Tietosuoja 4/2013 - Lehtiluukku.fi

Haluatko ostaa tämän lehden?

Vaikuttaako lehti kiinnostavalta? Voit lukea koko lehden valitsemalla "Lisää ostoskoriin". Mukavia lukuhetkiä!

Olet esikatselutilassa. Lue koko lehti

tietoturvan ja tietosuojan erikoislehti 4 • 2013 15€ Työnhakijan yksityisyys vaakalaudalla Näin suojaat tietosi urkinnalta Hyvä hallinto ja pilvipalvelut: vaikea yhtälö. timo valli: Valtio tarvitsee lisää kyberosaamista
8 Henkilöarvioinneissa syynissä on soveltuvuus, ei persoonallisuus 14 Asianosaisjulkisuus on vaikea pala oikeusasteissakin 15 Kolumni 16 Asiantuntijalta Hyvä hallinto koskee myös pilvipalveluita Tomi Voutilainen 18 Rekisteröi tämä Tuhansien yhdistysten rekisteri olli häkämies 19 Kysy meiltä 20 Timo Valli Bitit uuteen järjestykseen 24 Lait ja säädökset 26 Entä jos meille murtaudutaan. tietosuoja 4 • 2013. olli häkämies 4 • 2013 20 Sisältö 4 Pääkirjoitus 5 Lyhyesti 7 Miten on. 8 Tietoturvan ja tietosuojan erikoislehti Marraskuu 2013 Julkaisijat Patentti- ja rekisterihallitus Tietosuojavaltuutetun toimisto Tietosuojalautakunta Viestintävirasto Päätoimittaja Hanna Tamminen, Viestintävirasto hanna.tamminen@ficora.fi Toimitussihteeri Päivi Männikkö, Stellatum Oy paivi.mannikko@stellatum.fi Toimituspäälliköt Eija Kara, tietosuojavaltuutetun toimisto, eija.kara@om.fi Anna Lauttamus-Kauppila, Patentti- ja rekisterihallitus, anna.lauttamus-kauppila@prh.fi Ulkoasu Tarja Salonen, Sininen Arkki Oy tarja.salonen@sininenarkki.fi Kannen kuva Olli Häkämies 2
shutterstock 30 Kustantaja Stellatum Oy Purotie 1 B 00380 Helsinki Ilmoitusmarkkinointi Anne Paavilainen, Stellatum Oy puh. vuosikerta ISSN 0786-5767 Painopaikka Hämeen kirjapaino Oy LIINPAIN PA RAARLAI A UT UT HIILIN E HIILIN E Toimituskunta Pasi Hänninen ja Erika Leinonen, Viestintävirasto Lauri Karppinen, tietosuojavaltuutetun toimisto Olli Ilmarinen, Patentti- ja rekisterihallitus sekä toimituspäälliköt 441441 209209 Painotuote Painotuote E UOT OT OTE U OT Toimitusneuvosto puheenjohtaja, Reijo Aarnio Sari Laine-Lassila, FiCom ry Jukka Ihanus, Stellatum Oy Eila Ratasvuori, Helsingin kaupunki Ahti Saarenpää, Lapin yliopisto Anu Talus, oikeusministeriö ja toimituspäälliköt ClimateCalc ClimateCalc CC-000025/FI CC-000025/FI HÄMEEN HÄMEEN KIRJAPAINO KIRJAPAINO OYOY tietosuoja 4 • 2013 3. tietosuoja-lehti.fi 29 Näkökulma Isoveljen bonus 42 30 Tietoturvan opastaja 33 Lautakunnasta kuuluu 34 Internetissä näppäimilläkin on korvat 37 Gallup Havaitse ja reagoi ajoissa 38 Tietopääoma kannattaa suojata 41 Ilmiö numeroina 42 Edunvalvonta lisää itsemääräämisoikeutta maija nyman 45 Selailtua 46 Verkkolehdessä ja seuraavassa numerossa 38 Olen luvannut olla sanomatta ’ei’. 0400 435 636 anne.paavilainen@stellatum.fi 25
Laitteistot ja ohjelmistot keräävät meistä aina vain enemmän tietoa, mutta kuka kontrolloi työkalujen ja ohjelmistojen kehittämistä. Niin ikään seminaarissa puhuneen EFFin varapuheenjohtajan Ville Oksasen mukaan tilanne hämärtyy entisestään tulevaisuudessa, kun esineitten internet on arkipäivää. tietosuoja 4 • 2013. Meidän pitää vaatia lisää valtaa omien tietojemme käyttöön. Pääkirjoitus 4 • 2013 Saanko hyötyä omista tiedoistani. Kun kerran tietojani joka tapauksessa kerätään ja säilytetään, miksen voisi hyödyntää itsestäni varastoituja tietoja omaksi hyväkseni. Tietosuojavaltuutetun toimiston, Viestintäviraston ja Kilpailu- ja kuluttajaviraston (KKV) seminaarissa marraskuussa yritettiin hahmottaa kuluttajan mahdollisuuksia selviytyä palvelujen viidakossa erityisesti omien tietojen suojan ja niiden hallinnan kannalta. Päivi Hentusen sanoin: kuluttajan hämmennyksen ja epäluulon minimointi edistää luottamusta ja kohentaa asiakastyytyväisyyttä. Petteri Järvinen viittaa tämän lehden kolumnissaan päivittäistavarakaupan hallinnoimaan tietomassaan asiakkaitten ostokäyttäytymisestä. Se, miten esimerkiksi älyjääkaappimme keräämää dataa ruokailutottumuksistamme käytetään, on lähes täysin hallintamme ulottumattomissa. Ja hyvä asiakastyytyväisyys on hyvää bisnestä, eikö vain. tavallisen ihmisen näkökulma tietojen keräämiseen ja käyttöön. Meidän pitää kuluttajina vaatia palvelun tarjoajilta sekä työkalujen ja ohjelmistojen kehittäjiltä enemmän tietoa palvelujen turvallisuudesta, alihankkijoiden taustoista ja sovellettavasta lainsäädännöstä sekä lisää valtaa omien tietojemme käyttöön. Viime aikojen urkintapaljastusten yhteydessä on noussut esiin myös nk. Olisiko minulle S-ryhmän asiakasomistajana siis hyötyä siitä, että saisin itsestäni kerääntyneen tiedon käyttööni esimerkiksi perheemme elintapojen ja rahankäytön analysointia varten. Magnus Löfving K äsite ”My Data” eli oikeus omiin tietoihin ja niiden uudelleen käyttöön on saanut entistä enemmän jalansijaa valistuneiden kuluttajien mielissä. Anna Lauttamus-Kauppila Patentti- ja rekisterihallituksen viestintäjohtaja 4. Monta simppeliä kysymystä, joihin ei kuitenkaan ole helppoa saada vastauksia. KKV:n ylijohtaja Päivi Hentunen toi seminaariesityksessään selkeästi esille, miten jopa niinkin tavanomaisessa asiassa kuin puhelin- tai nettiliittymän hankinnassa kuluttajalle saattaa jäädä epäselväksi se, kenen kanssa sopimus loppujen lopuksi tehdään. Mitä tiedoille tapahtuu, kun sopimussuhde palveluntarjoajan kanssa päättyy. Ja entäpä jos Google luovuttaisi minulle koko hakukonehistoriani! Kutkuttava ajatus. Vielä useammin hämäräksi jää, kenelle kuluttaja tietonsa oikeastaan antaa, ja kuka vastaa sopimuksesta sekä tietojen luotettavasta käytöstä sopimuskauden ajan. Entä minkä maan lakeja sovelletaan, jos suomalaisen toimijan alihankkija onkin ulkomainen yritys
Noin puolet vastanneista on kuitenkin sitä mieltä, että heidän henkilökohtainen luottamuksensa tietoverkkojen yksityisyyteen on kärsinyt. Vastanneista puolet on tyytynyt seuraamaan tilannetta mutta ei usko urkintaskandaalin vaikuttavan oman yrityksensä toimintaan millään tavalla. Ennen arkiston käytön aloitta- Kuntien pilvipalveluiden käytön odotetaan lisääntyvän lähivuosina kustannussäästöjen takia. Aluksi arkistoon tallennetaan suurin osa potilaan jatkuvaa potilaskertomusta, kuten diagnoosit sekä riski-, rokotus- ja lääkitystiedot. Potilas voi tarkastella verkkosovelluksessa (Omakanta), mitä tietoja hänestä on tallennettu arkistoon, ja mitkä yksiköt ovat hakeneet niitä. Vajaa kolmannes odottaa EU:n ja lainsäätäjän toimia. den 2014 aikana ja yksityiset palveluntuottajat viimeistään vuonna 2015. Muut julkisen terveydenhuollon yksiköt liittyvät arkistoon vuo- Kesällä paljastunut USA:n ja sen liittolaismaiden harjoittama salakuuntelu on hätkähdyttänyt maailmaa, mutta suomalaisyritysten käytäntöihin sillä ei ole ollut merkittäviä vaikutuksia. Itä-Savon sairaanhoitopiiri on aloittanut potilastietojen tallentamisen arkistoon marraskuussa. Potilas voi myös kieltää tietojensa luovuttamisen joko kokonaan tai tietyn käynnin osalta. Joka viidennen vastaajan yrityksessä verkkovakoilu-uutisiin on reagoitu lisäämällä ohjeistusta tai esimerkiksi arvioimalla riskejä. Paljastuneen vakoilun laajuus ei yllättänyt vastaajia. Jos potilas antaa suostumuksensa, hänestä arkistossa olevia hoitotietoja voidaan käyttää yli terveydenhuollon organisaatiorajojen. www.kunnat.net/lakiasiat > Julkisoikeus > Julkisuus ja tietosuoja mista yksikön pitää päivittää potilastietojärjestelmänsä ja kouluttaa henkilöstönsä. Heistä reilu puolet kuului yrityksensä tietohallintojohtoon ja reilu kolmannes ylimpään tai liiketoiminnan johtoon. shutterstock Lyhyesti Verkkovakoilu ei hätkäytä johtajia Potilastietoarkiston käyttö alkaa Kansallisen potilastietoarkiston käyttöönotto edistyy. tietosuoja 4 • 2013 5. Kuntaliiton laatima muistio neuvoo kuntia pilvipalvelujen tietosuojakysymyksissä. Kyselyyn vastasi 86 henkeä. Vuoteen 2016 mennessä arkistoa täydennetään muun muassa hammashoidon asiakirjoilla. Tietoturvan konsulttiyritys Nixu kysyi elo-syyskuussa 500 suurimman suomalaisyrityksen vastuuhenkilöiltä, miten amerikkalaisten harjoittaman verkkovakoilun paljastuminen on vaikuttanut heihin ja heidän yrityksensä toimintaan. Terveydenhuollon toimintayksikkö käyttää potilastiedon arkistoa oman potilastietojärjestelmänsä kautta
EU-tuomioistuimen ennakkoratkaisun mukaan passinhaltijan sormenjälkien kerääminen ja tallentaminen ei ole ristiriidassa EU:n perusoikeusasiakirjan kanssa, vaikka se saattaa kaventaa kansalaisten oikeutta yksityisyyteen ja tietosuojaan. Ratkaisussa painotetaan kuitenkin sitä, että passiasetuksen mukaan sormenjälkiä saa käyttää ainoastaan passinhaltijan tunnistamiseen ja passin oikeellisuuden toteamiseen. Tuomioistuimen mukaan sormenjälkien keräämistä ja tallentamista passiin puoltaa se, että niiden avulla henkilö pystytään tunnistamaan luotettavasti. Lyhyesti EU-tuomioistuin: Sormenjäljet saa tallettaa passiin, mutta… EU:n passiasetuksen mukaan passin siruun pitää tallettaa passinhaltijan kasvokuvan lisäksi kaksi sormenjälkeä. Asetusta ei pidä shutterstock tulkita siten, että se antaisi oikeusperustan kerätä sormenjälkiä keskitettyyn rekisteriin tai hyödyntää muihin tarkoituksiin kuin laittoman maahantulon estämiseen. 6. Monissa EU-maissa, myös Suomessa, on keskusteltu mahdollisuuksista hyödyntää passien sormenjälkitietoja rikosten selvittämiseen. yhä olla verkkorikollisten hallinnassa. Suomalaisia palvelimia, joissa tosta on löytynyt noin 560 aktiivista olisi aktiivinen takaovi, ei ole toistai- palvelimen takaovea, jotka voivat seksi löytynyt. joutuneita palvelimia löytyy enem- Tähän mennessä käsitellystä aineis- män. Tietomurtojen tutkinnassa löydetty satoja takaovia Helsingin poliisin lokakuussa paljasta- Takaoven kautta hyökkääjät pystyvät massa laajassa tietomurtojen sarjassa hallitsemaan kohdepalvelinta muun suomalaismiehellä oli pääsy yhteensä muassa palvelunestohyökkäyksen yli 60 000 murrettuun internet-palve- toteuttamiseen ja luottamuksellisen limeen ympäri maailmaa. tietosuoja 4 • 2013. Samalla torjutaan tehokkaasti passien väärinkäyttöä ja laitonta maahantuloa. Tietoturvan hallintajärjestelmän standardista ISO/IEC 27001 on julkaistu uusi versio. Poliisia ta- tiedon, kuten luottokorttinumeroiden pauksen selvittämisessä avustava ja salasanojen, varastamiseen. Sormenjälkien keräys ei siten ole tavoitteisiin nähden ylimitoitettua. CERT-FI on käsitellyt noin 52 000 eril- CERT-FI:n mukaan on todennä- lisen palvelimen tai palvelun tietomur- köistä, että hyökkäyksen kohteeksi toepäilyä koskevaa aineistoa. Uudistetussa standardissa käsitellään myös sosiaalisen median ja mobiililaitteiden yleistymisen tuomia tietoturvauhkia. Suomeksi standardi julkaistaan joulukuun alussa
Kiristyshaittaohjelmien (ransomware) määrä on kasvanut merkittävästi viime vuosina. Kun tietomurtaja varastaa tiivisteet, hänen täytyy selvittää niitä vastaavat selväkieliset salasanat laskemalla kaikki mahdolliset salasanaa vastaavat tiivisteet ja vertaamalla niitä varastamiinsa tiivisteisiin.” ”Tiivisteiden laskenta vie sitä enemmän aikaa, mitä pitempi salasana on.” ”Varkaan työtä nopeuttaa se, että netissä on saatavilla taulukoita, joissa on eri tiivistefunktioilla valmiiksi laskettuja listoja salasanoja vastaavista tiivisteistä. Poliisi on esitutkinnassa saanut näyttöä ryhmästä, joka on hyökännyt Suomessa yli 30 000 tietokoneeseen. Onko sallittua antaa tiedotusvälineille tiedot valmistuneista opiskelijoista. ”Kyllä, mieluummin reilusti pitempi. Muun muassa näihin kysymyksiin vastataan Opetushallituksen uusitussa oppaassa Julkisuus ja tietosuoja opetustoimessa. jonka mukaan koneesi on lukittu ja vapautetaan vain sakkomaksua vastaan. Suosittelisin vähintään 15-merkkistä salasanaa. Pahinta silloin on, jos samaa salasanaa on käyttänyt useissa eri palveluissa.” 7. Jos on, olet joutunut kiristyshaittaohjelman kohteeksi. Jos joku yrittää arvailla käyttämääni salasanaa, hän voi kokeilla eri vaihtoehtoja korkeintaan pari kertaa ennen kuin palvelu lukitsee tilini. www.oph.fi/julkaisut/2013 Apua kiristyksen uhreille Onko sinun tietokoneesi ruudulle ilmaantunut viralliselta kalskahtavaa ”Suomen Poliisin” ilmoitusta, Miten on. ” ”Tällä hetkellä yleisemmin käytettyjä tiivisteitä varten on olemassa valmiita taulukoita ainakin kymmenmerkkisiä salasanoja varten.” Pitääkö salasanan siis olla pidempi kuin 10 merkkiä. Viimeaikaisissa haittaohjelmaversioissa yhteistä on se, että viesti näyttää tulevan uhrin oman maan viranomaiselta. ”Mutta jos joku murtautuu palvelun tietokantaan ja vie sieltä kaikki tunnukset, tilanne on toinen.” ”Kunnolla suojatussa verkkopalvelussa salasanoista on tallennettu vain niitä vastaavat tiivisteet. Vaaditun sakkomaksun suorittaminen ei poista koneen lukitusta, ja maksetut rahat menevät suoraan rikollisryhmille. Uudistetussa painoksessa on huomioitu vuosina 2010 ja 2011 voimaan tulleet oppilas- ja opiskelijatietojen käsittelyä koskevat lakimuutokset. Useimmat palvelut myös hyväksyvät vähintään sellaisen.” ”Kannattaa myös huomata, että tietomurto ja salasanan joutuminen vääriin käsiin eivät suinkaan välttämättä paljastu heti. Voiko välituntien valvonnassa käyttää apuna valvontakameroita. Poliisi, Viestintäviraston CERT-FI ja tietoturvayhtiö F-Secure ovat avanneet kiristyshaittaohjelmista kertovat nettisivut: www.ransomware.fi tietosuoja 4 • 2013 Miksi salasanan pitäisi silti olla pitkä, vaikka se voi olla vaikeampi muistaa. Lyhyesti tero pajukallio Koulujen tietosuojaoppaasta uudistettu painos Saako tiedon oppilaan sairaudesta tallettaa koulun oppilasrekisteriin. ”On tosiaan epätodennäköistä, että yrittämällä kirjautua palveluun verkkosivun kautta onnistuisi arvaamaan oikean salasanan”, vastaa tietoturvaasiantuntija Ari-Matti Husa Viestintäviraston CERT-FI:stä
tietosuoja 4 • 2013. Henkilö 8
Teksti Kirsi Castrén kuvat olli häkämies, psycon, cresco ja shutterstock tietosuoja 4 • 2013 9. arvioinneissa syynissä on soveltuvuus, ei persoonallisuus Soveltuvuusarvioinneissa työnantaja vastaa työnhakijan yksityisyydensuojasta silloinkin, kun arviointi on ulkoistettu
Työnantaja vastaa arvioista Soveltuvuusarvio on henkilötietoa, jonka henkilötietolain mukaisesta käsittelystä vastaa työnantaja rekisterinpitäjänä. Työnantaja etsii testauksilla useimmiten tukea omien haastattelukierrostensa päätelmille. ”Kun tehtävään etsitään tietyntyyppisiä ihmisiä, kuten seurakunnissa, mediassa ja taiteessa usein tehdään, voidaan yksityisyydensuojaa loukkaamatta teettää vaikkapa roolipelejä, joissa hakijat näyttelevät eri tilanteita”, Murtomäki opastaa. ”Soveltuvuusarvio antaa vahvistuksen siitä, että henkilön kyvyt ja motivaatio ovat sen suuntaiset, että hänellä on mahdollisuus onnistua tehtävässä”, kuvaa henkilöstösuunnittelupäällikkö Tuija Riikonen SOKyhtymästä. tietosuoja 4 • 2013. ”Työelämän tietosuojalaki koskee näitäkin aloja, eikä hakijan pidä joutua kertomaan henkilötietojaan muiden kuullen.” 10. Siinä osallistujia pyydettiin kertomaan henkilökohtaisista ominaisuuksistaan muiden hakijoiden kuullen. Arvio ei saa sisältää tarpeettomia tai arkaluonteisia henkilötietoja, kuten tietoja terveydentilasta. ”Arvioitavien persoonallisuuden piirtei- den, esimerkiksi johtajaominaisuuksien, tarkkuuden tai suurpiirteisyyden, tulee aina liittyä työtehtävään”, korostaa ylitarkastaja Mia Murtomäki tietosuojavaltuutetun toimistosta. Tietosuojavaltuutettu antoi seurakuntatyönantajalle huomautuksen konsultin työnhakijoilla teettämästä ryhmätestistä. Näin on myös silloin, kun työnantaja ulkoistaa arvioinnin tekemisen. T yönhakijoille tehtävät psykologiset soveltuvuusarviot ovat lisääntyneet vauhdilla. Arviointi on yleisintä johtotason ja asiantuntijatehtäviin hakevilla, joskin nykyään sitä edellytetään monesti myös asiakaspalvelutehtävissä. Tietosuojan kannalta kiperin kysymys liittyy soveltuvuusarvioinnissa käsiteltäviin tietoihin
tietosuoja 4 • 2013 11. Riittävän tarkat arviointikriteerit ovat sekä työnantajan että arvioitavan etu myös konsulttiyhtiön näkökulmasta. Tarkka toimenkuva auttaa Jotta arvio ei eksyisi sivuraiteelle, tarvitaan työnantajalta tarkka kuvaus tehtävästä ja sen vaatimuksista. Emme voi antaa lausuntoa hakijan mielenterveydestä. ”Esimerkiksi harrastuksilla ei ole mitään merkitystä, vaan hakijan ominaisuuksia peilataan vasten vaadittua tehtäväkuvausta”, Tuija Riikonen kertoo. ”Arvioimme vain niitä asioita, jotka arviointikriteereissä on määritelty”, sanoo Psyconin toimitusjohtaja Tapani Haavisto. SOK-yhtymässä henkilöstöosaston rekrytointiasiantuntija keskustelee esimiehen kanssa toimenkuvasta ja siitä, millaisia taitoja ja työtyyliä se vaatii. ”Arvioinnissa ei ole mitään merkitystä esimerkiksi harrastuksilla”, sanoo SOK-yhtymän henkilöstösuunnittelupäällikkö Tuija Riikonen. ”Emme tee kokonaispersoonallisuusarviointia vaan arvioimme vain niitä asioita ja sitä tarkoitusta varten, jotka arviointikriteereissä on määritelty”, painottaa toimitusjohtaja Tapani Haavisto konsulttiyhtiö Psyconista
tietosuoja 4 • 2013. ilman asianomaisen työntekijän suostumusta. Arvioiden Psyconissa arviointilausunnon alkupe- ”Kuulemani mukaan palaute käydään räiskappale lähetetään arvioitavalle itsel- useimmiten vain suullisesti läpi. tavoittelema tieto on koetellut lain sallimia rajoja. Luottamusmiehellekin vain luvalla ”Lausuntoja säilytetään sähköisessä kan- Luottamusmies valvoo toimivaltansa puit- siossa. Psyconin asiakaskunta koostuu pääasiassa suurista yrityksistä ja julkisorganisaatioista, joissa henkilöstöasioiden hoito Tapani Haavisto kertoo. pää kirjallista kuin suullistakaan palautetta.” ”Suosittelemme, että lausuntoja säilytetään keskitetysti. O toja käsitteleviä sitoo vaitiolovelvollisuus, vuusarvionsa tulokset kirjallisena. Testauksen tietosuoja ei ole työnhakijalle itsestäänselvyys. On tapa- leen. Esimies ei lausuntoja yleensä säilytä vaan henkilöstöosasto”, 12. Esimerkiksi palkka- tietoja”, Tuija Riikonen kertoo. Henkilötie- mukaan oikeus pyynnöstä saada soveltu- kauksen perustetta”, Murtomäki sanoo. ”Henkilöarvion tulosten saanti edellyttää ”Soveltuvuustesti voi parhaimmillaan selittää työssä menestymisestä 25 prosenttia”, sanoo Crescon toimitusjohtaja Lilli Sundvik. Toki mietitään myös testien reliabiliteettia ja validiteettia, eli miten hyvä käytetty väline on”, Uljas kertoo. Tietosuojavaltuutetulta kysytään Mia Murtomäen mukaan toisinaan, onko luottamusmiehellä oikeus nähdä myös soveltu- joutuminen ulkopuolisten käsiin on hen- Arvioitavalla oikeus omiin tuloksiinsa kilörekisteririkkomus, josta vastuussa on Työnhakijalla on työelämän tietosuojalain aina suostumusta – myös arvioitaessa palk- rekisterinpitäjä eli työnantaja. Näin ei ja soveltuvuusarvion tulosten kertominen aina tapahdu, tietää Suomen Ekonomiliitto ulkopuolisille on salassapitorikos. Psycon säilyttää arviointilausuntoja kaksi vuotta, minkä jälkeen ne hävitetään. SEFE:n kehitysjohtaja Anja Uljas. ”Emme voi antaa lausuntoa esimerkiksi hakijan mielenterveydestä, vaikka monilla psykologeillamme onkin kliinisen psykologian koulutus ja kokemusta.” Säilytä suojatusti Kun arviointi on tehty ja tulokset selvillä, eteenpäin muualle. Tehtävänkuvauksen on oltava tarkka. ”Jäseniämme huolettaa, meneekö tieto vuusarvioiden tuloksia. Yhtiön 60 toi- SOK-yhtymä saa soveltuvuuslausunnot mintavuoteen mahtuu Haaviston mukaan yhteistyökumppaniltaan suojatulla sähkö- kuitenkin myös tilanteita, jolloin asiakkaan postiyhteydellä. Kopio menee tilaajaorganisaatiolle, uksia, joissa hakija ei ole saanut sen enem- jossa siitä vastaa nimetty henkilö. Siihen on pääsy vain muutamalla teissa syrjimättömyyttä ja tasa-arvon toteu- henkilöllä, jotka työssään käsittelevät näitä tumista työpaikalla. ne on muistettava pitää salassa. tietoja voidaan antaa luottamusmiehelle SOK:ssa ohjeistus on, ettei lausuntoja tulosteta tai välitetä talon sisällä vaan ainoastaan avataan tutustumista varten ja tallennetaan sitten salattuun kansioon. on ammattilaisten käsissä
SOK-yhtymässä luotetaan tutkimuksiin. Huomioi tietosuoja jo tekniikassa. tapäätöksen katsotaan edellyttävän psykologista soveltuvuusarviointia, laadi sitä varten selkeät tehtäväkohtaiset arviointikriteerit. ”Tutkimusten mukaan soveltuvuustesti voi parhaimmillaan selittää työssä menestymisestä 25 prosenttia”, kertoo psykologian tohtori ja konsulttiyhtiö Crescon toimitusjohtaja Lilli Sundvik. 4. Käytä suojattua sähköpostia, rajaa käyttöoikeudet, katso mihin tallennat ja tulostat. Arvioitavalla on aina oikeus saada kirjallinen kopio lausunnostaan sekä käydä se suullisesti läpi konsultin kanssa. Määrittele arvion tarve ja tarkoitus. Tutustu myös liiton Hyvän henkilöarvioinnin oppaaseen ja tietosuojavaltuutetun toimiston materiaaliin. Informoi hakijaa. Pätevyyden varmistaminen ei välttämättä ole yksinkertaista, sillä arviointibisneksessä on paljon erilaisia toimijoita. Määrittele vastuut. ”Suoriutumiseen vaikuttaa muun muassa se, millainen työyhteisö on, miten työntekijää perehdytetään ja hyvin monet muut seikat. Tarkimmatkaan mittarit eivät silti kerro kaikkea. Sen saaminen edellyttää laillistetun psykologin pätevyyttä sekä koulutusta ja kokemusta henkilöarvioinnissa. ”Painotamme kilpailutuksessa tutkimuksiin pohjautuvia henkilöarviointimenetelmiä, joista saamme hakemaamme tietoa”, henkilöstösuunnittelupäällikkö Tuija Riikonen kertoo. Osalla arvioijista on Suomen Psykologiliiton myöntämä psykologisen henkilöarvioinnin sertifikaatti. Jos valin2. 3. nähdä vain henkilöt, jotka käsittelevät niitä työtehtävässään. Jopa sattumalla on osuutensa.” 13. Arviointitietoja saavat 5. Tarkista taustat: Suomen Psykologiliitto julkaisee verkkosivuillaan listaa henkilöistä, joille liitto on myöntänyt psykologisen henkilöarvioinnin sertifikaatin. 5 Viisi vinkkiä 1. Henkilöarviointeja tehdään monenlaisin taustoin, jopa ilman minkäänlaista alan koulutusta. Tietosuojavaltuutetun toimiston käsikirja työelämän tietosuojasta: www.tietosuoja.fi > Oppaat > Asiaa tietosuojasta Lisätietoa henkilöarvioinnin sertifikaateista Suomen Psykologiliiton sivuilta: www.psyli.fi/ tietoa_psykologeista/henkiloarviointi Markkinoilla on monenlaista toimijaa Työnantaja vastaa siitä, että soveltuvuusarvioiden tekijät ovat päteviä ja käyttävät asianmukaisia menetelmiä
Virantäyttö edellyttää, että hakijoista on tehty ansiovertailu. Ansiovertailut ovat yleensä julkisia tai ainakin asianosaisjulkisia eli saatavilla henkilöille, joiden oikeuksia tai etua asia koskee. Yhteenvedossa esitetään henkilötietojen lisäksi hakijoiden koulutus ja työkokemus sekä tiedot kelpoisuusvaatimuksen täyttymisestä. ”Viranhakemukset ovat pääsääntöisesti julkisia, mutta ne sisältävät usein salassa pidettävää tietoa muun muassa perhe- ja yksityiselämästä”, toteaa ylitarkastaja Mia Murtomäki tietosuojavaltuutetun toimistosta. ”Konsulteilta saamamme raportit ovat tiiviitä, ja niissä puhutaan vain työtehtävään liittyvistä asioista: Mikä on henkilön kykyrakenne, työskentelytyyli ja osaamisen taso suhteessa haettavaan tehtävään”, kuvaa henkilöstöjohtaja Sinikka Valtonen. ”Rajanveto on ehkä vaikeaa siltä osin kuin asianosainen puhuu omasta asiastaan”, Murtomäki pohtii. Tietoja saa käyttää ainoastaan siihen tarkoitukseen, johon ne on luovutettu, esimerkiksi syrjintäkanteen nostamiseen. Hakijat voivat halutessaan käydä tutustumassa kilpahakijoidensa soveltuvuusarvion tiivistelmään, jota muutoin säilytetään lukkojen takana. Tiivistelmät asianosaisten luettavissa Turun kaupunki teettää soveltuvuusarvioita harkinnan mukaan pääasiassa johtotason ja asiantuntijatehtäviin hakeville. Asianosaisjulkisuus on vaikea pala oikeusasteissakin Julkisella sektorilla virantäytön julkisuus mutkistaa työnhakijan tietojen käsittelyä. Lausuntoja säilytetään Turussa kaksi vuotta eli lakisääteisen valitusajan verran. Laki toisaalta myös kieltää luo- Lavertelu kielletty Asianosainen on julkisuuslain mukaan vaitiolovelvollinen saamistaan salassa pidettävistä tiedoista. Hallinto-oikeus oli määrännyt arvion annettavaksi valitsematta jääneelle hakijalle. KHO kuitenkin piti yksityisyydensuojaa painavampana perusteena ja päätyi salassapidon kannalle. Asianosaisella on vaitiolovelvollisuus. Arvioinnit on ulkoistettu ja kilpailutettu. Julkisuuslaki sallii asianosaiselle mahdollisuuden viranomaisen harkinnan mukaan tutustua myös salassa pidettäviin asiakirjoihin. tietosuoja 4 • 2013. Lavertelu kilpahakijan soveltuvuustestistä työpaikan kahvipöydässä tai vaikka vain perhepiirissä voi täyttää salassapitorikoksen tunnusmerkit. Esimerkiksi eräässä korkeimman hallinto-oikeuden ratkaisussa vuonna 2010 todettiin, että viran täyttöä koskevassa asiassa viranhakija oli asianosainen ja virkaan valitun soveltuvuusarvio oli voinut vaikuttaa asian ratkaisuun. 14. Viranomaisella on harkintavaltaa vuttamasta asiakirjaa asianosaisellekaan, mikäli se olisi vastoin erittäin tärkeää yksityistä etua. Asianosaisjulkisuus kaventaa hakijoiden yksityisyydensuojaa ja koettelee soveltuvuusarvion laatijan ammattitaitoa
Siihen, että jokin teknologia omaksutaan yhteiskuntaamme, vaikuttavat erilaiset voimat ja vastavoimat muiden muassa markkinoiden, yhteiskunnan ja lainsäädännön taholta. Kvanttitietokoneet lupaavat hurjaa numeronmurskausvoimaa ja nopeutta. Siihen, millainen teknologiamaailma meitä odottaa vuonna 2035, edes futuristilla ei ole vastausta. Ajatuskäyttöliittymää ihmisen ja tietokoneen välillä tutkitaan monissa tutkimuslaitoksissa ympäri maailmaa. Sotatantereille on kehitetty robottikantomuuleja, ja pilotittomat lentokoneet tekevät tiedustelulentoja. Tämän tiedon perusteella pystytään ohjaamaan paremmin potilaiden terveyttä ja hoitoa. Ensimmäiset laitteet, joilla tietokonetta voidaan ohjata vain ajattelemalla, voi jo ostaa verkosta. Jonkinlaisen kuvan tulevaisuuden teknologiaan saa, kun tutustuu kehitteillä oleviin uutuuksiin eri tutkimuslaitoksissa. Klaytroniikkapöytä voi muuttua käskystä tuoliksi. Tässä muutamia teknologia-alueita, joita kannattaa pitää silmällä – ihan tulevaisuutta varten. On hyvä huomata, että teknologia ei kehity tyhjiössä. Internet oli tuolloin lapsen kengissä, ja nyt se on kaikkialla. Hän viimeistelee Kari Hiltusen kanssa kirjaa Teknoelämää 2035 – Miten teknologia muuttaa tulevaisuuttamme. Ensimmäinen kvanttitietokoneeksi väitetty laite on jo markkinoilla. Myös sotateollisuus satsaa robotiikan kehittämiseen. Klaytroniikka, eli pienen pienet robotit, katomit, tekevät materiaalista ohjelmoitavaa. Robottipuvut, jotka antavat kantajilleen lisävoimia, ovat jo todellisuutta. Tulevaisuuden vastasyntyneiltä määritellään ensimmäiseksi perimä. Isompia, ihmismäisiä robotteja kehitetään erityisesti Aasiassa terveydenhuollon tarpeisiin. tietosuoja 4 • 2013 Futuristi Elina Hiltunen on koulutukseltaan kemian diplomi-insinööri ja kauppatieteiden tohtori. Kuten tiedämme, elämämme on kaukana noista näkemyksistä. Rohkeimmat visionäärit haaveilevat tietokoneiden suorasta yhteydestä aivoihin nanorobottien avulla. Entä vuonna 2035: Miten elämme silloin, ja mitä teknologia on tuonut meille tullessaan. Jo nyt on mahdollista tarkistaa oman perimänsä osia ja mahdollisuuksia sairastua tiettyihin tauteihin vain muutamalla satasella. Välillä puhtaalla sattumalla on omat voimansa pelissä. Tulevaisuudessa syntyvien vauvojen ensimmäinen terveystesti lienee genomin määrittely, jonka perusteella koko uuden yksilön terveyssuunnitelma voidaan laatia. 15. Isossa-Britanniassa on päätetty määritellä 100 000 potilaan genomi vuoteen 2017 mennessä. Ihmisen genomi eli perimä on pystytty määrittelemään jo vuonna 2003, ja tämän teknologian hinta halpenee huimaa vauhtia. Jos tätä päivää tarkasteltaisiin historian (noin 1900-luvun) tulevaisuusennusteiden näkökulmasta, söisimme ruokamme pillereinä, asuisimme avaruudessa kupla-asunnoissa, ja olohuoneissamme ”loistaisi” radiumin pala takkana. Paljon on kuitenkin tapahtunut, kun katsomme 20 vuotta taaksepäin. Kolumni Vuonna 2035 Elina Hiltunen T ulevaisuuden ennustaminen ei ole helppoa, ja usein ennustukset menevätkin pieleen. Hiilen eräs olomuoto, grafeeni, tuonee oman sysäyksensä tietotekniikan huimaan kehitykseen, kunhan sen hinta alenee. Kvanttitietokoneiden tekniikka perustuu kvanttitilojen superposition hyväksikäyttöön, mikä tekee niistä lukuisia kertoja nopeampia kuin nykyiset tietokoneet
toon ja suojaan sekä tietojen laatuun. Julki- Henkilötietolain säännöksen mukaan rekisterinpi- sen hallinnon rekisterinpitäjien on huolehdittava, että täjän on toteutettava tarpeelliset tekniset ja organi- tietosuoja 4 • 2013. vaamiseksi sekä asiakirjojen, tietojärjestelmien ja niissä Ohjelmiston hankkija hallinnoi ohjelmiston käyttöä olevien tietojen suojan järjestämiseksi. Asiantuntijalta Hyvä hallinto koskee myös pilvipalveluita Julkisen sektorin tiedot ovat pilvessä, mutta onko tietosuoja huomioitu sopimuksissa. Eduskunnan oikeusasiamiehen laillisuusvalvonnassa 16. Tietojenkäsittelyssä on turvattava perusoikeudet valmisteltaessa viranomaisen on selvitettävä, mikä vai- Julkisen hallinnon toiminta on hyvin tietointensiivistä. Kun tietojenkäsittely netaan. Viranomaisten tulisikin vaatimukset henkilötietojen suojaamisesta. hankkiessaan. P Teksti Tomi Voutilainen suojaan, hallinnon toiminnan tehokkuuteen ja muihin oikeusturvan takeisiin sekä tietoturvallisuuteen osana julkisuusperiaatteen toteuttamista. Nämä tietover- mistä vaatimuksista on säädetty julkisuuslain 18 §:ssä. Myös tietojen saatavuus sekä rekisterinpitäjän ulkoistetaan, rekisterinpitäjän täytyy huomioida tiedon oikeus tiedon siirrettävyyteen palvelusopimuksen päät- suojaamisen ja käytettävyyden vaatimukset palveluja tyessä pitää pystyä turvaamaan sopimuksissa. tietojenkäsittelyssä turvataan yksilöiden oikeudet tieto- muiden perusoikeuksien turvaavat toimintatavat. Järjestelmän vain käyttöoikeuksien hallinnan avulla. Pilvipalvelun vaikutukset on selvitettävä etukäteen ilvipalvelut luovat uusia vaatimuksia tie- Julkisessa hallinnossa tietoturvallisuuden keskeisim- tosuojan toteuttamiselle. kon yli käytettävät ohjelmistopalvelut Siinä edellytetään, että tietojärjestelmän hankintaa eivät ole enää rekisterinpitäjän tietoko- suunniteltaessa viranomainen ryhtyy tarpeellisiin toi- neissa ja muissa päätelaitteissa, vaan niitä miin tietoon liittyvien oikeuksien ja tiedon laadun tur- käytetään päätelaiteriippumattomasti. Pilvipalveluiden käyttöönottoa valmisteltaessa viranomaisen tulee sel- hallittavuus on otettava huomioon, kun palveluissa käsi- vittää vaikutukset asiakirjojen julkisuuteen, salassapi- tellään henkilötietoja. oikeuksiin, kuten asiakirjojen julkisuuteen, salassapi- Jos tieto ei ole käytettävissä silloin, kun sitä tarvitaan toon, tietosuojaan ja tiedonsaantioikeuksiin sekä miten esimerkiksi potilaalle hoitoa annettaessa, on se paitsi nämä otetaan huomioon hankintasopimuksissa. Rekisterin- kiinnittää huomiota myös siihen, että tietojärjestelmät pitäjä vastaa aina viime kädessä henkilötietojen käsit- mahdollistavat hyvän hallinnon ja oikeusturvan sekä telystä eikä voi ulkoistaa tätä viimekätistä vastuutaan. on toistuvasti katsottu, ettei viranomainen voi perustella Viime kädessä vastuu on rekisterinpitäjällä poikkeamista hyvästä hallinnosta ja oikeusturvasta tie- Kaikkia rekisterinpitäjiä koskevat henkilötietolain 32 §:n tojärjestelmiin liittyvillä syillä. donhallinnan vastuut, miten palveluntarjoaja sitoute- Julkisuuslain säännös tarkoittaa, että jo hankintaa kutus pilvipalvelun käyttöönotolla on tietoon liittyviin Tästä syystä monissa organisaatioiden tietojenkäsit- taan noudattamaan asetettuja tietoturvavaatimuksia ja telypalveluissa tiedon käytettävyys ja sen turvaaminen miten näiden vaatimusten mukainen toiminta toden- on keskeinen suojaamisen kohde. Kes- uhka potilasturvallisuudelle, myös hoitoa antavien ter- keisiä kysymyksiä ovat erityisesti se, muuttuvatko tie- veydenhuollon ammattihenkilöiden oikeusturvalle
Tomi Voutilainen on dosentti ja informaatio- ja tietoteknologiaoikeuden professori Itä-Suomen yliopistossa. Rekisterinpitäjän on huolehdittava siitä, Rekisterinpitäjän pitää varmistaa auditoinneilla ja tar- että ulkoistamissopimuksissa otetaan huomioon tieto- kastuksilla, että palveluntarjoaja noudattaa sovittuja suojavaatimukset. ron salaaminen, käyttäjä- ja käyttöoikeushallinnan jär- Rekisterinpitäjän lukuun toimivan yrityksen on jestäminen ja ajan tasalla pitäminen sekä lokitietojen ennen tietojen käsittelyyn ryhtymistä annettava rekis- kerääminen ja hallinta. käsittelyn seurantaan sekä laittoman tietojenkäsittelyn estoon; Tietoturvavaatimusten todentamismenettelyihin ja auditointikäytäntöihin sekä tietojen käsittelyn valvontaan; Tietosuojapoikkeamien ilmoittamismenettelyihin; Palveluntarjoajan mahdollisuuteen käyttää alihankkijoita sekä alihankkijoiden vastuisiin; Tietojenkäsittelyn vahingonkorvausvastuisiin ja muihin taloudellisiin vahinkoihin liittyviin velvollisuuksiin. Lakisääteisen salassapitovelvoitteen noudattamatta jättäminen on rikoslaissa säädetty rikos. ulkoistamisesta. Tietosuojavaatimukset on syytä laa- menettelytapoja. Tiedon saatavuuden ja käytettävyyden turvaaviin toimenpiteisiin ja varajärjestelyihin; ?. O Rekisterinpitäjän muistilista Pilvipalvelusopimuksissa tulisi ottaa kantaa ainakin seuraaviin tiedonhallintaa ja tietosuojaa koskeviin seikkoihin: ?. terinpitäjälle asianmukaiset selvitykset ja sitoumukset Lainkohdassa säädetään myös tietojenkäsittelyn henkilötietojen suojaamisesta tietoturvajärjestelyillä. ?. Rekisteröidyn oikeuksien toteuttamismenettelyihin; ?. rekisterinpitäjä ei hanki sellaista pilvipalvelua, joka ei Pilvipalveluissa keskeisiä suojaustoimia ovat tiedonsiir- täytä lainsäädännöstä johdettavia vaatimuksia. Tietojen tuhoamiseen palvelun päättyessä; ?. Tietoturvavaatimuksiin: käyttäjä-, käyttöoikeus- ja pääsynhallintaan, henkilötietojen tietosuoja 4 • 2013 ?. Tietojen säilytyspaikkaan tai sijaintimaahan sekä näitä koskeviin henkilötietolaista johtuviin rajoituksiin; ?. Tietojen siirrettävyyteen palvelun päättämistilanteessa; ?. ?. 17. Tietojenkäsittelyn huolellisuusvelvollisuuden toteuttamiseen; ?. Myös salassapitovelvollisuudesta on syytä olla määräys sopimuksessa, vaikka viranomaisen lukuun toimivilla on salassapitovelvoite joka tapauksessa muun muassa julkisuuslain nojalla. ?. Tietojen siirto- ja säilytystapoihin sekä vahingossa tai tahallisesti tuhottujen tietojen palauttamiseen; ?. Sitoumuksiin palvelun tilaajan tietosuojalainsäädännön noudattamiseksi; ?. Salassapitomääräyksen laiminlyönti voi johtaa taloudellisiin seuraamuksiin sopimusrikkomuksena. ?. satoriset toimenpiteet henkilötietojen suojaamiseksi tia jo ennen hankintamenettelyn käynnistämistä, jotta asiattomalta pääsyltä tietoihin ja laittomalta käsittelyltä
Pankit hakevat yhdistysrekisteristä nimenkirjoittajien tietoja varmistuakseen heidän oikeudestaan tehdä sopimuksia yhdistyksen nimissä. Niitä on Suomessa toiminta-ajatukseltaan aatteellinen. Teksti Päivi Männikkö P teripäällikkö Juha Viertola toteaa. Tämä johtuu siitä, että perustamisasiakirjassa on kaikkien perustajajäsenten nimet, ja tieto henkilön uskonnollisesta vakaumuksesta on henkilötietolain mukaan arkaluonteinen. Rekisteröi tämä Tuhansien yhdistysten rekisteri Yhdistysrekisterissä ovat edustettuina kaikki inhimillisen toiminnan alat. tietosuoja 4 • 2013. haanjohtava, lainvastainen tai hyvän tavan tajien ja muiden nimenkirjoittajien nimet, vastainen. Usein rekisteröityminen on kysymyksiä”, PRH:n yhdistys- ja säätiörekis- tietoa, jota saa hankkimalla yhdistyksen rekisteriotteen Patentti- ja rekisterihallituksesta. Lisäksi viranomaiset tarvitsevat yhdistysrekisterissä olevien rekisteröityjen tietoja yksittäistapauksissa. PRH:ssa on tehty linjaus, jonka mukaan niiden perustamisasiakirjat ovat salassa pidettäviä. ”Aatteellisuudella tarkoitetaan yhdessä tekemistä muussa kuin elinkeinotoiminnan mielessä”, hän selventää. Kuitenkin henkilön asema yhdistyksen nimenkirjoittajana tai perustajajäsenenä voi paljastaa henkilötietolain mukaan arkaluonteista tietoa vakaumuksesta, suuntautumisesta tai vaikkapa terveydentilasta. Kyseessä on siis iso henkilörekisteri”, Viertola huomauttaa. Puh- noin 135 000. Pohdittavina ovat lainsäädännölliset ja tekniset rajoitteet, joita tietojen avaamiseen voi liittyä. ”Jos julkishallinnon rekistereiden tietoja voi yhdistellä vapaasti, rekisteröidyt voidaan profiloida varsin laajasti.” 300 000–400 000. Skaala ulottuu muutaman ihmisen harras- merkitään kaikki rekisteröidyt Rekisteröityvän yhdistyksen pitää olla yhdistykset. Julkisuuslain perusteella kuka tahansa voi pyytää yhdistysrekisteristä nimenkirjoittajien tiedot. O 18. yhteystiedot ja henkilötunnukset. Uskonnollisista yhdyskunnista pidetään erillistä rekisteriä. ”Tällä hetkellä epäselvää on muun muassa se, miten suhtaudutaan ison yhdisteltävän datamäärän avaamiseen nimenomaan yksityisyydensuojan kannalta”, Viertola sanoo. Yhdistysrekisteristä myös myydään nimenkirjoittajien yhteystietoja niin sanottuina massaluovutuksina. ”Kun jokaisessa yhdistyksessä on 2–3 nimenkirjoittajaa, heitä on yhteensä Avoimessa datassa on riskinsä Patentti- ja rekisterihallituksen laajojen perustietovarantojen avaamista kaikkien saataville selvitetään parhaillaan osana valtionhallinnon avoimen datan strategiaa. Sen pitää nimeltään erottua Julkista ja arkaluonteista tietoa nössä lakannut, jäljelle jää silti noin satatu- muista yhdistyksistä, eikä nimi saa olla har- Yhdistysrekisteriin merkitään puheenjoh- hatta yhdistystä. Näistä Rekisteröinnin etuna yhdistyksestä tu- tuspiireistä satojentuhansien jäsenten ayliittoihin. Jos joukosta vähennetään taasti elinkeinon harjoittamiseen sitä ei ne yhdistykset, joiden toiminta on käytän- voi perustaa. lee erillinen oikeushenkilö, joka voi tehdä ”Nimi ja aatteellisuus ovat isoja tulkinta- nimet ja yhteystiedot ovat kaikille julkista oikeustoimia. Yhdistysrekisterin voi katsoa edustavan atentti- ja rekisterihallituksen (PRH) myös edellytys julkisten tukien tai kokoon- lähes kaikki inhimillisen toiminnan aloja. ylläpitämään yhdistysrekisteriin tumistilojen saamiselle
Tietosuojavaltuutetun mukaan tällaisen markkinoinnille annettavan suostumuksen kytkeminen välttämättömyyspalveluna tarjottuun matkapuhelin- tai internetliittymään ei ole asiallisesti perusteltua. Tällöin tietojen julkaisuun pitää olla jokin oikeuttava peruste. Rekisteröidyllä on oikeus kieltää henkilötietojensa käsittely suoramarkkinointitarkoituksessa, eikä tätä oikeutta voida rajoittaa sopimusehdoin. Kysy meiltä Saako yritys julkaista netissä tapahtumansa osallistujalistan, jossa on osallistujien nimet, yhteystiedot sekä organisaatio ja tehtävänimike. asialliseen yhteyteen rekisterinpitäjän ja rekisteröidyn välillä. Rekisteröity voi vaatia rekisterinpitäjää, kuten yritystä poistamaan tietojenkäsittelyn kannalta tarpeettomat tiedot. Henkilötietojen käsittely yrityksen järjestämässä tapahtumassa voi perustua nk. Asiaa koskeva tiedote on löydettävissä toimiston verkkosivuilta osoitteesta www.tietosuoja.fi/63424.htm. Onko oikein, että puhelinliittymän asiakkaalle lähetetään suoramarkkinointia puhelimeen ja sähköpostiin, eikä tätä voi perua, koska markkinoinnin vastaanottaminen kuuluu sopimusehtoihin. Tietojen tarpeellisuus määräytyy tapauskohtaisesti ja mahdollisesti soveltuva lainsäädäntö huomioiden. Yrityksellä on oikeus käsitellä henkilötietoja tapahtuman järjestämiseksi tarpeellisessa määrin. Voinko pyytää poistamaan omat tiedot kokonaan tai edes osittain. Kysymyksiin vastasi ylitarkastaja Iiro Loimaala tietosuojavaltuutetun toimistosta. Tällöin tietojenkäsittely on sidottu niille määriteltyyn ja asiallisesti perusteltuun tarkoitukseen. . Tietojen julkaisemista internetissä voidaan pitää tietojen sähköisenä luovutuksena rajoittamattomalle vastaanottajajoukolle, jolloin tietojen kaikista käsittelytarkoituksista ei voida varmistua eikä tietojen käyttöä voida käytännössä enää hallita. Askarruttaako jokin henkilötietojen suojaan, yksityisyyteen, viestinnän luottamuksellisuuteen tai tietoturvaan liittyvä asia. Tietojen vieminen internetiin voi perustua laissa säädettyyn tai rekisteröidyn suostumukseen silloin, kun menettely on muutoin asiallisesti perusteltua ja tarpeellista rekisterinpitäjän toiminnan kannalta. markkinointiluvan sisällyttämistä viestintäpalvelun sopimusehtoihin. Kysymyksiä voi lähettää osoitteeseen info@tietosuoja-lehti.fi tietosuoja 4 • 2013 19. Myös suora- markkinoinnille annetun suostumuksen voi perua. Lähetä kysymyksesi meille, me etsimme sille sopivan vastaajan. Kannanotossa ei tarkasteltu sellaisia lisäarvoa tuottavia palveluita, jotka toteutetaan kuluttajan toimeksiannosta ja jotka saattavat sisältää markkinointia. Tietojenkäsittelyn on oltava tarpeellista. Tietosuojavaltuutettu on antanut kannanoton, joka koskee nk
Suomi on kyberturvallisuuden ja maksuista on tehty so- sähköisten palvelujen kärkimaa. strategia 2012–2020, ICT 2015 -työryhmän Kaikkeen tähän kuluvien veroeurojen määrä raportti ja kyberturvallisuusstrategia. Näitä 20. Niiden on saatu pidettyä maltillisella tasolla. Niistä useim- rille ja ykkösten ja nollien virtuaaliseen lii- missa vastuutahona on Vallin johtama Jul- kenteeseen. Siinä valtio tarjoaa käyttäjille helppo- velukeskusten ja virastojen toimialariip- käyttöisiä, edullisia ja luotettavia sähköisiä pumattomat tieto- ja viestintätekniset palveluita, joihin tunnistaudutaan luotetta- tehtävät kootaan saman katon alle. Siinä pysäköintitilaa nään, ja sama tieto talletetaan vain yhteen on riittävästi ja ruuhka- paikkaan. Teksti Päivi Männikkö Kuvat Olli Häkämies K uvitellaanpa hetki ihan- valla varmennepohjaisella ratkaisulla. Voimassa olevia tietohallinnon uudis- kustajien vaihdot sujuvat rivakasti. pohjalta ja jo aiemmin käynnistettyjä hank- Siirrytään tosielämään; julkiselle sekto- keita on ainakin puoli tusinaa. Joukkoliiken- Julkisen sektorin tietohallinnon uudis- teen toimijat suunnittelevat reittinsä ja tuksessa ylijohtaja Timo Valli on paljon var- aikataulunsa yhdessä, minkä ansiosta mat- tijana. puratkaisu. tietosuoja 4 • 2013. Tieto- teellista liikennejärjestel- järjestelmät keskustelevat sujuvasti keske- mää. Joka tien- tamiseen tähtääviä strategioita on kolme: pätkälle on nimetty ylläpitäjä, joten jalkakäy- julkisen hallinnon ICT:n hyödyntämisen tävillä voi kävellä kuivin jaloin myös talvisin. ”Meidän pitäisi pystyä pyörittämään kuntien palveluita sähköisinä ilman uhkaa siitä, että tiedot valuvat kyberhuijarille”, sanoo julkisen hallinnon ICT-johtaja Timo Valli. Julkisen sektorin tietohallintoa on viime vuosina alettu uudistaa reippaalla kädellä. Keskitettyyn palvelumalliin Mikäli tavoitteet toteutuvat, tuloksena on Valtion virastoja ja laitoksia juuri nyt puhut- ihanteellinen virtuaalinen liikennejärjes- tava hanke on TORI, jossa valtion ICT-pal- telmä. Bitit uuteen järjestykseen Ylijohtaja Timo Valli luotsaa julkista sektoria yltiöhajautetusta kohti keskitetympää tietohallintoa. kICT-toiminto valtiovarainministeriössä
tietosuoja 4 • 2013 21
tietosuoja 4 • 2013. Jotta niitä voitaisiin välittää ministeriöiden välillä, edellytetään, että kaikilla on luokittelu käytössä ja vieläpä samalla tavalla ymmärrettynä”, Valli huomauttaa. Kyberosaamista tarvitaan lisää Tarjolla tulee olemaan korkean turval- ”Palvelukeskus ei tuota asiakkaalle ali- Virastoja ja laitoksia on viime vuodet pai- lisuuden ja varautumisen palveluja tavan- mittaista palvelua, koska silloin myös kes- mennettu tehostamaan tietoturvaa. Valtionhallinnon tietoturva-asetuksen mukaan kaikkien hallinnonalojen piti saavuttaa tietoturvan perustaso syyskuun loppuun mennessä. Asia- kuksen maine on vaakalaudalla. palveluiden tasoluokkia ja sopimusmalleja. julkisen hallinnon ICT-johtaja 2011–, ylijohtaja 2013 – Pirkanmaan sairaanhoitopiirin tietohallintojohtaja 1999–2011 Valli on toiminut hallituksen jäsenenä sekä tietohallinnon asiantuntija- ja johtotehtävissä useissa yrityksissä. ?. filosofian maisteri, MBA tietoturvallisuuteen, joskin syvempi tietämys kyberuhkista näyttää osoittavan, että uhkia riittää loputtomiin. Tietojen hajasijoitus ei lisää niiden turvaa. ”Ministeriöt käsittelevät paljon esimerkiksi EU:n luottamuksellisia ja salassa pidettäviä tietoja. tehtäviä hoitamaan perustettava palvelu- omaisen turvatason palvelujen ohella. ”Joissakin virastoissa on vielä auditoinneissa huomattu joitakin puutteita, jotka korjataan, mutta pääsääntöisesti perustaso on nyt saavutettu”, Valli kertoo. tammikuuta. Valtiovarainministeriö Uutta menettelyä ja perustettavaa viras- ”Tällä hetkellä valtionhallinnossa noin 80 laatii parhaillaan palvelukeskuksen kanssa toa koskeva laki on eduskunnan käsitte- virastoa tuottaa ja ostaa ICT-palveluita itse. dollinen aloituspäivä on 1. ?. ?. Valli pohtiikin, millä varmuudella sähköinen tieto voidaan salata ja vastaa itse: ”Sähköiset tiedot on kyettävä salaamaan erittäin suurella varmuudella, se on tietoyhteiskunnan tehokkuuden kannalta ihan vält- 22. vastaava tasoluokka. Tietoturva-asetuksessa ei vaadita käsiteltävien tietojen luokittelua julkisesta erittäin salaiseen tai johonkin siltä väliltä. Urkintauutiset maailmalta ja hiljattain Suomestakin ovat herättäneet huomiota valtionhallinnossa ja lisänneet kiinnostusta Timo Valli ?. Jotkin ministeriöt, kuten oikeusministeriö, eivät vielä ole alkaneet luokitella tietojaan edes osittain. Uuden viraston ensimmäinen mah- Nyt tämä toiminta laitetaan yhteen viras- Vallin mukaan vaarana ei ole, että asia- toon sekä luodaan yhtenäiset asiakkaan ja kasvirasto voisi palveluja valitessaan säästää palvelukeskuksen väliset toimintamallit.” tietoturvasta. lyssä. Molemmat keskus tuottaa virastoille niiden tarvitsemia kasviraston tehtävänä on valita sen tarpeita osapuolet toimivat virkavastuulla.” ICT-ratkaisuja pilvipalveluina. Ministeriöitä ja virastoja on kuitenkin patistettu luokittelemaan tietonsa
”Me olemme käyttäneet sitä esimerkiksi JulkICT-strategian laatimisessa.” ”LinkedIniin perustettiin ryhmä, jonka jäsenet keskustelevat strategiasta ja sen toteutuksesta. Siitä on oltu kiinnostuneita myös tutkimusaineistona.” tarjoajien, kuten pankkien ja teleyritysten, käyttöön. satoja rekistereitä, joissa on kansalaisten jokaiselle, mutta kansalaiset voivat valita EU:ssa valmistellaan uutta sähköisen tun- henkilötietoja ja arkaluonteista tietoa. Siinä mielessä kyberstrategian näihin varmenteisiin tunnistusvälineitä ja tavoite, että Suomi olisi johtava kybertur- valitsisivat itse, millaisille välineille varmen- vallisuusmaa vuonna 2017, on todella hyvä.” teet istutettaisiin. ”Virossa jo pitkään käytössä olleiden hyvin yksinkertaisten rakenteiden kautta tieto saadaan liikkumaan turvallisesti perusrekistereistä käyttötilanteeseen”, Valli vakuuttaa. Tätä haluamansa välineen. Ne voisivat tarjota asiakkailleen tietosuoja 4 • 2013 23. Pankit voisivat halutes- Vähemmän rekistereitä tietosuoja-lehti.fi Vähemmän mutta turvallisempia palvelinkeskuksia saan istuttaa varmenteen nykyiseen Tupastunnistusjärjestelmäänsä. tämätöntä. Siellä myös tämmöinen virkahenkilö pystyy käymään keskustelua.” ”Facebookin olen aika usein lopettanut, kun siellä verkosto tuppaa laajenemaan työn puolelle.” Haluat siis pitää työ- ja yksityiselämän erossa toisistaan. Hän uskoo, että tietojen keskittäminen pikemminkin vähentää kuin lisää riskejä. Tällä kertaa tarkoituksena on, että valtio tarjoaa Väestörekisterikeskuksen varmennepalvelun ilmaiseksi tunnistuspalvelujen jo vuosikymmeniä. Esimerkiksi terveyskeskus hakee tule- nata henkseleitä paukutella, mutta olen vaisuudessa henkilön yhteystiedot suoraan toiveikas.” väestötietojärjestelmästä eikä kopioi niitä omaan rekisteriinsä. kautta kaikille sitä tarvitseville järjestel- ”Vielä ei kuitenkaan tässä asiassa kan- mille. Keskitetyssä mallissa tieto voidaan myös hallitusti hajauttaa, mikäli se olisi tarpeen.” Kansallinen tunnistusratkaisu – vielä kerran Palveluväylähankkeessa Virosta otetaan oppia muussakin kuin tiedonsiirtotekniikassa, sillä valtiovetoisen vahvan sähköisen tunnistamisen läpimurtoa yritetään jälleen. Valtionhallinnossa on kymmeniä, ellei Valtio takaa edullisen tunnistusvälineen muun muassa EU-lainsäädännön takia. 2 000 ihmistä, joiden taustayhteisöt ovat näkyvissä, kertovat siellä mielipiteitään, ja kaikki aineisto jää muistiin. meillä hallinnollista taakkaa on kevennetty kanssa. vahvan tunnistamisen kriteerejä uuden keskeisten suomalaisten viranomaisten Vallin mukaan muutaman vuoden ajan direktiivin voimaantulon jälkeen. ”Hallintoa on purettu onneksi jo ennen kuin sitä on lähdetty automatisoimaan ja 3 Kansallisen varmennepohjaisen tunnis- tusratkaisun toteuttamiseen on paineita sähköistämään”, työkseen tietohallintoa remontoiva ICT-johtaja tiivistää. Onko tekniikka niin korkealla tasolla, että tämä onnistuu. O Kolme kysymystä somesta Mitä sosiaalisen median palveluita käytät. Suomessa näin ei juuri ole, koska se on saatavilla avointen rajapintojen aina törmännyt”. Suomalaisten suosimat verk- veluväylä, jonka arkkitehtuuri on suunni- kokonaan omia varmennepalveluitaan kan- kopankkitunnukset eivät välttämättä täytä teltu Viron mallin mukaiseksi yhteistyössä sallisen ratkaisun rinnalla. hierotulla kompromissiratkaisulla ”on hyvät Useissa EU-maissa on tavallista, että säh- Palveluväylän ideana on, että tieto on mahdollisuudet kiertää karikot, joihin tämä köinen asiointi edellyttää sähköistä allekir- tallennettuna yhteen järjestelmään, josta homma on vuosituhannen alusta lähtien joitusta. Yritykset saisivat nistamisen ja allekirjoittamisen direktiiviä, rekisterien vyyhteä halutaan virtaviivaistaa myös tehdä omia, valtion juurivarmentee- joka tiukentanee sähköisen tunnistamisen rakentamalla niin sanottu kansallinen pal- seen perustuvia varmenteitaan tai tarjota vaatimuksia. ”Kun tiedot on keskitetty, niiden suojaamiseen on enemmän voimavaroja kuin jos ne ovat hajallaan jokaisessa virastossa. Kukin järjestelmä hallitsee omia tietojaan vastaten niiden oikeellisuudesta ja reaaliaikaisesta saatavuudesta. ”Pyrin kovasti ja huomaan, että oikeastaan mulle on somessa vain se virkaelämä mahdollinen.” Miten julkisen hallinnon ICT-toiminnossa hyödynnetään somea. ”LinkedInissä olen ollut 6–7 vuotta
Komission ehdotuksessa enimmäismäärät Parlamentin tarkoituksena on ollut saada ehdotus ovat miljoona euroa tai 2 prosenttia. Niin ikään vastaava tulisi nimittää myös esimer- jatkuvat jäsenmaiden kesken Euroopan parlamen- kiksi silloin, kun rekisterinpitäjän tai henkilötietojen tin kansalaisvapauksien sekä oikeus- ja sisäasioiden käsittelijän ydintoimintaan liittyy arkaluonteisten tie- valiokunnan lokakuussa hyväksymän esitysluonnok- tojen käsittelyä. Lait ja säädökset Valiokunta ajaa tiukempaa tietosuojaa Neuvottelut EU:n yleisestä tietosuoja-asetuksesta taava. Komission ehdotuksen mukaan tieto- sen pohjalta. käsitellyksi vielä ennen toukokuussa 2014 pidettäviä Esitysluonnoksen mukaan kaikissa yrityksissä, jotka eurovaaleja. Esitysluonnos eroaa teröity pyytää rekisterinpitäjää useilta osin komission vuonna poistamaan tietonsa, rekisterin- 2012 tekemästä ehdotuksesta. pitäjän tulisi välittää pyyntö myös Valiokunta tiukentaisi tietosuo- muille tahoille, joilla on rekisteröirodeo jarikkomuksen hallinnollisia seuraamuksia. Jos rekis- luonnoksessa. 24. Jäsenmaiden ja komission kantana on käsittelevät 12 kuukauden aikana vähintään 5 000 kuitenkin ollut, että asetus pyritään saamaan valmiiksi henkilön henkilötietoja, on oltava tietosuojavas- vuonna 2015. Ne voisivat olla suuruudeltaan jopa 100 miljoonaa euroa dyn tiedot. kät keskustelut siitä, mitkä euro- Valiokunta korvaisi komission parlamentaarikoiden tekemistä ehdottaman oikeuden tulla unoh- 4 000 muutosehdotuksesta huo- detuksi oikeudella tulla poiste- mioitaisiin varsinaisessa esitys- tuksi (right to erasure). Rikosrekisteriotteen antaisi Oikeusrekisterikeskus. Esityksen mukaan vapaaehtoistyön järjestäjä saisi selvittää lasten parissa vapaaehtoistyötä tekevän taustan rikossenä otteen hakemiselle olisi, että vapaaehtoinen on antanut siihen kirjallisen suostumuksensa. suojavastaava olisi pakollinen kaikissa vähintään 250 Valiokunnan hyväksymää luonnosta edelsivät pit- työntekijän yrityksissä. vaihdosta. Rikostausta syyniin myös vapaaehtoisilta Eduskunta käsittelee lakiesitystä, joka ulottaisi lasten kanssa toimivien rikostaustan selvittämisen myös lasten parissa vapaaehtoistyötä tekeviin. Valiokunta myös kiristäisi ehtoja, joilla yritys saisi luovuttaa EU- tai 5 prosenttia yrityksen maailmanlaajuisesta liike- maissa käsiteltäviä henkilötietoja kolmansiin maihin. antero aaltonen ja sakkorekisteritietojen avulla. Edellytyk- tietosuoja 4 • 2013
kiinnitetty huomiota rikostuomion ja rikoksentekijän nimen julkaisemiseen. Tällaisesta tukimuodosta ei ole nykyisin lain- daan tuomita sakkoa tai enintään säädäntöä. Suomi on saanut outi mustonen useita langettavia päätöksiä ihmisoikeussopimuksen sananvapausartiklan loukkaamisesta. Perustekomuodossa Lakiesitykseen sisältyy ehdotus yksilökohtaisesta opiskeluhuol- rangaistusuhkana on jatkossa sak- losta, jolla koulun eri alojen asiantuntijoista koottu ryhmä tukisi koa. ei olla sananvapauden ydinalueilla. Törkeästä tekomuodosta voi- yksittäistä opiskelijaa. Ryhmällä olisi oikeus konsultoida kulloinkin tarvittavaa asian- Lakivaliokunta on perustellut tuntijaa ja luovuttaa hänelle konsultoinnin kannalta välttämättö- vankeusrangaistuksen säilyttämistä miä tietoja. Ehdotetun lain mukaan turvallisuusverkko olisi valtion omistuksessa ja hallinnassa oleva viranomaisverkko. Sivistysvaliokunnan lausunnon mukaan ryhmän jäsenillä tulisi Esimerkiksi alastonkuvan julkaisu olla hyvin vapaat mahdollisuudet välittää toisilleen sellaisia salassa netissä ilman kyseisen henkilön pidettäviäkin tietoja, joiden katsottaisiin olevan välttämättömiä lupaa loukkaa yksityisyyttä vaka- opiskelijan tukemiseksi. Lait ja säädökset Sananvapauspykäliin muutoksia Rikoslain säännöksiä yksityiselämää loukkaavan tiedon levittämisestä muutetaan sananvapautta korostavaan suuntaan Euroopan ihmisoikeustuomioistuimen ratkaisukäytännön mukaisesti. Uudessa laissa säädettäisiin myös oppilasta tai rikoslaissa tavalliseen ja törkeään opiskelijaa koskevien tietojen luovuttamisesta. opiskelijan suostumuksella ryhmän toimintaan osallistuvalle olisi Lakiesityksen käsittelyssä on perusopetuslaissa säädettyä alempi. Lainmuutokset tulevat voimaan vuoden 2014 alussa. tekomuotoon. Näiltä osin kynnys luovuttaa sosiaali- ja vasti, eikä sitä voi puolustaa sanan- terveydenhuollon tietoja opettajalle tai ryhmänohjaajalle ja muulle vapaudella. tietosuoja 4 • 2013 Turvallisuusverkko tarkastelussa Lakiesitys julkisen hallinnon turvallisuusverkkotoiminnasta on valiokuntakäsittelyssä. 25. kaksi vuotta vankeutta. Lakivaliokunnan mielestä rikollisen toiminnan paljastaminen voi kuitenkin olla rangaistavaa vain hyvin poikkeuksellisesti. Hallituksen esityksen perustelujen mukaan rikostuomio voidaan lukea yksityiselämän piiriin kuuluviin suojattuihin tietoihin, jos rikoksella ei ole yleistä yhteiskunnallista merkitystä. Turvallisuusverkon perustana on puolustusvoimien viestintäverkko, joka luovutettaisiin Suomen Erillisverkko Oy:lle. Yksityiselämää loukkaavassa Oppilashuollosta oma laki tiedon levittämisessä on kyse louk- Eduskunta käsittelee lakiesitystä, jolla oppilashuoltoa koskevat kaavasta mutta totuudenmukaisten säännökset koottaisiin koulutusta koskevista laeista oppilas- ja opis- tietojen levittämisestä. Se jaetaan kelijahuoltolakiin. Yksilökohtainen opiskeluhuolto edellyttäisi opiskelijan törkeimpiä tapauksia varten, joissa suostumusta
Entä jos meille murtaudutaan. tietosuoja 4 • 2013. 26
Sitten hän nappaa pääkäyttäjätunnuksetkin. ”Jos joku väittää, että meidän järjestelmiin ei voi murtautua, hän ei tiedä, mistä puhutaan.” Enää ei voida ajatella niin, että palomuuri erottaa orga- Tällaisiin uhkiin voi varautua ja miettiä jo etu- nisaation kaikesta pahasta, mitä verkossa on. Tämä helpottaa myös ylläpi- vaan yrittää selvittää, mistä hyökkäys tulee. Tauriainen muistuttaa, että ulkopuolinen ei tähän kykene. seja, muistuttaa tietoturvakonsultti Antti Nuopponen Nixu Ihmiset ovat tehneet nekin ohjelmistot, joiden haa- Oy:stä. Tarkastus ja hyväksynnät -ryhmän päällikkö Aki Tauriaisen Kun tällaiselta taholta näyttää tulevan sähköpostiviesti, sen mukaan asiakkaiden kypsyystaso on paranemaan päin, jos- aitoutta ei epäillä samalla tavoin kuin tuntemattomalta kaan hallinnossa ei vielä olla tasalaatuisia. linnaan, jossa vihollisen pääsyä sisimpään vaikeutettiin muurilla ja useilla linnanpihoilla. Kun hyökkääjä on saanut yhden käyttäjän koneen jumiin, hän odottaa, että ylläpidosta joku, jolla on pääkäyttäjätunnukset, tulee korjaamaan konetta. Lisäksi annetaan menet- tautua, jos hyökkääjällä tarpeeksi motivaatiota ja resurs- telytapaohjeita henkilöstölle esimerkiksi sähkökatkon tai tietosuoja 4 • 2013 27. voittuvuuksia tietomurroissa käytetään. Nuop- vaarana, että kun hyökkääjä havaitsee, ponen suosittelee myös tiedon luokit- että hänet on huomattu, hän vetäytyy telua ja luokittelun mukaista käsittelyä. Selvitä, mistä hyökätään Joskus hyökkääjät ovat voineet seurata kohdettaan vuo- Jos organisaatiossa aletaan epäillä tietomurtoa, ei ole vält- sikausiakin. Jonkin verkkopalvelun poisjääminen voi merkitä suuriakin taloudellisia menetyksiä”, Tauriainen sanoo. Asiantuntijatyötä selvitykseen voi tarvittaessa hankkia myös organisaation ulkopuolelta. ja jättää järjestelmään jonkin takaoven, Salainen tieto on luonnollisesti arka- jota kautta voi tulla sisään tilanteen rauhoituttua. Palomuuri ei riitä ”Varautumisen tulee olla sitä suurempaa, mitä kriittisemmästä palvelusta on kyse. tulevan viestin, ja liitetiedosto tulee todennäköisemmin avatuksi. Työasemien ei käteen, mitä tehdä, jos... Lagus kuvat shutterstock hminen on aina tietojärjestelmien heikoin lenkki. hakea internetistä viitteitä siitä, minkä organisaatioiden kanssa kohdehenkilö on tekemisissä. Hyökkääjät kehittävät koko ajan Kaikkia piuhoja ei kannata irrottaa heti. Kaikkien organisaatioiden pitää määritellä omat kriittiset palvelunsa itse. Nuopponen kehottaakin tuhoamaan sellaiset tämättä tarkoituksenmukaista irrottaa heti kaikkia piuhoja, materiaalit, joita ei enää tarvita. luonteisempaa kuin julkinen. I Teksti Antti J. Myös harjoittelu on varautumista Viranomaisten tietojärjestelmien turvallisuutta ja tietoturvakontrollien riittä- uusia menetelmiä. Ihmiset myös usein tahtomattaan auttavat verkkorikollista sisäänpääsyssä. He voivat esimerkiksi vyyttä arvioidaan Viestintävirastossa. Nuopponen vertaa rakennetta keskiaikaiseen taansa. Kun tietomurtoihin on varauduttu pitäisi pystyä suoraan kommunikoimaan toisten työasemien ja tilanteista selviämistä harjoiteltu, organisaatiot pääse- kanssa, eikä palvelimista pitäisi olla mahdollista avata yhteyk- vät huomattavasti nopeammin takaisin tavalliseen toimin- siä vapaasti. Arvioinnissa voidaan kuitenkin ottaa kantaa esimerkiksi siihen, tarvitaanko varmennettua tietoliiken- Niin suojattua järjestelmää ei olekaan, ettei siihen voisi mur- nettä tai kahdennettua konesalia. Muuten voi olla don työtä, kun tallennustilaa ei tarvita niin valtavasti. Perusteellinen varautuminen nopeuttaa tietomurrosta toipumista
ei ole tultu ajatelleeksikaan. kutsutuissa tapauksissa on itse asiassa kyse luvattomasta käytöstä tai vaaran aiheuttamisesta tietojärjestelmälle. Toimin- raa lakia, jossa sanotaan: ”joka oikeudetta tekee...”. mista tai tietojärjestelmiin testimielessä tunkeutumista vas- Viestintäviraston Aki Tauriainen tietää, että harva tieto- taan. kaan samalla menetelmällä tunkeuduta toisten organisaa- Kajantie huomauttaa, että yleiskielessä tietomurroiksi 28. Ylitarkastaja Sari Kajantie Keskusrikospoliisista sitee- murron kohteeksi joutunut haluaa tuoda sitä esiin. Tauriainen kehottaa myös on toteutettu jollakin tavalla järjestäytyneesti tai joilla on harjoittelemaan. Tutultakin lähettäjältä tuleva viesti voi sisältää hyökkäyksen aloittavan liitetiedoston tai houkuttelun sivustolle, joka murtautuu uhrin koneelle www-selaimen tietoturva-aukkojen kautta. palvelunestohyökkäyksen varalta. Tällaista palautekeskustelua ei aina pidetä, minkä vuoksi sen Poliisilla ei ole mitään omien tietojärjestelmien testaa- pitäisi olla kirjattuna prosessiohjeisiin. Näin voitaisiin ehkäistä se, ettei aina- teettää ulkopuolisella palveluntarjoajalla. Tunkeutumisenestojärjestelmien virittämiseen kannattaa panostaa. Kun tatapojen parantamisen kannalta olisi kuitenkin suotavaa, testeihin on lupa omistajalta, niitä voidaan tehdä itse tai että siitä kerrottaisiin. Älä jätä pukkia kaalimaan vartijaksi Mahdollisiin tietomurtoihin kannattaa varautua harjoittelemalla toimintaa tietomurron yhteydessä. Sopimukseen kannattaa kirjata kumppanin vastuu palvelinten päivittämisestä. Hyökkääjä vaanii pääkäyttäjän tunnuksia. Valtaosan tapauksista tutkii paikallispoliisi. Yksi varotoimi on huolehtia siitä, että seurantajärjestelmiä ylläpitävät eri henkilöt kuin palvelimia. Pienemmät organisaatiot ulkoistavat usein tietotekniikkansa. Keskusrikos- Jotta tietomurtoa ei tapahtuisi, organisaatiot ohjeistavat tioiden tietoihin. O tietosuoja 4 • 2013. Testaa tai testauta järjestelmäsi tietomurtojen varalta. poliisin tutkittaviksi tulevat sellaiset tietomurtoepäilyt, jotka ja kouluttavat työntekijöitään. Näin voidaan havaita sellaisia asioita, joita selvästi kansainvälisiä kytkentöjä. Muuten voi käydä kuten vanhassa kansansadussa ”Pekka ja susi”, jossa turhat hälytykset johtivat kehnoon lopputulokseen. Koska samalla luvattoman käytön nimikkeellä rekisteröidään nykyään myös esimerkiksi pyörävarkaudet, ei poliisilla ole järkevää tilastoa tietomurroista. Kertomalla autat muita Omiin järjestelmiin saa ”tunkeutua” Jos kaikesta varautumisesta huolimatta järjestelmät joutu- Tauriainen kehottaa testaamaan tietojärjestelmiä tietomur- vat tietomurron kohteeksi, Nixun Antti Nuopponen kehot- tojen ehkäisemiseksi. Ei laiteta pukkia kaalimaan vartijaksi. Jos testaaminen annetaan ulkopuo- taa organisaatiota käymään läpi, miten murto oli mah- lisen tahon tehtäväksi, sen kanssa on kuitenkin syytä laatia dollinen, ja miten tietoturvakontrolleja voitaisiin kehittää. turvallisuussopimus. Suhtaudu varauksella tuntemattomilta tahoilta tuleviin sähköpostiviesteihin. Tämä on Kajantien mukaan tunnistettu poliisihallinnossa, ja korjaus on tekeillä
Keskusliikkeen tieto- maa, että ruoka on Suomessa muita EU- omat bonuksensa. Ne vähentävät kilpailua neensa, kun tilille tippuu muutama euro os- misesta. Lupaamalla asiakkaalle bonusta ostoksista vat perheen elintavat, harrastukset, tulo- Olipa tietosuojanäkökulmasta mitä hänet saadaan luovuttamaan henkilö- ja tason ja liikkumisen. Oleellista on, että hän niin teh- mediahuomio kiinnittyy NSA:han, paljon tietoihin. Asiakas saa vain hyvän mielen. vaan myös tietojärjestelmän ja markkinoinnin kustannukset. asiakas ei ole kenenkään kanta-asiakas. Bonuskortit voisivat toimia, jos ne johtaisivat kanta-asiakkuuteen. hautauspalveluun asti. Tai keskusliikkeet vakuuttivat, ettei yksittäisen Monen mielestä lähikaupan bonusrekis- ainakin sen pitäisi muistuttaa tuotteen ostajia pystytä jäljittämään, koska teri on suorastaan hyvä asia. Näkökulma Isoveljen bonus Petteri Järvinen ”J Bonustietoja kehdosta hautaan tai Facebook mutta ei tunnu lainkaan yhtä pelottavalta. tietosuoja 4 • 2013 29. Elintapoja kuvaavat ostokset varjoissa haluten tietojamme. Todellinen hyötyjä on kauppias, joka saa asiakkaan tiedot. Vuosia Kauppias tuntee elintapasi tuttaa meitä valvonnasta. Kun sitten myyntiin pääsi saamme turhaa mainontaa. Bonuskortti pelasti ehkä henkiä dessään ymmärtää tietojen luovutuksen läheisempi isoveli myhäilee K- ja S-kaupan mutta osoitti, miten helppoa tietosuojala- merkityksen. Bonus on asiakkaalta kerättyä ylihintaa, josta kauppias maksaa osan takaisin. Samalla kun yhdistämällä bonustiedot kassakoneiden jan oikeus. vastaan terveydenhuollossa tai vakuutus- Asiakas maksaa Ruokaostoksista kerätyt tiedot profiloi- yhtiössä. Bonuskortti on puhdasta psykologiaa, ja juuri siksi se toimii paremmin kuin mikään urkintatekniikka. Mitä parem- – olemmehan kuulleet uutisista, kuinka bonusrekisterin tiedot kerätään vain tuo- min kauppa tuntee meidät, sitä vähemmän USA:n tiedustelu vakoilee meitä kaikkia. Henkilökohtais- Ihmiselle on luontaista pelätä tunte- myrkyllisiä oliiveja, ostajat saatiin selville ten kulutustietojen myyminen on kulutta- mattomia ja kaukaisia asioita. a oliko plussakorttia?” Viaton Henkilötietolaki velvoittaa bonuskaup- kysymys kaupan kassalla muis- piasta laatimaan rekisteriselosteen. teryhmätasolla. Petteri Järvinen on IT-alaan erikoistunut tietokirjailija ja kouluttaja. kia on venyttää, ja miten valheellinen kuva voivat jonain päivänä vuotaa nettiin ja tulla asioista voidaan antaa. Ruuan lisäksi bonusta mieltä tahansa, bonuskorteilla on toinenkin kulutustietonsa. Niin ei kuitenkaan käy, sillä tyypillisellä kuluttajalla on monien kauppojen bonuskortteja. Asiakas luulee voitta- saa melkein kaikesta elämisestä ja kulutta- kielteinen seuraus. Kaikkien kanta- Keskusliikkeen tietokone tuntee meidät yhtä hyvin kuin Google tai Facebook. Korttien ainoaksi hyödyksi jääkin tietojen kerääminen. S-ryhmän bonusohjelma ulottuu ja lujittavan kahden keskusliikkeen asemaa, tohyvitystä. Bonustiedot läpiva- joka on EU-alueen vahvin. Onko vain sattu- Todellisuudessa asiakas maksaa itse laisevat koko ihmisen. Eikä pelkästään niitä, kone tuntee meidät yhtä hyvin kuin Google maita kalliimpaa – bonuksista huolimatta
hankaloittajan maine. Tietoturvan opastaja Tavoitteiden ja vastuunjaon pitää olla mahdollisimman selkeitä ja perusteltuja, sanoo Samlinkin turvallisuusjohtaja Jari Pirhonen. Selvästi tietoturva- Kuulostaako tutulta. Hyvän asenteen pohjalta on periaatteessa helppoa toteuttaa näkemystä, jonka mukaan tietoturva on kaikkien työntekijöiden ”Heti kun tulin taloon, totesin, että turvallisuus ei ole vahti- vaan opaskoira. Jokaisen vastuulla Jari Pirhonen on toiminut pankkien maksujärjestelmäpalveluja ja sähköisiä asiointipalveluja tuottavan Samlinkin turvallisuusjohtajana yhdeksän vuotta. Hän on yhdessä johtamansa turvallisuusosaston kanssa pyrkinyt muovaamaan tietoturvan roolia rajoittajasta mahdollistajaksi. Käytännössä Pirhonen on kuitenkin huomannut, haemme ratkaisuvaihtoehtoja.” että turvallisuusjohtaja joutuu usein määrittämään niin Pirhonen on luvannut olla tyrmäämättä työyhteisön ehdotuksia sanomalla ’ei’. Etätöissä työsähköpostin käyttö nuksia.” on mahdotonta tai takkuilevaa – tietoturvan takia. Me autamme ja vastuulla. Tietoturvan johtaminen alkaa lähestyä ideoiden myyntiä. ”On. Eikö se ole paljon luvattu. Samlink edustaa tietoturvan kan- yksittäisen työntekijän vastuuta kuin organisaation sisäistä vastuunjakoa. nalta kriittistä infrastruktuuria, ja sen henkilöstön suhtautuminen tietoturvaan on selvitysten perusteella erittäin myönteinen. Teksti Päivi Männikkö kuvat samlink F acebookia ei saa käyttää tietoturvasyistä, ei myös- sen muuttaa, mutta siitä saattaa sitten tulla työtä ja kustan- kään muistitikkuja. Kiellot eivät silti ole täysin pannassa. Tietoturvayksiköillä ja niiden ohjeiden vastainen toiminta on kiellettyä, vaikka sitä ei olisi päälliköillä on usein työpaikoilla epäkiitollinen kieltäjän ja teknisesti estettykään. 30. Minun pitäisi muistaa aina sanoa, että nykyisillä väli- Kun organisaatiossa on turvallisuusyksikkö, on erityisesti neillä tai toimintamalleilla ei voida tehdä toisin: Me voimme esimiehillä suuri kiusaus mieltää kaikki vähänkään turvallitietosuoja 4 • 2013
Hallituksen hyväksymä tietoturvapolitiikka Samlinkillä kyllä on. Samlinkissä ei ole erillistä tietoturvastrategiadokumenttia, koska Pirhosen mukaan ”yrityksessä on vain yksi strategia”, josta tietoturvatavoitteet johdetaan. ”Tietohallintojohtaja puhuu jostain ihan muusta kuin tietoturvasta, mutta yhtäkkiä huomaan, että tuohan soveltuu minunkin työhöni.” katsauksissa. 31. Esimiehet vastaavat alaistensa toi- Turvallisuusjohtaja osastoineen vastaa siitä, että tietotur- minnasta ja heidän riittävästä ohjeistamisestaan. Jokaisen vaprosessit, ja -ohjeet ovat riittävät ja vastaavat tavoitteita. Asenne näkyi selvityksessäkin. työntekijän vastuulla on noudattaa tietoturvallisia menet- ”Meidän tehtävänämme on katsoa kokonaisuutta ja neutietosuoja 4 • 2013 telytapoja päivittäisessä työssään. suuteen liittyvät asiat kuuluviksi sen rooteliin. voa päätöksissä, jotka vaikuttavat koko organisaatioon.” Palveluiden ja prosessien omistajat vastaavat omien prosessiensa tietoturvasta. Suhtautumista alettiin muuttaa esimerkiksi sillä, että koko henkilöstö kuulee tietoturva-asioista myös suoraan toimitusjohtajalta hänen pitämissään säännöllisissä Turvallisuusjohtaja Jari Pirhonen ammentaa kehitysideoita muiden alojen tilaisuuksista
”Kyllä meillekin on tärkeää tietää, mitä tietoa meillä on, ja missä se Olen luvannut olla sanomatta ’ei’. Tietoturvajohtajan tehtävänä Hän kannustaa myös ”pikavoittojen” eli helppojen ja nopeasti tulosta tuottavien keinojen käyttöön. tietosuoja-lehti.fi Kuinka viesti saadaan perille. Työkalu laskee oman organisaation toimintaan sopiviksi. ”Silloin on helpompi lähteä myymään sitä seuraavaa ”Usein ne asiat, jotka ovat pinnalla lehdissä, eivät ole ratkaisua, jonka tarve ei ehkä olekaan organisaatiolle yhtä niitä kaikkein tärkeimpiä tietoturvavastaavalle tai organi- itsestään selvä.” saatiolle.” O tietosuoja 4 • 2013. Sam- taan, mikä on yhtiön tietoturvan taso muihin finanssialan linkissä tietoturva on kuitenkin organisoitu palveluiden ja yrityksiin verrattuna. Hänen mukaansa takaisinmaksun todennäköisyyden ja siihen kuluvan ajan. mutta jotain kättä pidempääkin pitää saada”, Pirhonen sanoo. Uusia investointeja harkittaessa vertailu muihin toimi- Pirhonen selittää poikkeavaa mallia yrityksen syntyhis- joihin kiinnostaa aina yritysjohtoa, kuten toki myös arviot torialla, josta johtuen toimintaa on rakennettu palvelui- torjuttavasta riskistä ja kustannuksista. Kaikkia tietoturvaa den omistajuuden pohjalta. Vertailuanalyyseilla (benchmark) seura- taavat niiden turvallisuudesta jokaisessa vaiheessa. Pankkitiedon omistavat luonnollisesti pankit itse. Monipankkijärjestelmässä eri parantavia toimia ei mitenkään voida toteuttaa, vaan on pankkien tietojen pitäminen erillään valittava ja perusteltava tärkeimmät on joka tapauksessa toiminnan perus- toimet. 32. Ensin Pirhonen korostaakin, ettei tietoturvaoppaiden neuvoja määritellään poikkeama, sen esiintymistiheys ja siitä aiheu- voi ottaa käyttöön sellaisenaan, vaan niitä pitää soveltaa tuvat kustannukset sekä investoinnin hinta. liikkuu, mutta meidän oli organisaa- Yhtiössä on hiljattain otettu käyt- tion toimintaa mullistamatta vaikea töön työkalu sen arvioimiseksi, missä nimetä tiedolle yhtä vastuullista omistajaa.” ajassa tietoturvainvestointi maksaa itsensä takaisin. ole koskaan toteutunut alalla. ”On helppo maalailla jokin uhkakuva ja kertoa sen torjumisen hinta, on arvioida, kuinka realistista uhan toteutuminen on hänen organisaatiossaan. ”Pikavoitot” kannustavat jatkamaan Investointeihin tarvitaan kättä pidempää Standardeissa ja oppaissa neuvotaan organisoimaan tieto- Samlinkissä tietoturvan toteutumista seurataan mittareilla turva siten, että tiedoille määritellään omistajat, jotka vas- ja auditoinneilla. edellytys. prosessien omistajuuden kautta. organisaation toimintaa seuraamalla huomaa nopeasti Pirhosen mukaan ongelmallisinta on keskustelu sellai- kipupisteet, menettelyjen hyödyt ja haasteet sekä sen, mitkä sesta uhasta, joka on näkyvästi esillä mediassa, mutta joka ei keinot on helppo ottaa käyttöön
Seura- Toinen keskeinen kysymys koski rinpitäjien määritelmiä. Tällaista tieto- Ratkaisussa keskeiseksi nousi vissä. Näin ollen lomake 33. edesauttaa henkilöä koskevien ratkaisussa Jehovan Niitä ei tehdä standardisoidulle tietojen etsimistä ja siirtämistä. Lisäksi ovelta ovelle -työtä jen keruuta ei voi pitää yksityi- kysymys siitä, muodostavatko tehdään alueittain, joten muis- seen tarkoitukseen tehtävänä ovelta ovelle -työssä tehtävät tiinpanot on järjestetty alueit- henkilötietojen käsittelynä, joka ei muistiinpanot henkilörekisterin. Henkilötietojen käsittely -rekistereitä. Tietojen täyttyvät. antamaan suostumukseen. Jeho- henkilötietolain mukaista perus- -työssä syntyy henkilörekisteri tai van todistajat olivat vedonneet tetta. Tiettyä henkilöä dyskunnan antamien suuntavii- koskevat tiedot ovat siis löydettä- vojen mukaisesti. Päätöksessään tietosuojalau- tekemään muistiinpanoja eikä Lautakunta katsoi, että Jeho- takunta kielsi Jehovan todistajien sillä ole niihin pääsyä tai mää- van todistajien uskonnollinen uskonnollista yhdyskuntaa käsit- räysvaltaa. Lau- löä koskevat tiedot on järjestetty takunta myös velvoitti Jehovan siten, että ne löytyvät helposti. Jehovan muistiinpanoja ja antanut ohjeita tietojen käsittelyn edellytykset todistajien muistiinpanot toimi- kerättävistä tiedoista. yhdyskunta ja tietoa keräävät yhdyskunnan jäsenet ovat telemästä henkilötietoja ovelle Lautakunnan mukaan on kui- ovelle -saarnaamistyössä ilman tenkin ilmeistä, että ovelta ovelle yhdessä rekisterinpitäjiä. kunta tai yhdyskunta ei velvoita rekisterinpitäjän määritelmää. Lautakunnan mää- siihen, ettei yhdyskunta säilytä voi perustua esimerkiksi kyseis- rittelemänä henkilörekisteri muo- yksittäisten saarnaajien keräämiä ten henkilöiden yksiselitteisesti dostuu silloin, kun tiettyä henki- tietoja. vat muistin apuna vierailtaessa kerääminen tapahtui siis yhdys- uudelleen kiinnostusta osoitta- kunnan toimintaa varten ja yh- neiden luona. tain. Vierasta kieltä tai viittoma- kuuluisi henkilötietolain sovelta- kieltä puhuvista kerätään tietoja misalaan. T ietosuojalautakunnan saarnaajien yksityistä aineistoa. Lautakunnasta kuuluu Organisoitu tiedonkeruu vaatii rekisteröidyn luvan Henkilörekisteri syntyy, kun tiettyä henkilöä koskevat tiedot on järjestetty siten, että ne löytyvät helposti. todistajat huolehtimaan siitä, että Merkityksellistä on pikemmin- Lautakunnan mukaan rekisterinpitäjän määritelmän kannalta ei kuitenkaan ole keskeistä, kuka yhdyskunnan tarkoituksia varten kin muistiinpanojen käsittely- tietoja säilyttää. O Rekisteröidyn tiedot helposti saatavilla Jehovan todistajat vetosivat siihen, että muistiinpanot ovat tietosuoja 4 • 2013 lomakkeella. Yhdyskunta oli ei kerätä henkilötietoja ilman, mahdollisuus kuin se, millaiselle kehottanut saarnaajia tekemään että henkilötietolaissa tarkoitetut alustalle ne on koottu. todistajien saarnaamis- lomakkeelle tai muutoinkaan niin työssään käsittelemistä järjestelmällisesti, että nimen- henkilötiedoista luonnehditaan omaisen henkilön tietoja voitai- Rekisterinpitäjä antoi ohjeita myös henkilörekisterin ja rekiste- siin hakea tai ylläpitää
Teleyritysten vaan saattaa tulla rajoituksia paikallisesta arvioiden mukaan urkinta ei ole vaikutta- sääntelystä. Teleyritykset ilmoittivat toteuttavansa palvelujen käyttäjien valinnanvapaus edel- palveluitaan niihin sovellettavan sääntelyn lyttää käyttäjien tietoisuuden lisäämistä pal- mukaisesti ja luovuttavansa tietoja viran- velujen turvallisuusominaisuuksista. ”Tulemme keskustelemaan muun muastietosuoja 4 • 2013. Teksti Kirsi Castrén kuva shutterstock C IA:n alihankkijan entisen työn- suojalakiin perustuva ilmoitusvelvollisuus tekijän Edward Snowdenin pal- Viestintävirastolle. Loput teleyrityk- yrityksille suunnatulla kyselyllä kansain- set toteuttavat palvelujaan kokonaan tai välisen tiedustelutoiminnan vaikutuksia osittain ulkomailla, jolloin niiden tietotur- suomalaisten tietoturvaan. nut viestintäpalvelujen luottamuksellisuu- Viestintävirasto katsookin, että viestintä- teen. aloittaa lähiaikoina teleyritysten kanssa Tietomurtoja ja niiden yrityksiä ei selvityksessä suoranaisesti kartoitettu, sillä niistä teleyrityksillä on sähköisen viestinnän tieto34. Virasto omaisille ainoastaan lain puitteissa. Tuorein skandaali on kotimaasta: sistä toteuttaa viestintäpalvelunsa koko- ulkoministeriön tietoverkkoa vakoiltiin vuo- naan Suomessa ja suomalaisten yritysten sien ajan haittaohjelman avulla. toimesta, jolloin palveluihin sovelletaan vakoiluohjelmista osoittivat, Viestintävirasto selvitti vastikään tele- kotimaista lainsäädäntöä. Internetissä näppäimilläkin on korvat Mitkä ovat verkonkäyttäjän mahdollisuudet parantaa viestintänsä turvaa. Käyttäjille tiedottamisen pelisääntöjä tarkistetaan. yhteistyön, jonka yhtenä tavoitteena on tarkentaa tiedottamisen pelisääntöjä. jastukset Yhdysvaltain laajoista etteivät sen enempää tavallinen netinkäyt- Käyttäjille tiedotettava turvallisuudesta täjä kuin valtionpäämiehetkään ole turvassa Reilu kolmasosa suomalaisista teleyrityk- urkinnalta
sa siitä, pitäisikö teleyritysten ilmoittaa tojensa suojaamisen tarvetta. Jarkko Saarimäki Viestintävirastosta. luissa”, Saarimäki opastaa. veluihin voidaan soveltaa jopa täysimääräi- käyttäjilleen ulkomaisten alihankkijoiden ”Olisi hyvä pohtia, voisiko joku ulkopuo- sesti palveluntarjoamismaan sääntelyä, joka käytöstä palvelujen toteuttamisessa”, ker- linen olla kiinnostunut tiedoistasi, ja miten voi poiketa merkittävästikin suomalaisesta too turvallisuussääntelyryhmän päällikkö tietojasi käsitellään käyttämissäsi palve- sääntelystä”, Saarimäki huomauttaa. suus valita tarpeisiinsa soveltuvat palvelut.” Lait ja tekniikat tarkistuslistalle Viestintävirastossa toivotaan, että käyttäjät alkaisivat aktiivisemmin miettiä omien tietietosuoja 4 • 2013 Palvelun turvallisuutta kannattaa miettiä vaohjelmiston valinnan, kannalta, myös pal- Kieli ei tee palvelusta suomalaista veluun sovellettavan lainsäädännön näkö- Käyttäjä ei aina tule ajatelleeksi, että vaikka kulmasta. Arvioinnin merkitys korostuu erityisesti ”Tarkoituksena ei ole ohjata verkon käyt- Lisäksi kannattaa arvioida, onko jollain valittaessa palvelua, johon tallennetaan täjiä suosimaan vain kotimaisia palveluntar- ulkopuolisella mahdollisuus käsitellä tietoja erittäin arkaluontoisia tietoja, kuten yritys- joajia, vaan turvata käyttäjille aito mahdolli- siten, että tiedot on tarpeen salata. verkkopalvelu olisikin tarjolla suomenkie- paitsi teknisten näkökohtien, kuten tietotur- ”Suomen ulkopuolelta tarjottaviin pal- lisenä, se ei välttämättä ole Suomen tie35. salaisuuksia
tosuojalainsäädännön piirissä. Silti harva vaivautuu suojaamaan viestejään. Suomen kuluttaja-asiamiehen tulkin- säädettiin laki, joka sallii armeijan radio- ”Me Viestintävirastossa toivoisimme ylei- takäytännön mukaan Suomessa tarjottaviin tiedustelulaitokselle (FRA) maan kautta sen tietoisuuden tietoturvauhista kasvavan ulkomaisiin palveluihin voidaan kuitenkin kulkevan ulkomaisen viestiliikenteen niin edelleen.” O EU:ssa on käytössä niin sanottu alkupe- ”Nyt nähdään, että vastaavaa tiedustelutoimintaa tekevät muutkin tahot.” ”Ulkoministeriöön kohdistunut tieto- Lue ainakin ohjekirja Tietoturva-asiantuntija neuvoo kiinnittämään erityishuomiota matkapuhelimen ja tietokoneen käyttöön ulkomailla. töä. tekee sopimuksen ulkomaalaisen yrityksen kanssa. Vuonna 2009 Ruotsissa yleisölle”, Saarimäki pohtii. Viestintävirasto selvittää, voitaisiinko myös Suomen tietoturvasääntelyä ulottaa ”Viimeaikaiset vakoiluskandaalit toivottavasti viimeistään hälventävät ne keskustelut, joiden mukaan Ruotsin kiertäminen jotenkin auttaisi meitä”, Saarimäki heittää. Vaikka palvelu on suomeksi, se ei välttämättä ole Suomen lain piirissä. Vaikkapa joissakin tilanteissa soveltaa suomalaisen Facebook-tilin perustaessaan käyttäjä kuluttajansuojan säännöksiä. Tarjolla on helppokäyttöisiä salausohjelmia, joiden avulla voi yhdellä napin painalluksella tehdä viestinsä ulkopuoliselle lukukelvottomaksi. Tiedotusvelvoite perustuu sähköisen viestinnän tietosuojalakiin. Viestintäviraston ohjeita viestinnän suojaamisesta: www.viestintavirasto.fi > Ohjaus ja valvonta > Ohjeet, tulkinnat, suositukset ja selvitykset > asiakirjat tietosuoja 4 • 2013. ”Suomalaisten viranomaisten on vaikea joiltain osin koskemaan kokonaan ulko- tulla väliin, kun käyttäjä on käyttöehdot mailta tarjottavia viestintäpalveluja. ”Viestitettäessä ulkomailta Suomeen on syytä muistaa, että toisen maan verkossa puhelin on lain silmissä ulkomailla, vaikka liittymä on hankittu suomalaiselta teleyritykseltä. ten kanssa. ”Viestin salaaminen riittävän vahvalla salakirjoitusmenetelmällä on peruskäyttäjälle ainoa suhteellisen varma tapa pitää verkkoviestintänsä yksityisenä”, Hänninen toteaa. Kun hankkii uuden mobiililaitteen, kannattaa käyttää hetki siihen tutustumiseen. Virasto hyväksyessään hyväksynyt sen, että sopi- tekee asiassa kansainvälistä yhteistyötä eri- Eri tahojen harjoittamasta valtiollisesta mukseen sovelletaan ulkomaista lainsää- tyisesti muiden EU-maiden televiranomais- tiedustelutoiminnasta on Suomessakin däntöä”, Saarimäki muistuttaa. Viestintävirasto antoi 2010 Ruotsin lakimuutoksen johdosta määräyksen, jossa korostetaan teleyritysten velvollisuutta tiedottaa asiakkailleen ulkomailla toteutettaviin, suomalaisille tarjottaviin palveluihin kohdistuvista tietoturvauhkista. ”Ohjekirja on hyvä lukea tarkkaan läpi.” Tavallisen, salaamattoman sähköpostin tietoturva on samaa luokkaa kuin postikortin. ”Ihmiset eivät aina huomaa, että uuden puhelimen käyttöönottokin saattaa edellyttää jonkinlaisen käyttäjätilin luomista, ja käyttäjätiedot saattavat tallentua pilvipalveluihin, joiden sijaintipaikka vaihtelee”, Hänninen huomauttaa. Esimerkiksi PGP on ohjelma, jota Viestintävirasto suosittelee yhtenä hyvistä ilmaisista salausvaihtoehdoista. rämaaperiaate, jonka mukaan maasta toi- Vakoilu on totta murto ja kansainväliset vakoiluskandaalit seen tarjottavissa palveluissa sovelletaan Suomen verkkoviestintä ulkomaille kul- ehkä vain konkretisoivat ilmiötä suurelle lähtökohtaisesti tarjontamaan lainsäädän- kee Ruotsin kautta. 36. huhuttu jo vuosia. Tällöin tietosuojaan pätevät kyseisen maan lait”, toteaa Tilannekuvapalvelut-ryhmän päällikkö Pasi Hänninen Viestintävirastossa toimivasta kansallisesta tietoturvaviranomaisesta CERT-FI:stä. kutsutun signaalitiedustelun
vuosia ja keräämään paljon tietoa 2. heikoiksi. lisuutta pitää hoitaa operatiivi- teys tai liitetiedosto tulee luote- silla tietoturvatoimenpiteillä eikä tulta taholta, sen sisältöön ei pidä pelkällä hallinnollisten tietoturva- luottaa sinisilmäisesti. Ammattimaisessa tiedustelussa kyse on siitä, pystytäänkö se havaitsemaan ajoissa ja reagoi- Tietohallintojohtaja maan. Tiedot tulee saattaa Itä-Suomen yliopisto vain niiden ulottuville, joilla on 1. Todellista turvallisuuden tasoa voidaan nostaa merkittävästi esimerkiksi koulutuksilla ja harjoituksilla. periaatteiden kehittämisellä. Johtava tietoturva-asiantuntija Johtava tietoturva-asiantuntija CGI Mika Laaksonen 1. On kohteista ja osa organisaatioiden myös luokiteltava turvattavan tie- toimintakulttuuria. Kyse on osin tekniikasta perusteella toimenpiteisiin. tietosuoja 4 • 2013 Valtiollisen tahon kiinnostuksen konsa siten, että kriittiseen tietoon Jan Mickos KPMG mistoja, joita torjuntaohjelmat 37. Oleellista on tun- organisaatioista tämä havaitsemis- nistaa keskeisimmät suojattavat kyky ja siten reagointikyky puuttuu kokonaisuudet ja panostaa niiden lähes kokonaan tai on heikko. Suu- mutta myös henkilöresursseista ja 1. Tietoturvan pitäisi olla yksi kes- keskustella, koskeeko korotettu tie- asioista, kuten jokaisen työtekijän keisistä strategisista kehittämis- toturva kaikkia. minnan kohde. Kysy itseltäsi, onko organisaa- huomaamattomasti. Kyberturvallisuusjohtaja Jarno Limnéll Stonesoft don tasot ja luotava suojausmenetelmät sen mukaisesti. vaikeaa torjua. vastuusta omissa toimissaan. Myös Suomi on tiedustelutoi- kohteiden kannattaa eriyttää verkei pääse koneilta, joilla käytetään www:tä ja ulkopuolista sähköpostia. Verkkovakoilua on valitettavan rimmalta osalta yrityksistä ja valtion osaamisesta. Kun vastapuolen resurssit ovat hyvät, pitää suojautumisen olla vastaavalla tasolla. 2. Mitä organisaatioiden tulisi tehdä välttyäkseen urkinnalta. On eriytettävä tiedot, jotka on ehdottomasti turvattava, ja rajattava niihin pääsy. Ari Uusikartano ulkoministeriö turvaamiseen. Tämä edellyttää jatkuvaa ja tiollanne hyvät mahdollisuudet tarkkaa verkon sekä palveluiden havaita tunkeilija ja ryhtyä sen seurantaa. Koko henkilökunnan pitää sitou- säädännön kehittämisen tarve on tua tietoturvakäytäntöihin, vaikka tunnistettu jo 1990-luvulla, mutta ne usein häiritsevät sujuvaa työn- 1. Tiedusteluorganisaatioilla on kyky tuottaa ja hankkia uusia ohjel- turvallisuutta. Suomi on yhtä lailla verkkovakoi- toimenpiteet ovat jääneet kovin tekoa. pitää olla kunnossa. 2. Julkisen hallinnon tietoturval- eivät tunne. Hajautus luo Professori Jukka Manner Aalto-yliopisto Professori Tomi Voutilainen 1. Järjestelmiä ei pystytä rakenta- pysymään kohteensa verkossa maan aukottoman turvallisiksi. Toisaalta käytettävyydenkin lun kohteena kuin muutkin valtiot. Vaikka tietoliikenneyh- oikeus ja tarve niihin. Tärkeintä on huolehtia perus- 2. Gallup Havaitse ja reagoi ajoissa Näitä kysyimme: 1. Mitä voimme oppia ulkoministeriön verkkovakoilutapauksesta. Samoin pitää 2. Lain- 2. Tiedustelija pyrkii 1. 2
Tietopääoma Mitä tehdä, kun käy ilmi, että työnantajaa vaihtava työntekijä on vienyt tietoja mukanaan. Vuotojen havaitsemiseksi Andritz on vuodesta 2008 alkaen käyttänyt DLP-jär- tietosuoja 4 • 2013. Lagus kuvat itella, shutterstock ja Andritz E jestelmää (DLP eli data loss prevention, tiedon häviämisen estäminen), joka on kaikissa yrityksen tietokoneissa. Teksti Antti J. giayrityksellä Andritzilla on ”Järjestelmä seuraa sitä, kopioidaanko kokemuksia tietovuodoista tiedostoja ulkoisille muistivälineille. Tie- voidaan tarvittaessa myös estää.” tovuodot ovat mahdollisia myös yrityskauppuuttua helpommin kuin esimerkiksi tar- Sähköpostia ei seurata Suomessa jousasiakirjojen vuotamiseen kolmannelta Ylhäisi kertoo, että koska Euroopassa lain- osapuolelta kilpailijoille. Näihin asioihin yritys voi 38. Ko- esimerkiksi Ruotsissa, Nor- pioinnista tulee lokimerkintä, ja kopiointi jassa ja Yhdysvalloissa. Vaikkei järjestelmä aivan aukoton olekaan, sen avulla on tietoturvajohtaja Teemu Ylhäisin mukaan onnistuttu estämään tiedon kopiointia ja ri puolilla maailmaa toimi- myös saamaan arvokasta tietoa mahdolli- valla itävaltalaisella teknolo- seen oikeuskäsittelyyn. säädännöt vaihtelevat maittain, järjestelmä pojen yhteydessä
vastuu luokittelusta siirtyy liiketoiminnalle. 39. tai muuksi tiedoksi. Val- ”Kun tiedon luokittelu otetaan käyt- vontatoimet on Ylhäisin mukaan kuitenkin töön, liiketoimintayksiköt koulutetaan, ja viritetty niin, etteivät ne haittaa työntekoa. yksikössä arvioidaan luottamukselliseksi tai Luokittelu on Lex Nokiaa tehokkaampaa Parhaillaan Andritz on ottamassa käyttöön tiedonluokittelujärjestelmää, jossa tieto tietosuoja 4 • 2013 salaiseksi”, Ylhäisi sanoo. kannattaa suojata on toteutettu kunkin toimintamaan lainsää- luokitellaan salaiseksi, luottamukselliseksi däntöä noudattaen. Kaiken toiminnan valvominen ei olisi talou- IT-yksikkö ei voi tietää, mikä tieto missäkin dellisesti eikä toiminnallisesti järkevää. Salaista tietoa, esimer- ”Esimerkiksi Suomessa sähköpostiliiken- kiksi strategioita tai yritysostosuunnitelmia, teen valvominen pitäisi tehdä niin sanotun ei saa lähettää sähköpostilla yrityksen ulko- Lex Nokia -menettelyn kautta, joka sisältää puolelle lainkaan. Olemme kuitenkin päättäneet kopioinnista tulee lokimerkintä, ja tiedostot tehdä Suomessa suppeampaa valvontaa.” salataan. maissa, joissa se on yleisesti sallittua. Kolmas taso sisältää kaiken muun Sähköpostivalvontaa Andritz tekee tiedon, esimerkiksi intranetin sisällön. Luottamuksellisen tie- muun muassa ilmoituksen tietosuojaval- don, esimerkiksi tuotetiedon tai 3D-mallien, tuutetulle. ”Suomessa valvontamme on suppeampaa”, tietoturvajohtaja Teemu Ylhäisi sanoo
Useimmat taas haluavat sen pysyvän salassa mahdollisimman kauan. Sillä ei nimittäin enää ole uutuusarvoa. tietosuoja 4 • 2013. ”Patentoinnissa syntyvät tietokannat ovat arvokas tietolähde muille kehittäjille, jotka haluavat selvittää hankkeidensa patentoitavuutta”, Patentti- ja rekisterihallituksen viestintäasiantuntija Olli Ilmarinen sanoo. telee. Viestin- Lisää rikosilmoituksia ”Tietopääoman suojaaminen ei ole projekti vaan laatutyöhön verrattavaa jatkuvaa toimintaa”, muistuttaa Itellan turvallisuus- ja riskienhallintajohtaja Markku Rajamäki. 40. ”Mielestäni Lex Nokian vähäinen käyttöönotto kertoo jo paljon. Tiedon luokittelu vaikuttaa tiedon käsittelyyn koko sen elinkaaren ajan ja kaikissa muodoissa. Neliportainen asteikko voisi olla esimerkiksi julkinen, sisäinen, luottamuksellinen ja salainen. Yritykset voivat myös kokea tapah- tietoturvaan kannattaa Rajamäen mielestä tuneen yksinkertaisesti nolona, eivätkä kiinnittää huomiota siksi, että yritykset läh- halua kertoa siitä. Kaikki nämä patentit eivät välttämättä ole tuotteen valmistajan omia, vaan valmistaja on lisensoinut oikeudet niiden käyttöön. Patentit liittyvät nykyään usein aiempiin keksintöihin. Ilmoitusten määrää pitää tevät kansainvälistymään nykyään varsin kuitenkin saada nostetuksi, sillä muuten pian. tietoturva- ja yritysvakoilu-uhista. Strategiatyössä ryhmiteltiin toimenpiteitä ja suo- kyse yrityssalaisuuden urkinnasta. Esimerkiksi autossa on noin 10 000 – 20 000 patenttia, ja älypuhelimessa saattaa olla tuhansia patentteja. kaikilta osin ole sellainen, että niiden tut- Strategiatyöryhmän tietojen mukaan teol- Myös Itellan riskienhallinta- ja turvallisuusjohtaja Markku Rajamäki pitää tiedon luokittelua hyvänä keinona tietoturvan parantamiseen. O lisuuden rikosuhkista 40 prosenttia kohdis- Patentointi välittää tietoa Tietopääomaa suojataan myös patentoinnilla eli yksinoikeuden antamisella patentoitavan asian kaupalliseen hyödyntämiseen. situksia kuuteen eri riskikategoriaan, joista yksi on tietopääomaan kohdistuvat riskit. Tietopääomariskien toimenpiteiksi työryhmä suositti säännöllistä raportointia ”Kuitenkin vain kaksi prosenttia tapauk- tävirastossa toimiva kansallinen tietoturva- sista ilmoitetaan poliisille”, Rajamäki ihmet- viranomainen CERT-FI tekee jo tätä. Ilmarisen mukaan jotkut hakijat haluavat hakemuksensa tulevan julkiseksi heti. Patentilla osoitetaan ainutlaatuista uutuusarvoa. Rajamäen mukaan luokittelu ja on tehokkaampaa kuin Lex Nokian mukainen viestiliikenteen seuranta. tuu tietojärjestelmään ja 12 prosentissa on kinnassa saisi käyttää tarpeellisia telepakkokeinoja. Useinkaan ei tulla ajatelleeksi, että suojan lisäksi patentointi tarjoaa myös tiedonvälitysjärjestelmän. Patenteilla voi siis käydä kauppaa. Kansainvälisyys lisää tietoriskejä. Useimmiten hän on nähnyt käytettävän kolmi- tai neliportaista asteikkoa. Tähän on tulossa muutoksia ensi vuonna”, Rajamäki sanoo. Tie- rikolliset saavat toimia rauhassa. Ryhmä ehdottaa myös tietoturvatasoon Hän kyllä ymmärtää, että yritykset saat- sidottua kannustinta startup-yritysten jul- tavat punnita ilmoittamiseen liittyvää mai- kiseen rahoitukseen. Patenttihakemus tulee julkiseksi viimeistään 18 kuukauden kuluttua hakemuksen jättämisestä. Tosin kerran patentoitua tai edes sellaista asiaa, josta on jonnekin jätetty patenttihakemus, eivät toiset voi muualla patentoida. toturvan rakentaminen alusta lähtien on ”Lainsäädäntö on myös ollut puutteel- myös helpompaa kuin olemassa olevien linen, sillä tietomurtojen rangaistavuus ei käytäntöjen muuttaminen. Aloittavien yritysten neriskiä. Ilmarisen mukaan patentti kannattaa Suomen lisäksi hakea päämarkkina-alueille, sillä Suomessa myönnetty patentti antaa suojan vain Suomessa. Sen mukainen toiminta ei pelasta mitään, jos asiat eivät ole muuten kunnossa.” Kansainvälisyys lisää riskejä Rajamäki johti kansallista elinkeinoelämän ja viranomaisten yhteisen yritysturvallisuusstrategian kirjoitustyöryhmää, joka sai työnsä päätökseen viime vuonna
Ilmiö numeroina on niiden haittaohjelmien määrä, jotka tietoturvayhtiö F-Secure oli marraskuuhun mennessä havainnut tänä vuonna Blackberryn, Applen (iOS) ja Windows Phonen käyttöjärjestelmissä. SIM-korttia työryhmänsä kanssa tutkinut saksalainen tietoturvatutkija Karsten Nohl paljasti loppukesällä löytäneensä haavoittuvuuden, joka liittyy tietyissä SIM-korteissa käytettävään salausalgoritmiin sekä tekstiviestitse lähetettäviin SIM-kortin päivityksiin. Androidin markkinaosuus kaikista mobiililaitteista on miltei 80 prosenttia. 1 000 000 tietosuoja 4 • 2013 wikimedia commons 1 000 shutterstock 0 prosenttia mobiililaitteiden haittaohjelmista on tehty Android-käyttöjärjestelmälle, todetaan USA:n turvallisuusministeriön raportissa. Väärennetyn SIM-kortin päivityksen turvin puhelimeen voidaan esimerkiksi asentaa maksullisia tekstiviestejä lähettävä haittaohjelma. 41. shutterstock 79 riskialttiin tai haittaohjelman sisältävän mobiilisovelluksen haamuraja ylitettiin tietoturvayhtiö Trend Micron mukaan tämän vuoden kolmannella neljänneksellä
42. tietosuoja 4 • 2013
edunvalvojan nimet ja valvonnan alkamis- rän odotetaan kasvavan 40–50 prosenttia ”Valtaosassa valtuutettu on oma lapsi. tille. Valtuutetulle on laissa kertoo, ettei tällaiseen pyyntöön ole tois- tiin monin tavoin oivallisena suurten ikäluokkien ikääntyessä. syystä syntyy epäily, ettei taloudenpito ole kunnossa”. Jo ajankohta. Teksti Marianne Saine Kuva Maija Nyman M ahdollisuus valtuutuksen Helsingin maistraatin holhoustoimen perustuva tilinantovelvollisuus maistraa- tekemiseen on vielä vähän yksikön päällikkö Kari Pöntinen sanoo. Maistraatit vahvistavat valtuutukset hakemuksesta silloin, kun laatija on tiliotteet. ohjaus- ja kehittämisyksikkö MOK. Julkinen Laadittujen edunvalvontavaltuutusten määrää ei tiedä kukaan, koska ne lepäävät ensi vaiheessa asianomaisten piironginlaatikoissa. tuutetun on kuitenkin aina pidettävä raha- säädetty salassapitovelvollisuus. Rekiste- viime vuonna yhteensä 572. Tieto rekisteriin Kaikki edunvalvonnat ja valtuutusten vahvistamiset merkitään holhousasioiden rekisteriin, jota ylläpitävät maistraatit ja niiden tullut sairauden vuoksi kyvyttömäksi hoitamaan asioitaan. edunvalvonta ei pysty kantamaan nopeasti kasvavaa asiakasmäärää. ”Rekisterin tietomäärä on varsin suppea”, Pöntinen sanoo. ”Pyyntö voidaan tehdä, jos jostakin Useimmiten valtuutettu on oma lapsi. Val- uudistuksena vuonna 2007, kun valtuutusta Valtuutetulla salassapitovelvollisuus koskeva uusi laki tuli voimaan. Valtuutus- Valtaosa valtuutuksista koskee taloudellis- mahdollisuus lisää kansalaisen itsemää- ten asioiden lisäksi myös henkilöä koskevia Maistraatti voi oma-aloitteisesti pyytää räämisoikeutta. Rekisterin sisältämät tiedot on tänä vuonna. Valtakirjoja vahvistettiin liikenteestä kirjaa sekä säilytettävä kuitit ja taiseksi ollut aihetta edes pistokokeena. Kari Pöntinen siin sairastuneiden määrä kasvaa nopeasti liittyviä kysymyksiä. 43. Helsingissä ”Maistraattiin ei ole tullut tietoa, että riin merkitään muun muassa valtuuttajan ja niitä vahvistettiin viime vuonna 50, ja mää- salassapitoa olisi rikottu”, Pöntinen kertoo. Edunvalvontavaltuutus lisää itsemääräämisoikeutta Edunvalvontavaltuutuksella kansalainen voi valtuuttaa valitsemansa henkilön huolehtimaan asioistaan sitten, kun oma toimintakyky ei enää riitä. Valtuutuksesta ei vielä tiedetä riittävästi”, tietosuoja 4 • 2013 tämä ehkäisee sitä, että hän alkaisi huudella vanhempansa asioista turuilla ja toreilla.” Julkiseen edunvalvontaan liittyy lakiin määritelty laissa. Edunvalvontavaltuutuksessa sitä ei ole tunnettu, vaikka sitä pidet- ilman erillistä määräystä valtakirjassa. Esimerkiksi muistisairauk- asioita, esimerkiksi hoitoon ja asumiseen kirjanpitoa nähtäväkseen. ”Vahvistusten määrä saisi olla isompikin
Edunvalvontavaltuutuksella voi valtuuttaa valitsemansa henkilön huolehtimaan asioistaan siltä varalta, että myöhemmin tulee kykenemättömäksi hoitamaan asioitaan itse. Näin ehkäis- aiemmin syntyneet tekisivät valtuutuksen. Helsingin maistraatin Kari Pöntinen suosit- lakin oikeus saada esimerkiksi hoitopaikasta telee vahvasti, että kaikki 1940-luvulla ja sitä samat tiedot kuin valtuutetulla. Lääkärintodistuksella näytetään, ettei valtuuttaja enää voi hoitaa asioitaan. Erilaisia toimintaohjeita voi antaa valtuutuksen liitteenä. masti eri tahoja,” lakimies Vesa Anttila ker- Tiedonsaantioikeudet selviksi on valtuutettu, on syytä kirjata, onko muil- too. Valtakirja allekirjoitetaan kahden esteettömän todistajan ollessa yhtä aikaa läsnä. ”Jos valtuuttajalla on kolme lasta ja yksi tietosuoja 4 • 2013. lökortilla.” valtuuttajan tietoja annetaan. ettei ole edunvalvonnan alaisena.” Osuuskunta ei tallenna henkilötunnusta Osuuskunnankaan eteen ei ole vielä tullut tilannetta, jossa valtuutettu olisi rikkonut salassapitovelvoitettaan. ”Pääsy rekisteriin on vain työntekijöillä, aiheesta enemmän jotka tarvitsevat tietoja työtehtäviensä hoi- www.maistraatti.fi/Palvelut/holhoustoimi/Edunvalvontavaltuutus/ http://edunvalvontavaltuutus.com/ tamiseen.” Holhousasioiden rekisteri on julkinen, ja kuka tahansa voi kysyä siitä tietoja. tään epäselvyyksiä ja perheriitoja.” O ”Kierrämme kouluttamassa maksutto- ”Jos luennolla on 30 kuulijaa esimerkiksi sosiaali- ja terveysaloilta, voi kysyttäessä 44. Maistraatti valvoo valtuutetun toimintaa. ”Jos suunnittelee oikeustointa toisen kanssa, vaikkapa kiinteistökauppaa, voi pyytää rekisteriotteen. Usein kysyjä pyytää yksi käsi nousta kertomaan, että on kuullut Se on hyvä olla olemassa muistisairautta tietoja itsestään, vaikkapa taksilupaa hank- valtuutuksesta aiemminkin”, Anttila kuvaa äkillisempienkin tilanteiden, kuten sairaus- kiessaan. kohtauksen tai onnettomuuden, varalta. Mikä edunvalvontavaltuutus. Edunvalvontavaltuutus tulee voimaan maistraatin vahvistamisella. hoitajan tai pankkineuvojan nimi”, Pöntinen räämisoikeuden edistäjänä. Muun muassa silloin pitää näyttää, tiedon puutetta. Valtakirjassa valtuuttaja määrittelee ne asiat, jotka valtuutus kattaa. sanoo. Perusteilla on ”Osuuskuntamme ei esimerkiksi tallenna Edunvalvontavaltuutus ry, ja valtuutusten henkilötunnuksia tai kirjaa niitä valtuutuk- Lakimies Vesa Anttila muistuttaa, että tekemisessä avustava osuuskunta Edun on seen, koska henkilöys todennetaan henki- valtuutuksessa voi myös määrätä, kenelle toiminut tämän vuoden. ”Hyvä tapa on laittaa toimintaohjeisiin ”Tietosuoja-asioihin liittyy myös se, että tiedot siitä, missä pankissa valtuuttajalla on Turussa on tiedostettu edunvalvontaval- valtuutuksen laatijayhteisö noudattaa tieto- tilejä ja tallelokeroita sekä mainita salkun- tuutuksen tärkeys kansalaisen itsemää- suojan säännöksiä”, Anttila muistuttaa. Valtuutus tehdään kirjallisesti testamentin tapaan
45. Saksalainen sanomalehti Die Zeit viittaa olympialaisten mot- Mistä tietoturvalle oma Airbus. satallentamisen. Reitittimien avulla voidaan kuunnella jopa Kauppatieteilijöillä heppoisimmat salasanat Tietojenkäsittelyopin opiskelijat ja opettajat keksivät vahvempia salasanoja kuin humanistit. vama muistio on peräisin vuodelta 2011. tietosuoja 4 • 2013 GCHQ:n tavoitteita salakuuntelussa. Sisäisen muistion mukaan GCHQ:n tavoitteena on salakuunnella kaikkia maailman mobiililaitteita reaaliajassa. Tähän päätelmään tultiin Ars technican uutisoimassa tutkimuksessa, jossa tarkasteltiin yhdysvaltalaisen Carnegie Mellonin yliopiston kaikkien opiskelijoiden ja henkilökunnan edustajien käyttämiä salasanoja. Esitys ”Jos kongressi olisi tiennyt 9/11:n jälkeen, lopettaisi esimerkiksi teletunnistetietojen mas- mitä NSA aikoo, Patriot Actia ei olisi hyväksytty. toja USA:n kansalaisten viestiliikenteestä. toon kuvatessaan Ison-Britannian tiedusteluorganisaatio Eurooppa voi suojautua verkkovakoilulta vain yhteisillä toimilla ja palveluilla. Sitä ei selvitetty, mistä ne johtuvat. Salasanojen monimutkaisuudessa havaittiin suuria eroja. Nopeammin, korkeammalle, voimakkaammin. Selailtua Patriot Actin isä urkintaa rajoittamassa Republikaanien kongressiedustaja Jim Sensenbrenner esitteli edustajainhuoneelle loka- sille laajat toimivaltuudet antaneen Patriot Actin isänä. Kaikkein helpoimpia salasanoja käyttävät kuitenkin kauppatieteilijät. Tutkimushenkilöitä oli yhteensä 25 000. NSA on unohtanut täysin kansalaisoikeudet Sensenbrenner tunnetaan USA:ssa WTCiskujen jälkeen säädetyn, tiedusteluviranomai- Bushin ja Obaman hallintojen myötävaikutuksella.” Republikaanien kongressiedustaja Jim Sensenbrenner moittii NSA:ta kansalaisoikeuksien laiminlyönnistä. Washington Postin haastattelussa kuussa lakiesityksen (USA Freedom Act), jonka hän sanoo, että kongressin valvonta on pettä- tarkoitus on rajoittaa NSA:n oikeutta kerätä tie- nyt, ja siksi NSA:n toiminta on karannut käsistä. shutterstock Tutkijat testasivat, kuinka helposti salasana saatiin paljastettua algoritmilla ja laskivat sen perusteella todennäköisyyden salasanan murtumiseen. Näin sanoo Euroopan verkko- ja tietoturvavirasto Enisan pääjohtaja Udo Helmbrecht. Saksalaisen sanomalehti Der Tagesspiegelin haastattelema Helmbrecht toivoo eurooppalaiselle tietotekniikka-alalle samanlaista läpimurtokeksintöä kuin aikoinaan Airbus lentokoneteollisuudessa. Alun perin aikakauslehti Der Spiegelin esiin kaiVoidakseen kuunnella mobiililaitteita tiedustelupalvelu tarvitsee pääsyn 26 reitittimelle, jotka yhdistävät eri maiden mobiiliverkot toiyksittäistä puhelinta, mahdollisesti myös lähiympäristössä käytäviä keskusteluja. shuttersatock siinsa. IT-markkinoilla ei pärjätä kansallisilla ratkaisuilla, vaan nyt pitäisi luoda turvallisia eurooppalaisia palveluita
Keskittäminen lisää turvaa Valtion IT-palveluiden keskittäminen näkyy myös palvelinkeskuksissa, joiden määrää aiotaan vähentää 150:stä noin 15:een. Verkkolehdessä kerrotaan, miten viesti menee perille. shutterstock Verkossa on myös koko painetun lehden sisältö. Tietosuoja 1 • 2014 ilmestyy 11.3.2014 shutterstock Turvallinen tietojärjestelmä – utopiaa vai arkea. Koko lehteä pääsee lukemaan netissä rekisteröitymällä verkkolehden käyttäjäksi lehden takakannen osoitekentässä olevan tilausnumeron avulla. www.tietosuoja-lehti.fi Ensi numerossa Lue näistä seuraavassa Tietosuojassa: Näin paransimme tietoturvaamme Työntekijän taustat syynissä – säilyykö yksityisyys. tietosuoja 4 • 2013. Lue verkkolehdestä, miksi se parantaa tietoturvaa. Risuja, ruusuja, kysymyksiä sekä juttuvinkkejä voit antaa toimitukselle sähköpostitse: info@tietosuoja-lehti.fi puhelimitse: 044 310 0093 verkkolehden lomakkeella: www.tietosuoja-lehti.fi -> Palaute 46. tietosuoja-lehti.fi Lue lisää netistä Näin viestit tietoturvasta oikein Tietoturvaohjeita ei välttämättä aina osata tai muisteta noudattaa. Risuja ja ruusuja Kerro mielipiteesi uudistetusta Tietosuoja-lehdestä, jotta voimme kehittää lehteä lukijoiden toivomaan suuntaan
Tilaajan tietoja käytetään asiakassuhteen ylläpitoon ja hoitoon. Tilaukset ja osoitteenmuutokset Osoitteenmuutosta tehdessäsi muista ilmoittaa lehden nimi. Yhteydenotot tulee tehdä kirjallisina ja allekirjoitettuina em. Tilauksen hinta on tilausjakson alussa voimassa oleva hinta, joka on painettu lehteen. Jos tilaaja irtisanoo kestotilauksensa tilausjakson alkamisen jälkeen, hän on velvollinen maksamaan irtisanomisen voimaantuloon saakka lähetetyt lehdet. Jos laskutusjakso tai mak-sueriä on maksettu ennen irtisanomisen voimaantuloa, tilaus päätetään maksetun jakson loppuun. Kestotilauksen voi irtisanoa ennen uuden tilausjakson alkua. Tilaajapalvelu/Tietosuoja PL 115 30101 Forssa puhelin 03 4246 5301 faksi 03 4246 5341 tilaajapalvelu@stellatum.fi www.stellatum.fi Tilaushinnat Suomessa 2013 Hinnat sisältävät arvonlisäveroa 10 % Kestotilaus (laskutusväli 12 kuukautta) 55 euroa Määräaikainen (kesto 12 kuukautta) 58,30 euroa Irtonumero 15 euroa Tietosuoja ilmestyy neljä kertaa vuodessa Tilausehdot Hinnat ovat voimassa vuonna 2013 Suomeen tehtyihin tilauksiin. Kestotilauksena tilattu lehti toimitetaan tilaajalle tilausjakso kerrallaan ilman eri uudistusta, kunnes tilaaja joko muuttaa sen määräaikaiseksi tai irtisanoo tilauksen. Tilaushinnat ulkomailla 2013 Laskutusväli 12 kuukautta Skandinavian ja Baltian maat 61,10 euroa, sisältää arvonlisäveroa 10 % Muu Eurooppa 63,80 euroa, sisältää arvonlisäveroa 10 % Muut maanosat 62 euroa, arvonlisävero 0 % Asiakasrekisteri Rekisterikuvaus ja -seloste ovat nähtävissä kustantajan Stellatum Oy:n tiloissa Purotie 1 B, 00380 Helsinki. osoitteeseen tai henkilökohtaisesti rekisterinpitäjän luona. Tilaaja voi kieltää tietojensa käytön markkinointitarkoituksiin ja markkinatutkimuksiin ilmoittamalla asiasta tilaajapalveluun. Osoitetietoja käytetään ainoastaan kustantajan Stellatum Oy:n omassa toiminnassa. tietosuoja 41 •• 2013 47