.fi Kustantaja Stellatum Oy PL 20 00381 Helsinki Ilmoitusmarkkinointi Anne Paavilainen, Stellatum Oy puh
Esineillä ja tavaroilla tulee olemaan digitaalinen tunniste, ja erilaisten älylaitteiden avulla voidaan seurata esimerkiksi ihmisten liikkumista, energian kulutusta tai terveydentilaa. Tietoturvauhat tulee ottaa vakavasti. Esineiden internet tulee muuttamaan tapamme toimia, työskennellä ja elää. Meidän on tiedettävä, minne kerätty tieto menee, kuka sitä kerää ja mihin sitä käytetään. Tähän tarvittaisiin myös kansallinen strategia. Esineiden internet tuottaa valtavasti tietoa, ja kaikki tämä data tallentuu pilveen. Suomi on lähempänä valtamarkkinoita kuin koskaan, vain yhden napinpainalluksen päässä. Teollinen internet on älykkäiden laitteiden, analytiikan ja ihmisten työn tehostamista erilaisissa sähköisissä prosesseissa. Pääkirjoitus 1 • 2015 Internetin kukoistukselle pitää luoda pelisäännöt. Aika ryhtyä toimeen on tänään. Robotisaatio on keskeinen elementti automaation ja keinoälysovellutusten laajenevassa käytössä. Tulevissa muutoksissa digitaalinen turvallisuus ja digitaalinen yksityisyys ovat keskeisiä kysymyksiä. Koneet ja laitteet kehittyvät kovaa vauhtia, ja niistä on tulossa yhä älykkäämpiä. Internetin kukoistukselle pitää luoda omat pelisäännöt. Esimerkiksi navigaattoreiden keräämä tietomäärä on jo massiivinen: Pelkästään yksi navigaatiopalveluja tarjoava toimija kerää yli 25 miljardia datapistettä muutamassa kuukaudessa, ja määrä vain kasvaa. Kerättävän datan määrä kasvaa räjähdysmäisesti. Meillä tulee olla käytössämme tehokas ja turvallinen verkkoinfrastruktuuri, jossa viestintäverkot ja -palvelut toimivat luotettavasti. MA TTI IMMONEN 4 tietosuoja 1 • 2015. Ihminen ei saa jäädä sivuosaan Maailmalla on menossa digitaalinen pyörremyrsky, jonka muutosvoimaa emme osaa edes vielä kuvitella. Internetin faunan kukoistaessa myös palvelualustojen määrä kasvaa: Google, Yahoo, Facebook, Wikipedia, Alibaba… Maailmanlaajuisia markkinoita dominoivat USA ja Aasia, mutta internetin maailmassa ei ole fyysisiä rajoja. Kaikkia yllä olevia nopeita muutostekijöitä ja trendejä yhdistää kaksi keskeistä tekijää, joita ilman me emme voi menestyä. Kirsi Karlamaa on Viestintäviraston Kyberturvallisuuskeskuksen johtaja. Valtavan tietomäärän analysointi onnistuu kohta enää vain tehokkaiden pilvipalvelujen avulla. Tutkimusten mukaan maailmassa tuotettava datan määrä kasvaa kymmenkertaistuu vuoteen 2020 mennessä. Esineiden internet liittää kaikki laitteet ja koneet verkkoon. Ihminen ei saa jäädä sivuosaan. Ne ovat tietosuoja ja tietoturva. Näiden lisäksi selkeä tulevaisuuden muutosilmiö on robotisaatio, johon Suomi on vasta varautumassa
Havainnot vakoiluhaittaohjelmista lisääntyvät, ja palvelunestohyökkäyksien voima on kasvanut merkittävästi viime vuosina. Lyhyesti avulla ilkivallan tekijät saatiin kiinni ja rikosoikeudelliseen vastuuseen. Katsauksessa todetaan myös, että tietoturvaloukkausten kansallisen havainnointikyvyn parantamiseksi Viestintävirasto on kehittänyt ja laajentanut vakavien tietoturvaloukkausten havainnointija varoituspalvelua (HAVARO). Asukas ei ollut informoinut kameravalvonnasta. Tuomioistuin totesi, että on tilanteita, joissa henkilötietojen käsittelystä ei tarvitse informoida henkilöitä, joita se koskee (rekisteröityjä). Huoltovarmuuden kannalta kriittisten toimijoiden määrä kasvaa, ja palvelu kattaa vuoden 2015 lopussa koko valtiohallinnon. Näitä ovat esimerkiksi velvollisuus informoida valvontakamerasta ja kameran keräämien tietojen käytöstä. 5 tietosuoja 1 • 2015. Näitä ovat tilanteet, joissa henkilötietojen käsittely on välttämätöntä rekisterinpitäjän oikeutetun syyn takia ja tilanteet, joissa informointi vaatisi rekisterinpitäjältä suhteetonta vaivaa. Kamera oli sijoitettu siten, että kotitalon asemesta se kuvasi pihaa eli julkista tilaa. EU-tuomioistuin: Kotipihan kameravalvonta oli henkilötietojen käsittelyä EU-tuomioistuimen ennakkoratkaisun mukaan asukkaan kotipihalleen asentama tallentava valvontakamera oli henkilötietodirektiivin mukaista henkilötietojen käsittelyä. SHUTTERSTOCK Tietoturvauhat lisääntyvät Tietojen kalastelu yleistyy ja on entistä ammattimaisempaa. Muun muassa näin vuotta 2014 luonnehtii Viestintäviraston Kyberturvallisuuskeskus vuosikatsauksessaan. Jäsenmaat voivat myös kansallisessa lainsäädännössä rajoittaa rekisterinpitäjän velvollisuuksia muun muassa tilanteissa, joissa rekisteröidyn informointi haittaisi rikosten torjuntaa ja selvittämistä. Kyse ei siten ollut puhtaasti henkilötietojen käsittelystä yksityisiin tarkoituksiin, jota henkilötietodirektiivi ei koske. Tapauksessa kameravalvonnan kuvien AVOIMESTI DATAA YRITYKSISTÄ Patenttija rekisterihallitus on avannut avoimen datan verkkopalvelun, jonka kautta voi maksutta hakea, katsella ja ladata koneluettavassa muodossa kaupparekisterin kuulutustietoja (tietoja uusista yrityksistä ja yritysten muuttuneista tiedoista) sekä PRH:n ja Verohallinnon yhteisen YTJ-tietopalvelun tietoja. Tuomioistuimen mukaan kameran asentanut asukas oli rekisterinpitäjä, jota koskevat henkilötietodirektiivin mukaiset rekisterinpitäjän velvoitteet
Tietoturvauhkiin varaudutaan entistä enemmän. Viestintävirasto myöntää PRS-käyttöoikeudet suomalaisille toimijoille. PRS on tarkoitettu ainoastaan yhteiskunnan toiminnan kannalta kriittisten palvelujen käyttöön. Kun kaikista vastaajista yli 70 prosenttia koki, että riski joutua verkkorikoksen kohteeksi on kasvanut, suomalaisista näin ajatteli peräti 94 prosenttia. Myös identiteettivarkauden uhriksi joutuminen ja haittaohjelmien pääsy omalle koneelle olivat huolilistan kärjessä. VIESTINTÄVIRASTOSTA PAIKANNUSVIRANOMAINEN Viestintävirasto on tästä vuodesta alkaen nimetty eurooppalaisen säännellyn paikannuspalvelun (PRS, Public Regulated Service) kansalliseksi vastuuviranomaiseksi. Vuoden 2013 kyselyyn verrattuna eniten oli lisääntynyt huoli identiteettivarkaudesta. PRS on osa eurooppalaista Galileo-satelliittipaikannusjärjestelmää. EU:n komission teettämään eurobarometriin haastateltiin syksyllä 2014 yhteensä vajaat 28 000 kansalaista kaikista jäsenmaista. Effi on perustanut muistopalkinnon kunnioittamaan Oksasen muistoa ja huomioimaan hänen työnsä jatkajia. Erityisen hyvin uhkapitoinen valistus näyttää menneen perille Suomessa. SHUTTERSTOCK 6 tietosuoja 1 • 2015. Suomalaiset vaihtavat salasanojaan keskimääräistä innokkaammin. Lyhyesti Tietoturvauhat pelottavat suomalaisia EU-maiden kansalaiset ovat entistä huolestuneempia tietoturvauhista. Yleisimpiä keinoja olivat virustorjuntaohjelmistojen käyttö, vieraiden ihmisten lähettämien sähköpostien avaamatta jättäminen ja salasanojen vaihto. Oksanen oli mukana perustamassa kansalaisten sähköisiä oikeuksia puolustavaa Electronic Frontier Finlandia (Effi ry), ja hänet nimitettiin Effin kunniajäseneksi 2011. Helmikuussa julkaistuun eurobarometriin vastanneiden suurimmat huolenaiheet liittyivät henkilötietojen väärinkäyttöön ja verkkomaksamisen turvallisuuteen. Ville Oksaselle muistopalkinto Juristi ja tietoyhteiskunta-asiantuntija Ville Oksanen menehtyi marraskuussa 2014
”Gemalton mukaan murto kohdistui vain 2010–2011 GSM-verkon kortteihin. Yksityiskohdat vaativat silti vielä lisäselvityksiä. Alkuvuonna julkistetusta katsauksesta laadittiin ensimmäistä kertaa julkinen versio. Myös teleyritykset itse selvittävät käytäntöjään ja tiedottavat, jos tulee esille sellaista, joka vaatii käyttäjien toimenpiteitä.” Ovatko muut sirukortit vaarassa. Silti osa sivustoista tallettaa käyttäjän selaimelle evästeitä lupaa kysymättä. Tämä kävi ilmi eurooppalaisten tietosuojaviranomaisten valvontakampanjassa. Kansallinen kyberstrategia on linjannut viranomaiskentän työtä, mutta käytännön toteutus, yhteistyö, resursointi, toimivaltuudet ja lainsäädäntö ovat alkutekijöissään. Näin todetaan Supon katsauksessa lähivuosien toimintaympäristöön. Muiden tahojen korttien turvallisuutta ei ainakaan tässä vaiheessa ole syytä epäillä.” Evästeisiin ei aina pyydetä lupaa Verkkopalvelujen tarjoajat pyytävät yhä useammin käyttäjän suostumusta evästeiden käyttöön. ”Viestintävirasto on käynyt teleyritysten kanssa läpi SIM-korttien ja salausavainten tietoturvamenettelyjä. mennessä saatujen vastausten perusteella prosessit ovat hyvällä tasolla. Niistä neljänneksessä käyttäjää ei informoitu evästeistä eikä suostumusta pyydetty. Aiemmin julkisuudessa oli kerrottu, että NSA oli saanut haltuunsa Gemalton SIM-korttien salausavaimet. Supo patistaa tietoturvatoimiin Suojelupoliisin mukaan viranomaisten ja yritysten kyky havaita ja torjua niihin kohdistuvia kyberhyökkäyksiä on yhä heikko. Teleyrityksiltä 25.2. SHUTTERSTOCK 7 tietosuoja 1 • 2015. Näin NSA pystyisi salakuuntelemaan viestintää puhelimissa, joissa on Gemalton kortti. havainneensa useita tietomurtoja ja niiden yrityksiä. Eväste on pieni tekstitiedosto, jonka verkkopalvelu lähettää netinkäyttäjän selaimelle. Tiedossa ei ole, onko haltuun saatujen tietojen joukossa suomalaisoperaattoreiden käyttämien SIM-korttien tietoja”, sanoo tietoturva-asiantuntija Jarna Hartikainen Viestintävirastosta. Evästeitä tarvitaan esimerkiksi verkkokaupan ostoskorissa, joka ei muuten muistaisi, mitä tuotteita koriin on kerätty. Velvoite pyytää käyttäjän suostumusta perustuu sähköisen viestinnän tietosuojadirektiivin vuonna 2011 voimaan tulleeseen muutokseen. Osa suomalaisista operaattoreista on käyttänyt Gemalton kortteja. Vaikuttaako tietomurto suomalaisiin. Ei siis voi sanoa, että salakuuntelu olisi mahdotonta, mutta mistään massatiedustelun välineestä ei ole kyse.” Mitä seurauksia murrosta on Suomessa. Palvelu pyytää selainta tallentamaan evästeen käyttäjän laitteelle. ”Gemalton mukaan mahdollinen tietomurto koskee GSM-verkon SIMkortteja, jotka on otettu käyttöön vuosina 2010–2011. Lyhyesti Miten on. ”Teknisesti se on mahdollista edellyttäen, että salakuuntelijalla on tiedossaan salakuunneltavan puhelimen käyttämän SIM-kortin Ki-avain ja että on pääsy lähelle kohdetta, käytännössä saman tukiaseman alueella. Voidaanko murrettua korttia käyttävän puhelinta salakuunnella. Siruja SIM-kortteja valmistava monikansallinen yritys Gemalto kertoi 25.2. Tšekin, Tanskan, Ranskan, Kreikan, Alankomaiden, Slovenian, Espanjan ja Ison-Britannian tietosuojaviranomaiset kävivät läpi 478 suositun verkkopalvelun evästekäytännöt
ESINEIDEN INTERNET tietosuoja 1 • 2015 8
TEKSTI ANTTI J. LAGUS KUVAT SCANSTOCKPHOTO, SHUTTERSTOCK, MIKKO TÖRMÄNEN, EMTELE OY, VIESTINTÄVIRASTO ESINEIDEN INTERNET on jo totta teollisuudessa 9 tietosuoja 1 • 2015. Nyt internet lisää mahdollisuuksia – ja tietoturvauhkia. Teollisuudessa järjestelmät ovat keskustelleet keskenään suljetuissa verkoissa jo kauan
tietosuoja 1 • 2015 10
Tietotekniikan analysointiyritys Gartner julkaisee hype-käyräksi nimeämäänsä kuvaa uusien teknologioiden laajamittaisesta omaksumisesta. Hankintavaatimukset uusiksi Tietoturvan kannalta yhtenä ongelmana Ahonen näkee sen, että monia erilaisia automaatiojärjestelmiä käyttävä tuotantolaitos hyödyntää usein eri järjestelmissä niiden omia etäyhteyskäytänteitä. Myös pumput ja moottorit alkavat jo olla yhteydessä tiedonsiirtoverkkoon, ja langattomuuskin on tulossa. Jotta tuotanto olisi tehokasta ja yhdistetty logistiikkaan, tarvitaan tuotantoon yhteys toiminnanohjausjärjestelmästä. Esineiden internet on nyt pinnalla. Niistä suurin osa on yrityskäytössä, vaikka kuluttajille suunnitellut älykkäät pesukoneet ja valaisimet saanevat suurimman mediahuomion. Erilaisilla sensoreilla ja antureilla mitataan vaikkapa kuidun tai paperin paksuutta. Teollisuudessa internetiin kytketyillä järjestelmillä pyritään tehostamaan prosessien toimintaa ja valvontaa. Sillä tarkoitetaan internetiä, johon kytketään laajamittaisesti laitteita, jotka ovat yhteydessä myös toisiinsa. Nykyisen järjestelmän tuottavuutta voidaan kasvattaa ja toisaalta voidaan vallata markkinoita eri tavalla kuin aiemmin. Tehokkaammat prosessit VTT:n erikoistutkija Pasi Ahonen näkee esineiden internetissä ennen muuta kaksi hyötyä. Mitä useampia järjestelmiä on käytössä, sitä haavoittuvampi kokonaisuus on tietoturvahyökkäyksille. 11 tietosuoja 1 • 2015. Laitteista kerätyn tiedon avulla halutaan tehostaa niiden toimintaa ja käyttöä sekä luoda kokonaan uusia bisnesmahdollisuuksia. Viime vuonna käyrän huipulla oli esineiden internet. Teollisuuden verkottumisen vaarana on, että jos tuotannon laitteet liitetään suoraan internetiin, ulkopuoliset voivat päästä niihin käsiksi. Konsulttiyritys Deloitten televiestintäalan selvityksessä ennustetaan, että tänä vuonna myydään yli miljardi verkkoon kytkettyä langatonta laitetta, joiden lasketaan kuuluvan esineiden internetiin. Esimerkiksi palvelukeskuksissa voidaan seurata eri puolilla maailmaa olevien koneiden ja laitteiden kuntoa ja ryhtyä huoltotoimiin ennakoivasti. Juoma-automaatti voi olla ponnahduslauta yrityksen muihin toimintoihin. ”Kun jopa puolustusteollisuudessa käytetään kaupallisia ohjelmistoja, en osaa sanoa, mikä järjestelmä ei olisi haavoittuva”, erikoistutkija Pasi Ahonen sanoo
”Jos sitten toimistoverkon laite joutuu ulkopuolisen hyökkäyksen kohteeksi eikä tuotannolla ole omaa palomuuria, hyökkääjä voi päästä toimistoverkosta eteenpäin”, Ahonen sanoo. Hyökkääjät voivat päästä tuotantojärjestelmiin myös esimerkiksi muistitikkujen tai kannettavien tietokoneiden kautta. tietosuoja 1 • 2015 12. Uutta potentiaalia verkkohyökkäyksille Automatisointi tehostaa asioiden hoitamista. Ahonen on käytännön tarkastuksissa havainnut, että automaatioja tuotantoverkoissa voi olla useita, jopa kymmeniä, kanavia verkkoon pääsemiseksi. Automaation etäyhteyksiin pohditaan parannuksia VTT:n johtamassa KYBER-TEOhankekokonaisuudessa, jossa teollisuuden hankintakriteereitä päivitetään vastaamaan tietoturvan vaatimuksia. Murrettua laitetta voidaan käyttää esimerkiksi palvelunestohyökkäyksessä. Tietoturva-asiantuntija Sami Orasaari Viestintäviraston Kyberturvallisuuskeskuksesta muistuttaa, että erilaisten laitteiden tulo verkkoon synnyttää myös valtavasti mahdollisuuksia rikolliseen toimintaan, mikäli laitteita ei suojata asianmukaisesti. ”Lisäksi, kun tietyn laitteen haavoittu”Jos et tarvitse verkkopalveluita, älä kytke laitetta verkkoon”, neuvoo tietoturva-asiantuntija Sami Orasaari. Etäyhteyksien lisäksi hankkeessa käsitellään muiden muassa automaatioverkon tietoturvavalvontaa, standardisoinnin tilannetta, viitearkkitehtuureja sekä tietoturvan jalkauttamista tuotantoprosesseihin
Pitää myös selvittää, missä maassa ja mitkä viranomaiset voivat seurata usein kansainvälisten toimittajien järjestelmätietoja. Hankinnassa auttavat insinööritoimistot tarjoavat usein ensisijaisesti sitä järjestelmää, jonka leiriin ne kuuluvat. Kilpailevia järjestelmiä arvioitaessa tulisi huomioida protokollan tietoturvataso. Teollisen internetin palveluita toimittavan Emtele Oy:n toimitusjohtaja Hannu Martikainen näkee, että yrityksissä alkaa olla valmiutta muuttaa liiketoimintaprosesseja niin, että ne voivat hyödyntää etäteknologioita. Tuotannon on voitava jatkua, jos palveluntarjoaja vaihtuu. 5. Helposti murrettavaa laitetta hyväksikäyttämällä voidaan päästä kiinteistön tai yrityksen sisäverkkoon. Digitalisoitumisen myötä kaikki laitteet ovat alttiina. Esineiden internet laajentaa tuotantoautomaation protokollien käyttöä tuotantoverkon ulkopuolelle. Internetiin yhteydessä olevat laitteet pitää eristää omaan verkkosegmenttinsä, ja laitteiden päivityksestä pitää huolehtia. tietosuoja 1 • 2015 13. Esimerkiksi juomaautomaatit tai kahvikoneet pitäisikin eristää omaan erilliseen verkkosegmenttiinsä, jotta niitä ei voida käyttää ponnahduslautana yrityksen muihin palveluihin. Emtele toimittaa ratkaisuja energiateollisuuteen ja terveydenhuoltoon. Oletusasetukset pitää muuttaa ja etäkäyttömahdollisuudet poistaa silloin, kun niitä ei oikeasti tarvita. vuudet on saatu selville, rikolliset voivat ottaa haltuunsa automatisoidusti paljon samanlaisia laitteita”, Orasaari sanoo. Ota huomioon, että automaatiojärjestelmien elinkaari voi olla kymmeniä vuosia. 4. Kaikilla mittalaitteilla on oma koodinsa, ja verkossa 5Viisi vinkkiä Näin hyödynnät esineiden internetiä fiksusti: 1. Internetistä on hyötyä Jo ennen esineiden internetiä käytettiin käsitettä m-to-m (machine to machine), jossa koneita ja laitteita kytketään diagnostiikkaan tai ohjausjärjestelmiin. ”Jos tietoturvasta huolehditaan ammattimaisesti, esineiden internetin tietoturvariskit ovat minimaaliset verrattuina taloudelliseen hyötyyn ja laadun paranemiseen”, sanoo toimitusjohtaja Hannu Martikainen. Martikaisen mukaan Emtele huolehtii tietojen luottamuksellisuudesta. 2. Ei riitä, että protokolla on teknisesti hyvä, vaan sen on myös sovittava omaan sovellukseen. Määritä omat vaatimukset muun muassa ylläpidettävyydestä, jatkuvakäyttöisyydestä ja lisensoinnista. Terveydenhoitosovellusten avulla taas voidaan mitata esimerkiksi verensokeria tai verenpainetta ja lähettää mittaustulokset verkon kautta analysoitaviksi. 3. Energiajärjestelmissä ratkaisujen avulla voidaan esimerkiksi ohjata sähköverkkoja, jolloin vikatilanteessa, kuten myrskyn jälkeen, voidaan sähköt reitittää uudestaan
Hän korostaa, että kuluttajat omistavat omat harjoitusdatansa ja päättävät itse sen mahdollisesta jakamisesta muihin palveluihin. ” Mitä useampia järjestelmiä, sitä haavoittuvampi kokonaisuus. Esineiden internet -tuotteita meiltä ei ole vielä luvassa.” Markkinointijohtaja Lei Sorvisto kertoo, että yritys on rakentanut sykemittareistaan rajatun tiedonsiirtomahdollisuuden muun muassa Googlen Playn ja Applen App Storen kautta ladattaviin palveluihin sekä esimerkiksi Applen Health-sovellukseen. Pankkialan tuottavuus on ihan eri tasolla verrattuna aikaan, jolloin asioitiin pankin tiskillä.” O tietosuoja 1 • 2015 14. ”Luotamme sykemittariemme bluetooth-viestintään. Tuoteryhmäjohtaja Marco Suvilaakson mukaan Polar on tehnyt hankkeessa perustyötä standardien parissa. Kun kuluttaja liittyy Polarin palveluun, hän hyväksyy, että hänen tietojaan voidaan käyttää osana palvelun tietoaineistoa, mutta yksittäisen kuluttajan tietoja ei seurata. Vasta kun esimerkiksi verenpainemittari 376 yhdistetään ihmisen omiin tietoihin, data muuttuu hyödynnettäväksi tiedoksi. Tätäkin vastaan on hyvä varautua muuttamalla salasanat ja huolehtimalla päivityksistä. Televisioista Orasaari varoittaa, että monissa televisioissa yleistynyt kamera voi antaa mahdollisuuden salakatseluun. Polar Electro Oy valmistaa sykemittareita ja urheilukelloja, jotka keräävät tietoja käyttäjästä urheilusuorituksen aikana. Emtelen sovelluksissa tietojen siirtoon käytetään julkisesta internetistä eristettyä internet-pohjaista verkkoa. Hän korostaa, että tietoturva vaatii hyvää ammattitaitoa ja jatkuvaa ylläpitoa. ”Siinä tietoliikenteen saatavuus ja luotettavuus on parempi kuin täysin omassa verkossa”, Martikainen sanoo. Jos tietoturvasta huolehditaan ammattimaisesti, esineiden internetin tietoturvariskit ovat kuitenkin minimaaliset verrattuina suuriin taloudellisiin hyötyihin ja merkittäviin laadullisiin parannuksiin. Yhtiö on mukana DIGILEn (aiemmin Tietoja viestintäteollisuuden tutkimus TIVIT) Internet tieto liikkuu vain tällä koodilla merkittynä. Esineiden internet tulee myös kuluttajalaitteisiin Internetiin yhteydessä olevat laitteet lisääntyvät jatkuvasti myös kuluttajien käytössä. Viestintäviraston Kyberturvallisuuskeskuksen tietoturva-asiantuntijan Sami Orasaaren mukaan kuluttajapuolella pätevät samat säännöt kuin yrityksissäkin: Laitteiden päivityksistä tulee huolehtia säännöllisesti ja oletusasetukset, salasanat ja tunnukset tulee vaihtaa. Internetin hyödyntämisestä on etua. ”Teollisessa internetissä pätee aivan sama periaate”, Martikainen vertaa. Jotta tieto voidaan yhdistää, sekä ohjausettä laitedatan pitää olla yhdistettävissä. ”Kivenmurskaintakin voidaan säätää ja seurata etänä. ”Näihin palveluihin kuluttaja voi halutessaan siirtää omalle tililleen omia harjoittelutai aktiivisuustietojaan Polarin tietosuojakäytännön mukaisesti”, Sorvisto sanoo. of Things -ohjelmassa, jossa esineiden internetin pohjalle kehitetään uutta liiketoimintaa. Jos verkkopalveluita ei tarvita, ei laitetta kannata kytkeä verkkoon lainkaan. ”Olemmehan esimerkiksi käyttäneet internetiä pankkipalveluissa turvallisesti jo kymmeniä vuosia
Veitsi tuntuu terävältä, joten sillä voi leikata asioita. Puolitoistavuotias ei ymmärrä, mikä Roomba-siivousrobotti on. Kirjailija Charles Strossin nyrkkisäännön mukaan lähitulevaisuudesta 85 prosenttia voidaan johtaa nykytilanteesta, kymmenen prosenttia osapuilleen ennustaa nykytilanteesta ja loput viisi prosenttia on täysin arvaamatonta. Olli Sulopuisto on teknologiasta kirjoittava vapaa toimittaja. Peili heijastaa valoa, joten siitä voi katsella itseään. Millainen esine on jääkaappi, johon upotettu Linux-tietokone on jatkuvasti yhteydessä nettiin . Jännittävää on, mitä viiden prosentin yllätysluukusta paljastuu. Voisitteko nyt olla hiljaa ja tehdä vain kuten käsken . Älykäs asia on arvaamaton ja siksi pelottava. Mitä älykkäämpi esine on, sitä vähemmän lohtua siitä on. Pallo on pyöreä, joten sitä on helppo potkia ympäriinsä. Jo nyt voi ennustaa, että älykkäiden esineiden määrä kasvaa ja lähes varmasti voi sanoa, että niitä tullaan käyttämään väärin – sen tarkka tapa vain on epäselvää. Kun esineiden internetistä esitetään utopioita, painotetaan yleensä uudenlaisia mahdollisuuksia, joita syntyy, kun kaikki mahdolliset havainnot koneiden, eläinten ja ihmisten toimista saadaan kirjattua muistiin. Samanlainen hämmennys valtaa aikuisen mielen, kun esineet heittäytyvät avuliaiksi. Esimerkiksi se, mitä esineiden ja ihmisten väliselle suhteelle tapahtuu. Älykäs esine ei paljasta kaikkia kykyjään. Mosaic-selaimen kehittäjä, pääomasijoittaja Marc Andreessen väittää ohjelmistojen valtaavan maailman. Tietokoneohjelmia on nopeampi muuttaa ja kehittää kuin fyysisiä asioita, joten niiden tehokkuus kasvaa hurjasti esineitä nopeammin. Kolumni OLLI SULOPUISTO Esineet ovat lohdullisia. Kiitos älypuhelin, että kerrot minulle nopeimman reitin naimisissa olevan tuttavani asunnolle. Jokin kategorioiden rikkomisessa vaivaa ihmistä perinpohjaisesti. Hahmottaako kukaan, millaisia abstraktioita sen sisällä on . Sammutettuna se vaikuttaa elottomalta esineeltä, mutta välillä laite liikkuu ja ääntelee ilman että kukaan koskee siihen. Mitä enemmän älyä esineeseen ahdetaan, sitä enemmän valtatasapaino järkkyy. Siksi esineet halutaan naittaa ohjelmistoihin. Robotti on häiritsevällä tavalla sekä esine että olento. Kiitos vaaka, että muistutat minun lihoneen tavallista nopeammin. Kiitos kello, että toteat uneni jääneen viime yönä kolme tuntia liian lyhyeksi. Olemuksesta taas voi päätellä, mitä esineellä tehdään. Voisitteko olla enemmän esineitä ja vähemmän olioita . Ne ovat hyviä mutta tylsiä kysymyksiä. Selitys on pohjimmiltaan yksinkertainen. Ei siinä mielessä, että tavaroiden omistaminen tuottaisi mielihyvää, vaan että ne ovat sitä miltä näyttävät. Älykäs esine ei paljasta kaikkia kykyjään vaan kätkee osan itsestään mustaan laatikkoon. Esineiden ja ihmisten valtasuhde on tähän saakka ollut selkeä: esineen muoto kertoo ihmiselle, mitä sillä voi tehdä, jonka jälkeen ihminen tekee esineellä mitä mielii. Viisi prosenttia mysteeriä 15 tietosuoja 1 • 2015. Voisinko olla puhuttelematta esineitä kuten eläviä olentoja . Kun samasta aiheesta esitetään dystopioita, vaarana on useimmiten tietojen virheellinen tulkitseminen, soveltaminen moraalittomiin tarkoituksiin tai joutuminen vääriin käsiin
Nämä järjestelmät lähtevät oletuksesta, että tiedämme, mitä etsimme. Tämä tarjoaa verkkohyökkääjille lähes rajattomat mahdollisuudet. Kaupallisten järjestelmien voi olettaa kuitenkin lisääntyvän samalla, kun kyberturvallisuus on noussut yhä tärkeämmäksi aiheeksi. Toisaalta voidaan ottaa huomioon aikaulottuvuus: suuren tiedoston lataaminen voi olla normaalia työaikaan mutta ei esimerkiksi sunnuntaiiltana. Sen jälkeen tutkimus on ollut vilkasta, ja tähän mennessä poikkeavuuksia on etsitty useilla eri tiedonlouhinnan ja koneoppimisen menetelmillä, kuten neuroverkoilla, tukivektorikoneilla sekä muilla luokitteluja ryhmittelyalgoritmeilla. yhteistä on, ettei ennakko-oletuksia normaalista ja epänormaalista tarvitse tehdä manuaalisesti. Ahkerasta tutkimuksesta huolimatta käytännön kaupalliset sovellukset ovat vieläkin melko harvinaisia tutkimustiedon määrään nähden, vaikka myös käytännön sovelluksia on olemassa. Poikkeamia voidaan siis etsiä eri tavoin, mutta automaattisille poikkeamien havainnointimenetelmille 16 tietosuoja 1 • 2015. Ajatuksena on, että tekoäly auttaa ihmistä löytämään asioita, joista emme tiedä etukäteen mitään. Lisäksi poikkeama voi olla yksittäisen tapahtuman sijaan useampien toimintojen sarja. Haitallisen toiminnan tunnistamiseen tarvitaan tunkeutujan havaitsemisjärjestelmiä (englanniksi ’intrusion detection system’, IDS). Asiantuntijalta Tekoäly auttaa löytämään tuntemattomat poikkeamat Hyökkääjät ovat aina askeleen edellä, ja siksi verkkoliikenteestä on kyettävä löytämään ennestään tuntemattomia poikkeamia. Uusi menetelmä, uudet ongelmat Vaikka poikkeamien havaitsemisjärjestelmillä voidaan ratkaista monia perinteisiä tietoturvaan liittyviä ongelTEKSTI ANTTI JUVONEN Verkossa liikkuvan datan ja liikenteen määrä kasvaa koko ajan. Useimmat hyökkääjien tunnistamiseen käytetyt järjestelmät havaitsevat edelleen ennestään tunnettuja hyökkäyksiä käyttäen etukäteistietoon perustuvia sääntöjä, joita pitää luoda ja päivittää manuaalisesti. Poikkeavuus voi olla vaikkapa verkossa tapahtuva yksittäinen tapahtuma, esimerkiksi hyökkäysyritys. Automaattinen poikkeamien havainnointi on uusi keino, mutta ihmeitä ei silläkään saada aikaan. Vuonna 1986 tietoturvatutkija Dorothy Denning esitti järjestelmän, joka pystyi manuaalisten sääntöjen lisäksi havaitsemaan poikkeavuuksia tilastollisesti. Järjestelmät ovat tarkkoja mutta pystyvät löytämään vain ennalta määriteltyjä hyökkäyksiä ja virhetilanteita. Takana vuosien tutkimus Tiedemaailmassa automaattinen poikkeavuuksien havaitseminen verkkoliikenteestä ei ole uusi idea, sillä sen juuret ulottuvat ainakin 1980-luvulle. On selvää, että tietoturvan saralla olisi käyttöä automaattiselle poikkeavuuksien havainnoinnille (englanniksi ’anomaly detection’). Samalla käytettävät järjestelmät ja palvelut ovat muuttuneet yhä monimutkaisemmiksi
Tietoturva on kokonaisuus, jossa kaikki vaikuttaa kaikkeen. Hyökkääjä voi myös tietoisesti pyrkiä huijaamaan poikkeavuuksien havaitsemisalgoritmia naamioimalla toimintansa normaalin kaltaiseksi. Kun analysoitava data eli verkkoliikenteestä kerättävä informaatio valitaan huolellisesti, on paremmat mahdollisuudet onnistua. Datan valinnalla saadaan luotua tarkempi konteksti, joka helpottaa oikeiden poikkeamien löytymistä. Antti Juvonen väitteli filosofian tohtoriksi Jyväskylän yliopistosta loppuvuonna 2014 väitöskirjalla “Intrusion Detection Applications Using Knowledge Discovery and Data Mining” pääaineenaan tietotekniikka. Tiedonlouhinta tuo mukaan oman elementtinsä, jolla kokonaisuutta pystytään parantamaan. Yleensä järjestelmä antaa aina jonkun verran vääriä hälytyksiä, sillä algoritmi ei voi täysin varmasti tietää, mikä on oikea ja tärkeä poikkeama. Todellisuudessa uudet menetelmät eivät tule korvaamaan perinteisempiä tietoturvajärjestelmiä, vaan toimimaan niiden rinnalla. O Kerättävän datan on oltava laadukasta. Tiedonlouhinta täydentää keinovalikoimaa Automaattinen verkkoliikenteen poikkeavuuksien havainnointi tiedonlouhintamenetelmiä käyttäen yleistynee tulevaisuudessa. Lisäksi poikkeamien etsiminen voi olla laskennallisesti vaativaa, jos verkkoliikennettä on paljon. Aluksi parhaita käyttökohteita voisivat olla esimerkiksi kriittiset järjestelmät, joissa tietoturva on muuten jo ajan tasalla ja normaali verkkoliikenne on melko rajattua. Tutkimuksessa ja kaupallistamisessa on edettävä askel kerrallaan, ja se vaatii tutkijoiden ja yritysten yhteistyötä. Yleensä kerätty liikennedata on raakaa ja vaatii esikäsittelyä, jotta oleelliset piirteet saadaan erotettua ja analysoitua. Koneoppimisalgoritmit ovat kaiken lisäksi parempia tunnistamaan samankaltaisuuksia kuin erilaisuuksia, mikä tekee niiden käytöstä teoreettisestikin haastavaa silloin, kun etsitään poikkeamia. Data on valittava huolellisesti Toisaalta ongelmat voidaan ratkaista huolellisella suunnittelulla. Olisi kuitenkin helppoa ajatella monimutkaisten algoritmien hoitavan kaiken puolestamme. Väärät hälytykset voivat olla suuri ongelma, sillä jos niitä tulee liikaa, oikeasti vakavat hyökkäykset peittyvät niiden alle. SANNA V A TANEN 17 tietosuoja 1 • 2015. Kaikessa tiedonlouhinnassa aluksi kerätyn datan on oltava laadukasta, muuten kaikki seuraavat analyysin vaiheet ovat turhia. Vaikka monet koneoppimismenetelmät ovat monipuolisia työkaluja, on myös tärkeää välttää ylimääräistä monimutkaisuutta. Hän työskentelee nyt CAP Data Technologies -startupissa tiedonlouhinnan, data-analyysin ja poikkeavuuksien havainnoinnin parissa. Muuten järjestelmästä tulee liian raskas ja virheille altis. Myös käytettävät algoritmit on valittava huolella käyttötarkoituksen mukaan, sillä tietyt algoritmit soveltuvat poikkeavuuksien etsimiseen paremmin kuin toiset. mia, uudet menetelmät tuovat mukanaan myös uusia ongelmia
Kaikista keskukseen ja arkistoon tehtävistä toimenpiteistä; katselusta, tallettamisesta, korjaamisesta ja mitätöinnistä, tehdään lokimerkintä. Rekisteröi tämä Reseptikeskus kasvaa vauhdilla Valtaosa on saanut sähköisen lääkemääräyksen. Yksittäiseltä työntekijältä vaaditaan myös työtehtävän mukaiset käyttöoikeudet ja varmennekortti. Apteekeissa käsittelyoikeus on proviisoreilla, farmaseuteilla ja alan opiskelijoilla. ”Potilaalla on oikeus rajata antamaansa suostumusta kieltämällä tiettyjen lääkemääräysten tietojen näkyminen Reseptikeskuksesta”, Kelan lakimies Henna Koli sanoo. Siellä sähköisistä resepteistä näytetään potilaan nimi sekä lääkkeen toimitustiedot ja käyttötarkoitus. PKVtai huumausainelääkemääräyksiä. Siellä farmaseutti hakee lääkemääräyksen tiedot Reseptikeskuksesta, tekee lääketoimituksen ja allekirjoittaa lääketoimitusasiakirjan, joka lähetetään Reseptikeskukseen. Toistaiseksi tietoja voivat käsitellä lääkärit ja hammaslääkärit sekä opiskelijat ja sairaanhoitajat, joilla on reseptinkirjoitusoikeus. Suostumuksen voi antaa Omakantapalvelussa tai terveydenhuollossa yksikössä viimeistään 2017. ”Omakannassa näytetään potilaan kan18 tietosuoja 1 • 2015. Varsinainen lääkemääräys kulkee ykkösinä ja nollina lääkärin käyttämästä potilastietojärjestelmästä Reseptikeskukseen, jonne talletetaan Suomen kaikki sähköiset reseptit. Arkistossa 20 vuotta Reseptikeskuksessa lääkemääräysten tietoja säilytetään 30 kuukautta eli kaksi ja Suostumus jatkossa kirjallisesti Potilas voi vaikuttaa siihen, ketkä pääsevät lukemaan ja muuten käsittelemään lääkemääräyksen tietoja Reseptikeskuksessa. Flunssa äityy poskiontelotulehdukseksi, johon lääkäri määrää antibioottikuurin. Myös muut sairaanhoitajat saavat käsitellä tietoja potilaan suullisella suostumuksella. Nyt jo neljä viidestä suomalaisesta on saanut sähköisen lääkemääräyksen. Niiden tietoja säilytetään Kelan ylläpitämissä Reseptikeskuksessa ja pitkäaikaissäilytykseen tarkoitetussa Reseptiarkistossa. Keskuksen tietojen käsittely edellyttää lähes aina hoitosuhdetta ja potilaan suostumusta. Lääkemääräyksen perusteena olevaa diagnoosia ei talleteta Reseptikeskukseen. Potilas vie viivakoodipaperin apteekkiin. Potilas saa käteensä potilasohjeen eli viivakoodilla varustetun paperin, jossa on perustiedot lääkkeestä. ”Lokista nähdään, mitä tietoja kukakin on hakenut, milloin ja millä perusteella”, Koli sanoo. Halutessaan potilas voi käydä katsomassa omia tietojaan Omakanta-verkkopalvelussa. Mahdollisuus rajata tietojen näkymistä ei kuitenkaan koske lääkärin mahdollisuutta nähdä itse määräämiään lääkkeitä ja ns. Jatkossa suullinen suostumus ei riitä, vaan potilaalta pitää saada kirjallinen suostumus Reseptikeskuksen lääkemääräystietojen käsittelylle. TEKSTI PÄIVI MÄNNIKKÖ nalta olennaiset tiedot lääkemääräyksistä ja niiden toimituksista”, Kelan lakimies, tietosuojavastaava Henna Koli sanoo. Esimerkiksi henkilötunnus ei siellä näy. ”Se ei kuulu lääkemääräystietoihin vaan tallennetaan potilastietojärjestelmään.” Lokimerkintä kaikista toimenpiteistä Pääsy Reseptitietokeskukseen on kaikilla terveydenhuollon Kansallisia tietojärjestelmäpalveluja (Kanta) käyttävillä yksiköillä. Keskeiset tiedot näkyvät potilaalle Sähköinen resepti on ollut käytössä vuodesta 2010 alkaen
HTTPS ja lukon kuva sivuston osoitteen vieressä kertovat siitä, että yhteys on salattu. Kysymykseen vastasi tietosuojavaltuutetun toimistosta tietopalvelusihteeri Hanna Pentti. Arkiston muita käyttötarkoituksia ovat viranomaisvalvonta ja tieteellinen tutkimus. Miten toimitaan alaikäisten kohdalla: voiko opiskelija kieltää itse nimensä julkaisun vai pitääkö huoltajan se kieltää. Lähetä kysymyksesi meille, me etsimme sille sopivan vastaajan. Tietosuojavaltuutettu ei valvo julkisuuslain soveltamista. Samoin klikkaamalla lukon kuvaa osoitekentän vieressä voi varmistua siitä, että sivusto oikeasti on se, joka osoitekentässäkin näkyy. Reseptiarkiston tietojen säilytysaikaa on pidennetty 10:stä 20 vuoteen. Lähivuosina terveydenhuollon yksiköt saavat käsitellä arkiston tietoja potilaan kirjallisella suostumuksella esimerkiksi lääkityksen seurantaa varten. Kysymyksiä voi lähettää osoitteeseen info@tietosuoja-lehti.fi MITEN VOI VARMISTAA, että www-sivu tai sähköinen asiointipalvelu (esimerkiksi verkkopankki) on aito eikä huijaussivusto. Kysymykseen vastasi Kyberturvallisuuskeskuksen Tilannekeskus-ryhmän päällikkö Antti Kiuru Viestintävirastosta. O tietosuoja 1 • 2015 19. puoli vuotta. ”Vaikka lääkemääräys on pääsääntöisesti voimassa vuoden, sen tietoja voidaan tarvita myöhemminkin esimerkiksi sairausvakuutuskorvausten käsittelyyn ja seurantaan, lääkemääräyksen uusimiseen sekä potilaan lääkityksen seurantaan”, Koli sanoo. Sen jälkeen lääkemääräystiedot siirretään Reseptiarkistoon. Se valvoo omien työntekijöidensä toimintaa sekä huolehtii keskuksen ja arkiston tietoturvasta ja ylläpidosta. Kela on ohjeistanut yksiköitä ja apteekkeja ilmoittamaan mahdollisista väärinkäytöksistä. Kun tiedotusvälineet pyytävät oppilaitoksesta valmistuneiden nimiä, sovelletaan henkilötietojen luovuttamiseen julkisuuslakia. Kysy meiltä . Tietojen käsittelyn lainmukaisuudesta vastaavat lähtökohtaisesti tietoja käsittelevät terveydenhuollon yksiköt ja apteekit. SAAKO TOISEN ASTEEN OPPILAITOKSESTA valmistuneiden opiskelijoiden nimet julkaista paikallislehdessä ja/tai netissä ilman asianomaisen erityisesti antamaa julkaisulupaa. Huijaussivustojen osoitteita levitetään usein sähköpostitse. Jos haluaa varmistua siitä, että ei ole menossa väärennetylle sivustolle, voi esimerkiksi mennä suoraan palvelun omalle sivustolle klikkaamatta linkkiä. Askarruttaako jokin henkilötietojen suojaan, yksityisyyteen, viestinnän luottamuksellisuuteen tai tietoturvaan liittyvä asia. ”Kymmenen vuoden säilytysaika katsottiin liian lyhyeksi erityisesti tieteellisen tutkimuksen tarpeisiin.” Kela seuraa ja ohjeistaa Sekä Reseptikeskuksen että Reseptiarkiston rekisterinpitäjä on Kela. Kela valvoo yleisellä tasolla, ohjeistaa ja tekee seurantaa. Niiden vastuulla on valvoa lokitietoja sekä seurata ja ohjeistaa työntekijöitään tietojen käsittelemisessä. Huijaussivuston voi tunnistaa esimerkiksi tutkimalla sivuston osoitetta (URL) ja katsomalla, minne verkkotunnukseen sivusto osoittaa
BITTIEN kulkua turvaamassa Espoon Otaniemi on yksi Suomen laajimmista teknologiakeskittymistä, jossa yritykset kehittävät uusia teknologioita ja tulevaisuuden toivot opiskelevat insinööreiksi. Yhtiön sijainti vesitornin vieressä symboloi perinteistä ja uudempaa yhteiskunnan elintärkeää infrastruktuuria. ”Jos Suomi-neitoa ajatellaan ihmisenä, viranomaiset ja huoltovarmuuden kannalta kriittiset yritykset ovat lihaksia. TEKSTI PÄIVI MÄNNIKKÖ KUVAT OLLI HÄKÄMIES 20 tietosuoja 1 • 2015. Tietoja viestintäverkot puolestaan tarvitsevat jonkun huolehtimaan siitä, että bitti kulkee putkessa turvallisesti, häiriöttä ja mahdollisimman nopeasti. Otaniemessä toimii myös tietoliikenneja verkkoratkaisuja tuottava Suomen Erillisverkot Oy. Liiketoiminta-alueita turvallisuusverkTimo Lehtimäen johtama Suomen Erillisverkot Oy ryhtyy ylläpitämään korkean turvallisuuden viranomaisverkkoa. Vesijohtoverkosto ei toimi ilman vesitornia. Suomi-neidon verisuonisto Suomen Erillisverkkojen toimitusjohtaja Timo Lehtimäki kuvaa yhtiön roolia tietoyhteiskunnassa toimivuuden turvaajaksi. Se huolehtii muun muassa viranomaisten radiopuhelinverkko Virven toiminnasta ja pian myös julkisen hallinnon turvallisuusverkko TUVEsta. Me olemme verisuonisto, joka tarjoaa lihaksille mahdollisuuden toimia.” Erillisverkot on valtion kokonaan omistama yhtiö, jonka liiketoiminta-alueet on jaettu tytäryhtiöihin
21 tietosuoja 1 • 2015. BITTIEN kulkua turvaamassa TUVE-verkkoa on viime vuosina uudistettu ja laajennettu. ”Alaa tuntemattomat ovat luulleet, että on rakennettu kokonaan uusi verkko”, Suomen Erillisverkkojen toimitusjohtaja Timo Lehtimäki sanoo
. Alun perin vain Puolustusvoimien käytössä ollutta verkkoa on viime vuosina uudistettu ja laajennettu, ja nyt sitä käyttää myös sisäministeriö. Tavoitteena hallittu siirtymä Käytännössä Erillisverkot tekee etenkin aluksi paljon yhteistyötä Puolustusvoimien kanssa. Niitä ovat valtion ylimmän johdon ja ministeriöiden ohella pelastustoiminnan, Salaisuuksienkin on kuljettava TUVEssa turvallisesti. Tietoliikenteen ja tietotekniikan keskusliitto FiCom ry:n hallituksen jäsen . Liikkeenluovutusta edelsi poikkeuksellisen pitkä lainsäädäntöprosessi: Lakiesitys julkisen hallinnon turvallisuusverkkotoiminnasta annettiin eduskunnalle toukokuussa 2013, ja laki hyväksyttiin juuri ennen joulua 2014. Lain tarkoituksena on, että turvallisuusviranomaisten tietoliikenne kulkee suojattuna kaikissa olosuhteissa ja että kriittinen tietoaineisto varastoidaan ja hallinnoidaan Suomessa. TUVE on koko maan kattava viranomaisten viestintäverkko, joka täyttää korkean varautumisen ja tietoturvallisuuden vaatimukset. Lehtimäen mukaan vuoden 2016 loppuun ulottuva siirtymäaika on toiminnan turvaamisen ja kustannustehokkuuden kannalta paras ratkaisu: ”Verkko on operatiivisessa käytössä koko ajan, ja sen on pakko toimia”, hän painottaa. Liiketoiminta-alueet on jaettu eri tytäryhtiöihin siksi, että osa toiminnoista rahoitetaan valtion budjetista, kun taas osa toimii kilpaillulla alalla liikevoittoon pyrkien. ”Ilman siirtymäaikaa olisimme joutuneet rakentamaan aika paljon päällekkäistä organisaatiota.” TUVE-lain mukaan verkkoa ryhtyvät käyttämään myös muut korkean varautumisen verkkoa tarvitsevat turvallisuusviranomaiset. Suomen Erillisverkot Oy:n toimitusjohtaja 2013– . tietosuoja 1 • 2015 22. ”Yhtiöjärjestyksen mukaan koko konsernin tehtävänä ole tuottaa maksimaalista voittoa omistajalle vaan pikemminkin hoitaa meille annettuja tehtäviä kustannustehokkaasti.” Turvallisuusverkon ylläpitäjäksi Maaliskuun alussa yhtiön uusin, vuonna 2012 perustettu liiketoiminta-alue Turvallisuusverkko aloitti julkisen hallinnon turvallisuusverkko-operaattorina, kun viranomaisverkko TUVEn ylläpito siirtyi liikkeenluovutuksena Puolustusvoimilta Erillisverkoille. Diplomi-insinööri kotoiminnan ohella ovat viranomaisverkko Virven operointi ja ylläpito, radiopäätelaitteiden myynti ja huolto sekä palveluoperaattorituotteiden ja palvelujen tarjonta, maanalaisten suojatilojen ja konesalien hallinnointi ja vuokraus sekä johtojen sijaintitiedon tarjoaminen. Työskenteli Viestintävirastossa 2000–2012, viimeksi viestintäverkkojen ohjauksesta ja valvonnasta sekä tietoturvallisuudesta vastaavana johtajana. Timo Lehtimäki
”Facebookissa olen aika lailla siviiliroolissa. Verkon vaatimista tietoja viestintäteknisistä sekä viranomaisten omat verkot runkoverkkoon yhdistävistä integraatiopalveluista vastaavat valtion virastot; valtion tietoja viestintätekniikkakeskus Valtori ja Hallinnon tietotekniikkakeskus HALTIK. ”Suomessa ei vieläkään täysin ymmärretä, kuinka tärkeää tietoliikenteen ja kriittisten tietojärjestelmien toimivuus on.” Lehtimäki vaatii viranomaisilta ja yrityksiltä keskimäärin parempaa riskienhallintaa. Pelottaako, että sinulle yritetään tehdä jokin jekku somen kautta. ”Tietoturva varmistetaan esimerkiksi salauspalveluilla. ”Sitten on niitä, jotka eivät ole vielä kovin valveutuneita näissä asioissa.” Samalla hän muistuttaa, etteivät organisaation kaikki toiminnot välttämättä tarvitse korkeinta mahdollista suojausta. Timo Lehtimäen mielestä TUVE päinvastoin lisää turvallisuutta, kun muutkin kuin Puolustusvoimat saadaan turvallisen ja korkean varautumisen verkon piiriin. Lain mukaan TUVEssa pitää voida kuljettaa turvallisesti kaikkea sellaista tietoa, jota valtionhallinnossa ylipäänsä saa lähettää sähköisesti; julkisesta tiedosta salaisuuksiin asti. Ennen nykyistä työtään hän toimi Viestintävirastossa viestintäverkkojen ohjauksesta ja valvonnasta sekä tietoturvallisuudesta vastaavana johtajana. TUVE on alun perin ollut korkean varautumisen verkko, mikä tarkoittaa häiriötöntä toimintaa kaikissa olosuhteissa. Käyttäjillä on myös erilaisia vaatimuksia. Lisäksi käytän hyvin satunnaisesti Twitteriä.” Koetko olevasi aina työroolissa somessa. Tietoturvassa pitää ymmärtää sekin, että joskus joku lyö meitä, mutta tiedämme, mitä teemme sen jälkeen. Tietoturva, esimerkiksi tietoliikenteen salaus, kuuluu Valtorin ja HALTIKin vastuulle. Facebookia käytän lähinnä siviiliasioissa ja aika laiskasti. Taustalla tiukat vaatimukset TUVE-lain käsittelyn aikaan esitettiin epäilyjä siitä, että turvallisuusviranomaisten keskittäminen yhteen verkkoon lisää niihin kohdistuvia uhkia. ”Pitäisin pikemminkin todennäköisenä, että joskus näin tulee käymään. Virastot vastaavat tietoturvasta Erillisverkkojen tehtäväksi tulee TUVEn runkoverkon ja muun infrastruktuurin ylläpito. Laissa vaatimukseksi on lisätty tietoturvan korkea taso. 3Kolme kysymystä somesta Mitä sosiaalisen median palveluja käytät. Mutta en voi väittää, että se olisi täysin ongelmatonta”, Lehtimäki sanoo ja viittaa tietoturvallisuuden kolmen h:n sääntöön: ”se ei ole helppoa, halpaa eikä hauskaa”. ”Meidän osaltamme työnjako on selkeä”, Lehtimäki sanoo. Poikkeusoloihin varaudutaan muun muassa huomattavalla ylikapasiteetillä ja vaihtoehtoisilla yhteyksillä. Millaisena hän pitää suomalaisen tietoyhteiskunnan kykyä vastata kyberuhkiin. Yhtiö huolehtii siitä, että luonnonmullistus, kyberhyökkäys tai muu poikkeustilanne ei vaaranna bittien kulkua runkoverkossa. ”Totta kai mekin luomme silti mekanismeja verkossa olevien poikkeamien, kuten epätavallisen liikenteen kasvun tarkasteluun”, Lehtimäki toteaa. Toimivuus ennen kaikkea Timo Lehtimäellä on takanaan pitkä ura kyberturvallisuuden parissa. Kun yhdelle viranomaiselle tärkeintä on se, että ulkopuoliset eivät pääse viestiin käsiksi, toiselle olennaista on tiedon saatavuus ilman viiveitä ja katkoksia. Toki osa tiedostaa jo nyt omat velvoitteensa ja haasteensa tarkasti. ”Ei turvallisuustoimia pidä ylimitoittaakaan.” O tietosuoja-lehti.fi Onko valtionyhtiöön luottamista. tietosuoja 1 • 2015 23. rajaturvallisuuden ja hätäkeskusten viranomaiset. LinkedIniä ja Twitteriä käytän työasioissa.” Kyberturvallisuus on iso osa työtäsi, ja olet näkyvässä asemassa. Totta kai turvallisuusasiat pyritään tekemään niin hyvin kuin pystytään, mutta ponnistelujen täytyy kuitenkin olla järjellisiä ja suhteessa riskitasoon. ”Olen LinkedInissä. ”Hyvällä tahdollakaan ei voi sanoa, että ne olisivat jo sellaisessa verkossa.” Haasteita silti on. Lehtimäen mukaan esimerkiksi verkon osittaiset viat tai rikkoontumiset eivät näy käyttäjälle palvelukatkoksina eivätkä myrskyt ja katkeilevat sähkölinjat rampauta TUVE-verkkoa
Uusi laki velvoittaa tunnistuspalveluita tarjoavat yritykset ja viranomaiset liittymään keskinäiseen luottamusverkostoon, joka toimii tunnistuspalvelujen taustalla. Verkkoa käyttävät tulevaisuudessa Puolustusvoimien ja sisäministeriön lisäksi valtion ylin johto, ministeriöt sekä turvallisuusja pelastusalan viranomaiset. Samalla käsitellyssä on sosiaalija terveydenhuollon asiakastietolain muutos. Liikenneja viestintävaliokunta täsmentää mietinnössään, että tietojen ajantasaisuuden varmistamisella ei tarkoiteta velvoitetta tarkistaa tietoja jokaisen tunnistustapahtuman yhteydessä. Laissa säädettäisiin myös asiakastietojen käsittelystä ostopalvelutilanteissa. Lain mukaan turvallisuusverkon laitteiden on sijaittava Suomessa ja sen hallintaan ja valvontaan liittyvät palvelut on tuotettava Suomessa. Lain mukaan tunnistuspalvelun tarjoajan tulee hankkia palveluunsa tarvitsemat tiedot väestötietojärjestelmästä ja varmistaa, että sillä olevat henkilötiedot ovat ajan tasalla. Laki tulee pääosin voimaan 1.1.2016, mutta luottamusverkostoa koskevat pykälät tulevat voimaan vasta 1.5.2017. Se valtuuttaisi Kelan ja Väestörekisterikeskuksen aloittamaan valtakunnallisen sosiaalihuollon asiakasasiakirjaarkiston teknisen toteutuksen. Laissa säädetään turvallisuusverkosta (TUVE). Lakien on määrä tulla voimaan huhtikuussa. Verkkopalvelun tarjoaja päättää kuitenkin itse, mitä tunnistusvälineitä hänen palvelussaan käytetään. SCANSTOCKPHOTO SHUTTERSTOCK 24 tietosuoja 1 • 2015. Luottamusverkostoon liittyneet tunnistuspalvelujen tarjoajat luottavat toistensa tarjoamiin tunnistusvälineisiin. VIRANOMAISTEN TURVALLISUUSVERKOSTA LAKI Laki julkisen hallinnon turvallisuusverkkotoiminnasta astui voimaan tammikuussa. Lait ja säädökset Tunnistamislaki voimaan 2016 UUSI LAKI SOSIAALIHUOLLON ASIAKASASIAKIRJOISTA Eduskunta käsittelee esitystä uudeksi sosiaalihuollon asiakasasiakirjalaiksi. Se on koko maan kattava viranomaisten tietoja viestintäverkko, jonka perustana on uudistettu ja laajennettu Puolustusvoimien verkko. Eduskunta hyväksyi tammikuussa lain vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista. Nykyiset vahvan tunnistamisen välineet; verkkopankkitunnukset, mobiilivarmenne ja HST-kortti, ovat jatkossakin käytössä. Lue lisää TUVEsta sivulta 20. Kun verkkopalvelu tekee sopimuksen yhden verkostoon kuuluvan tunnistuspalvelun kanssa, verkkopalvelussa voidaan käyttää kaikkien muidenkin verkostoon kuuluvien tunnistuspalveluita. Laissa on tarkoitus säätää niistä tiedoista, joita sosiaalihuollon asiakasasiakirjoihin on kirjattava ja talletettava sosiaalihuollossa ja monialaisessa yhteistyössä
Tietoturvan suunnittelua ja toteuttamista koskevat vaatimukset olivat aiemmin neljässä eri määräyksessä. Pääosa valmisteltiin työryhmissä yhdessä teleyritysten ja muiden alan toimijoiden kanssa. Lait ja säädökset Määräysuudistus koski myös tietoturvamääräyksiä Turvallisuusselvityslaki voimaan vuoden alussa Uusi turvallisuusselvityslaki astui voimaan vuoden alussa. Niitä ovat yhteiskunnan elintärkeiden toimintojen hoitamiseen liittyvät tehtävät muun muassa energia-, vesija elintarvikehuollossa sekä tietoliikenteessä. Uudistamistyön tuloksena vuoden alussa tuli voimaan kaikkiaan 35 uudistettua Viestintäviraston määräystä. Ne korvautuivat kuudella uudella tai päivitetyllä määräyksellä. Merkittävimmät muutokset tehtiin tietoturvaja häiriötilannemääräyksiin. Kyberturvallisuuskeskuksen toimialueelle kuuluvia ja tietoyhteiskuntakaaren pohjalta päivitettäviä määräyksiä oli 11. Laki muun muassa laajentaa niitä tehtäviä, joissa toimivista henkilöistä voidaan laatia turvallisuusselvitys. Tietoyhteiskuntakaaren määräysvaltuuksissa tunnistettiin Kyberturvallisuuskeskuksen toimialueella neljä kokonaisuutta, joilla toistaiseksi ei ole määräystä. Vaatimukset koottiin yhteen uuteen määräykseen 67/2014 M teletoiminnan tietoturmin neljässä eri määräyksessä. Tietoyhteiskuntakaaren voimaantulo vuoden 2015 alussa edellytti, että sen nojalla annetut Viestintäviraston määräykset tulivat voimaan samassa aikataulussa. Määräys sisältää teletoiminnan tietoturvaa koskevat vähimmäisvaatimukset. Määräysten tarpeellisuutta on selvitetty viime vuonna, mutta lopulliset päätökset mahdollisista uusista määräyksistä tehdään myöhemmin. Määräyksessä teletoiminnan häiriötilanteet on jaoteltu tietoturvahäiriöihin (tilanteet, joissa teleyrityksen palveluun kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus) ja toimivuushäiriöihin (tapahtumat, jotka estävät viestintäpalvelun toimivuuden tai häiritsevät sitä olennaisesti). Selvityksen tekoon vaaditaan aina henkilön kirjallinen suostumus. vasta. Vaatimukset koottiin yhteen uuteen määräykseen 66/2014 M teletoiminnan häiriötilanteista. Teletoiminnan häiriöiden havainnointia, hallintaa, niistä viranomaisille ja käyttäjille ilmoittamista sekä häiriöiden tilastointia koskevat vaatimukset olivat aiemSHUTTERSTOCK 25 tietosuoja 1 • 2015
Tyypillinen kodin internetyhteys siirtää verkkoon päin noin 1–2 megabittiä sekunnissa. Aiemmin kaapattiin pääasiassa yksittäisiä kotikoneita, mutta nykyään otetaan kaappausvälineiksi yhä useammin kotikäytössä olevia modeemeja sekä nettisivujen ylläpitoon tarkoitettuja www-palvelimia. Hyökkäysvolyymit ovat valtavia. Maailmalla havaittujen palvelunestohyökkäysten mitatut liikennehuiput ovat 400 000 megabittiä sekunnissa. ”Tämmöinen hyökkäys vastaisi siis satoPANKKIPALVELUILLE täyslaidallinen hyökkäystä toimi. Useista lähteistä tapahtuvaa hyökkäystä kutsutaan hajautetuksi palvelunestohyökkäykseksi (Distributed Denial of Service, DDoS). Hyökkäys toteutetaan kohdistamalla verkkosivustolle niin paljon liikennettä, että sivusto menee jumiin, eivätkä palvelut käysten määrä on kasvussa ja niiden luonne on vuosien mittaan muuttunut. Palvelunestohyökkäys tämäkin. Kivet estävät asioinnin pankin konttorissa, mutta asiakkaan rahat ovat turvassa. Jääkaappi hyökkää Viestintäviraston vanhempi tietoturvaasiantuntija Kauto Huopio sanoo, että hyökPankin eteen ajetaan valtava kasa kiviä. ”Vaikka kotikoneet ovat nykyään hyvin suojattuja, modeemit ja palvelimet jäävät usein lapsipuolen asemaan”, Huopio sanoo. TEKSTI RIITTAMAIJA STÅHLE KUVAT SHUTTERSTOCK tietosuoja 1 • 2015 26. Palvelunestohyökkäys (Denial of Service, DoS) tarkoittaa verkkohyökkäystä, jossa pyritään estämään verkkosivustojen käyttöä
Sen sijaan yksi murrettu www-palvelin voi tuottaa jopa tuhannen kotiliittymän kapasiteetin.” Esineiden internet, esimerkiksi internetiin liitettävä kuluttajaelektroniikka, huolestuttaa Huopiota. Varautuminen, riskiarviot, testaukset ja niiden pohjalta tehdyt toimenpideohjeet: siinä Huopion ohjeet verkkohyökkäysten torjuntaan. Staattisten verkkopalvelujen, kuten tavallisten www-sivujen turvaaminen on yksinkertaisempaa. tietosuoja 1 • 2015 27. Eräs tehokas keino on sivuston hajautus pilvipalveluun. Veikkaan tämän tapahtuvan kahden vuoden aikana. Jos yrityksessä havaitaan hyökkäys, kannattaa hetimiten ottaa yhteyttä Viestintäviraston Kyberturvallisuuskeskukseen, joka voi auttaa tapauksen selvittelyssä ja tarvittavien yhteistyökanavien avaamisessa. Erityisesti asiointipal”Tarkoitus on auttaa, ei etsiä julkisuutta tai moralisoida”, Huopio painottaa. jen tuhansien kodin internetliittymän kokonaiskapasiteettia verkkoon päin. Tarkoitus on auttaa, ei etsiä julkisuutta tai moralisoida. ”Pankin palvelunestohyökkäyksestä huolimatta yhteiskunta toimi valtavan hyvin. Huopio painottaa myös viestinnän merkitystä. Suomessa on totuttu niin hyvin toimiviin systeemeihin, että pienikin poikkeama aiheuttaa murinaa.” Yleensä yhteiskunnan kriittiseen infrastruktuuriin kohdistuvat uhat ovat olleet PANKKIPALVELUILLE täyslaidallinen hyökkäystä velujen, vaikkapa verkkopankkien, suojaus palvelunestohyökkäyksiltä vaatii huolellista palvelukohtaista suunnittelua. ”Meistä on tullut herkkänahkaisia”, sanoo johtaja Sauli Savisalo Huoltovarmuuskeskuksesta. Televisiot ovat jo olleet mukana hyökkäyksissä.” Varaudu ja testaa Kauto Huopion mukaan ei ole olemassa viisasten kiveä, jolla voidaan estää hyökkäykset sataprosenttisesti. ”Odotan innolla aikaa, jolloin ensimmäinen jääkaappi tekee hyökkäyksen. Tietojärjestelmien suojaus ykkössijalla Vuosi alkoi poikkeuksellisen voimakkailla pankkeihin kohdistuneilla palvelunestohyökkäyksillä
Tammikuun hyökkäykset haittasivat myös käteisnostoja ja korttimaksamista. Siellä tehdään töitä asian eteen myös vapaaehtoisesti, ei pelkästään regulaation vuoksi.” Plussaa Savisalo antaa myös sähköverkkoyhtiöille, jotka ovat vuosien saatossa parantaneet toimintaansa huomattavasti. Toivon, että häiriötilanteessa toisella puolella pöytää istuu häiriö ja samalla puolella pöytää kaikki muut toimijat tiiviissä yhteistyössä häiriötä vastaan.” Seuraukset minimiin Pankkijärjestelmät ovat Finanssialan Keskusliiton asiantuntijan Mika Linnan mukaan yksi parhaiten suojatuista järjestelmistä. Hän uskoo, että yritykset on saatu heräteltyä huomaamaan kriittiset asiat. Selkeää vastausta pankkiautomaattien kaatumiseen palvelunestohyökkäyksen seurauksena Linnalla ei ole. Nykyään Savisalon mukaan korostuvat yhä enemmän tietojärjestelmien toimivuuteen verkon kautta kohdistuvat uhat, kuten palvelunestohyökkäykset. Rahaa on palanut, mutta tulos on ollut hyvä. Lisäksi vakavista turvallisuusongelmista on jatkossa ilmoitettava toimivaltaiselle viranomaiselle. ”Tärkeää on, että Euroopassa tehdään ja käytetään turvallista tietoja viestintätekniikkaa, joka kestää tietoturvaloukkauksetkin.” Yhtenäisen sääntelyn pitää myös edistää luotettavien digitaalisten palvelujen ja sisämarkkinoiden kehittymistä koko EU:n alueella. Tietoturvan osalta meillä on hyvä, vapaaehtoisuuteen perustuva malli, jossa Viestintävirasto kerää kriittisiltä aloilta teknistä tietoa tietoturvapoikkeamista”, sanoo Brysselissä neuvotteluihin osallistuva viestintäneuvos Timo Kievari liikenneja viestintäministeriöstä. Kriittisiä ovat energia-, pankki-, finanssija liikennepalvelut sekä eräät digitaaliset palvelut. O tietosuoja 1 • 2015 28. Nokialla inhimillinen erehdys sekoitti jäteveden ja juomaveden. Kunkin toimijan pitää silti kantaa itse vastuunsa oman tietojärjestelmänsä häiriöttömästä ja turvallisesta käytöstä sekä noudattaa toimialansa turvallisuusvaatimuksia ja viranomaisvalvontaa. Varautumisen teknisinä keinoina Savisalo mainitsee muiden muassa tietoturvallisuustekniikan jatkuvan ylläpidon, varakapasiteetin rakentamisen verkkoihin, kriittisten osien kahdentamisen ja energian saannin varmistamisen. luonnon aiheuttamia. ”Suomella on osaavana ja luotettavana maana hyvät edellytykset pärjätä näillä markkinoilla”, Kievari sanoo. Savisalo toivoo lisää yhteistyötä yli toimialarajojen. Suuret myrskyt ovat aiheuttaneet miljoonavahinkoja ja jättäneet kansalaiset ilman tuiki tärkeää sähköä. Hän uskoo automaattien olleen yhteydessä pankin järjestelmiin, jotka kovan kuormituksen vuoksi kaatoivat myös automaatit. ”Aseina ovat uhkaus, lahjonta ja kiristys”, Savisalo sanoo. ”Tosiasia on, että hyökkäyksiä tapahtuu. Linnan mukaan tästä on otettu opiksi ja ympäristöt eriytetään niin, että vastaavaa ei tulevaisuudessa tapahdu. Sen keskeisin lainsäädäntöuudistus on nyt valmisteltavana oleva verkkoja tietoturvadirektiivi, jolla halutaan laittaa tietoturva-asiat kuntoon koko unionissa. Direktiivin velvoittamana kriittisten palvelujen riskienhallinnassa on jatkossa huomioitava erityisesti tietoturvariskit. Suomi haluaa Kievarin mukaan, että Viestintävirasto auttaa jatkossakin kriittisten alojen yrityksiä huolehtimaan teknisestä tietoturvastaan. ”Pankkien tehtävä tällaisissa tapauksissa on pitää asiakkaalle aiheutuvat seuraukset mahdollisimman vähäisinä”, hän sanoo ja korostaa, etteivät asiakkaiden varat tai tiedot missään vaiheessa olleet vaarassa. Kievari pitää mahdollisena, että direktiivi saadaan hyväksyttyä jo kevään aikana. Direktiiviehdotuksen ensimmäinen lukeminen oli Euroopan parlamentissa viime keväänä. Toimialat yhteistyöhön Huoltovarmuuskeskus patistaa yrityksiä yhteistyöhön keskenään. Ne ovat joskus hankalia torjua, mutta tammikuun alun tapahtumia lukuun ottamatta torjunnassa on onnistuttu hyvin.” Tammikuisessa palvelunestohyökkäyksessä myös pankki oli uhri. Teleoperaattorit ovat esimerkkejä hyvin varautuneista yrityksistä. ”Ymmärrys toisen alaan tuntuu loppuvan kesken. ”Teleoperaattoreilla on pitkä ja hyvä perinne varautumisesta. Kriittiset palvelut kuntoon koko EU:ssa Euroopan unionilla on pari vuotta sitten laadittu yhteinen kyberturvallisuusstrategia. ”Suomi haluaa jättää direktiiviin kansallista liikkumavaraa. Tämän vuoksi on yhteiskunnan toiminnan kannalta välttämättömien tietoja viestintäjärjestelmien suojaaminen ensiarvoisen tärkeää
2. Laajimmillaan palvelunestohyökkäyksiin varautuminen voi edellyttää merkittäviä panostuksia toimintaan, järjestelmiin ja niitä tukeviin palveluihin. Yleisellä tasollakin kehitysmahdollisuuksia on. Huomiota pitäisi kiinnittää erityisesti kommunikointiin ja yhteistyöhön eri tahojen välillä mahdollisissa häiriötilanteissa, johtuivatpa ne sitten palvelunestohyökkäyksistä tai jostakin muista häiriötekijöistä. Emme pankkina voi kommentoida koko Suomen varautumista. 2. Vastaavasti on myös organisaatioita, joissa ollaan vasta tunnistamassa tarvetta varautumiseen. Onko edustamasi toimiala varautunut riittävästi palvelunestohyökkäyksiin. Turvallisuusjohtaja Jaakko Wallenius Elisa Oyj 1. Gallup Varaudutaan, mutta aina voi parantaa Kriittiset toimialat varautuvat palvelunestohyökkäyksiin. NÄITÄ KYSYIMME: 1. Hyökkääjät myös muuttavat toimintatapojaan, jolloin puolustajan pitää vastaavasti varautua muuttuviin uhkiin. 2. Ikävä tosiasia on, että rikolliset toimijat etsivät jatkuvasti keinoja häiritä toimintaa ja valitettavasti välillä osittain onnistuvat pyrkimyksissään. ICT-johtaja Kari Suominen Fingrid Oyj 1. Omalta kohdaltamme olemme keskittyneet liiketoimintamme kannalta kriittisiin järjestelmiin, jotka toimivat suljetuissa verkoissa ja eivät ole alttiita palvelunestohyökkäyksille. Yleisesti voidaan sanoa, että Suomessa on organisaatioita, joiden varautuminen on viety hyvin pitkälle. 2. Varautuminen perustuu muun muassa Viestintäviraston määräyksiin sekä yritysten asiakasja liiketoimintatarpeisiin. Suomalaiset teleyritykset ovat varautuneet erilaisiin poikkeustilanteisiin, myös palvelunestohyökkäyksiin. Onko mielestäsi Suomen kriittinen infrastruktuuri kokonaisuutena varautunut riittävästi palvelunestohyökkäyksiin. Koko toimialaa ajatellen varmaan kehityspotentiaalia löytyy. 29 tietosuoja 1 • 2015. Mielestämme voidaan sanoa, että toimiala on varautunut riittävästi. Talousja riskienhallintajohtaja Aki Gynther S-Pankki Oy 1. Palvelunestohyökkäykset ovat monitahoinen ongelma, ja niihin varautuminen lähtee kunkin organisaation toiminnasta ja toimintaan kohdistuvista riskeistä
tietosuojavastaavana Työssä tietosuoja 1 • 2015 30
Asiakkuusmarkkinointiliiton (ASML) ylläpitämän foorumin perustajat ovat suuria kuluttajakauppaa tekeviä yrityksiä. Aikanaan sairaanhoitajan työstä tietohallintotehtäviin vaihtanut Andreasson on työskennellyt Tampereen kaupungin sosiaalija terveyspalvelujen tietosuojavastaavana vuodesta 2008 lähtien. Alun perin tilapäiseksi tarkoitetusta, terveydenhuollon kansallisia tietojärjestelmäpalveluita varten perustetusta pestistä tuli pian vakituinen. tietosuojavastaavana Vastaavan tehtäviä hoidetaan usein oman työn ohella. ”Oto-työnä ei ehdi tehdä kaikkea, mitä tietosuojavastaavien pitäisi tehdä”, Andreasson sanoo. Hän on organisaationsa tietosuoja-asiantuntija, joka opastaa henkilöstöä ja johtoa rekisterinpidossa. Henkilötietojen käsittely tunnustetaan yhä laajemmin sellaiseksi osaamisen alueeksi, jossa yrityksillä ja viranomaisilla ei ole varaa lipsua. Tämä vie hänen työajastaan kolmanneksen, ja ”muuttuu koko ajan haasteellisemmaksi” muun muassa palvelutuottajien määrän kasvun, sopimusten lyhytaikaisuuden ja alihankinnan yleistymisen takia. Osana tätä työtä Andreasson esimerkiksi laatii ja tarkistaa Tampereen kaupungin satojen ICT-sopimusten liitteitä. Tietosuojavastaaville on nyt kysyntää. Oto-vastaavalla vaikea tehtävä Seminaarissa puhunut Ari Andreasson kertoi tietosuojavastaavan arjesta. Tietosuojavastaava osallistuu organisaationsa rekisterinpidon suunnittelutyöhön. Andreasson on poikkeuksellisesti päätoiminen tietosuojavastaava, kun useimmissa kunnissa vastaavan tehtäviä hoidetaan oman työn ohella. Tietosuojavastaavan asemasta ja tehtävistä keskusteltiin tammikuussa tietosuojavaltuutetun toimiston ja ASML:n seminaarissa. Sosiaalija terveydenhuollon tietosuojavastaavat ovat järjestäytyneet jo aikaisemmin. tietosuoja 1 • 2015 31. Pikkuhiljaa tietosuojavastaavat ovat alkaneet yleistyä muidenkin alojen organisaatioissa, eikä vain siksi, että tuleva EU:n tietosuoja-asetus ohjaa siihen. Suomessa tietosuojavastaavien yleistymisestä muilla kuin sote-aloilla kertoo myös toimintaansa aloitteleva tietosuojavastaavien foorumi. TEKSTI PÄIVI MÄNNIKKÖ KUVAT SCANSTOCKPHOTO Nykyisin laki velvoittaa sosiaalija terveydenhuollon yksiköt nimeämään tietosuojavastaavan
”Pirstaloitunut erityislainsäädäntö on tietosuojavastaavan kovin haaste. Nyt asioiden selvittäminen vie runsaasti vastaavan työaikaa. Kansalaiset pyytävät yhä aktiivisemmin selvittämään tietojensa käsittelyä. Seurin mukaan asiakastiedot on tunnistettu yhtiön tärkeimmäksi resurssiksi, ja riskianalyysin uhka-arvioiden kärjessä on asiakastietojen joutuminen vääriin käsiin. Andreasson toivoisi kaikille Suomen tietosuojavastaaville yhteistä toimintamallia ja tietopankkia. Vastaavan työhön kuuluu myös työntekijöiden ohjeistaminen tietosuojaja tietoturva-asioissa. O Tietosuojavastaava neuvoo johtoa ja henkilöstöä. Seuri on tietosuoja-asioiden koordinaattori ja yhteyshenkilö. Kaikki tieto ei ole edes netissä.” Hän peräänkuuluttaa myös tietosuojavastaavan starttipakettia avuksi työssä aloittaville. Vastaava neuvoo ja koordinoi Veikkauksen tietosuojakäytännöistä seminaarissa kertoi tietoturvapäällikkö Jan Seuri. Andreassonin työajasta toinen kolmannes kuluukin käytönvalvontaan eli sen selvittämiseen, kuka ja miksi on käynyt käsittelemässä potilaan tai asiakkaan tietoja. tietosuoja 1 • 2015 32. ”Emme halua kokeilla kepillä jäätä”, Seuri sanoo. ”Tietosuojavastaavalla pitäisi olla organisaatiossaan riittävän korkea asema, kirjallisesti määritelty työnkuva sekä riittävä koulutus”, Andreasson neuvoo. Vastaavan tehtäviin kuuluu myös henkilöstön ja rekisteröityjen neuvonta. Koulutukseltaan Seuri on tietojenkäsittelytieteilijä. Tietosuojatyön painopiste on asiakastietojen käsittelyn lainmukaisuuden varmistamisessa ennakoivasti. Siitä päästäisiin eteenpäin, jos vastaavat saisivat ohjausta yhden luukun periaatteella. Veikkauksella on yli 1,6 miljoonaa rekisteröitynyttä asiakasta. Avuksi starttipaketti. Hän johtaa puhetta tietosuojatiimissä, joka suunnittelee ja linjaa henkilötietojen käsittelyä ja raportoi johtoryhmälle. Nykyisin tiimissä keskustellaan henkilötietojen käsittelyn linjauksista etukäteen, esimerkiksi ennen uuden markkinointikeinon käyttöä. Hän vastaa käytännössä myös yhtiön tietosuojavastaavan tehtävistä
Lehdessä kirjoitetaan ajankohtaisista kielikysymyksistä, uudissanoista ja eri alojen termeistä sekä pohditaan muun muassa nimistön ja virkakielen kysymyksiä. Kielikello ilmestyy neljä kertaa vuodessa. Asetus pyrkii turvaamaan vastaavalle vahvan ja riippumattoman aseman organisaatiossaan. Kielikello on kielenhuollon tiedotuslehti, jossa kerrotaan kielenkäyttöä koskevista ohjeista ja suosituksista sekä niiden taustoista. käy internetsivuillamme www.stellatum.fi _>Tilaajapalvelu _> Tilaukset _> Valitse lehti valikosta . Kielikello on ajan tasalla Tilaa oma Kielikello-lehtesi jo tänään! . Vielä on epäselvää, millaiset ovat lopulliset tietosuojavastaavan toimintaa sääntelevät artiklat. Vastaajan tehtäviksi asetuksen tämänhetkisessä luonnoksessa määritellään rekisterinpitäjän informointi ja neuvonta, henkilötietojen käsittelyn lainmukaisuuden valvonta, vaikutustenarvioinnin laatimisessa neuvominen sekä rekisterinpitäjän ja kansallisen tietosuojaviranomaisen väliseen yhteistyöhön osallistuminen. Asetuksen odotetaan tulevan sovellettavaksi jäsenmaissa aikaisintaan vuoden 2017 lopulla. aiheesta enemmän Opas Tietosuojavastaavan toimenkuva, tehtävät ja asema: www.tietosuoja.fi -> Materiaalia -> Oppaat Asetus lupaa vastaavalle vahvan aseman Valmisteilla olevassa EU:n yleisessä tietosuoja-asetuksessa on tarkoitus säätää tietosuojavastaavan asemasta ja tehtävistä. Tilaushinnat Suomessa 2015 sisältävät 10 % arvonlisäveroa (neljä numeroa vuodessa): kestotilaus 49,50 € (laskutusväli 12 kuukautta), 12 kuukauden määräaikaistilaus 53,90 €. Rekisterinpitäjän on esimerkiksi annettava vastaavalle tehtävien hoitamiseksi riittävät resurssit, ja vastaava raportoi suoraan ylimmälle johdolle. Myös suomen murteet ja puhutun kielen ilmiöt ovat usein esillä. sähköpostiosoitteemme on tilaajapalvelu@ stellatum.fi tai soita numeroon 03 4246 5301 tietosuoja 1 • 2015 33. Jäsenmaiden ja europarlamentin näkemykset eroavat toisistaan muun muassa vastaavan nimeämisen pakollisuudessa. Lehden julkaisija on Kotimaisten kielten keskus
Kauppa X toimii pääosin verkossa. Kanta-asiakkailla on omat jäsentilinsä. Toimitusjohtaja löytää sähköpostistaan Vakuutettua turvaa Tietoturvavakuutus voi auttaa yritystä toipumaan verkkohyökkäyksestä. Eräänä aamuna sivut eivät avaudukaan. Koko saitti on jumissa. TEKSTI KIRSI CASTREN KUVA SHUTTERSTOCK 34 tietosuoja 1 • 2015. Asiakkaat tutustuvat tuotteisiin sivuilla, maksavat verkossa ja saavat tuotteet postitse
Mikäli asiakkaan järjestelmistä löytyy heikkoja kohtia, ne saatetaan kuntoon ennen vakuutussopimuksen solmimista. Kun tilanne on kartoitettu ja ensiapu annettu, alkaa tietosuojalainsäädäntöön erikoistunut juristi selvittää mahdollisista vahingoista aiheutuvia seuraamuksia. ”Kannattaa ottaa tarkasti selvää vakuutusehdoista ja arvioida vakuutuksen sopivuutta yrityksen tarpeisiin”, Turunen neuvoo. ”EU:n sääntelymuutokset tulevat todennäköisesti lisäämään kysyntää tietoturvavakuutuksille”, Peltomäki uskoo. AIG:n vakuutukseen kuuluu viestintätoimiston apu jo alkumetreillä. Asiantuntijatiimi kriisiapuna Tietoturvavakuutus on kokonaisuus, jossa asiakkaan tukena on vakuutusyhtiön ohella tietotekniikan, juridiikan ja viestinnän asiantuntijoita. On myös mahdollista, että riita-asiat käsitellään muualla kuin Suomessa ja jonkin toisen valtion lainsäädäntöä soveltaen. Suomessa vakuutusyhtiö AIG on markkinoinut niitä vuodesta 2013. tarjolla jo pitkään. ”Iskulause ´älä osta, jos et ymmärrä´, jota Finanssivalvonnassa käytämme sijoituksiin liittyen, sopii mielestäni hyvin myös tietoturvavakuutuksiin.” englanninkielisen viestin, jonka mukaan mitään ei tule tapahtumaan sivustolla ennen kuin tuntemattoman lähettäjän kaukana sijaitsevalle pankkitilille on maksettu tuhansia dollareita. ”Oleellinen ja yksinkertainen suojaustapa on säilyttää kaikesta datasta palautuskelpoiset ja ajantasaiset varmuuskopiot”, Peltomäki neuvoo. Tietoturvavakuutuksella voidaan kattaa muun muassa tietomurroista ja palvelunestohyökkäyksistä aiheutuvia kustannuksia, joita syntyy esimerkiksi jouduttaessa palauttamaan kadonneita tietoja tai maksamaan vahingonkorvauksia asiakkaille, joiden henkilötietoja hyökkääjät ovat saaneet haltuunsa. Uudehko ilmiö on kiristys: Koneelle tunkeutunut hyökkääjä salaa kaikki tiedot kohdekoneesta ja vapauttaa ne lunnaita vastaan. Kaupan IT-tuki on voimaton. Vakuutuksella voidaan peittää myös liiketoiminnan keskeytymisestä aiheutuvia tappioita. ”Vakuutus myönnetään lähtökohtaisesti ennalta arvaamattoman vahingon varalta. EU-asetus lisää kiinnostusta EU:ssa valmisteilla oleva tietoturva-asetus tuo verkossa toimiville yrityksille uusia velvoitteita. Hän voi esimerkiksi auttaa lain niin vaatiessa ilmoittamaan tapahtuneesta viranomaisille ja asiakkaille. ”Tärkeää on paitsi vakuutuksen kattavuus, myös erilaiset rajoitusja suojeluehdot”, hän sanoo. Esimerkiksi toistaiseksi teleyrityksillä on Suomessa velvollisuus ilmoittaa viranomaisille tietomurroista. Rajoittava ehto voi tietoturvavakuutuksissa koskea esimerkiksi suojausta. ”Vakuutuksen piirissä on yrityksiä aina metallipajoista verkkokauppoihin ja suuriin monialayrityksiin”, kertoo osastopäällikkö Panu Peltomäki. Kuvitteellisen kaupan tapauksessa sivusto on vakuutettu verkkohyökkäyksen varalta, joten vakuutusyhtiön asiantuntijat astuvat remmiin. Tietoturva trimmataan ennen vakuuttamista Tietoturvavakuutuksen myöntämistä edeltää AIG:ssä riskikartoitus yhteistyökumppanin, tietoturvayhtiö Nixu Oy:n avustuksella. O Vakuutettua turvaa tietosuoja-lehti.fi Henkilöllisyydenkin voi vakuuttaa Älä osta, jos et ymmärrä Markkinavalvoja Päivi Turunen Finanssivalvonnasta kehottaa kybervakuutusta harkitsevia perehtymään vakuutusehtoihin huolellisesti. ”Asiakkaat ovat yleensä varsin tietoisia tietoturvansa puutteista”, arvioi kaupallinen johtaja Valtteri Peltomäki Nixusta. Vakuutuksella katetaan tietoturvaloukkauksen taloudellisia seurauksia, mutta imagohaitat voivat olla niitäkin suurempia. Tietoturvayhtiön ympärivuorokautinen puhelinlinja vastaa, mikäli verkkohyökkäyksen uhka muuttuu todeksi. Jatkossa velvoite ulottuu muihinkin toimijoihin. ”Monille tulee kuitenkin yllätyksenä tietoturvaloukkausten mahdollisten seurausten laajuus ja se, mitä ne voivat merkitä heidän liiketoiminnalleen.” Peltomäen mukaan tietomurtoja toteutetaan nykyään monipuolisin välinein. Maailmalla kybervakuutuksia on ollut tietosuoja 1 • 2015 35. ”Joissain tapauksissa pystymme purkamaan salaukset, mutta siihen ei kannata tuudittautua.” Vakuutuksesta huolimatta on syytä muistaa pitää huolta tietoturvasta päivittäin. Jos asiakas ei ole suojannut tietojärjestelmiään, ei varmaankaan voida pitää kovin ennalta arvaamattomana, jos tietoturvahyökkäyksen tultua vahinkoja syntyy.” Yritysvakuutuksia tarjoavat usein ylikansalliset yhtiöt, ja kauppaa voidaan käydä vieraalla kielelläkin
tietosuoja 1 • 2015 36
”Kuluttaja ihmettelee, mistä sähköpostimainoksen osoite on saatu ja kuka mainoksen on lähettänyt. TEKSTI MARIANNE SAINE KUVA MAIJA NYMAN Sähköpostiin tulee kuntosalin uutiskirje, sienestäjien tietosivuilta voi klikata Valion kermavalikoimaan, some-palvelun laidoilla vilkkuu mainosbannereita, yhä harvemman blogin teksti on vailla klikkausmahdollisuutta tuotesivulle. Kumppanuusmarkkinointi voi olla erinomainen asia sekä mainostajille että kuluttajille. Usein kilpailu järjestetään monen eri yrityksen käyttöön. 37 tietosuoja 1 • 2015. Lankisen mukaan maininta ”Saat hyödyllistä tietoa tai etuja yhteistyökumppaneilta” ei silloin riitä. Kumppanuuseli affiliatemarkkinointi on voimakkaasti kasvanut netin markkinointitapa. Niitä yritetään saada kuriin viranomaistoimin ja alan orastavalla itsesäätelyllä. Klikkaa ja poistu listalta -palvelu voi viestissä olla, mutta se ei tepsi”, Lankinen kuvailee. Tietosuojavaltuutetulle ja Kilpailuja kuluttajavirastolle tulee paljon yhteydenottoja erityisesti sähköpostiin tulvivista mainosviesteistä. Häneltä pitää saada yksilöity ja tietoinen suostumus sähköiseen suoramarkkinointiin. Viestinnän lopettaminen on vaikeaa. ”Viimeisen kahden vuoden aika suuri osa suoramarkkinointikanteluista on koskenut affiliatekonsepteja”, ylitarkastaja Hanna Lankinen tietosuojavaltuutetun toimistosta kertoo. Verkostolla on sopimuksia julkaisijoiden kanssa, jotka voivat olla mitä vain bloggareista maineikkaiden medioiden nettisivuihin. Siinä mainostava yritys ei osta mainostilaa yksittäiseltä medialta vaan tekee sopimuksen kumppaniverkoston kanssa. Se päätyy esille varsin monimutkaisella ja nopealla mekanismilla”, Suomen Asiakkuusmarkkinointiliiton toimitusjohtaja Jari Perko kuvaa. ”Kuluttajien yhteystiedot pitää kerätä lainmukaisesti. ”Nykymainonta on kaukana ajoista, jolloin yritys osti puolen sivun mainoksen MeNaisista. Pelisäännöt ovat selkeät. Digimainos voi näkyä lukemattomilla eri sivuilla mainosverkostojen kautta. Tieto siitä, mihin henkilötietoja käytetään ja keille niitä jaetaan, voi puuttua kokonaan. Joissakin tapauksissa pitää kertoa yhteistyöyritysten nimet, toisinaan riittää toimialan mainitseminen vaikkapa tyyliin ”Henkilötietoja käyKUMPPANUUSMARKKINOINTI kohentumassa . Vielä se ei sitä kaikin osin ole. Verkosto hoitaa palkkioliikenteen mainostajan ja julkaisijoiden välillä ja ottaa tietysti siivun siitä itselleen. Sähköpostisoitteita kerätään usein nettikilpailujen yhteydessä. Affiliateeli kumppanuusmarkkinointia riivaavat vielä lastentaudit. Kuluttajan pitää saada markkinoinnista riittävää informaatiota, ja hänellä pitää olla mahdollisuus halutessaan lopettaa se”, Lankinen listaa. Perusasiat hukassa Yhteydenotoissa näkyy se, ettei edes perusasioita ole sisäistetty
Siitä lähtien verkostoyrittäjät ovat laatineet itsesäätelypakettia liiton antamien ehdotusten pohjalta. Nyt kun digivantaassa on vettä vähän virranut, oivalletaan, että konseptin pitää olla laadukas, jotta maineikkaat brändit haluavat ostaa mainontaa”, liiton toimitusjohtaja Jari Perko kuvailee. Ruksaa se vain, jos haluat mainontaa. Se voi tuoda uuden EU-sääntelyn piiriin yhä enemmän sellaisia markkinointitoimia, jotka kohdistuvat suomalaisiin”, Lankinen sanoo. Itsesäätely oraalla Asiakkuusmarkkinointiliitto on ottanut asiakseen edistää kumppanuusmarkkinoinnin omaa säätelyä. Tietosuojasääntely kytkeytyy puolestaan pitkälti rekisterinpitäjän toimipaikkaan. Mahdollisuus kieltää suoramarkkinointi ei riitä. Vastuuta ei voi kierrättää käyttämällä ulkomaista verkostoyritystä. . ”Mainonnan tunnistettavuus on ongelma erityisesti sähköpostiin tupsahtavien uutiskirjeiden kohdalla”, Kilpailuja kuluttajaviraston lakimies Katri Väänänen kertoo. . Kuluttajaviranomaisen mukaan mainostajalla on ensisijainen vastuu myös markkinoinnin lainmukaisuudesta. tapauskohtaisesti, mikä on viestin tosiasiallinen tarkoitus. Kumppanuusmarkkinointia voivat riivata myös ikiaikaiset markkinoinnin ongelmat, kuten epämääräiset väitteet ”Olet voittanut”, ”Tilaa ilmainen kokeilupakkaus” tai ”Nyt saat merkkituotteen eurolla”. Jos kuitenkin osallistut, perusta ilmainen sähköpostitili, jonka kerrot yhteystiedoksi. Jos tietoja löytyy, lue ne. . Onhan sähköpostissasi roskapostisuodatin. ”Jos verkossa mainostetaan suomeksi, noudatetaan Suomen kuluttajansuojalakia. Tarkista suoramarkkinointiin viittaava rastitusruutu. ”Uudet toimijat, uusi sirpaleinen mediakenttä, tekniikan nopea kehittyminen ja tulospohjaisuus johtivat osin rimanalituksiin. Vastuu pysyy mainostajalla Mainostaja voi ulkoistaa henkilötietojen käsittelyn toiselle yritykselle mutta vastuutaan ei, kumppanuusmarkkinoinnissakaan. ”Tällaista kommenttia kuullaan kuitenkin kanteluiden käsittelyssä silloin tällöin. Liitto ja viranomaiset tapasivat kumppanuusmarkkinoinnin merkeissä viime syksynä. . tetään pääkaupunkiseudun kuntosalien markkinoinnissa.” Kun suostumusta pyydetään, pelkkä kieltomahdollisuuden tarjoaminen ei riitä. forum shoppingia, jossa tuotteitaan mainostava suomalaisyritys valitsee markkinointiyhteistyökumppaninsa niiden sijaintimaan perusteella. Aktiivinen suostumus tarkoittaa esimerkiksi tyhjää kyllä-ruutua, jonka kuluttajan pitää itse rastittaa. Älä osallistu kilpailuun, jossa ei kerrota mitään henkilötietojen käytöstä. Uusi tapaaminen on sovittu keväälle. Hän arvelee, että EU-asetus voi vähentää ns. ”Tekeillä oleva EU:n tietosuoja-asetus ryhdistänee tilannetta. Mainostajan ohella verkostoyritys on vastuullinen, koska sekin hyötyy markkinoinnista taloudellisesti”, Katri Väänänen kertoo. Liitto on tunnistanut lastentaudit. Uutiskirje vai mainos. Anna suoraan tuotteen mainostajalle palautetta huonosti toteutetusta sähköpostimainonnasta. ”Huonolaatuinen sähköpostimarkkinointi tulee vähenemään”, Jari Perko lupaa. Sekä tietosuojaettä kuluttajaviranomainen painottavat, ettei viestin kutsuminen uutiskirjeeksi oikeuta kiertämään markkinointitai tietosuojasäännöksiä. Mainostaja katsotaan usein henkilötietojen käsittelystä vastuussa olevaksi rekisterinpitäjäksi, vaikka se ei itse keräisi henkilötietoja ja lähettäisi markkinointiviestejä”, Hanna Lankinen sanoo. Jos toimipaikka on Suomessa, noudatetaan täkäläistä lainsäädäntöä, vaikka verkostotoimija olisi ulkomainen. . ”Totta kai kuluttajan pitää voida tunnistaa viestistä, että hän on sen tilannut, ja löytää siitä riittävät yksilöintitiedot, joita tukevat riittävät lokitiedot lähettäjän päässä.” O Kuluttaja! . Viranomainen katsoo kokonaisuutta ja punnitsee tietosuoja 1 • 2015 38
Osassa uusista säännöksistä on ratkottu menneisyyden ongelmia vanhoilla keinoilla. Tietosuojan ja tietoturvan osalta myös kansainvälisille viestinvälittäjille asetettiin operaattoreita vastaavat velvoitteet. Poikkeuksellinen urakka Eduskunnan liikenneja viestintävaliokunta antoi mietintönsä hallituksen esityksestä tietoyhteiskuntakaareksi 1.10.2014. Pelisääntöjen koostaminen yhdeksi kokonaisuudeksi helpottaa lainsäädännön noudattamista, ja ristiriitaisuuksia on kyetty poistamaan. FICOM R Y 39 tietosuoja 1 • 2015. Viestintäsektorilla sekä tekninen että liiketoiminnallinen muutosvauhti on niin Tietoyhteiskuntakaari – kootut pelisäännöt Reijo Svento on Tietoliikenteen ja tietotekniikan keskusliitto FiCom ry:n toimitusjohtaja. Toisessa lausumassa edellytetään, että viestintämarkkinoiden sääntelyssä ja tietoyhteiskuntakaaren toimeenpanossa pyritään keskeisinä lähtökohtina sääntelyn ja hallinnollisen taakan vähenemiseen, palvelukehityksen mahdollistamiseen sekä alan investointien edistämiseen. Työn haastavuus näkyy myös valiokunnan ehdotuksissa eduskunnan lausumiksi. Muutoksen edut tulevat kirkastumaan, kun lakia sovelletaan käytäntöön. Vanhentuneiden pykälien tilalle säädettiin myös uusia pykäliä, joissa asetetaan joko operaattoreille velvoitteita tai viranomaisille uusia valtaoikeuksia. Edut näkyvät käytännössä Osittaisista puutteistaan huolimatta tietoyhteiskuntakaari on perusteltu ja kansainvälisestikin poikkeuksellinen lainsäädäntöhanke. Ensimmäinen koulutustilaisuus pidettiin 10.3. Valiokunta on ymmärtänyt lainsäädäntöhankkeen poikkeuksellisuuden ja laajuuden nopeasti muuttuvassa ympäristössä. Viestintävirastolla on poikkeuksellisen laajat toimivaltuudet. ripeää, että lakeja ei voi laatia taustapeiliin katsoen. Viestintävirastolle on annettu myös moniin muihin elinkeinoelämän sektoreihin verrattuna poikkeuksellisen laajat toimivaltuudet. Mahdollisiin epäkohtiin tai ennakoimattomiin vaikutuksiin reagoidaan viivytyksettä. Valiokunta esittikin eduskunnan hyväksymissä lausumissa muun muassa, että tietoyhteiskuntakaaren toimeenpanoa ja vaikutuksia seurataan tiiviisti. Näkökulma REIJO SVENTO Viestintäsektoria koskeva lainsäädäntö oli vuosien aikana hajaantunut useiksi eri laeiksi, jotka olivat jopa keskenään ristiriitaisia, päällekkäisyyksistä ja aukollisuudesta puhumattakaan. Operaattoreille uusia velvoitteita Lakiuudistus vaikuttaa operaattoreiden liiketoimintaan monin tavoin. Tietoliikenteen ja tietotekniikan keskusliitto FiCom ry kiinnitti poliittisten päättäjien ja ylemmän virkamieskunnan huomion lainsäädännön hahmottamisen ongelmaan. Pääministeri Jyrki Kataisen hallitusohjelmaan sisällytettiinkin tavoite koota viestintää säätelevä lainsäädäntö paremmin toimivaksi kokonaisuudeksi. Kyseessä on yksi valiokunnan historian laajimmista lainsäädäntöhankkeista. Kyseessä on niin laaja lainsäädäntöuudistus, että FiCom järjestää yhdessä Teleprikaati Oy:n kanssa koulutusta lain tulkinnoista ja merkityksestä kaikille asiasta kiinnostuneille. Alkuperäisistä kahdeksasta laista 450 pykälineen päästiin yhteen kokonaisuuteen, jossa on 352 pykälää. Vastaavaa uudistusta ei ole kyetty tekemään missään muussa maassa. Erityisesti lain vaikutuksia tulee seurata verkkoneutraliteetin, alan investointien sekä yksityisyydensuojan toteutumisen näkökulmista
”Hyvä henkilöstön some-ohje on lyhyt ja keskittyy kieltojen sijaan kertomaan, miksi, mitä, kenelle ja miten”, sanoo viestintäkonsultti Christina Forsgård viestintätoimisto Netprofilesta. Netistä voi olla vaikea SOME hyötykäyttöön selkein ohjein Internetin sosiaalinen media eli some on vielä uusi väline, jonka periaatteisiin monet asiakkaat ovat vasta tutustumassa. Jo ennen somea työnantajat saattoivat muistuttaa tästä uuden työntekijän ohjeissaan. Entä jos jotain menee pieleen. Uskallus ja osaaminen sosiaalisessa mediassa kehittyvät koulutuksen ja kokemuksen myötä. Julkinen some-keskustelu on kuitenkin haaste työntekijälle ja vaatii selkeitä ohjeita. ”Rajanveto ei välttämättä ole selvä kaikille organisaatiossa, mutta se tulee, kun kulttuuri kehittyy”, Forsgård näkee. Tärkeää on myös tietää, milloin ja miten keskustelusta voi vetäytyä. Luottamukselliset ja salaiset tiedot eivät kuulu someen. Organisaatioille some on mahdollisuus verkottua ja palvella. Sosiaalisen median aikana ihmisen työminä ja yksityisminä ovat aiempaa laajemmin esillä, usein rinnakkain. ”Organisaation on usein myös ohjeistettava asiakasta, joka ei välttämättä ymmärrä keskustelun julkisuutta”, Forsgård sanoo. ”Sometaitoja pitää kuitenkin opetella, sillä riski piilee siinä, ettei ymmärrä ja tunne somekulttuuria.” Perustaito on ymmärtää vuoroin vaikuttuminen ja kohteliaisuudet. Edustamisen haasteet ovat somessa suuremmat kuin muualla – vai ovatko. ”Lähtökohtana on myönteisyys ja organisaation edustaminen.” Kieli keskellä suuta Työntekijän on muistettava, että internetissäkin häntä sitoo työsopimuslaki ja sen lojaliteettivelvoite työnantajaa kohtaan. TEKSTI KIRSI CASTRÉN KUVAT NETPROFILE, NORDEA, KELA, AARNE ORMIO/KIRKKOHALLITUS tämä itse paljastaa. Edustettiin sitä ennen someakin Työntekijä edustaa organisaatiotaan myös yksityiselämässään. ”Aika moni osaa käyttäytyä, kun ymmärtää edustavansa työnantajaansa”, Forsgård vastaa. Kun keskustelua käydään julkisella verkkofoorumilla, työntekijä joutuu toisinaan pitämään kielen keskellä suuta, jottei lipsauttaisi asiakkaan asioista enemmän kuin 40 tietosuoja 1 • 2015
”Virheitä sattuu. Kela siirtyi varoituksista kannustukseen Kela palvelee asiakkaitaan usealla some-kanavalla. ”Asiakas ei aina ymmärrä keskustelun julkisuutta”, sanoo Christina Forsgård. SOME hyötykäyttöön selkein ohjein ”Keskustellessamme ohjeista some-koordinaatioryhmässä mieleemme tuli, että niiden sävy oli jossain määrin negatiivinen; hyvin varoittava tai ainakin riskipainotteinen”, hän muistelee. ”Koulutuksessa korostamme, ettei somessa tarvitse vastata sellaiseen, mitä ei tiedä. ”Haluamme ennen kaikkea kannustaa asiantuntijatyötä tekeviä hyödyntämään somea ja esimerkiksi Twitteriä.” Työntekijä saa päättää itse, esiintyykö somessa työvai yksityisroolissa. Ihminen on vahvuus myös somessa”, viestintäkonsultti rauhoittaa. Somen yksityistili ei ole asiakaspalvelukanava”, Latvala sanoo. saada pysyvästi pois harkitsemattomia lausahduksia ja vahingossa julkaistuja kuvia. Osa työntekijöistä empii Latvalan mukaan työroolin käyttöä pelätessään saavansa asiakkailta Kelaan liittyviä kysymyksiä aihepiireistä, joita eivät tunne riittävästi. Mikään ei ole niin inhimillistä kuin erehtyminen. Työntekijöille vuonna 2012 laaditut sosiaalisen median pelisäännöt uusittiin hiljattain, sillä somen maailma muuttuu nopeasti, kertoo kehittämispäällikkö Minna Latvala. 41 tietosuoja 1 • 2015. Anteeksipyytäminen on usein helpompaa ihmisille kuin organisaatioille
”Pankille some on hyvä asiakaspalvelukanava”, sanoo Marko Mettenranta. Muuten luotamme työntekijöidemme maalaisjärkeen.” Rahoitusala pitää jatkuvasti paikkaa hakkereiden suosikkilistan kärjessä. Uskonnolliselle verkkokeskustelulle on Majamäen mukaan ominaista ääripäiden voimakas näkyvyys ja ”huutamisen” suuri määrä. ”Ohjeet laadittiin seminaareissa yhteistyössä työntekijöiden kanssa”, kertoo koordinaattori Hannu Majamäki. Sosiaalinen media on hyvä asiakaspalvelukanava, ja tätä puolta haluamme kehittää entisestään.” Somen kautta voi antaa suoraa palautetta pankille mutta ei hoitaa henkilökohtaisia pankkiasioitaan. 42 tietosuoja 1 • 2015. ”Jos keskustelussa mennään rippisalaisuuden puolelle, täytyy asiakkaalle kertoa, että ympäristö ei ole tietoturvallinen”, Majamäki sanoo. Kirkon työntekijöiden käymät keskustelut ovat luottamuksellisia, ja niitä suojaa rippisalaisuus. Somen käyttöön on koulutettu noin 2 000 työntekijää. ”Näemme somen mahdollisuutena, emme riskinä. O ”Kela kannustaa asiantuntijoitaan hyödyntämään somea”, kertoo Minna Latvala. Tämäkään ei anna sataprosenttista suojaa hakkereilta. ”Haluamme olla läsnä siellä, missä asiakkaammekin. Rippisalaisuus voimassa netissäkin Evankelis-luterilaisen kirkon vuorovaikutteiset verkkosivut ja tilit Facebookissa, Twitterissä ja Instagramissa keräävät kymmeniä tuhansia kävijöitä viikoittain. Some-kanavat tuovat mukanaan omat tietoturvahaasteensa. ”Kuitenkin esimerkiksi moni pappi kokee tekevänsä työtä niin täysillä sekä omana itsenään että pappina, ettei halua rajata yksityisja ammattiminäänsä, vaan pitää ne samassa Facebook-profiilissa”, hän kertoo. Tästä syystä kirkon chat on rakennettu salatulle palvelimelle eivätkä työntekijät pääse näkemään keskustelukumppanin IP-osoitetta. Yksityisyyden ja ammatti-identiteetin välinen rajanveto on Majamäen mukaan haasteellista monelle somessa toimivalle kirkon työntekijälle. ”Olemme pyrkineet muistuttamaan asiakkaita tästä, jottei kukaan vahingossa postaisi henkilökohtaisia tietoja”, Mettenranta kertoo. ”Moni pappi pitää yksityisja ammattiminänsä samassa profiilissa”, kertoo Hannu Majamäki. ”Kuitenkaan kirkon työntekijöihin ei ole somen kautta kohdistunut uhkauksia, vaikka he työskentelevät siellä nimillään.” Pankki luottaa maalaisjärkeen Nordean ohjeet henkilöstölleen ovat tiedottaja Marko Mettenrannan mukaan tiiviit ja selkeät. ”Aktiivisesti somessa edustavien avainhenkilöiden kanssa asioista keskustellaan enemmän. Mettenranta ei kuitenkaan suostu maalailemaan mörköjä some-seinälle
Siitä päättää arkistolaitos, jolta viranomaisen pitäisi hakea omia tietojaan koskeva ns. Yhteensä 180 vastaajasta 59 oli valtionhallinnon organisaatioita, 106 kunnallisia viranomaisia ja 15 muita organisaatioita. ”Kunnissa tietohallinto ja arkistointi eivät välttämättä ole keskustelleet keskenään. Arkistolaitoksen ja tietosuojavaltuutetun toimiston tekemään kyselyyn vastanneista viranomaisista peräti puolet ei ole hävittänyt mitään tietoja järjestelmistään. Hän luonnehtii tuloksia masentaviksi ja yllättäviksi. Siinä keskeistä on henkilön oikeus saada häntä koskevat tiedot hävitetyksi, kun niiden käsittely ei ole enää tarpeen. Ikuisesti REKISTERISSÄ Sanonta ’aikansa kutakin’ ei näytä koskevan viranomaisten tietohallintoa. Viranomaisten nihkeyteen poistaa tietoja on ainakin yksi käytännöllinen syy: Vastausten perusteella useista tietojärjestelmistä ei ole mahdollista poistaa tai hävittää pysyvästi tietoja. O Yllättävän suuri osa viranomaisista ei ole koskaan poistanut tietoja järjestelmistään. Tuloksia aiotaankin hyödyntää ohjausja koulutustoiminnan suunnittelussa. Kyselyyn vastanneet viranomaiset kaipaavat arkistolaitokselta ja tietosuojavaltuutetun toimistolta ohjausta ja tukea. Kyselyn perusteella vain harva viranomainen hakee tällaisia tietoja koskevaa päätöstä. ”Arkistovastaavilla on yleensä muitakin tehtäviä eivätkä he siksi ehdi panostaa arkistointiin riittävästi”, arkistolaitoksen ylitarkastaja Mervi Lampi sanoo. tietosuoja 1 • 2015 43. Valtiolla tilanne on parempi, kun tietojärjestelmiä kehitetään keskushallinnossa eikä yksittäisissä organisaatioissa”, sanoo arkistolaitoksen tutkimusjohtaja Päivi Happonen. Kysely vastasi aiempaa kokemusta siitä, että valtaosalla viranomaisista sähköiset tietojärjestelmät eivät ole mukana suunnitelmassa eikä niiden säilytystä siten ole suunniteltu. Aarnio muistuttaa viranomaisia tulossa olevasta EU:n tietosuoja-asetuksesta. Kunnissa puutteellisia suunnitelmia oli enemmän kuin valtiolla. Kyselyyn vastanneista miltei neljännes ei poista henkilötietoja rekisteristä eikä siirrä niitä arkistoon tietojen säilytysajan päätyttyä. TEKSTI PÄIVI MÄNNIKKÖ ARKISTOLAITOS järjesti yhdessä tietosuojavaltuutetun toimiston kanssa loppuvuodesta 2014 kyselyn hyvästä tiedonhallintatavasta kunnissa ja valtiolla. Resurssit uupuvat Kunnissa vedotaan puuttuviin resursseihin. Tietojen säilytysajat ja -tavat merkitään viranomaisen arkistonmuodostussuunnitelmaan. Seulontapäätöstä pitäisi hakea myös sellaisista viranomaisen rekisterissä olevista henkilötiedoista, joille on erityislaissa määritetty säilytysaika. Henkilötietolain mukaan toiminnan kannalta tarpeettomat henkilötiedot on hävitettävä, ellei tietoja ole erikseen määrätty säilytettäviksi tai rekisteriä siirretä arkistoon. seulontapäätös pysyvästi säilytettävistä tiedoista. Arkistolaitos päättää pysyvästä säilytyksestä Osa tiedoista pitäisi kuitenkin säilyttää pysyvästi tutkimustarkoituksiin. ”Viranomaisten ATK-rahat menevät näköjään tietojärjestelmiin, jotka eivät toimi lainmukaisesti”, tietosuojavaltuutettu Reijo Aarnio kommentoi
II 39 on vuosi, josta alkaen USA:han ilman viisumia matkustavien on pitänyt täyttää ns. Kuulutetuista henkilöistä merkitään esimerkiksi sormenjäljet, valokuva ja erityistuntomerkit. Osa viranomaisista ja kansalaisjärjestöt ovat arvostelleet komission aloitetta yksityisyyden kannalta ylimitoitetuksi. Järjestelmä sisältää mm. Konsulttiyhtiö Deloitten selvityksen mukaan lisäksi 32 maata suunnittelee lentomatkustajien tietojen luovutuspakkoa lähitulevaisuudessa. ESTA-hakemus ennen matkaa. tiedot henkilötunnuksesta, syntymäpaikasta, yhteystiedoista ja työllisyystilanteesta. Ilmiö numeroina miljoonaa eli 1,1 miljardia euroa on arvioitu hinnaksi, jolla perustetaan EU:n Älykkäät rajat -hankkeen mukaiset järjestelmät ja ylläpidetään niitä neljä vuotta. 1 100 000 000 2009 SHUTTERSTOCK SHUTTERSTOCK SHUTTERSTOCK 44 tietosuoja 1 • 2015. ESTA-hakemus tehdään netissä. Lisäksi rekisteröidyt ja ennakkotarkastuksen läpäisseet matkustajat voisivat ylittää rajan nopeammin. eli toinen, uudempi versio Schengenin tietojärjestelmästä (SIS II), joka on käytössä Schengenin alueeseen kuuluvissa Euroopan maissa. sairastettuja tartuntatauteja ja huumeidenkäyttöä. Marraskuusta 2014 alkaen hakemuksessa kerätään lisäksi mm. sormenjälkitiedot. on niiden maiden lukumäärä, joihin saavuttaessa lentoyhtiön on luovutettava MATKUSTAJATIEDOT paikallisille viranomaisille. Passia koskevien tietojen lisäksi matkustajan on vastattava kysymyksiin, jotka koskevat mm. Älykkäät rajat on komission 2013 antama lainsäädäntöaloite, jonka mukaan yhteiseen tietojärjestelmään tallennettaisiin tiedot muiden kuin EU-maiden kansalaisten saapumisesta EU:n alueelle sekä mm. tietoja henkilöistä, joilla ei ole oikeutta tulla alueelle sekä tietoja kadonneiksi ilmoitetuista, rikoksista epäilyistä ja etsintäkuulutetuista. Järjestelmä laskisi matkustajan laillisen oleskelun enimmäisajan, ja näin voitaisiin seurata, ketkä viipyvät liian kauan
Kävi ilmi, että esimerkiksi sosiaalisen median päivityksiä ja maksutietoja yhdistämällä kortinhaltijoiden tunnistaminen oli vaivatonta. ”Kun ne nyt ovat suuren yleisön tiedossa, tuomioistuimen mielestä tiedustelumenettelyt ovat riittävän julkisen valvonnan alla.” Vasemmistolainen The Guardian ihmettelee, miksi Britannian tiedustelupalvelut näyttävät suhtautuvan välinpitämättömästi maanmiestensä yksityisyyden suojaamiseen. Kolme kuukautta vanhoista maksutiedoista oli poistettu henkilötiedot, kuten kortinhaltijoiden nimet ja korttien numerot. Yhdysvaltalaisen kansainvälisen politiikan erikoislehti The National Interestin mukaan tileille murtautuminen ruokkii Lähi-idässä käsitystä, jonka mukaan Isis ”voitti” päämajan. Tuomioistuin totesi, ettei tietojenvaihto ja GCHQ:n harjoittama tietojen käsittely ollut kaikilta osin Euroopan ihmisoikeussopimuksen sananvapautta ja yksityisyydensuojaa koskevien artiklojen mukaista ennen joulukuuta 2014. Kummastakin on huolehdittava samalla ammattitaidolla. Tutkimusryhmän johtajan YvesAlexandre de Montjoyen mukaan ryhmä halusi osoittaa, kuinka vaikeaa suurten tietomäärien tehokas anonymisointi todella on: ”On syytä miettiä, miten datasta saadaan oikeasti anonyymiä, ja onko se ylipäätään mahdollista.” TEKEEKÖ JULKISUUS tiedustelusta laillista. BBC toteaa uutisanalyysissään, että nyt suurella yleisöllä on ainakin saatavilla aiempaa enemmän tietoa turvallisuuspalvelujen toiminnasta. Tammikuussa vuorossa oli USA:n asevoimien Lähi-idän sotatoimialueen päämaja (U.S. Brittiläisiä tiedustelupalveluja valvova tuomioistuin antoi helmikuun alussa poikkeuksellisen ratkaisun. SHUTTERSTOCK SHUTTERSTOCK tietosuoja 1 • 2015. Lehti uutisoi tutkimuksesta, jossa Massachusetts Institute of Technologyn tutkijat kävivät läpi yli miljoonan erimaalaisen ihmisen luottokorttien maksutietoja. Silloin siitä kuitenkin tuli lainmukaista, koska tuomioistuimen joulukuussa järjestämässä kuulemisessa brittiviranomaiset kertoivat ensimmäistä kertaa menettelyistään. Vasemmistolainen poliittinen viikkolehti New Statesman kommentoi, että on ironista, että Edward Snowdenin paljastusten ja tuomioistuinkäsittelyn jälkeen tiedusteluohjelmia pidetään lainmukaisina. Central Command). Ison-Britannian tiedusteluviranomainen GCHQ oli käsitellyt Yhdysvaltain turvallisuusviranomaisen (NSA) Prismja Upstream -tiedusteluohjelmilla saamia, IsostaBritanniasta kerättyjä viestiliikennetietoja. Yhdeksässä tapauksessa kymmenestä vain neljän ostoajankohtaa ja -paikkaa koskevan tiedon perusteella tutkijat pystyivät yhdistämään kortinhaltijan oikeisiin maksutietoihin. ”Näin ollen terroristiryhmä sai ison voiton informaatiosodankäynnissä.” Lehti huomauttaa, että liittovaltion viranomaisen sosiaalisen median tili on USA:n hallinnon käyntikortti siinä missä vaikkapa tiedote. Sen Twitterja YouTube-tilit olivat puolen tunnin ajan kaappaajan hallussa, ja tileille ilmaantui terroristijärjestö Isisiä kehuvia viestejä. ”Ilman Snowdenin paljastuksia tätä oikeusjuttua ei olisi ollut ja GCHQ toimisi yhä laittomasti.” KYBERKÖMMÄHDYKSESTÄ TULI TAPPIO USA:ssa useiden liittovaltion viranomaisten sosiaalisen median tilit ovat joutuneet kaapatuiksi. Selailtua 45 Metadata kertoo enemmän kuin luulit Tiedelehti New Scientist kertoo, että henkilön tunnistaminen metatietojen perusteella on oletettua helpompaa
Viranomaisten turvallisuusverkko TUVE siirtyi Puolustusvoimilta Suomen Erillisverkot Oy:lle maaliskuun alussa. Vaarantaako se, että uusi ylläpitäjä on yhtiö, verkon pitkäjänteisen kehittämisen. www.tietosuoja-lehti.fi CORBIS SKOY ENSI NUMEROSSA Tietosuoja 2•2015 ilmestyy 2.6. LUE LISÄÄ NETISTÄ tietosuoja 1 • 2015 46. Koko lehteä pääsee lukemaan netissä rekisteröitymällä verkkolehden käyttäjäksi lehden takakannen osoitekentässä olevan tilausnumeron avulla. Arviointilaitos apuna tietoturvallisuuden kehittämisessä Netinkäyttäjä: näin sinua seurataan RISUJA JA RUUSUJA Kerro mielipiteesi uudistetusta Tietosuoja-lehdestä, jotta voimme kehittää lehteä lukijoiden toivomaan suuntaan. tietosuoja-lehti.fi Henkilöllisyydenkin voi vakuuttaa Mitä hyötyä identiteettivarkausvakuutuksesta on. Risuja, ruusuja, kysymyksiä sekä juttuvinkkejä voit antaa toimitukselle sähköpostitse: info@tietosuoja-lehti.fi puhelimitse: 044 310 0093 verkkolehden lomakkeella: www.tietosuoja-lehti.fi -> Palaute SCANSTOCKPHOTO Verkossa on myös koko painetun lehden sisältö. Onko valtionyhtiöön luottamista
Tilaushinnat ulkomailla 2015 Laskutusväli 12 kuukautta Skandinavian ja Baltian maat 62,70 euroa, sisältää arvonlisäveroa 10 % Muu Eurooppa 64,90 euroa, sisältää arvonlisäveroa 10 % Muut maanosat 63 euroa, arvonlisävero % Asiakasrekisteri Rekisterikuvaus ja -seloste ovat nähtävissä kustantajan Stellatum Oy:n tiloissa PL 20, 00381 Helsinki. Tilaaja voi kieltää tietojensa käytön markkinointitarkoituksiin ja markkinatutkimuksiin ilmoittamalla asiasta tilaajapalveluun. Kestotilauksena tilattu lehti toimitetaan tilaajalle tilausjakso kerrallaan ilman eri uudistusta, kunnes tilaaja joko muuttaa sen määräaikaiseksi tai irtisanoo tilauksen. Osoitetietoja käytetään ainoastaan kustantajan Stellatum Oy:n omassa toiminnassa. käy internetsivuillamme www.tietosuoja-lehti.fi . Yhteydenotot tulee tehdä kirjallisina ja allekirjoitettuina em. Tilaajapalvelu/Tietosuoja PL 115 30101 Forssa puhelin 03 4246 5301 faksi 03 4246 5341 tilaajapalvelu@stellatum.fi www.stellatum.fi Tilaushinnat Suomessa 2015 Hinnat sisältävät arvonlisäveroa 10 % Kestotilaus (laskutusväli 12 kuukautta) 57,20 euroa Määräaikainen (kesto 12 kuukautta) 59,40 euroa Irtonumero 15 euroa Tietosuoja ilmestyy neljä kertaa vuodessa Tilausehdot Hinnat ovat voimassa vuonna 2015 Suomeen tehtyihin tilauksiin. lähetä sähköpostia osoitteeseen tilaajapalvelu@stellatum.fi . Lehdessä esitellään myös keskeisiä suomalaisia henkilörekistereitä ja tietoyhteiskunta-asioiden toimijoita. Uudistettu Tietosuoja sisältää henkilötietojen käsittelyä, tietoturvaa sekä yksityisyydensuojaa koskevia asiantuntija-artikkeleita, haastatteluja ja uutisia. Tilauksen hinta on tilausjakson alussa voimassa oleva hinta, joka on painettu lehteen. Kestotilauksen voi irtisanoa ennen uuden tilausjakson alkua. Jos laskutusjakso tai mak-sueriä on maksettu ennen irtisanomisen voimaantuloa, tilaus päätetään maksetun jakson loppuun. osoitteeseen tai henkilökohtaisesti rekisterinpitäjän luona. Tietosuoja on aina ajan tasalla! Tilaa yksityisyydensuojan ja tietoturvallisuuden erikoislehti! Tilaushinnat Suomessa 2015 sisältävät arvonlisäveroa 10 % (4 numeroa vuodessa): kestotilaus (laskutusväli 12 kuukautta) 57,20 e 12 kuukauden määräaikaistilaus 59,40 e. soita numeroon 03 4246 5301 Tietosuojan tilaus sisältää myös VERKKOLEHDEN! Tilaukset ja osoitteenmuutokset Osoitteenmuutosta tehdessäsi muista ilmoittaa lehden nimi. tietosuoja 1 • 2015 47. Jos tilaaja irtisanoo kestotilauksensa tilausjakson alkamisen jälkeen, hän on velvollinen maksamaan irtisanomisen voimaantuloon saakka lähetetyt lehdet. Tilaajan tietoja käytetään asiakassuhteen ylläpitoon ja hoitoon. Tietosuojalautakunnan päätöksille ja ajankohtaisille lainsäädäntöuutisille on omat vakiopalstansa. Neljä kertaa vuodessa ilmestyvä Tietosuoja tutustuttaa tietosuojan normeihin ja käytäntöön, tietoturvallisuuteen sekä viestinnän luottamuksellisuuteen. Tilaa nyt Tietosuoja-lehden neljä numeroa vuodessa . Tietosuoja ohjaa henkilötietojen lainmukaiseen käsittelyyn sekä tietoturvallisuudesta ja viestinnän luottamuksellisuudesta huolehtimiseen
Tilaa Tietosuojan uutiskirje. Verkkolehden lukijaksi voivat rekisteröityä kaikki tilaajat voimassa olevalla tilausnumerolla, joka löytyy lehden takakannen osoitetietojen yhteydestä. Uutiskirje ilmestyy neljä kertaa vuodessa aina uuden numeron ilmestymisen yhteydessä. Uutiskirjeessä muistutetaan uuden numeron ilmestymisestä sekä vinkataan verkkolehdessä ilmestyvistä sisällöistä, jotka eivät ole luettavissa paperilehdestä. Tilaa uutiskirje lähettämällä sähköpostiosoitteesi sisältävä viesti osoitteeseen info@tietosuoja-lehti.fi Sähköpostiosoitettasi ei käytetä muihin tarkoituksiin