- oikeudellisesta näkökulmasta Kevät 2018

- oikeudellisesta näkökulmasta Kevät 2018
Hallinto-oikeuden ja oikeusinformatiikan pooli ONPOOL Pooliluentosarja Tietosuoja ja tietoturvallisuus (10 h); – TIETOTURVALLISUUS - oikeudellisesta näkökulmasta Kevät 2018 OTT, VT Rauno Korhonen oikeusinformatiikan professori Lapin yliopiston oikeustieteiden tiedekunta , klo 12.00

Luentosarjan tämän osion sisällöstä:
1) Tietoturvan peruskäsitteistä ja tietoturvallisuus oikeudellisena käsitteenä 2) Tietoturvallisuudesta Suomen oikeudessa: -- Valtiosääntöinen perusta -- Henkilötietojen käsittely ja yksityisyyden suoja -- Muuttuva sähköisen viestinnän tietoturvallisuuden sääntely; SähVTsl > tietoyhteiskuntakaari; ePrivacyDir. > ePrivacyReg. -- Tietoturvallisuus ja julkisen sektorin tietojärjestelmät -- Tietoturvallisuus rikosoikeudessa -- Tietoturvallisuus yksityisoikeudellisena vastuuperusteena -- Turvallisuusselvitysmenettely ja uusi sitä koskeva laki. 3) Tietoturvallisuuden teknisiä uhkia ja tietoturvallisuutta lisääviä teknisiä keinoja

Tietoturvallisuus – tasapainoilua mahdollisuuksien ja uhkien välillä?

Tietoturvallisuus – riskien ottoa!

JOHDANTOA - Huhtikuussa 2007 uutisoitiin, että Nordea-pankki joutui vaihtamaan verkkopankkinsa turvajärjestelmän Ruotsissa rikollisten onnistuttua huijaamaan rahaa noin 400 asiakkaan tililtä yli miljoona euroa. - Muutos ei koskenut tuolloin Suomea, koska meillä on erilainen turvajärjestelmä. - Nordea, kuten muutkin pankit, on joutunut toistuvasti rikollisten hyökkäyksien kohteeksi kaikkialla Pohjoismaissa viimeisen kymmenen vuoden aikana. verkkotunnusten kalastelu (fishing) - Muotona on usein asiakkailta väärennettyjen sähköpostiviestien avulla. - Suomea on suojellut osin pienen kielialueen ns. kielimuuri.

- Toukokuussa 2007 uutisoitiin tiedotusvälineissä, että eräät ruotsalaispankit joutuivat vaihtamaan tuhansien asiakkaidensa pankkikortit turvallisuusriskien takia. - Korttitunnuksia oli joutunut vääriin käsiin, kun vähittäiskauppojen ja pankkien välillä oli ollut tietovuoto. - Korttien väärinkäytöksiä epäiltiin tapahtuneen reilun vuoden ajan vuoden 2006 tammikuusta alkaen. - Turvallisuusriski kohdistui vain Ruotsissa käytettyihin pankki- ja luottokortteihin. - Väärinkäytöksestä epäiltiin yritystä, joka toimitti palvelinohjelman kauppojen ja pankkien väliseen tiedonsiirtoon. Yrityksen johto, joka pakeni ulkomaille, onnistui ilmeisesti kopioimaan kaupoissa käytettyjen korttien tietoja.

- Kaikkiaan ruotsalaispankit Nordea, Handelsbanken ja SEB vaihtoivat väärinkäytösuhan vuoksi asiakkaan pankkikortit. Luottokunnan mukaan vaihtoon meni myös noin sata suomalaisten VISA ja VISAElectron –korttia, joita oli käytetty Ruotsissa. Vaikka pankit vastaavatkin järjestelmistään, aiheuttavat tämmöiset tapaukset vaivaa myös asiakkaille sekä turvallisuusbyrokratian lisääntymistä (esim. moninkertaiset salasanat kirjautuessa). - Oletettavaa on myös, että tietoturvallisuustoimien lisäämisen lopullisena maksajina ovat kuitenkin aina asiakkaat --- Kasvavat kulut lisätään asiakkaiden käyttäjämaksuihin!!!!???

- Toukokuussa 2007 kohdistui Viestintäviraston mukaan Yleisradion verkkosivustoja vastaan palvelunestohyökkäys, joka oli laajin siihen mennessä Suomessa. - Hyökkäys tuli tietoturvayhtiö F-Securen mukaan luultavasti Itä-Euroopasta ja suomalaisia koneita käytettiin siinä hyväksi. - Ylen sivuja pommitettiin voimakkaalla verkkoliikenteellä, jolloin sivut toimivat hitaasti tai eivät avautuneet lainkaan. - Yle epäili hyökkäyksen taustalla olleen Ylen näkyvyys Euroviisujen yhteydessä. - Myös Suomen suosituimpiin kuuluva nettiportaali Suomi24.fi joutui hyökkäyksen kohteeksi samoihin aikoihin. Hyökkäys oli saman tyyppinen kuin Ylen sivuille tehty. - Suomen poliisin ja sisäasiainministeriön verkkosivuilla ilmeni myös häiriöitä

Edellä mainitut, hieman jo vanhat tapaukset, ovat vain joitain esimerkkejä viime vuosina yleistyneistä tietoturva- ja palvelunestohyökkäyksistä, joissa yleensä on tavoitteena taloudellisen hyödyn rikollinen tavoittelu tai erilainen haitanteko. - Vastaavista tapauksista voimme lukea ja kuulla median kautta nykyään vähintäänkin viikoittain! -- Ja oletettavasti vain murto-osasta tapauksista informoidaan suurta yleisöä!

- Identiteettivarkaudet ovat maailmalla ja erityisesti Yhdysvalloissa nopeimmin kasvava rikollisuuden ala. - Verkkorikolliset tarvitsevat vain muutaman todennetun tiedon oikeasta henkilöllisyydestä ja sitä kautta pystytään rakentamaan väärä henkilöllisyys, jonka avulla puolestaan voidaan hakea esimerkiksi luottokortteja. - Perinteisiä tapoja meilläkin on hankkia luottokorttitietoja ja petoksia varten hyödyllistä informaatiota esimerkiksi käymällä läpi roskasäiliöihin heitettyjä laskuja ja opintotuki-, eläke- tai muita Kela-papereita.

- Hakemalla esim. rikollisen omalla kuvalla henkilöllisyystodistus toisen ihmisen henkilötietoihin perustuen voidaan suhteellisen helposti saada väärennetty identiteetti käyttöön. - Väärän identiteetin avulla puolestaan voidaan tehdä sopimuksia, tilauksia ja kauppoja, joiden maksumieheksi joutuu henkilö, jonka henkilötiedot on otettu käyttöön. Myös internetistä voi kerätä nykyään helposti monenlaisia henkilötietoja. - TULISIKIN OLLA AINA HUOLELLINEN SEN SUHTEEN, MIHIN TIETOJAAN KUTEN HENKILÖTUNNUKSEN LUOVUTTAA JA MITEN LASKUT JA MUUT TOSITTEET HÄVITTÄÄ……!!!! Ei roskalaatikkoon, vaan silppuriin tai polttamalla!

HUOM! UUTTA, johon palataan jäljempänä!!
Henkilöllisyyden luomista koskeva hanke (identiteettiohjelma). Työryhmän loppuraportti. Sisäasiainministeriön julkaisuja 32/2010. -- > Identiteettivarkaus; henkilöllisyyden luomista koskevan hankkeen (identiteettiohjelma) työryhmän loppuraportin arviointia ja ehdotuksia jatkotoimiksi. Arviomuistio. Oikeusministeriö Euroopan Parlamentin ja Neuvoston direktiivi tietojärjestelmiin kohdistuvista hyökkäyksistä ja neuvoston puitepäätöksen 2005/222/YOS kumoamisesta.  ns. Tietoverkkorikosdirektiivi -- Identiteettivarkaudesta selkeä nimetty rikos meilläkin! Ehdotus Euroopan Parlamentin ja Neuvoston direktiiviksi verkkoja tietoturvallisuuden korkean tason varmistamiseksi Euroopan unionin alueella. KOM (2013) 48 lopullinen. …> HE 192/2017 vp käsittelyssä nyt! European Cybercrime Center aloitti toimintansa vuoden 2013 alussa. Suomessakin toimii nyt oma kyberturvallisuuskeskus!

Tietoturvallisuudesta käsitteenä
- Tietoyhteiskunnan mahdollisuuksien tehokas hyödyntäminen edellyttää kaikkien osapuolien luottamusta tietoyhteiskunnan perusrakenteisiin. - Luottamuksen lisäämisessä on olennaista erityisesti viestintäverkkojen ja –palvelujen tietoturvallisuuden ja yksityisyyden suojan parantaminen. - Tämän tavoitteen saavuttamiseksi vaaditaan viranomaisten ja alan toimijoiden aktiivista yhteistyötä sekä kansallisella että kansainvälisellä tasolla. - Tietoturvallisuudella voidaan tarkoittaa mm. tietojen, järjestelmien ja palvelujen suojaamista sekä normaali- että poikkeusoloissa hallinnollisten, oikeudellisten ja teknisten toimenpiteiden avulla.

- Tietoturvallisuutta voidaan reaalimaailman ilmiönä kuvata asiantilana, joka saavutetaan estämällä informaatioon ja sen käsittelyyn sekä tietoliikenteen luottamuksellisuuteen, eheyteen ja käytettävyyteen kohdistuvien uhkien toteutumista sekä rajoittamalla uhkista aiheutuvia vahinkoja. Tietoliikenteessä eheyteen kuuluvat: viestinnän osapuolten luotettava tunnistaminen, viestin aitous ja kiistämättömyys.

- Tietoturvallisuus on riskienhallintatoimintona läheisessä yhteydessä informaatio- ja tietotekniikkariskeihin. - Kyse on näiden riskien hallinnasta eli on estettävä niistä aiheutuvat uhat ja riskit sekä toisaalta korjattava toteutuneista riskeistä aiheutuneet vahingot mahdollisimman tehokkaalla tavalla. - Tietotekniikkariskit voidaan yleisemmin määritellä tietotekniikan ja sille rakentuvien järjestelmien toiminnassa ilmeneviksi häiriöiksi ja virheiksi. - Nykypäivän merkittävimpiä ongelmia on informaatio-yhteiskuntamme riippuvuus tietojenkäsittelystä ja tietotekniikasta sekä tästä johtuva erilaisten yhteiskuntatoimintojen haavoittuvuus. - - Tietoturvallisuus on yhä enemmän edellytys koko yhteiskunnan perustoimintojen jatkuvuudelle!!!!

- Informaatioriskit määrittyvät viime kädessä tietoturvallisuuden määritelmässä olevien informaation kolmen laatuominaisuuden kautta – Informaation luottamuksellisuuden, eheyden ja käytettävyyden loukkaukset ja puutteet. - Tietoturvallisuuden loukkauksissa on aina kysymys myös informaatio-oikeus -riskeistä eli yksilön oikeuksien ja etujen loukkauksista ja vaarantumisesta. - Tietoturvallisuus on osa jonkin toiminnan kokonaisturvallisuutta ja sitä tulisi arvioida osana hyvän informaatiologistiikan kokonaisuutta. - - Siksi tietoturvallisuusriskejä ei voida eristää yleisistä informaatioyhteiskunnan riskeistä.

Informaatiosodankäynti - Verkkosodankäynti

INFORMAATIOSODANKÄYNTI (verkkosodankäynti)
Tietoturvallisuudesta käsitteenä Informaatiosota INFORMAATIOSODANKÄYNTI (verkkosodankäynti) - Valtion ja yhteiskunnan turvallisuuden kannalta vakavimpana tietoturvallisuusuhkana voidaan pitää informaatiosodan vaaraa. - - Yhteiskunnan toiminnot ovat yhä riippuvaisempia tietotekniikasta ja samalla haavoittuvia (maksuliikenne, energianjakelu, viestintä jne….) - Käsitteenä informaatiosota on vielä vakiintumaton. - Informaatiosodalla voidaan tarkoittaa toimenpiteitä, joiden tarkoituksena on päästä käsiksi konfliktin osapuolen hallussa olevaan informaatioon ja tämän käyttämiin tietojärjestelmiin, vaikuttaa niihin tai hyödyntää niitä sekä suojella omia tietojärjestelmiä ja informaatiota tällaisilta toimenpiteiltä. -

Tietoturvallisuudesta käsitteenä Informaatiosota
- Informaatiosodankäynnin osapuolet eivät ole välttämättä valtioita ja niiden muodostamia liittoutumia. - Ne voivat olla myös erilaisia järjestöjä, painostusryhmiä, sissiliikkeitä, terroristijärjestöjä, järjestäytynyttä rikollisuutta ja yrityksiä tai jopa yksittäisiä henkilöitä. - Informaatiosota ei ole ainoastaan perinteiseen sotatilaan liittyvä ilmiö. Sitä voidaan käydä myös lievemmissä konflikteissa sekä rauhankin aikana hyödyntää informaatiosotaa painostus- ja voimakeinona.

- Länsimaisissa yhteiskunnissa informaatiosodan kohteena voivat olla myös yksityiset yritykset ja yhteisöt, koska nämä saattavat ylläpitää yhteiskunnan perustoimintojen kannalta keskeisiä palveluja eli ns kriittistä infrastruktuuria. - Tämän vuoksi tarvitaan informaatiosodan torjumiseksi yksityisen ja julkisen sektorin turvallisuusviranomaisten yhteistyötä ja oikeudellistakin organisointia. -- Poikkeusoloissa ja niihin varautumisessa tarvitaan selkeästi informaatiosodan uhkat ja keinot huomioivaa normistoa. Poikkeusolojen ja normaaliolojen välinen rajanveto voi käydä vaikeaksi, mikä asettaa lisähaasteita.

Tietoturvallisuudesta käsitteenä Informaatiosota
* Yhtenä esimerkkinä voidaan mainita se, että Yhdysvalloissa on vuosia kehitetty uutta laajempaa sotaoppia, joka pyrkii ottamaan huomioon internetin ja muiden kommunikaatiokanavien uhat ja mahdollisuudet. * USA:n puolustusministeri allekirjoitti jo 2003 hankkeen, joka kulkee nimellä Informaatio-operaatioiden tiekartta. * Suunnitelma pitää sisällään laajan kirjon toimia hienovaraisesta propagandasta aina vihollisen kommunikaatioinfrastruktuurin täydelliseen tuhoamiseen. (vrt. hyökkäykset Viron viranomaisten sivustoille toukokuussa 2007 ns. Patsas-kiistan aikoihin, samanlaisia toimia Georgian kriisissä 2008) – Samoin Itä-Ukrainan konfliktissa nyt!!

Suunnitelmassa todetaan mm
* Suunnitelmassa todetaan mm., että ”USA:n on kehitettävä kyky hallita koko maapallon elektromagneettista kenttää”. * Käytännössä tämä tarkoittaa, että sotilaat voisivat muutaman napin painalluksella katkaista minkä tahansa maan elektronisen viestijärjestelmän tarvittaessa. * USA:n riippuvuuden internetistä ja muista verkoista katsotaan kasvavan nopeammin kuin maan kyky puolustaa näitä viestintäjärjestelmiä. * USA:ssa lukuisia tiedusteluelimiä: puolustusvoimien eri aselajeilla (5) sekä NSA, CIA, FBI jne…

NSA, Headquarters. Symbol of CIA The Headquarters of CIA, Langley, USA

Yhdysvaltojen ja sen liittolaisten erilaisista tiedustelukeinoista on huhuttu jo vuosikymmeniä.
Edward Snowdenin paljastukset osoittivat, että todellisuus on paljon pahempi. Suuret ICT-yhtiöt kuten Microsoft, Google jne. ovat olleet ja ovat edelleen tiiviissä yhteistyössä tiedusteluelimien kanssa. Huom! Apple –yhtiön kiista FBI:n kanssa vuonna 2016!!

Informaatiosota mediassa
- Informaatiosodalla voidaan toki tarkoittaa myös ns. media- tai propagandasotaa, jota erilaisiin konflikteihin ja tapahtumiin osallistuvat tahot harjoittavat mm. median välityksellä. - USA:lla oli huonoja kokemuksia median hallinnasta Vietnamin sodassa, jota pidetään ensimmäisenä televisioituna sodankäyntinä. - Nykyään USA:n puolustusvoimien tiedotusosastot pyrkivät hallitsemaan tiedottamista. Esim. ensimmäisessä Persianlahden sodassa 1990 mediaa kontrolloitiin jo tarkasti. -- päästettiin vain tietyille alueille, tiedotusvastaavien valvonnassa -- vrt. CNN:n jatkuvat uutiskatsaukset mm. Bagdadista - Propagandasotaa on käyty sotien yhteydessä kautta aikojen -- esim. venäläisten propaganda Suomen sodassa Viaporia piiritettäessä (lehtisiä, vääriä huhuja ja juoruja, sanansaattajia jne.) – Napoleon, Julius Caesar jne. - Talvi- ja jatkosota Suomessa: Valtion Tiedoituslaitos (Jutikkala, Waltari ym.)

Mediasodankäynnistä - Somalian humanitaarinen operaatio 1992, Mohammad Aideedin joukot, USA:n vastoinkäymiset ja vetäytyminen operaatiosta. - Syyskuu 2001 – terrorisminvastainen sota, Hyvän ja Pahan välinen taistelu, ristiriretki, mikä ja missä on vihollinen? - Persianlahden toinen sota, Irak 2003, Saddam Husseinin oletetut joukkotuhoaseet ---- Abu Ghraibin vankilan kidutuskuvat ja vastaavat - Tanskan pilakuvakiista - Arabien omat TV-kanavat ja Al Qaidan tiedottaminen - Vrt. Venäjän toimet Tshetseniassa ja Georgiassa sekä Venäjän hallituksen viestintämonopoli

Sotatieteiden tohtori, everstiluutnantti Jari Rantapelkonen, 31. 5
”Suomalaisille informaatiosota on vakava uhka, jonka torjumiseksi tehdään töitä yli hallintorajojen. Yhteiskunnan elintärkeiden toimintojen turvaamisen strategia käy hyvästä esimerkistä. Käytännön tasolla Suomi on erittäin riippuvainen sähköisestä infrastruktuurista. Sen suojaaminen on informaatioyhteiskunnan edun mukaista. Kokonaisvaltaisemman informaatiosodan kannalta tarkasteltuna puolustuksemme perustuu lopulta kansakunnan ja kansalaisten korkeaan sivistystasoon. Strategiat legitimoivat viranomaisia ja sivistyneet ihmiset mahdollistavat eettisesti ylivoimaisen tavan kansakuntamme puolustautua informaatiosodalta….. Mikäli informaatioyhteiskuntamme kriittiset toiminnot keskeytyvät, konkretisoituu tällöin samalla myös maineriski uskottavan puolustuskyvyn säilyttämiseksi. Informaatiosodan maineriskit konkretisoituvat lopulta juuri ihmisissä eikä yksittäisissä verkoissa.”

Suomen kyberturvallisuusstrategia 2013
Valtioneuvosto antoi periaatepäätök sen Suomen kyberturvallisuusstrategiasta. Strategiassa määritellään keskeiset tavoitteet ja toimintalinjat, joiden avulla vastataan kybertoimintaympäristöön kohdistuviin haasteisiin ja varmistetaan sen toimivuus. Strategialla luodaan yhteinen ymmärrys kyberturvallisuudesta ja vahvistetaan yhteiskunnan kokonaisturvallisuutta. Strategiassa kuvataan kyberturvallisuuden visio, toimintamalli ja strategiset linjaukset. Kyberturvallisuuden linjausten ja niiden toteuttamiseksi tarvittavien toimenpiteiden avulla Suomi kykenee kansallisesti hallitsemaan kybertoimintaympäristön tahallisia ja tahattomia haittavaikutuksia sekä vastaamaan ja toipumaan niistä!

Suomen kyberturvallisuusstrategia 2013
Suomen kyberturvallisuusstrategia käynnistää koko yhteiskunnan kattavan kyberturvallisuuden edellyttämän varautumisen ja jatkuvuudenhallinnan suunnittelun. Yhteiskunnan elintärkeiden toimintojen turvaaminen pyritään jatkossakin varmistamaan. Strategiaan liittyvässä taustamuistiossa kuvataan kyberturvallisuuden johtamisen periaatteet ja häiriötilanteiden hallinnan järjestelyt sekä kyberturvallisuutta koskeva sääntely ja strategian toimeenpano-ohjelman laatimisen periaatteet. Kyberturvallisuusstrategia on luettavissa verkossa osoitteessa:

Vuoden 2014 kriisien ja konfliktien (Krim, Ukraina) yhteydessä alettiin puhua hybridisodankäynnistä
Uusi puolustusvoimien komentaja, kenraali Jarmo Lindberg pohti tarvetta aloittaa ns. kybersotilaiden koulutus.–> Toteutunut nyt!

Tietoturvallisuus rakentuu siis tiedon kolminaisuuden turvaamisesta: Luottamuksellisuudella tarkoitetaan sitä, että tiedot, järjestelmät ja palvelut ovat vain niihin oikeutettujen saatavissa eikä niitä luvatta paljasteta tai muutoin saateta sivullisten tietoon. Eheydellä tarkoitetaan sitä, etteivät tiedot, järjestelmät tai palvelut ole laitteisto- tai ohjelmistovikojen, luonnontapahtumien tai oikeudettoman inhimillisen toiminnan seurauksena muuttuneet tai tuhoutuneet. Käytettävyydellä tarkoitetaan sitä, että tiedot, järjestelmät ja palvelut ovat tarvittaessa niihin oikeutettujen esteettä ja häiriöittä hyödynnettävissä oikeaan aikaan.

- Informaation, tietojenkäsittelyn ja tietoliikenteen oikeellisuutta, aitoutta, kiistämättömyyttä, todennettavuutta ja ajantasaisuutta sekä näiden viiden ominaisuuden säilymistä tietojenkäsittelyssä ja tietoliikenteessä kutsutaan myös EHEYDEKSI. - Tietoturvallisuuden oikeudellisessa sääntelyssä sekä tietoturvallisuus-kirjallisuudessa käytetään toisinaan eheyden rinnalla laadun käsitettä. - Tietoliikenteen eheyteen kuuluu aina lähettäjän tunnistaminen ja todentaminen. - Eheyden oikeudellisessa sääntelyssä kohteena ovat usein aitouden ja kiistämättömyyden puutteista aiheutuvat riskit. - Eheyteen kuuluvat vaatimukset tietojenkäsittelyn sekä informaation rakenteellisesta ja loogisesta virheettömyydestä. - Informaation ja sen käsittelyn virheettömyys on eheyden kaikkein keskeisin osa-alue.

Käytettävyydestä……….. - Ns. julkisuusajattelussa julkisuusperiaatteen alaisten tietojen reaalisen käytettävyyden vaatimus ja siitä seuraavat vaatimukset tietohallinnolle sekä tietojärjestelmille ovat keskeisessä asemassa. - - Kyse on siitä, että informaatiologistiikka on järjestettävä siten, että julkisuusperiaate voidaan toteuttaa myös käytännössä. julkisuuslain ja –asetuksen velvoitteet Hyvä tiedonhallintatapa, diaarit, arkistot

- Informaatioyhteiskunnassa käytettävyyttä suojataan myös ns
- Informaatioyhteiskunnassa käytettävyyttä suojataan myös ns. julkisen palvelun periaatteella, jota kutsutaan myös universaalipalveluvelvoitteeksi. -- Sen mukaan tiettyjen palvelujen tarjoajilla on lain osoittamissa rajoissa sopimuspakko eli velvoite myöntää liittymä tai esim. tieto- tai muun palvelun käyttöoikeus, ellei laissa ole tyhjentävästi lueteltuja syitä kieltäytymiseen. --- (esim. laajakaistayhteys kaikille?) - Oikeudellisessa sääntelyssä käytettävyyttä turvataan myös velvoitteilla, jotka koskevat erilaisten teknisten järjestelmien yhteenliittämistä ja niiden yhteentoimivuuden turvaamista.

Osapuolten todentamisella (autentikointi) tarkoitetaan osapuolten (henkilö tai järjestelmä) luotettavaa tunnistamista. Todentamisella viitataan yleensä kohteen ominaisuuksiin, esim. siihen, mitä kohteella on hallussaan tai mitä kohde tietää. Vahva todennusmenetelmä on yhdistelmä edellä kuvatuista menetelmistä. Useat järjestelmät toteuttavat tunnistamisen ja todentamisen samaan aikaan. (Esim. henkilötietoja tarkistettaessa tarkastetaan käyttäjän tiedot ajokortista ja samalla käyttäjä tunnistetaan.) Toiset järjestelmät puolestaan suorittavat valtuutuksen ja todentamisen samaan aikaan. (Esim. kulunvalvontajärjestelmä lukee kulkukortin ja avaa oven.)

Kiistämättömyydellä tarkoitetaan todisteiden luomista sen varmistamiseksi, ettei yksikään tietojen käsittelyn tai siirron osapuoli voi jälkikäteen kiistää osuuttaan siihen (juridinen sitovuus). Sähköisessä viestinnässä kiistämättömyydellä tarkoitetaan mm. toimenpiteitä, joilla varmistutaan viestin lähettäjästä ja viestin vastaanottajasta. Tunnistamisella tarkoitetaan menettelyä, jolla yksilöidään kohde, kuten käyttäjä tai järjestelmä. Tunnistaminen ei välttämättä edellytä toimenpiteitä kohteelta. (esim. RFID) Tunnistamisella tarkoitetaan esim. työtovereiden tunnistamista työympäristöön kuuluviksi.

VALTIOVARAINMINISTERIÖN ja VAHTI:n rooli
- VM ohjaa ja yhteensovittaa valtionhallinnon tietoturvallisuutta ja sen kehittämistä Suomessa. - Valtionhallinnon yhteinen tietoturvallisuusohjeisto kattaa kaikki tietoturvallisuuden osa-alueet. - Näitä ohjeita kehittää valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI), joka on VM:n asettama, tietoturvallisuuden asiantuntemusta laajapohjaisesti edustava ryhmä. - VAHTI-ohjeisto on vapaasti käytettävissä ja se löytyy VM:n verkkosivuilta

ESIMERKKEJÄ VAHTI-OHJEISTUKSESTA:
2013 Sovelluskehityksen tietoturvaohje, VAHTI 1/2013 2012 Teknisen ICT-ympäristön tietoturva-ohje, VAHTI 3/2012 ICT-varautumisen vaatimukset, VAHTI 2/2012 2011 Valtion ICT-hankintojen tietoturvaohje, VAHTI 3/2011 Johdon tietoturvaohje, VAHTI 2/2011 2010 Sosiaalisen median tietoturvaohje, VAHTI 4/2010 Sisäverkko-ohje, VAHTI 3/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, VAHTI 2/2010

Tietoturvan osa-alueita mm. VAHTI-ohjeistuksessa:
Organisaation ja käyttäjien toimenpiteet tietoturvallisuuden osa-alueiden toteuttamiseksi voidaan jakaa mm. kahdeksaan alueeseen: - hallinnollinen ja organisatorinen tietoturvallisuus - henkilöstöturvallisuus - fyysinen turvallisuus - tietoliikenneturvallisuus - laitteistoturvallisuus - ohjelmistoturvallisuus - tietoaineistoturvallisuus - käyttöturvallisuus

§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§
Tietoturvallisuus oikeudellisena käsitteenä §§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§ Oikeudellisessa merkityksessä tietoturvallisuus muodostuu normeista, jotka koskevat informaation, tietojenkäsittelyn ja tietoliikenteen luottamuksellisuuden, eheyden ja aitouden sekä käytettävyyden ylläpitämistä ja suojaamista. §§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§

Tietoturvallisuus oikeudellisena käsitteenä
§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§§ Voidaan myös sanoa, että tietoturvallisuus on oikeudellisesti järjestetty strateginen riskienhallintatoiminto. Se koostuu informaation, tietojenkäsittelyn ja tietoliikenteen kolmen keskeisen tietoturvallisuusominaisuuden eli luottamuksellisuuden, eheyden ja käytettävyyden optimoinnista tavalla, joka on määritelty viime kädessä tietoturvallisuusnormeissa.

Tietoturvallisuusasetus 2010
Heinäkuussa 2010 annettiin Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (661/2010). Asetus, joka tuli voimaan , kumosi julkisuusasetuksen (1030/1999) 2 ja 3 §:t. Tietoturvallisuusasetuksen luvut: 1 luku Yleiset säännökset 2 luku Yleiset tietoturvallisuusvaatimukset 3 luku Asiakirjojen luokittelu 4 luku Luokitellun asiakirjankäsittelyä koskevat vaatimukset 5 luku Voimaantulo

Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010), 3 § 2)-kohta määrittelee tarkoitettavan tietoturvallisuudella tietojen salassapitovelvollisuuden ja käyttörajoitusten noudattamiseksi sekä tietojen saatavuuden, eheyden ja käytettävyyden varmistamiseksi toteutettavia hallinnollisia, teknisiä ja muita toimenpiteitä ja järjestelyjä. 3 §:n 5)-kohdan mukaan kansainvälisellä tietoturvallisuusvelvoitteella tarkoitetaan sellaista salassa pidettävän asiakirjan käsittelyä koskevaa ja kansainväliseen sopimukseen tai säädökseen perustuvaa velvoitetta, jota Suomen on noudatettava. Huom! Laki kansainvälisistä tietoturvallisuusvelvoitteista (558/2004)

Tietoturvallisuusasetuksen keskeisestä sisällöstä ja merkityksestä:
Tavoitteet ja kohderyhmä Asetuksessa säädetään viranomaisia koskevista yleisistä tietoturvavaatimuksista ja tietoturvallisuustasoista. Siinä säädetään myös asiakirjojen luokittelusta ja asiakirjojen käsittelyä koskevista vaatimuksista. Asiakirjalla tarkoitetaan asetuksessa myös sähköisessä muodossa tai muutoin teknisenä tallenteena talletettuja tietoaineistoja. Asetuksella parannetaan sähköistä asianhallintaa ja sähköisten palvelujen kehittämistä. Asetus ei muuta viranomaisten asiakirjojen julkisuutta ja salassapitoa, vaan ne määräytyvät julkisuuslain ja erityissäännösten perusteella.!!!! Asetusta sovelletaan valtionhallinnon viranomaisiin, joilla tarkoitetaan valtion hallintoviranomaisia ja muita valtion virastoja ja laitoksia sekä tuomioistuimia ja muita lainkäyttöviranomaisia.

Tietoturvallisuusasetuksen keskeisestä sisällöstä ja merkityksestä
Tietoaineistojen luokittelusta - Asetuksen mukaisella asiakirjojen luokittelulla osoitetaan, minkälaisia tietoturvallisuusvaatimuksia niiden käsittelyssä on noudatettava. Uusi neliportainen luokittelu (I-IV, erittäin salainen, salainen, luottamuksellinen, käyttö rajoitettu) vastaa kansainvälisiä käytäntöjä ja kansallisten aineistojen luokittelun tuleekin olla asetuksen mukaista. Asiakirjojen luokittelu ei kuitenkaan asetuksen mukaan ole pakollista. Viranomaisen tulee päättää, ottaako se luokittelun käyttöön ja milloin. Luokittelua vastaavat käsittelyvaatimukset on toteutettava 5 vuoden kuluessa siitä, kun luokittelu otetaan käyttöön. Viranomaisella on mahdollisuus kohdistaa luokittelu vain tiettyihin asiakirjoihin tai sellaisiin asiakirjan käsittelyvaiheisiin, joissa toimenpiteet suojattavan edun vuoksi ovat tarpeen. Yhtenevät luokitukset ja käytännöt helpottavat viranomaisten välistä salassa pidettävien tietojen vaihtoa.

Tietoturvallisuusasetuksen keskeisestä sisällöstä ja merkityksestä
Asetuksen täytäntöönpanosta VAHTI on julkaissut ohjeita tietoturvallisuusasetuksen täytäntöönpanosta: Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta (VAHTI 2/2010) ja Sisäverkko-ohje (VAHTI 3/2010) Näihin ohjeisiin sisältyvät linjaukset valtionhallinnon tietoturvallisuustasoista. Ne kattavat tietoturvallisuuden hallinnan, tietojärjestelmien ja tietoverkkojen perus-, korotetun ja korkean tietoturvatason. Virastoissa on ollut tarpeen varmistaa, että kaikki tietoturvallisuusasetuksen 5 §:ssä säädetyt tietoturvallisuuden perustason vaatimukset täytetään asetuksessa edellytetyssä kolmen vuoden siirtymäajassa eli mennessä Tietoturvallisuusasetus ja edellä mainitut VAHTI-ohjeet ovat tärkeä osa valtionhallinnon tietoturvallisuuden kehittämistä koskevan valtioneuvoston periaatepäätöksen ( ) toimeenpanoa. Asetuksen täytäntöönpanon teknisten tulkintojen yhteensovittamiseksi VAHTI:ssa valmisteltiin vuonna 2011 tekninen ohje tietoturvatasoista.

- Laki tietoturvallisuuden arviointilaitoksista (1405/2011)
HUOM! Kts. myös kaksi tietoturvallisuuteen liittyvää lakia, jotka tulivat voimaan : - Laki tietoturvallisuuden arviointilaitoksista (1405/2011) ja - Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1406/2011)

Tietoturvallisuusnormit asettavat välittömiä ja välillisiä velvoitteita ryhtyä: - teknisiin, organisatorisiin ja muihin tietoturvallisuustoimenpiteisiin - sääntelevät tässä tarkoituksessa luotuja organisaatioita ja muita oikeudellisia järjestelyjä - tehostavat vastuunormein velvoitteita - sääntelevät tietoturvallisuustuotteita ja palveluita sekä - yleisesti ottaen ylläpitävät hyvää tietoturvallisuustapaa

- Tietoturvallisuus informaatio-oikeudellisena oikeusperiaatteena yhdistää tätä normikokonaisuutta ja sen soveltamista käytännössä. - Tietoturvallisuuden oikeudellinen merkitys voidaan tiivistää toteamukseen, että se on informaatioyhteiskunnan keskeisimpiä oikeusperiaatteita!!! - Tietoturvallisuusajatteluun kuuluu periaatteellisesti tietoturvallisuuden vaarantamattomuus. - Tämän ympäristöoikeudessa kehiteltyä vaarantamisperiaatetta analogisesti muistuttavan periaatteen mukaisesti tietoturvallisuusjärjestelyissä ja yleensä informaatiologistiikan järjestämisessä on pyrittävä siihen, ettei tietoturvallisuus aiheetta vaarantuisi.

Tietoturvallisuuden suhteellisuusperiaate
- Käytännössä täydellistä tietoturvallisuutta ei kuitenkaan voida todennäköisesti koskaan saavuttaa!!!!!!! -- Tietoturvallisuuden asianmukaisen tason määrittely riippuu kustakin tilanteesta, siihen sovellettavista oikeusnormeista sekä käsiteltävän informaation luonteesta. - riskit, uhat, tekniset mahdollisuudet, oikeudelliset ja moraaliset velvoitteet, kustannukset, käytännön realiteetit, riskilaskelmointi???

- Tietoturvallisuusnormeissa ei kaikissa tilanteissa vaadita teknisesti parhaan mahdollisen suojaustekniikan ja tason käyttöä!!!!! - Tietoturvallisuustoimenpiteiden tarpeellisuutta arvioitaessa on otettava huomioon informaation ja tietojenkäsittelyn laatu, informaation määrä ja ikä sekä tietoturvallisuustoimenpiteistä johtuvat kustannukset suhteessa tekniseen kehitykseen, käsittelyn riskeihin ja suojattavan informaation luonteeseen. --- Tätä kutsutaan tietoturvallisuuden suhteellisuusperiaatteeksi, josta käytännön sovellutuksia normitasolla löytyy esim. - sähköisestä asioinnista viranomaistoiminnassa annetusta laista, henkilötietolaista ja julkisuuslaista.

5 § Sähköisten asiointipalvelujen järjestäminen
Sähköisestä asioinnista viranomaistoiminnassa säädetyn lain 2 luvussa säädetään viranomaisen velvollisuuksista: 5 § Sähköisten asiointipalvelujen järjestäminen Viranomaisen, jolla on tarvittavat tekniset, taloudelliset ja muut valmiudet, on niiden rajoissa tarjottava kaikille mahdollisuus lähettää ilmoittamaansa sähköiseen osoitteeseen tai määriteltyyn laitteeseen viesti asian vireille saattamiseksi tai käsittelemiseksi. Tällöin on lisäksi kaikille tarjottava mahdollisuus lähettää sähköisesti viranomaiselle sille toimitettavaksi säädettyjä tai määrättyjä ilmoituksia, sen pyytämiä selvityksiä tai muita vastaavia asiakirjoja tai viestejä. Viranomainen voi tarjota 1 momentissa tarkoitetut palvelut myös tehtävä- tai toimipaikkakohtaisesti. Viranomaisen on pyrittävä käyttämään asiakkaan kannalta teknisesti mahdollisimman yhteensopivia ja helppokäyttöisiä laitteistoja ja ohjelmistoja. Viranomaisen on lisäksi varmistettava riittävä tietoturvallisuus asioinnissa ja viranomaisten keskinäisessä tietojenvaihdossa.

Tietoturvallisuuden suhde tietosuojaan
- Kotimaisessa ja kansainvälisessä keskustelussa tietosuoja eli henkilötietojen suoja sekä tietoturvallisuus sekoitetaan usein toisiinsa. - Tämä johtuu osin siitä, että tietosuojalainsäädäntö muodostaa tietoturvallisuusoikeuden keskeisen normilähteen. - Tietoturvallisuuden periaatetta sovelletaan nimenomaan tietosuojalainsäädännön alalla. - Tietojenkäsittelyopin puolella käytetään joskus myös teknisen tietosuojan käsitettä, millä tarkoitetaan henkilötietojen ja niiden käsittelyn luottamuksellisuutta suojaavia teknisiä järjestelyjä. ----- kyse tietoturvallisuuden erästä osa-aluetta turvaavista järjestelyistä.

Tietoturvallisuuden suhde tietosuojaan
- Tietosuoja ja tietoturvallisuus ovat eri asioita!!! - Tietosuoja muodostuu (oikeudellisesti) normeista, jotka koskevat yksityisyyden suojaa henkilötietojen käsittelyssä. - Tällöin on kyse informaatiota koskevista aineellisista oikeuksista. -Tietoturvallisuus on aineellisiin oikeuksiin nähden välineellinen asia. Oikeudellisessa tietoturvallisuudessa on kyse aineellisia informaatio-oikeuksia reaalisesti turvaavista informaatiologistiikan tason järjestelyistä sekä siinä käytettävien tekniikoiden sääntelystä. - Välittömissä tietoturvallisuusvelvoitteissa normin kohteena olevan tahon tulee ryhtyä aineellisten oikeuksien turvaamiseksi tarpeellisiin teknisiin, organisatorisiin ja muihin toimenpiteisiin.

Tietoturvallisuudesta Suomen oikeudessa

YLEISTÄ - Tietoturvallisuuden voidaan sanoa nykyään olevan laajalti sovellettu ja tärkeä informaatio-oikeudellinen periaate. - Sen perusta on kansainvälisissä ihmisoikeussopimuksissa ja perusoikeuksissa. - Tietoturvan periaatteelle löytyvät normisovellukset lainsäädännöstä eri yhteiskuntasektorin alueita koskevasta yleis- ja erityslainsäädännöstä. - Lisäksi säännöksiä on em. nojalla annetussa alemmantasoisessa normistossa, oikeuskäytännössä (KKO:n ennakkotapaukset!), hallinnon virallislähteissä ja eri alojen ns. itsesääntelyssä. - Tietoturvallisuutta suojataan myös rikoslaissa oikeushyvänä.

Tietoturvallisuuden valtiosääntöisestä perustasta
- Tietoturvallisuuden perusta voidaan valtiosäännön tasolla löytää nykyisen Suomen perustuslain (731/1999) perusoikeussäännöksistä. - Informaatioyhteiskunnan aikana monet perusoikeussäännöksistä ovat informaatio- ja tietojenkäsittelysidonnaisia. - Julkiselle vallalla on asetettu toimintavelvoite turvata perusoikeuksien toteutuminen (PeL 22 §) - Tästä voidaan tietoturvallisuusvelvoitteiden ja tietoturvallisuuden sääntelyn kannalta johtaa yhteys tietoturvallisuuden ja perusoikeuksien välille. - Myös informaatioyhteiskunnan tietoteknisessä toimintaympäristössä on varmistettava perusoikeuksien todellinen toteutuminen, mikä edellyttää konkreettisia toimenpiteitä.

Tietoturvallisuuden valtiosääntöisestä perustasta
- Perusoikeuksista informaatio- ja tietojenkäsittelysidonnaisia ovat esim. oikeus henkilökohtaiseen vapauteen ja turvallisuuteen (PeL 7 §), yksityiselämän, kunnian ja kotirauhan suoja (10 §), luottamuksellisen viestin salaisuus (10 §), sananvapaus ja viestinnän vapaus (12 §), hallinnon julkisuus (12 §), omaisuuden suoja (15 §) sekä asian viivytyksetön ja asiallinen käsittely ja muut hyvän hallinnon takeet (21 §). - Tietoverkkojen käytössä syntyy myös yhdistymisvapauteen liittyviä tietoturvallisuuskysymyksiä (PeL 13 §) - Eduskunnan oikeusasiamiehen ja oikeuskanslerin valvontakäytännössä mm. hallinnon lainalaisuusperiaatteesta (PeL 2 §) on johdettu julkisen hallinnon käyttämien tietojärjestelmien ja informaation tietoturvallisuuden vaatimus.

Henkilötietojen käsittely, yksityisyyden suoja ja tietoturvallisuus
- Tietoturvallisuus on kuulunut periaatteena henkilötietojen käsittelyn ja henkilörekistereiden sääntelyyn näitä koskevan normiston syntyhetkistä lähtien. - Henkilötietojen suoja on ala, jonka sääntelyssä tietoturvallisuus on nyttemmin saanut yhden selkeimmistä normatiivisista muotoiluista lakitasolla. Yksityisyyden suoja onkin monella tapaa riippuvainen tietoturvallisuusratkaisuista. - Jo aiemmassa henkilörekisterilaissa (47/1987) tietoturvallisuusvelvoite huomioitiin mm. osana rekisterinpitäjän huolellisuusvelvoitetta. - Nykyisessä henkilötietolaissa (523/1999) on sama systemaattinen linjaus ja tietoturvallisuus on tärkeä osa hyvää tietojenkäsittelytapaa. - Henkilötietolain monissa yksittäisissä normeissa säädetään jostakin henkilötietojen käsittelyssä ja henkilörekistereissä noudatettavan tietoturvallisuuden erityiskysymyksestä tai siihen vaikuttavasta tekijästä. - Yleisemmin HetiL:n tietoturvallisuussäännöksenä voidaan pitää 32 §:ää:

HetiL 32 § Tietojen suojaaminen
Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden aiheuttamat kustannukset, käsiteltävien tietojen laatu, määrä ja ikä sekä käsittelyn merkitys yksityisyyden suojan kannalta. Sen, joka itsenäisenä elinkeinonharjoittajana toimii rekisterinpitäjän lukuun tai jolle rekisterinpitäjä luovuttaa tietoja teknisen käyttöyhteyden avulla, on ennen tietojen käsittelyyn ryhtymistä annettava rekisterinpitäjälle asianmukaiset selvitykset ja sitoumukset sekä muutoin riittävät takeet henkilötietojen suojaamisesta 1 momentissa tarkoitetulla tavalla. (muutos 2 momenttiin 528/2007)

Henkilötietojen käsittely, yksityisyyden suoja ja tietoturvallisuus
- Henkilörekisterilaissa ei varsinaisesti mainittu tietoturvallisuutta terminä. - Henkilötietolaissa on oma luku 7 otsikolla Tietoturvallisuus ja tietojen säilytys. - Henkilötietolaissakaan ei toistaiseksi määritellä tietoturvallisuutta käsitteenä samalla tavalla kuin tietoyhteiskuntakaaressa (aiemmin sähköisen viestinnän tietosuojalaki) tai tietoturva-asetuksessa. - Henkilötietolain taustalla olevassa EU:n henkilötietodirektiivissä (95/46/EY) on johdannossa nostettu tietoturvallisuus nimenomaisesti mainituksi direktiivin tulkintaperiaatteeksi sekä yksityisyyden suoja ja muiden perusoikeuksien välisten ristiriitojen ratkaisemisessa noudatettavaksi punnintaperiaatteeksi. - Direktiivin 17 artiklassa on muotoiltuna henkilötietojen käsittelyssä noudatettava yleinen tietoturvallisuusvelvoite, jota täsmennetään direktiivin yksittäisissä tietoturvallisuussäännöksissä.

EU:n yleinen tietosuoja-asetus:
2 Jakso Henkilötietojen turvallisuus 32 artikla Käsittelyn turvallisuus 33 artikla Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle 34 artikla Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle 3 Jakso Tietosuojaa koskeva vaikutustenarviointi ja ennakkokuuleminen 35 artikla Tietosuojaa koskeva vaikutustenarviointi 36 artikla Ennakkokuuleminen

Sähköisen viestinnän tietoturvallisuus
- Sähköinen viestintä on informaatioyhteiskunnan keskeisimpiä viestinnän järjestelmiä. - Se luo tekniset puitteet tietoverkoille eri palveluineen, sähköiselle viranomaisasioinnille sekä sähköiselle kaupalle. - Siksi sen tietoturvallisuusratkaisuilla on varsin suuri periaatteellinen merkitys yhteiskunnan tietoturvallisuuden kokonaistason kannalta. - Sähköisen viestinnän tietoturvallisuuskysymyksinä ajankohtaistuvat luottamuksellisen viestin salaisuuden suoja, henkilötietojen ja yksityisyyden suoja sekä julkisena palveluna kaikille kuuluva oikeus laadukkaisiin viestintäpalveluihin sekä eri verkkojen ja päätelaitteiden yhteentoimivuuteen. - Euroopan unionissa annettiin 2002 sähköisen viestinnän tietosuojadirektiivi, joka korvasi aiemman vuonna 1997 annetun direktiivin henkilötietojen käsittelystä ja yksityisyyden suojasta televiestinnässä.

Sähköisen viestinnän tietoturvallisuus
- Sähköisen viestinnän tietosuojadirektiivin pohjalta laadittu sähköisen viestinnän tietosuojalaki (516/2004) tuli voimaan syyskuussa ja kumosi vuonna 1999 säädetyn aiemman direktiivin pohjalta annetun lain yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta (565/99) - Sähköisen viestinnän tietosuojalain tarkoituksena oli turvata sähköisen viestinnän luottamuksellisuuden ja yksityisyyden suojan toteutuminen sekä edistää sähköisen viestinnän tietoturvaa ja monipuolisten sähköisen viestinnän palvelujen tasapainoista kehitystä (1 §). - Sähköisen viestinnän tietosuojalakiin otettiin tiettävästi ensimmäisen kerran varsinainen määritelmä siitä, mitä tarkoitetaan käsitteellä tietoturva: Tässä laissa tarkoitetaan: 13) tietoturvalla hallinnollisia ja teknisiä toimia, joilla varmistetaan se, että tiedot ovat vain niiden käyttöön oikeutettujen saatavilla, ettei tietoja voida muuttaa muiden kuin siihen oikeutettujen toimesta ja että tiedot ja tietojärjestelmät ovat niiden käyttöön oikeutettujen hyödynnettävissä.

Kumotun sähköisen viestinnän tietosuojalain sisältö luvuittain:
Sähköisen viestinnän tietoturvallisuus Kumotun sähköisen viestinnän tietosuojalain sisältö luvuittain: 1 luku Yleiset säännökset 2 luku Yksityisyyden ja luottamuksellisen viestin suoja 3 luku Viestien ja tunnistamistietojen käsittely 4 luku Paikkatiedot 5 luku Viestinnän tietoturva 19 § Velvollisuus huolehtia tietoturvasta; 20 § Toimenpiteet tietoturvan toteuttamiseksi; 21 § Tietoturvailmoitukset + lisätyt 21 a ja 21 b §:t 6 luku Puhelupalvelut 7 luku Suoramarkkinointi 8 luku Ohjaus ja valvonta 9 luku Tiedonsaantioikeus ja kohdennettu viranomaistiedote 10 luku Tietoturvamaksu 11 luku Erinäiset säännökset

Sähköisen viestinnän tietosuojalaki ja eräitä muita säädöksiä on 1. 1
Sähköisen viestinnän tietosuojalaki ja eräitä muita säädöksiä on korvattu Tietoyhteiskuntakaarella (917/2014), johon on siirretty uudistettuina osa kumottujen säädösten sisällöistä. - Tietoyhteiskuntakaaresta lyhyt esittely ja diapaketti saatavissa professorilta!

Tulossa Sähköisen viestinnän tietosuoja-asetus
The EU Commission published on 10 th of January 2017 new Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications) Brussels, COM (2017) 10 final 2017/0003 (COD) Asetuksella kumotaan vuoden 2002 sähköisen viestinnän tietosuojadirektiivi, jonka pohjalta meillä säädettiin sähköisen viestinnän tietosuojalaki. Tämä puolestaan kumottiin ja sen sisältö siirrettiin muutettuna voimaan tulleeseen tietoyhteiskuntakaareen!!!! Aiheuttanee muutoksia tietoyhteiskuntakaaren säännöksiin???

Tietoturvallisuus ja julkisen sektorin tietojärjestelmät
- Tietoturvallisuus on perinteisesti ollut osa julkisen vallan tietojärjestelmien sääntelyä. Tässä varsin hajanaisessa ja kirjoittamistavaltaan epäyhtenäisessä normistossa informaation luottamuksellisuus on useimmiten huomion kohteena. - Luottamuksellisuuden ohella myös informaation käytettävyyttä ja eheyttä suojataan erityissäännöksin. - Esimerkiksi sosiaali- ja terveydenhuollon säännösten tietoturvallisuusnormeilla on yksityisyyden suojan ja henkilön itsemääräämisoikeuden kannalta suuri merkitys.

- Tietoturvallisuus on viimevuosina tullut keskeiseksi osaksi nykyaikaista hallinto- ja informaatio-oikeudellista sekä perustuslakiin pohjautuvaa julkisuusperiaatteen sääntelyä. (PeL 12 §) - Tietoturvallisuus on yksi vuonna 1999 voimaan tulleen julkisuuslain (laki viranomaisten toiminnan julkisuudesta) systemaattisia lähtökohtia ja perusperiaatteita. -- Laissa on sekä yleinen viranomaistoimintaa koskeva tietoturvallisuusvelvoite että lukuisia sitä konkretisoivia tietoturvallisuusnormeja.

-- Systemaattisesti tietoturvallisuus nähdään julkisuuslaissa osana hyvää tiedonhallintatapaa ja laajempaa informaation laatua. Julkisuusajatteluun on selkeästi sisällytetty vaatimus viranomaisinformaation hyvästä laadusta. - Julkisuusajattelussa tapahtuneiden muutosten myötä on jo havaittavissa, että tietoturvallisuuden painoarvo oikeudellisena periaatteena tulee vahvistumaan niin oikeuskäytännössä kuin oikeuskirjallisuudessakin. -- Julkisuusperiaate tuli perustuslain tekstiin ensimmäisen kerran vuonna 1995, kun taas tietoturvallisuutta ei nimenomaisesti ole toistaiseksi kirjoitettu perustuslakimme tekstiin, vaikkakin sen voidaan katsoa periaatetasolla ja normisääntelyssä vaikuttavan jo merkittävästi.

Julkisuuslain 18 §:ssä säädetään hyvästä tiedonhallintatavasta, johon sisältyy tietoturvallisuuteen kohdistuvia velvoitteita: 18 § Hyvä tiedonhallintatapa Viranomaisen tulee hyvän tiedonhallintatavan luomiseksi ja toteuttamiseksi huolehtia asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muusta tietojen laatuun vaikuttavista tekijöistä sekä tässä tarkoituksessa erityisesti: 3) selvittää tietojärjestelmien käyttöönottoa sekä hallinnollisia ja lainsäädännöllisiä uudistuksia valmisteltaessa suunniteltujen toimenpiteiden vaikutus asiakirjojen julkisuuteen, salassapitoon ja suojaan sekä tietojen laatuun samoin kuin ryhtyä tarpeellisiin toimenpiteisiin tietoon liittyvien oikeuksien ja tiedon laadun turvaamiseksi sekä asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen suojan järjestämiseksi;

4) suunnitella ja toteuttaa asiakirja- ja tietohallintonsa samoin kuin ylläpitämänsä tietojärjestelmät ja tietojenkäsittelyt niin, että asiakirjojen julkisuus voidaan vaivattomasti toteuttaa ja että asiakirjat ja tietojärjestelmät sekä niihin sisältyvät tiedot arkistoidaan tai hävitetään asianmukaisesti ja että asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen suoja, eheys ja laatu turvataan asianmukaisin menettelytavoin ja tietoturvallisuusjärjestelyin ottaen huomioon tietojen merkitys ja käyttötarkoitus sekä asiakirjoihin ja tietojärjestelmiin kohdistuvat uhkatekijät ja tietoturvallisuustoimenpiteistä aiheutuvat kustannukset; 5) huolehtia siitä, että sen palveluksessa olevilla on tarvittava tieto käsiteltävien asiakirjojen julkisuudesta sekä tietojen antamisessa ja käsittelyssä sekä niiden ja asiakirjojen ja tietojärjestelmien suojaamisessa noudatettavista menettelyistä, tietoturvallisuusjärjestelyistä ja tehtävänjaosta, samoin kuin siitä, että hyvän tiedonhallintatavan toteuttamiseksi annettujen säännösten, määräysten ja ohjeiden noudattamista valvotaan.

- Julkisuuslakia on täydentänyt julkisuusasetus eli asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999) Lyhyt asetus koostui neljästä luvusta: 1 luku Hyvän tiedonhallintatavan toteuttaminen 2 luku Tiedonsaantioikeuksien toteuttaminen ja edistäminen 2 a luku Valtionhallinnon viestintä 3 luku Erinäiset säännökset Tietoturvallisuuden osalta huomioitavia ovat erityisesti 1 luvun säännökset: 1 § Selvitykset hyvän tiedonhallintatavan toteuttamiseksi 2 § Erityissuojattavan tietoaineiston luokitus 3 § Erityissuojattavaa tietoaineistoa koskevat yleiset tietoturvallisuustoimenpiteet 4 § Ohjeet, valvonta ja seuranta

Julkisuusasetus 1 § Selvitykset hyvän tiedonhallintatavan toteuttamiseksi Viranomaisen on viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 18 §:n 1 momentin 4 kohdassa tarkoitettujen toimenpiteiden suunnittelua ja toteuttamista varten arkistolaissa (831/1994) tarkoitettua arkistonmuodostussuunnitelmaa hyväksi käyttäen selvitettävä ja arvioitava asiakirjansa ja tietojärjestelmänsä sekä niihin talletettujen tietojen merkitys samoin kuin asiakirja- ja tietohallintonsa. Toimenpiteiden tarvetta arvioitaessa on kiinnitettävä huomiota siihen, kuinka toteutetaan 1) oikeus saada tietoja viranomaisten julkisista asiakirjoista; 2) velvollisuus tuottaa ja jakaa tietoja sekä antaa tietoja keskeneräisistä asioista; 3) henkilötietojen, erityisesti arkaluonteisten tietojen, suojaaminen; 4) salassa pidettäviksi säädettyjen tietojen suojaaminen; 5) tietojen käyttötarkoituksia koskevat rajoitukset;

6) tietojen käytettävyys, eheys ja laatu viranomaisen tehtävän hoidossa ja viranomaisten yhteistyössä; 7) tietojen laatu erityisesti käytettäessä niitä yksilöitä ja yhteisöjä koskevan päätöksenteon pohjana tai oikeuksien ja velvollisuuksien osoittajina. Hyvän tiedonhallintatavan toteuttamiseksi on lisäksi selvitettävä ja arvioitava tietojen saatavuuteen, käytettävyyteen, laatuun ja suojaan sekä tietojärjestelmien turvallisuuteen vaikuttavat uhat sekä niiden vähentämiseksi ja poistamiseksi käytettävissä olevat keinot ja niiden kustannukset sekä muut vaikutukset. Viranomaisen on 1 ja 2 momentissa tarkoitettujen selvitysten perusteella arvioitava ja toteutettava tarvittavat toimenpiteet hyvän tiedonhallintatavan toteuttamiseksi.

Tietohallintolaki - Julkisen sektorin tietojärjestelmien yhteentoimivuus on ollut pitkään yhteiskunnallinen ja kansantaloudellinen ongelma!!! - Eduskuntaan vietiin syksyllä 2010 HE 246/2010 julkisen hallinnon tietohallinnon ohjausta ja tietojärjestelmien yhteentoimivuutta koskevaksi lainsäädännöksi. - Puhekielessä käytetty nimeä tietohallintolaki, nyttemmin yhteentoimivuuslaki, joidenkin mielestä nykyaikaisempi oli informaatiohallintolaki. Lailla monia tavoitteita, mm. lisätä huomattavasti valtiovarainministeriön toimivaltaa julkisen sektorin tietohallinnon kehittämisessä, tuoda valtionhallintoon konsernirakenteen ja konsernijohtamisen sekä muuttaa asteittain eri hallinnonalojen ja koko julkisen hallinnon tietojärjestelmät yhteentoimiviksi.

Laki julkisen hallinnon tietohallinnon ohjauksesta (634/2011) – voimaan 1.9.2011
1 luku Yleiset säännökset 1 § Lain tarkoitus 2 § Lain soveltamisala ja suhde muuhun lainsäädäntöön 3 § Määritelmät 2 luku Tietohallinnon ohjaus 4 § Ohjaus 5 § Julkisen hallinnon tietohallinnon neuvottelukunta 6 § Julkisen hallinnon tietohallinnon standardi 3 luku Yhteentoimivuus 7 § Julkisen hallinnon tietojärjestelmien yhteentoimivuus 8 § Toimialakohtainen tietojärjestelmien yhteentoimivuus 9 § Julkisen hallinnon viranomaisen tietojärjestelmien muuttaminen 10 § Tallennettujen tietojen hyödyntäminen 11 § Yhteiset palvelut 4 luku Erinäiset säännökset 12 § Tietojen saatavuus 13 § Voimaantulo

Laissa tarkoitetaan (3 §) julkisen hallinnon:
Tietohallinnolla tukitoimintoa, jolla turvataan julkisten hallintotehtävien hoitaminen tietoja viestintäteknisiä menetelmiä ja keinoja hyväksikäyttäen; Tietojärjestelmällä tiettyä käyttötarkoitusta varten kerätyistä tiedoista muodostettua automaattisen tietojenkäsittelyn avulla pidettyä tiedostoa tai tietovarantoa, jonka avulla käyttäjä voi tuottaa palveluja tai suorittaa muita tehtäviä järjestelmän käyttötarkoituksen ja tietojen käsittelyä koskevien vaatimusten mukaisesti; Tietohallinnon kokonaisarkkitehtuurilla kuvausta julkisen hallinnon organisaatioiden, palvelujen, toimintaprosessien, käsiteltävien tietojen sekä käytettyjen tietojärjestelmien ja teknologian muodostaman tietohallinnon kokonaisuuden rakenteesta ja sen osien välisestä suhteesta. Tietojärjestelmien yhteentoimivuudella tietojärjestelmien teknistä ja tietosisällöllistä yhteentoimivuutta muiden julkisen hallinnon viranomaisten tietojärjestelmien kanssa silloin, kun järjestelmät käyttävät samoja tietoja.

Yhteentoimivuuteen pyritään ottamalla käyttöön:
Tietohallintolain mukaan valtiovarainministeriön tehtävänä on siis huolehtia julkisen hallinnon tietohallinnon yleisestä ohjauksesta. Yhteentoimivuuteen pyritään ottamalla käyttöön: Yhtenäiset julkisen hallinnon kokonaisarkkitehtuurin suunnittelu- ja kuvaamisjärjestelmät Yhteentoimivuuden edellyttämät kuvaukset ja määritykset Julkisen hallinnon tietohallinnon yhteiset palvelut ja Yhtenäisen toiminnan kannalta tarpeelliset muut toimenpiteet. Laissa ovat säännökset julkisen hallinnon tietohallinnon neuvottelukunnasta (JUHTA), julkisen hallinnon tietohallinnon suosituksista (JHS) sekä valtiovarainministeriön päättämistä julkisen hallinnon tietohallinnon standardeista.

Tietohallintolaki koskee valtion virastoja ja laitoksia, tuomioistuimia ja muita lainkäyttöelimiä, valtion liikelaitoksia ja Ahvenanmaan maakunnan viranomaista sen huolehtiessa valtakunnan viranomaiselle kuuluvasta tehtävästä maakunnassa, kunnallisia viranomaisia pois lukien kuitenkin Ahvenanmaan kunnalliset viranomaiset, Kansaneläkelaitosta ja muita itsenäisiä julkisoikeudellisia laitoksia sekä yliopistolaissa tarkoitettuja yliopistoja, eduskunnan virastoja ja laitoksia sekä lain nojalla julkista valtaa käyttäviä yhteisöjä, säätiöitä ja yksityisiä henkilöitä niiden käyttäessä julkista valtaa. Tietohallintolain hyväksymisen yhteydessä muutettiin julkisuuslakia siten, että siitä poistettiin valtion hallinto- ja lainkäyttöviranomaisten tietojärjestelmien yhteensopivuutta koskevat velvoitteet sekä velvoitteet osallistua yhteiseen asiakaspalvelujärjestelmään (JulkL 18 ja 36 §:issä)

MYÖS ”UUTTA”: tuli voimaan pitkään valmisteltu laki oikeushallinnon valtakunnallisesta tietojärjestelmästä (372/2010)– HE 102/2009 vp. Laissa säädetään lainkäyttöasioiden käsittelyä ja täytäntöönpanoa sekä oikeusministeriön hallinnonalan tutkimus- ja suunnittelutoiminta palvelevasta valtakunnallisesta tietojärjestelmästä, siihen talletettavista tiedoista, talletettujen tietojen luovuttamisesta ja muusta käsittelystä sekä tuomioistuinten, syyttäjäviranomaisten ja oikeusaputoimistojen velvollisuudesta liittyä tietojärjestelmään ja toimittaa siihen tietoja. OIKEUSHALLINNON VALTAKUNNALLINEN TIETOJÄRJESTELMÄ muodostuu ratkaisuja päätösilmoitusjärjestelmästä, diaari- ja asianhallintatietojen valtakunnallisesta käsittelyjärjestelmästä sekä raportointi-, tilasto- ja arkistojärjestelmästä. OIKEUSHALLINNON VIRANOMAISELLA eli tuomioistuimella, syyttäjäviranomaisella ja oikeusaputoimistolla on velvollisuus liittyä oikeushallinnon valtakunnalliseen tietojärjestelmään ja välittää tietoja. OIKEUSREKISTERIKESKUS toimii oikeushallinnon valtakunnallisen tietojärjestelmän rekisterinpitäjänä.

UUSIMPIA STRATEGIOITA JA TIETOYHTEISKUNTAOHJELMIA:
- EU:n komission i2010 –puitestrategia, jossa määritellään tietoyhteiskunnan ja audiovisuaalisen viestinnän poliittiset suuntaviivat eurooppalaisella tasolla jäsenmaita velvoittaen. (sittemmin EU 2020 –strategia) - Kansallinen tietoyhteiskuntastrategia (kts. - SADe –hanke (Sähköinen asiointi ja Demokratia); Julkisen hallinnon sähköisen asioinnin kehittämislinjauksia ja toimenpide-ehdotuksia sisältävä loppuraportti tammikuulta 2009 löytyy VM:n verkkosivuilta - Kansallinen tietoturvastrategia Valtioneuvosto hyväksyi joulukuussa 2008. - Laajakaista kaikkien ulottuville. Kansallinen toimintasuunnitelma tietoyhteiskunnan infrastruktuurin parantamiseksi. Selvitysmiehen ehdotus Valtiovarainministeriö.

Digitaalinen agenda Komission vuonna 2010 julkaisemassa Eurooppa 2020 –tiedonannossa digitaalinen agenda on yksi seitsemästä lippulaivahankkeesta. Sillä tarkoitetaan EU:n viestintä- ja yhteiskuntapoliittisia linjauksia, lainsäädäntötoimia ja ohjelmia, joiden avulla varmistetaan tietoja viestintäteknologioihin perustuvan talouden kasvuedellytykset EU:ssa. Digitaalinen agenda on yksi Suomen EU-politiikan avainhankkeista vuosina ja sen katsotaan olevan tärkeä väline kasvun ja tuottavuuden lisäämisessä. Kts. Liikenne- ja viestintäministeriön julkaisu 1/2011: Tuottava ja uudistuva Suomi. Digitaalinen agenda vuosille

Uutta ja vireillä….. Open Data –kehitys, tietovarantojen vapaa ja maksuton hyödyntäminen yhteiskunnassa. Erilaisia esityksiä vireillä….! Direktiivin uudistaminen 2013! --- Big Data!!! LVM:n selvitykset EU:n tietosuojauudistus: Henkilötietodirektiivistä yleiseen tietosuoja-asetukseen. Komission luonnos Lopullinen säädösteksti alkuvuodesta Sovellettavaksi siirtymäajan jälkeen

TIETOYHTEISKUNTAKAARI
Liikenne- ja viestintäministeriö valmisteli ns. tietoyhteiskuntakaaren, johon koottiin keskeiset sähköistä viestintää koskevat kansalliset säädökset. Hallitus antoi esityksen eduskunnalle tammikuussa 2014. Tietoyhteiskuntakaari sisältää 352 pykälää. Aiemmin voimassa olevista säädöksistä (yhteensä noin 490 pykälää) on poistettu päällekkäisyyksiä ja sääntelyä on pyritty selkeyttämään. Käsittelyyn eduskunnassa toi lisähaasteita EU-tuomioistuimen keväällä 2014 antama ratkaisu, jossa todettiin EU:n sähköisen viestinnän tunnistamistietojen tallentamisdirektiivi pätemättömäksi --- säännökset siihen liittyen meillä olleet sähköisen viestinnän tietosuojalaissa.

Viestintämarkkinalaki Sähköisen viestinnän tietosuojalaki
TIETOYHTEISKUNTAKAARI Tietoyhteiskuntakaareen (917/2014) koottu säännökset seuraavista aiemmin voimassa olleista säädöksistä: Viestintämarkkinalaki Sähköisen viestinnän tietosuojalaki Verkkotunnuslaki Laki tietoyhteiskunnan palvelujen tarjoamisesta Laki radiotaajuuksista ja telelaitteista Laki televisio- ja radiotoiminnasta Laki eräiden suojauksen purkujärjestelmien kieltämisestä Laki eräiden radiotaajuuksien huutokaupoista.

Valmistelun pääteemoja:
TIETOYHTEISKUNTAKAARI Valmistelun pääteemoja: Päällekkäisten säännösten poistaminen sekä sääntelyn vähentäminen ja selkeyttäminen. Toimilupajärjestelmän uudistaminen. Toiminnan harjoittajan velvoitteet, johon kuuluvat mm. HMV-sääntely ja yhdysliikenne. Sähköisen viestinnän ja palveluiden jatkuvuuden turvaaminen, viranomaisten avustamisesta aiheutuneiden kustannusten korvausasia. Kuluttajansuojaa koskevien säännösten tarkistaminen. Yksityisyyden suojaa koskevien säännösten tarkistaminen.

Laki sähköisen viestinnän palveluista.
Tietoyhteiskuntakaaren uusi nimike alkaen: Laki sähköisen viestinnän palveluista. Muutos tehtiin yllättäen lailla 68/2017, mutta syyt ja perustelut ovat hämärässä???? Myös tiedottaminen muutoksesta ollut olematonta???? Onko hyvää lainsäädäntäpolitiikkaa? > Salainen lainsäädäntö?

Tietoturvallisuus rikosoikeudessa
- Rikoslain laajemman, monivaiheisen uudistuksen yhteydessä 1990-luvulla on tietoturvallisuudesta tullut rikoslailla suojattu oikeushyvä. - Rikoslain systematiikassa tietotekniikkarikokset eli tietotekniikkaa hyväksi käyttämällä tehtävät rikokset on kriminalisoitu lisäämällä tietotekniikkaa hyödyntävät tekomuodot perinteisten rikostyyppien kuten varkauden, kavalluksen, luvattoman käytön, väärennysrikosten, petoksen ja maksuvälinepetoksen sekä vahingonteon tunnusmerkistöön. Varsinaisista tietoja viestintärikoksista säädetään rikoslain 38 luvussa. Kyseisillä kriminalisoinneilla suojataan erityisesti ja nimenomaisesti tietoturvallisuutta oikeushyvänä.

Rikoslain 38 luku Tieto- ja viestintärikoksista (578/1995)
Tietoturvallisuus rikosoikeudessa Rikoslain 38 luku Tieto- ja viestintärikoksista (578/1995) 1 § Salassapitorikos (578/1995) (ennen ) 2 § Salassapitorikkomus (578/1995) 3 § Viestintäsalaisuuden loukkaus (531/2000) 4 § Törkeä viestintäsalaisuuden loukkaus (578/1995) 5 § Tietoliikenteen häirintä (578/1995) 6 § Törkeä tietoliikenteen häirintä (578/1995) 7 § Lievä tietoliikenteen häirintä (578/1995) 8 § Tietomurto (578/1995) 9 § Henkilörekisteririkos (525/1999) 10 § Syyteoikeus (578/1995) 11 § Menettämisseuraamus (1118/2001) + RL 34 luvun 9 a § Vaaran aiheuttaminen tietojenkäsittelylle (951/1999)

5 § Tietoliikenteen häirintä
Joka puuttumalla postiliikenteessä taikka tele- ja radioviestinnässä käytettävän laitteen toimintaan, lähettämällä ilkivaltaisessa tarkoituksessa radiolaitteella tai televerkossa häiritseviä viestejä tai muulla vastaavalla tavalla oikeudettomasti estää tai häiritsee postiliikennettä taikka tele- tai radioviestintää, on tuomittava tietoliikenteen häirinnästä sakkoon tai vankeuteen enintään kahdeksi vuodeksi.

8 § Tietomurto Joka käyttämällä hänelle kuulumatonta käyttäjätunnusta taikka turvajärjestelyn muuten murtamalla oikeudettomasti tunkeutuu tietojärjestelmään, jossa sähköisesti tai muulla vastaavalla teknisellä keinolla käsitellään, varastoidaan tai siirretään tietoja, taikka sellaisen järjestelmän erikseen suojattuun osaan, on tuomittava tietomurrosta sakkoon tai vankeuteen enintään yhdeksi vuodeksi. Tietomurrosta tuomitaan myös se, joka tietojärjestelmään tai sen osaan tunkeutumatta teknisen erikoislaitteen avulla oikeudettomasti ottaa selon 1 momentissa tarkoitetussa tietojärjestelmässä olevasta tiedosta. Yritys on rangaistava. Tätä pykälää sovelletaan ainoastaan tekoon, josta ei ole muualla laissa säädetty ankarampaa tai yhtä ankaraa rangaistusta.

Tietoturvallisuutta vaarantaviin tietotekniikkarikoksiin voidaan lukea myös:
- RL 28 luvun 7 § ; Luvaton käyttö - RL 34 luvun 1 §:n 2 momentti; Tuhotyö - RL 35 luvun 1 §:n 2 momentti; Vahingonteko: ” Vahingonteosta tuomitaan myös se, joka toista vahingoittaakseen oikeudettomasti hävittää, turmelee, kätkee tai salaa tietovälineelle tallennetun tiedon tai muun tallennuksen.”

- RL 37 luvussa säännellään Maksuvälinerikoksista.
- RL 36 luvun 1 §:n 2 momentti; Petoksesta ja muusta epärehellisyydestä: ”Petoksesta tuomitaan myös se, joka 1 momentissa mainitussa tarkoituksessa dataa syöttämällä, muuttamalla, tuhoamalla tai poistamalla taikka tietojärjestelmän toimintaan muuten puuttumalla saa aikaan tietojenkäsittelyn lopputuloksen vääristymisen ja siten aiheuttaa toiselle taloudellista vahinkoa.” (ns. tietojenkäsittelypetos). - RL 37 luvussa säännellään Maksuvälinerikoksista.

- Tekniikan kehityksen ja lainsäädännön välisen kilpajuoksun vuoksi tietotekniikkarikokset ovat viime vuosina olleet median huomion kohteena. - Tietotekniikan ja tietoliikenteen käyttöön liittyviä haitallisia tekoja ei ole aina ollut mahdollista katsoa rikoksiksi ilman rikosten tunnusmerkistöjen uudistamista. - Rangaistavaahan voi legaliteettiperiaatteen mukaan olla vain se, mikä laissa on rangaistavaksi säädetty tekohetkellä.

-- Näitä kysymyksiä tutkitaan sekä perinteisen rikosoikeuden että myös oikeusinformatiikan osa-alueen, tietotekniikkaoikeuden, parissa. - asiantuntijoita vähän, tiettävästi vain 2 väitellyttä: Pihlajanmäki, Xingan - EU:lla on ollut halua säädellä aihepiiriä, mutta se ei ole aiemmin ollut EU:n toimivallan piirissä. - Rikoslainsäädäntöä on uusien tietotekniikkarikosten muotojen vuoksi uudistettu useaan otteeseen 1990-luvun puolivälistä lähtien – esim. tietomurto ja vuonna 1999 rangaistavaksi säädetty tietokonevirusten valmistaminen ja levittäminen.

TIETO- JA VIESTINTÄRIKOKSIA KOSKEVA SÄÄNTELY UUDISTUI… (Säädökset /2007 tulivat voimaan - Eduskunta hyväksyi hallituksen esityksen Eduskunnalle Euroopan neuvoston tietoverkkorikollisuutta koskevan yleissopimuksen hyväksymisestä, laiksi sen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta sekä laeiksi rikoslain, pakkokeinolain 4 luvun, esitutkintalain 27 ja 28 §:n ja kansainvälisestä oikeusavusta rikosasioissa annetun lain 15 ja 23 §:n muuttamisesta. (kts.Tietoverkkorikostyöryhmän mietintö, OM:n työryhmämietintöjä 2003:6 ja HE 153/2006 vp.)

- Rikoslakiin lisättiin uudet tietojärjestelmän häirintää ja tietoverkkorikosvälineen hallussapitoa koskevat säännökset. - Tietoverkkorikosvälineen levittämisen osalta aiempi sääntely laajennettiin kattamaan tietokonevirusten ja muiden vastaavien haittaohjelmien lisäksi myös tietomurtovälineet ja laitteet. - Pakkokeinolakiin lisättiin uudet datan takavarikkoa, säilyttämismääräystä ja tietojärjestelmän haltijan tietojenantovelvollisuutta koskevat säännökset.

Käytännössä em. uudistuksen myötä mm.:
- RL 38 lukuun lisättiin uusi 7 a § Tietojärjestelmän häirinnästä ja uusi 7 b § Törkeästä tietojärjestelmän häirinnästä. - RL 38 lukuun lisättiin uusi 8 a § Törkeästä tietomurrosta (aiemmin jo em. 8 § Tietomurrosta) - RL 34 luvun 9 a § Vaaran aiheuttamisesta tietojenkäsittelylle muutettiin siten, että se kattaa tietokoneviruksen ja vastaavan haittaohjelman levittämisen lisäksi myös muiden tietoverkkorikosvälineiden kuten tietomurto-ohjelmien, tietomurtolaitteiden ja salasanojen levittämisen. - RL 34 luvun uudessa 9 b §:ssä säädetään rangaistavaksi tietoverkkorikosvälineen hallussapito. - Lisäksi uudistuksia tekojen yrityksen ja yhteisövastuun osalta…..

Rikoslain uudistuksessa säädettiin myös lukuisten tunnusmerkistöjen osalta yrityskin rangaistavaksi:
RL 35 luvun 1 §:n 2 momentin mukainen Vahingonteko RL 38 luvun 5 §:n mukainen Tietoliikenteen häirintä 6 §:n mukainen Törkeä tietoliikenteen häirintä 7 §:n mukainen Lievä tietoliikenteen häirintä Samoin yritys on rangaistavaa nyt säädettyjen uusien tunnusmerkistöjen osalta: 7 a §:n mukainen Tietojärjestelmän häirintä 7 b §:n mukainen Törkeä tietojärjestelmän häirintä ja 8 a §:n mukainen Törkeä tietomurto

Rikoslain 38 luku, uusi 7 a § (laki 540/2007, tuli voimaan 1. 9. 2007)
7 a § Tietojärjestelmän häirintä Joka aiheuttaakseen toiselle haittaa tai taloudellista vahinkoa dataa syöttämällä, siirtämällä, vahingoittamalla, muuttamalla tai poistamalla taikka muulla niihin rinnastettavalla tavalla oikeudettomasti estää tietojärjestelmän toiminnan tai aiheuttaa sille vakavaa häiriötä, on tuomittava, jollei teosta muualla laissa säädetä ankarampaa tai yhtä ankaraa rangaistusta, tietojärjestelmän häirinnästä sakkoon tai vankeuteen enintään kahdeksi vuodeksi. Yritys on rangaistava

Rikoslain 38 luku, uusi 7 b § (lailla 540/2007, voimaan 1.9.2007)
7 b § Törkeä tietojärjestelmän häirintä Jos tietojärjestelmän häirinnässä 1) aiheutetaan erityisen tuntuvaa haittaa tai taloudellista vahinkoa tai 2) rikos tehdään erityisen suunnitelmallisesti ja tietojärjestelmän häirintä on myös kokonaisuutena arvostellen törkeä, rikoksentekijä on tuomittava törkeästä tietojärjestelmän häirinnästä vankeuteen vähintään neljäksi kuukaudeksi ja enintään neljäksi vuodeksi. Yritys on rangaistava.

Rikoslain 38 luku, uusi 8 a § (lailla 540/2007, voimaan 1.9. 2007)
8 a § Törkeä tietomurto Jos tietomurrossa 1) rikos tehdään osana 17 luvun 1 a §:n 4 momentissa tarkoitetun järjestäytyneen rikollisryhmän toimintaa taikka 2) rikos tehdään erityisen suunnitelmallisesti ja tietomurto on myös kokonaisuutena arvostellen törkeä, rikoksentekijä on tuomittava törkeästä tietomurrosta sakkoon tai vankeuteen enintään kahdeksi vuodeksi. Yritys on rangaistava.

Rikoslain 34 luvun 9 a § uudessa muutetussa muodossa (lailla 540/2007)
9 a § Vaaran aiheuttaminen tietojenkäsittelylle Joka aiheuttaakseen haittaa tai vahinkoa tietojenkäsittelylle taikka tieto- tai viestintäjärjestelmän toiminnalle tai turvallisuudelle 1) tuo maahan, valmistaa, myy tai muuten levittää taikka asettaa saataville a) sellaisen laitteen tai tietokoneohjelman taikka ohjelmakäskyjen sarjan, joka on suunniteltu tai muunnettu vaarantamaan tai vahingoittamaan tietojenkäsittelyä tai tieto- tai viestintäjärjestelmän toimintaa taikka murtamaan tai purkamaan sähköisen viestinnän teknisen suojauksen tai tietojärjestelmän suojauksen taikka b) tietojärjestelmän toiselle kuuluvan salasanan, pääsykoodin tai muun vastaavan tiedon taikka 2) levittää tai asettaa saataville ohjeen 1 kohdassa tarkoitetun tietokoneohjelman tai ohjelmakäskyjen sarjan valmistamiseksi, on tuomittava, jollei teosta muualla laissa säädetä ankarampaa tai yhtä ankaraa rangaistusta, vaaran aiheuttamisesta tietojenkäsittelylle sakkoon tai vankeuteen enintään kahdeksi vuodeksi.

9 b § Tietoverkkorikosvälineen hallussapito
Rikoslain 34 luvun uusi 9 b § (lailla 540/2007) 9 b § Tietoverkkorikosvälineen hallussapito Joka aiheuttaakseen haittaa tai vahinkoa tietojenkäsittelylle taikka tieto- tai viestintäjärjestelmän toiminnalle tai turvallisuudelle pitää hallussaan 9 a §:n 1 kohdan a alakohdassa tarkoitettua laitetta, tietokoneohjelmaa tai ohjelmakäskyjen sarjaa taikka b alakohdassa tarkoitettua salasanaa, pääsykoodia tai muuta vastaavaa tietoa, on tuomittava tietoverkkorikosvälineen hallussapidosta sakkoon tai vankeuteen enintään kuudeksi kuukaudeksi.

- Rikoslain em. Uudistuksen yhteydessä pakkokeinolain 4 luvun takavarikointia koskevia säännöksiä täsmennettiin (laki 541/2007): - Luvun 1 §:n takavarikon edellytyksiä koskevaa säännöstä sovelletaan jatkossa myös dataan eli tietokoneessa, tietojärjestelmässä tai sen tallennusalustalla olevaan tietoon. - 4 luvun uusi 4 a § asettaa tietojärjestelmän haltijalle ja ylläpitäjälle velvollisuuden antaa esitutkintaviranomaiselle takavarikon toimittamiseksi tarpeelliset salasanat ja muut vastaavat tiedot.

- Uusi 4 b § puolestaan antaa pidättämiseen oikeutetulle virkamiehelle mahdollisuuden määrätä sen, jonka hallussa tietty rikoksen selvittämisen kannalta relevantti data on, säilyttämään tämä data muuttumattomana. -- Sama koskee tietojärjestelmän välityksellä tapahtuneeseen viestin siirtämiseen liittyviä niin sanottuja liikennetietoja (tunnistamistietoja, välitystietoja). - Määräys ei oikeuta esitutkintaviranomaista saamaan tietoa säilytettävän datan sisällöstä, vaan tämä on mahdollista ainoastaan pitemmälle menevien pakkokeinojen perusteella

Rikoslain 38 luku Tieto- ja viestintärikoksista (578/1995)
1 § Salassapitorikos (578/1995) 2 § Salassapitorikkomus (578/1995) 3 § Viestintäsalaisuuden loukkaus (531/2000) 4 § Törkeä viestintäsalaisuuden loukkaus (578/1995) 5 § Tietoliikenteen häirintä (578/1995) 6 § Törkeä tietoliikenteen häirintä (578/1995) 7 § Lievä tietoliikenteen häirintä (578/1995) 7 a § Tietojärjestelmän häirintä (540/2007) 7 b § Törkeä tietojärjestelmän häirintä (540/2007) 8 § Tietomurto (578/1995) 8 a § Törkeä tietomurto (540/2007) 9 § Henkilörekisteririkos (525/1999) 10 § Syyteoikeus (578/1995) 11 § Menettämisseuraamus (1118/2001)

Huom! Eduskunta hyväksyi laajan esitutkinta-, poliisi- ja pakkokeinolainsäädäntöä koskevan uudistuksen, joka tuli voimaan Lait 805/2011 ja 806/2011 sekä 872/2011! Sillä tulee olemaan vaikutuksia myös tietoturvallisuutta koskevien tietoja viestintärikosten tutkinnassa. Säännöksiä mm. peitellystä tiedonhankinnasta, teknisestä laitetarkkailusta, tukiasematietojen hankkimisesta, tietolähteen ohjatusta käytöstä ja valvotusta läpilaskusta. Taustalla HE 222/2010 ja HE 224/2010 Muutoksia jo ennen lakien voimaantuloa: HE 14/2013 ja HE 16/2013 ????

Identiteettiohjelma Sisäasiainministeriö asetti vuonna 2008 henkilöllisyyden luomista koskevan hankkeen, jonka keskeisiä tavoitteita on määritellä ja kartoittaa: Valtion tehtävä henkilöllisyyksien luojana sekä vastuuviranomaiset Henkilöllisyyden määrittely Henkilöllisyyden turvaaminen ja identiteettivarkauksien ennaltaehkäiseminen Identiteettivarkauksien kriminalisoinnin tarpeen selvittäminen Henkilökortin ja passin tulevaisuuden käyttömahdollisuudet sekä tulevaisuuden muodot Biometriikan käyttömahdollisuudet ja toteuttamistavat Kts. Henkilöllisyyden luomista koskeva hanke (identiteettiohjelma). Työryhmän loppuraportti (SM:n julkaisu 32/2010), - saatavissa verkosta Pdf-muodossa. Huom! Ns. Identiteettivarkaus ei ole ollut aiemman lainsäädännön mukaan yksiselitteisesti rikos! Eri tunnusmerkistöjä kyllä löytynyt!!!

Oikeusministeriö julkisti 15.3.2013 arviomuistion:
Identiteettivarkaus: henkilöllisyyden luomista koskevan hankkeen (identiteettiohjelma) työryhmän loppuraportin arviointia ja ehdotuksia jatkotoimiksi. Kts. OM:n verkkosivuilta. Identiteettiohjelma oli hetken ”jäähyllä” ja seurattiin uusien säädöshankkeiden vaikutuksia: voimaan tulivat Pakkokeinolaki, Poliisilaki ja Esitutkintalaki - EU:n henkilötietoasetuksen valmistelu - European Commission´s Proposal for a Directive of the European Parliament and of the Council on attacks information systems and repealing Council Framework Decision 2005/22/JHA. Brussels.,  TIETOVERKKORIKOSDIREKTIIVI

Tietoverkkorikosdirektiivin täytäntöönpanosta ehdotus (1)
OM:n työryhmä sai toukokuussa 2014 valmiiksi ehdotuksen em. EU:n tietoverkkorikosdirektiivin edellyttämistä kansallisen lainsäädännön muutoksista. Mietintö löytyy ministeriön verkkosivuilta> (OM Mietintöjä ja lausuntoja 27/2014) Samassa yhteydessä ns. identiteettivarkaus kriminalisoitaisiin. Ministeriön työryhmämietintö oli lausuntokierroksella. Direktiivin edellyttämät kansalliset täytäntöönpanotoimet oli tehtävä viimeistään syyskuussa 2015.

Direktiivin tarkoituksena on puuttua uusiin uhkakuviin kuten laajamittaisiin tietoverkkohyökkäyksiin niin sanottuja bottiverkkoja käyttämällä sekä tietoverkkorikoksen yhteydessä tapahtuvaan henkilöllisyyden väärinkäyttöön. Työryhmän mukaan direktiivin edellyttämät muutokset rikoslakiin koskisivat erityisesti vaaran aiheuttamista tietojenkäsittelylle, vahingontekoa, viestintäsalaisuuden loukkausta, tietojärjestelmän häirintää ja tietomurtoa. Datavahingonteko ja törkeä datavahingonteko erotettaisiin itsenäisiksi kriminalisoinneiksi.

Datavahingonteon, viestintäsalaisuuden loukkauksen ja tietomurron enimmäisrangaistus nostettaisiin kahteen vuoteen vankeutta. Törkeän tietomurron enimmäisrangaistus puolestaan nostettaisiin kolmeen vuoteen vankeutta. Datavahingontekoa, tietoliikenteen häirintää ja tietojärjestelmän häirintää voitaisiin pitää törkeänä mm., jos rikoksessa on käytetty hyväksi bottiverkkoa, se on tehty rikollisjärjestön toiminnassa tai rikos on kohdistunut elintärkeään infrastruktuuriin. Törkeiden tekomuotojen enimmäisrangaistus olisi 5 vuotta.

Ehdotettu identiteettivarkautta koskeva kriminalisointi täydentää voimassa olevia säännöksiä esim. petosrikoksissa. Suomen lainsäädännössä ei siis ole ollut itsenäistä identiteettivarkautta koskevaa kriminalisointia, vaikkakin identiteettivarkauksiksi katsottavat tilanteet ovatkin monin paikoin huomioitu rikoslaissa. Tekijä voitiin aiemminkin tuomita esim. kunnianloukkauksesta, yksityiselämää loukkaavan tiedon levittämisestä, petoksesta, väärennyksestä, väärän henkilötiedon antamisesta tai rekisterimerkintärikoksesta. --- Nämä siis säilyvät edelleen.

Ehdotuksen mukaan identiteettivarkaudesta tuomitaan se, joka erehdyttääkseen kolmatta osapuolta oikeudettomasti käyttää toisen henkilötietoja, tunnistamistietoja tai muuta vastaavaa yksilöivää tietoa. Lisäksi teon on tullut aiheuttaa taloudellista vahinkoa tai muuta vähäistä suurempaa haittaa sille, jota tieto koskee. Taloudellista vahinkoa voisi syntyä esim. selvittelykuluina tilanteen korjaamiseksi. Vähäistä suurempaa haittaa voisi syntyä esim. tilanteissa, joissa asian selvittäminen ja oikaiseminen vaatii paljon vaivannäköä tai ei onnistu lainkaan.

Tilanteessa, jossa toisen henkilötiedoilla on tehty petoksia, saattaa tilanteen ja aiheettomien laskujen selvittäminen vaatia huomattavaa vaivannäköä siltä, jonka henkilötietoja on käytetty. Haittaa saattaisi joissakin tapauksissa syntyä myös silloin, kun internetin sosiaaliseen mediaan on luotu valeprofiili toisen henkilötiedoilla. Profiilin poistaminen voi osoittautua vaikeaksi. Tilanne saattaa myös edellyttää yhteydenottoja lukuisiin henkilöihin, jotka ovat kuvitelleet kommunikoivansa sen henkilön kanssa, jota identiteettitieto koskee. Identiteettivarkaus olisi asianomistajarikos eli syyttäjä ei voisi nostaa syytettä ilman asianomistajan rikosilmoitusta. Enimmäisrangaistus olisi sakkoa!!

OM julkisti Tietoverkkorikosdirektiivin täytäntöönpanoa koskevaa työryhmämietintöä käsittelevien lausuntojen tiivistelmän. Kts. OM:n mietintöjä ja lausuntoja 35/2014; saatavilla vain verkkoversiona. Lausunto pyydettiin 39 eri viranomaiselta, järjestöltä ja asiantuntijalta. Lausunto saapui 18 taholta. Hallituksen lakiesitys 232/2014 vp. vietiin eduskuntaan marraskuussa 2014…>

UUDISTUS TULI VOIMAAN Edellä esitelty tietoverkkorikosdirektiivin täytäntöönpanoon liittyvä muutosehdotus tuli voimaan syyskuussa 2015! Kts. tarkemmin Laki rikoslain muuttamisesta (368/2015) ja sen taustalla oleva Hallituksen esitys HE 232/2014 vp sekä eduskuntakäsittelyssä syntyneet asiakirjat, kuten valiokuntamietinnöt!

Tietoturvallisuus yksityisoikeudellisena vastuuperusteena
- Tietoturvallisuutta ja sen puutteista mahdollisesti syntyvää vastuuta on käsitelty useissa korkeimman oikeuden ennakkotapauksissa. - Ne koskevat tietoliikenteen tai tietotekniikan hyödyntämisestä ja toimivuudesta riippuvien suoritusten sopimuksenmukaisuutta sekä maksuliikenteen luotettavuutta ja turvallisuutta. - Oikeuskäytännöstä voidaan nähdä ratkaisulinja, jonka mukaan tietoturvallisuus ja sen osat luottamuksellisuus, eheys ja käytettävyys ovat suorituksen sopimuksenmukaisuuden arvioinnissa käytettäviä kriteerejä.

- Vastuu tietoturvallisuudesta ja sen puutteista (mukaan lukien tietojärjestelmän arkkitehtuurin mahdollistamat virheet) kuuluu pääsääntöisesti tietojärjestelmän ylläpitäjälle. - Tietoliikenteen ja tietojärjestelmien toiminnan jatkuvuudessa ilmenneet puutteellisuudet eivät lähtökohtaisesti ole suoritusvelvollisuudesta ja vastuusta vapauttava force majeure- peruste (ylivoimainen este). - Kuluttajavalituslautakunnan täysistuntokäytännössä tietojärjestelmän ylläpitäjän vastuuta järjestelmän toiminnan virheettömyydestä sekä velvoitetta virheettömyyden osoittamiseen asianmukaisilla kontrollitiedoilla ja muilla seikoilla kutsutaan järjestelmävastuuksi.

Tietoturvallisuus yksityisoikeudellisena vastuuperusteena
- KKO:n oikeuskäytännössä pankeille on yleisen maksuliikenteen järjestäjinä asetettu varsin laaja vastuu niiden tietojärjestelmien mahdollistamista virheistä. - Ennakkotapausten perusteluna KKO on käyttänyt maksuturvallisuuden käsitettä. - Vuonna 1999 säädetty tilisiirtolaki asetti vastuun virheellisistä tiedoista maksumääräyksen antajalle. -- Edelleen tulkintakysymyksiä löytyy esim. maksuliikenteen laatuvaatimuksista ja mm. pankin huolellisuusvaatimuksesta.

EU:n maksupalveludirektiivi 2007/64/EY
- Direktiivin tavoitteena on edistää EU:n sisämarkkinoiden toimintaa ja tehostaa maksujärjestelmiä luomalla ns. yhtenäinen eurooppalainen maksualue – Tämä edellyttää sekä maksupalveluntarjoajia että maksupalvelun sisältöä koskevien jäsenvaltioiden säännösten yhdenmukaistamista. - Meillä annettu voimaan tullut maksupalvelulaki (290/2010), jolla pannaan täytäntöön maksupalveludirektiivi siltä osin kuin on kysymys maksupalveluntarjoajien tiedonantovaatimuksista sekä maksupalvelujen tarjoamiseen ja käyttöön liittyvistä oikeuksista. - Maksupalveludirektiivi kumosi tilisiirtodirektiivin 97/5/EY ja Suomalainen maksupalvelulaki tilisiirtolain 821/1999. Kts. Lisätietoja myös HE 169/2009 vp.

HENKILÖSTÖTURVALLISUUS JA TURVALLISUUSSELVITYKSET
- Organisaatioiden tietoturvallisuuden kannalta heikko lenkki on usein henkilöstö. - Ongelmana voi olla tietämättömyys, välinpitämättömyys tai huolimattomuus. - Toisinaan tietoturvaloukkaukset ovat tietoisia ja tahallisia tekoja, joiden motiivina voi olla kosto, taloudelliset intressit, kiristys yms. - Henkilöstön kautta tapahtuviin tietoturvaloukkauksiin voidaan varautua ennakolta. - Yhtenä keinona tähän on henkilön sopivuuden arviointi.

Henkilön sopivuuden arviointi sisältää kaksi osaa:
Henkilön mahdollisesti aiheuttamien riskien arvioinnissa on arvioitava henkilön luotettavuutta, lojaaliutta, vastuullisuutta ja osaamista. Henkilön sopivuuden arviointi sisältää kaksi osaa: 1) henkilön arvioinnin ja taustaselvitykset 2) poliisiviranomaisen turvallisuusselvityksen Henkilön arvioinnissa voidaan ottaa huomioon: - työtehtäviin liittyvien säädösten tunteminen - henkilön yleinen koulutustaso - henkilön perehtyneisyys tehtävään - henkilön aiempi kokemus ja työhistoria - henkilön suosittelijoiden lausunnot - henkilön saama tietoturvakoulutus (VAHTI 2/2008, s. 38)

LAKI KANSAINVÄLISISTÄ TIETOTURVALLISUUSVELVOITTEISTA (588/2004)
- Laki tuli voimaan - Laissa säädetään viranomaisten toimenpiteistä kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi. - Lakia sovelletaan myös elinkeinonharjoittajaan ja tämän palveluksessa olevaan silloin, kun elinkeinonharjoittaja on sopimusosapuolena turvallisuusluokitellussa sopimuksessa tai osallistuu tällaista sopimusta edeltävään hankintakilpailuun tai toimii tällaisen elinkeinonharjoittajan alihankkijana. - Laissa tarkoitetaan kansainvälisellä tietoturvallisuusvelvoitteella sellaista Suomea sitovaan kansainväliseen sopimukseen sisältyvää määräystä sekä sellaista muuta Suomea koskevaa velvoitetta, jota Suomen on noudatettava ja joka koskee erityissuojattavan aineiston suojaamiseksi tarvittavia toimenpiteitä.

- Erityissuojattavalla tietoaineistolla tarkoitetaan sellaisia salassa pidettäviä asiakirjoja ja materiaaleja sekä asiakirjoista ja materiaaleista saatavissa olevia tietoja sekä näiden perusteella tuotettuja asiakirjoja ja materiaaleja, jotka kansainvälisen tietoturvallisuusvelvoitteen mukaisesti on turvallisuusluokiteltu. Erityissuojattavan tietoaineiston julkisuudesta säädetään julkisuuslaissa - Laissa tarkoitetaan turvallisuusluokitellulla sopimuksella sopimusta, jonka toisen valtion viranomainen tai siellä kotipaikkaansa pitävä yritys taikka kansainvälinen järjestö tai toimielin aikoo tehdä tai on tehnyt kansainvälisessä tietoturvallisuusvelvoitteessa tarkoitetulla tavalla Suomessa kotipaikkaansa pitävän elinkeinonharjoittajan kanssa, jos tarjouskilpailuun osallistuminen tai sopimuksen toteuttaminen voi edellyttää pääsyä erityissuojattavaan tietoaineistoon.

- Lain 4 §:n mukaan ulkoasiainministeriö toimii kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisessa Suomen kansallisena turvallisuusviranomaisena. -- Puolustusministeriö, pääesikunta ja suojelupoliisi voivat toimia kansainvälisissä tietoturvallisuusvelvoitteissa tarkoitettuina määrättyinä turvallisuusviranomaisina. -- Suojelupoliisi ja pääesikunta huolehtivat turvallisuusselvitysten laadinnasta siten kuin lain 11 ja 12 §:ssä säädetään - 11 §:n 1 momentin mukaan kansainvälisessä tietoturvallisuusvelvoitteessa edellytetyn henkilön luotettavuuden arvioinnin perusteena oleva turvallisuusselvitys tehdään siten kuin turvallisuusselvityksistä annetussa uudessa laissa ja sen nojalla säädetään. - 12 §:n 1 momentin mukaan pääesikunta huolehtii kansainvälisen tietoturvallisuusvelvoitteen perusteella tehtävistä elinkeinonharjoittajan luotettavuuden selvittämisestä (yhteisöturvallisuusselvitys)

Muuttunut turvallisuusselvitysmenettely

ALUKSI Suojelupoliisi teki vuonna turvallisuusselvitystä. Yrityksille ja yhteisöille turvallisuusselvityksiä tehtiin 6 500, poliisille ja sisäasiainhallinnolle 5000 ja muille viranomaisille 7000. Selvitys maksoi alkuvuodesta euroa.

VANHA LAKI TURVALLISUUSSELVITYKSISTÄ (177/2002)
- Laki tuli voimaan ja sillä korvattiin aiempi luotettavuuslausuntojen antamista koskenut menettely, joka perustui lähinnä poliisin henkilörekistereistä annetun lain niukkaan sääntelyyn. (ministeriön ohje -82 ja PolHenrekL -95) - Turvallisuusselvityslakia sovellettiin niihin turvallisuusselvityksiin, joita tehdään virkaan tai tehtävään hakeutuvista, tehtävään tai koulutukseen otettavista tai virkaa tai tehtävää jo hoitavista henkilöistä (1 §) Lakia täydensivät: - Sisäasiainministeriön asetus turvallisuusselvitysten hakemismenettelystä (710/2002) - Puolustusministeriön asetus turvallisuusselvitysten hakemisesta puolustusministeriön hallinnonalalla (711/2002) - Valtioneuvoston päätös turvallisuusluokitusten käyttöön otosta (930/2003) - Laki henkilötietojen käsittelystä poliisitoimessa (761/2003)

UUSI TURVALLISUUSSELVITYSLAKI (726/2014)
Tuli voimaan ; 64 §:ää. Lain rakenne: 1 luku Yleiset säännökset 2 luku Selvityksen kohteen asema ja oikeudet 3 luku Toimivaltaiset viranomaiset ja niiden harkintavallan ohjaus 4 luku Henkilöstöturvallisuusselvitys 5 luku Yritysturvallisuusselvitys 6 luku Turvallisuusselvitysmenettelyn päättäminen ja siitä saatujen tietojen käsittely 7 luku Turvallisuusselvitysrekisteri ja siihen liittyvä tietojenkäsittely 8 luku Turvallisuusselvityksen ja turvallisuusselvitystodistuksen voimassaolo 9 luku Erinäiset säännökset 10 luku Voimaantulo- ja siirtymäsäännökset

Turvallisuusselvityslaissa tarkoitetaan lain 3 §: mukaan
Henkilöstöturvallisuusselvityksellä henkilön nuhteettomuuden ja luotettavuuden varmistamiseksi kyseisessä laissa säädetyllä tavalla laadittavaa selvitystä. Yritysturvallisuusselvityksellä yrityksen ja sen vastuuhenkilöiden luotettavuuden, yrityksen tietoturvallisuuden tason sekä sitoumustenhoitokyvyn arvioimiseksi kyseisessä laissa säädetyllä tavalla laadittavaa selvitystä. Yrityksen vastuuhenkilöllä henkilöä, joka merkitään viranomaisen julkiseen rekisteriin yhtiömiehenä, vastuullisena yhtiömiehenä, toimitusjohtajana, yrityksen hallituksen jäsenenä tai varajäsenenä tai henkilönä, jolla on prokuura- ja nimenkirjoitusoikeus.

Turvallisuusselvitykset jaetaan edelleen kolmeen luokkaan:
1) Perusmuotoinen turvallisuusselvitys 2) Suppea turvallisuusselvitys 3) Laaja turvallisuusselvitys -- Kuten aiemminkin, siviiliasioissa perusmuotoisen ja laajan turvallisuusselvityksen laatiminen kuuluisi suojelupoliisille ja puolustushallinnon asioissa pääesikunnalle. -- Jatkossa suppeita turvallisuusselvityksiä laativat keskitetysti vain muutamat poliisilaitokset!

Taustaa ja keskeisiä muutoksia
Oikeusministeriön työryhmä jätti helmikuussa 2011 mietinnön Turvallisuusselvityslainsäädännön uudistaminen, OM 8/2011.– Tämä johti myöhemmin hallituksen esitykseen HE 57/2013! - Uudella lailla pyritään ehkäisemään yhteiskunnan haavoittuvuutta sekä suojaamaan yleisiä etuja, kuten valtion turvallisuutta, maanpuolustuksen etua sekä yleistä turvallisuutta, samoin kuin estämään merkittäviä yksityisiä taloudellisia vahinkoja.

Uusi laki laajentaa niitä tehtäviä, joissa toimivista henkilöturvallisuusselvitys on mahdollista laatia!!! Tällaisia ovat muun muassa yhteiskunnan toimivuuden kannalta välttämättömän infrastruktuurin hoitamiseen liittyvät tehtävät esimerkiksi energia-, vesi- ja elintarvikehuollossa sekä tietoliikenteessä riippumatta siitä, hoidetaanko niitä julkisella vai yksityisellä sektorilla. Esim. työskentely ydinvoimalassa, voimalaitoksessa, liikennekeskuksissa, lentokentillä jne…. Tällaisia olisivat myös arvokuljetuksiin liittyvät tehtävät sekä räjähdysaineiden valmistustehtävät.

Lailla halutaan parantaa selvityksen kohteen tiedonsaantioikeuksia ja asemaa:
Selvityksen tekemisestä tulisi ilmoittaa etukäteen jo esimerkiksi työnhakuilmoituksessa. Kuten aiemminkin, henkilöselvitystä ei saisi tehdä ilman henkilön kirjallista suostumusta. Yritysturvallisuusselvityksen laatimisen edellytyksenä on yrityksen suostumus.

Laissa säädetään varsin tarkkaan turvallisuusselvityksiä laadittaessa käytettävistä tietolähteistä
Henkilöturvallisuusselvitysten tietolähteet laajenevat hieman aiemmasta. Mahdollista on esim. epäiltyjen tietojärjestelmään sisältyvien keskusrikospoliisin ilmoittamien tietojen käyttäminen tietyin edellytyksin. Samoin ulkomaan viranomaisen rekisteriin talletettujen tietojen käyttäminen Kuten myös asianomaisen luvalla rahoitus- ja luottolaitoksista saatavien taloudellista asemaa koskevien tietojen käyttö laajoissa selvityksissä.

- Yritysturvallisuusselvitysten avulla selvitetään siis yrityksen vastuuhenkilöiden taustoja sekä yrityksen tietoturvallisuuden tasoa ja sitoumusten hoitokykyä. - Yritysturvallisuusselvitys voidaan laatia yrityksestä, joka toimii viranomaisen sopimuskumppanina ja saa luokiteltuja salassa pidettäviä tietoja. - Lain avulla menettely tulee mahdolliseksi sellaisissa viranomaisen hankinnoissa, jotka ovat jääneet julkisista puolustus- ja turvallisuushankinnoista annetun lain soveltamisalan ulkopuolelle.

18 § Turvallisuusvaatimusten toteuttaminen yleisenä edellytyksenä
Henkilöturvallisuusselvityksen laatimisen yleisenä edellytyksenä on, että hakija on rajoittanut teknisin ja muin toimenpitein pääsyä suojattaviin tietoihin sekä huolehtinut toimitilojen ja tietojärjestelmien suojaamisesta ja ryhtynyt muihin asianmukaisiin toimenpiteisiin tietoturvallisuuden sekä muiden turvallisuusjärjestelyjen toteuttamiseksi. Edellä 1 momentissa tarkoitettu vaatimuksen täyttyminen voidaan osoittaa tietoturvallisuuden arviointilaitoksista annetussa laissa (1405/2011) tarkoitetun hyväksytyn arviointilaitoksen antamalla todistuksella, viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1406/2011) mukaisesti annetulla todistuksella, turvallisuussuunnitelmalla tai muulla turvallisuusselvityksen tekemisestä päättävän toimivaltaisen viranomaisen hyväksymällä tavalla.

Turvallisuusselvityksistä pidetään jatkossa rekisteriä,
Pyrkimyksenä on estää tarpeettomien selvitysten laatiminen. Turvallisuusselvitysrekisteri ja poliisihallinnon sähköiset asiointipalvelut tulivat käyttöön vuoden 2016 aikana. Selvityksen perusteella voidaan antaa todistus henkilölle, joka työskentelee useissa erilaisissa suojattavissa kohteissa, kuten asennustehtävissä eri viranomaisissa. Menettelyn yhdenmukaisuuden edistämiseksi perustetaan oikeusministeriön yhteyteen uusi viranomainen nimeltään arviointikriteerilautakunta, jonka tehtävänä on esittää lain soveltamisen tueksi yleisiä tulkintasuosituksia turvallisuusselvityksiä laativille viranomaisille.

Tietoturvallisuusuhkat ja tietoturvallisuutta lisääviä teknisiä keinoja:
1) Salausmenetelmät --- Julkisen avaimen infrastruktuuri 2) Tunkeutumisen havaitsemis- ja estomenetelmät 3) VPN eli Virtuaalinen sisäverkko 4) Palomuuri 5) Virustorjunta

1) Salausmenetelmät - Salausmenetelmillä pyritään varmistamaan tietojen luottamuksellisuus, eheys ja kiistämättömyys. - Tavoitteena on salaus, jonka murtaminen kohtuullisessa ajassa ja kohtuullisin resurssein ei ole mahdollista. - Kohtuullinen aika ja resurssit riippuvat kussakin tapauksessa salattavan tiedon tärkeydestä. - Lähtökohtana ovat salausmekanismit, joiden murtaminen ei ole laskennallisesti järkevää. Menetelmiä, joiden murtaminen nykyisillä, hyökkääjän saatavissa olevilla laskentaresursseilla ei ole mahdollista, kutsutaan vahvoiksi salausmenetelmiksi. - Nykyisten tietokoneiden laskentakapasiteetti mahdollistaa vahvojen salausmenetelmien käytön tiedon suojauksessa. - Tietyt maat (esim. USA) asettavat lainsäädännössään rajoituksia käytettävän salauksen tasolle. Suomessa käytettävän salauksen tasoa ei ole rajoitettu lainsäädännön kautta.

- Salausmenetelmien kehittämisessä lähtökohta on, että salausmekanismin turvallisuus perustuu käytettyihin salausavaimiin ja että salausmekanismin salaisuus/julkisuus ei vaikuta mekanismin turvallisuuteen. - Tehokkaissa salausmenetelmissä salauksen purku onnistuu ainoastaan käymällä läpi koko salausmekanismin avainavaruus ja kokeilemalla kaikkia mahdollisia salausavaimia salauksen purkamiseen. - Yleensä mitä pidempi salausavain on, sitä vahvempi salaus on! - Jakaantuvat kahteen pääluokkaan: jonosalaukseen ja lohkosalaukseen. - Jonosalauksella tarkoitetaan salausta, jossa selväkielinen teksti salataan yleensä merkki kerrallaan. - Jonosalaajia käytetään lähinnä suurta nopeutta vaativissa reaaliaikaisissa sovelluksissa. - Lohkosalauksessa selväkielinen teksti salataan lohko kerrallaan. - Lohkosalausta käytetään yleisimmissä symmetrisissä ja epäsymmetrisissä salausalgoritmeissa.

Sähköpostin tietoturvallisuus
- Salaamaton sähköpostiviesti on kaikkien niiden luettavissa, jotka pystyvät kuuntelemaan/seuraamaan viestin välitykseen käytettävän verkon liikennettä. - Sähköpostiviestin luottamuksellisuus voidaan varmistaa salaamalla viestit ennen niiden lähettämistä. - Lisäksi sähköpostiviestit voidaan allekirjoittaa digitaalisesti, jolloin voidaan varmistua viestin lähettäjän henkilöllisyydestä sekä viestin välittymisestä lähettäjältä vastaanottajalle muuttumattomana (viestin alkuperäisyys ja eheys). - Jotta henkilöllisyys voidaan varmistaa luotettavasti, tulee käyttää varmenteisiin perustuvia allekirjoitusmenetelmiä. (kts. mm. Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista 617/2009)

- Julkisen avaimen salausta (ns
- Julkisen avaimen salausta (ns. epäsymmetrinen salaus) hyödyntävissä järjestelmissä viestin lähettäjä salaa viestin vastaanottajan julkisella avaimella. - Tällöin viestin saa avattua vain se, jolla on käytettävissään vastaanottajan yksityinen avain. - Vaikka jokin kolmas osapuoli onnistuisi kaappaamaan lähetetyn sähköpostiviestin, ei hän pysty lukemaan itse viestiä. - Digitaalisen allekirjoituksen avulla voidaan varmistaa viestin muuttumattomuus sekä viestin allekirjoittajan henkilöllisyys. - Viestin lähettäjä allekirjoittaa viestinsä omalla yksityisellä avaimellaan, jolloin vastaanottaja voi todeta viestin lähettäjän henkilöllisyyden viestin lähettäjän julkisen avaimen avulla.

- Sähköpostin salaamiseen ja allekirjoittamiseen on tarjolla useita kaupallisia ohjelmistoja.
- Yksi yleisimmin käytetyistä ohjelmistoista on ollut julkisen avaimen salaukseen perustuva PGP (Pretty Good Privacy). - PGP ei kuitenkaan takaa viestin lähettäjän ja hänen julkisen avaimensa yhteyttä. - Siten voi olla mahdollista, että viestin vastaanottajan tiedossa oleva lähettäjän julkinen avain ei kuulukaan lähettäjälle, vaan jollekin kolmannelle osapuolelle. - Yksi ratkaisu tähän ongelmaan ovat julkisen avaimen infrastruktuurissa (PKI, Public Key Infrastructure) käytetyt henkilövarmenteet, jotka sitovat käyttäjän ja hänen julkisen avaimensa luotettavasti toisiinsa.

Julkisen avaimen infrastruktuuri
- Julkisen avaimen infrastruktuuri (PKI, Public Key Infrastructure) on eräänlainen toimintamalli julkisten avainten ja varmenteiden hallinnointiin. - PKI:ssa hyödynnetään avainpareihin perustuvia epäsymmetrisiä salausmenetelmiä siten, että voidaan toteuttaa turvallisen sähköisen asioinnin perusteet: digitaalinen allekirjoitus allekirjoittajan yksityisellä avaimella ja viestien salaus vastaanottajan julkisella avaimella. - Olennainen osa PKI-toimintamallia on luottamus.

Jotta kaksi ennestään toisiaan tuntematonta osapuolta voisivat viestiä keskenään luottamuksellisesti, tarvitaan kolmas osapuoli varmistamaan näiden osapuolten henkilöllisyys. - PKI-toimintamallissa luottamus perustuu kolmantena osapuolena toimivaan varmentajaan, johon molemmat viestinnän osapuolet luottavat. - Varmentaja yhdistää myöntämässään varmenteessa julkisen avaimen ja sen haltijan toisiinsa. Tällöin luottamuksellinen viestintä ja digitaaliset allekirjoitukset onnistuvat, vaikka osapuolet eivät tuntisi entuudestaan.

Tunkeutumisen havaitsemis- ja estojärjestelmät
- Verkkotasolla toimivat tunkeutumisen havaitsemisjärjestelmät (IDS, Intrusion Detection System) sekä tunkeutumisen estojärjestelmät (IPS, Intrusion Prevention System) tutkivat verkkoliikennettä ja sen ominaisuuksia. - IDS-järjestelmien tarkoituksena on havaita mahdolliset tunkeutumisyritykset ja toimia ennalta määriteltyjen ohjeiden mukaisesti, jotta vältettäisiin vahinkojen syntyminen. - Jos tunkeutuminen havaitaan riittävän nopeasti, hyökkääjä voidaan tunnistaa ja poistaa järjestelmästä välittömästi. - Yleensä, mitä aiemmin hyökkäys todetaan, sitä vähemmän tuhoa aiheutuu…!

IDS-järjestelmät mahdollistavat myös tiedon keräämisen hyökkäystekniikoista.
- Tätä tietoa voidaan käyttää kehitettäessä yhä tehokkaampia estomenetelmiä. - Tunkeutumisen havaitseminen perustuu oletukseen, että tunkeutujan tai haittaohjelman aikaansaama verkkoliikenne poikkeaa oleellisesti normaalista liikenteestä. - Ei voida kuitenkaan olettaa, että ero normaalissa verkkoliikenteessä ja tunkeutujan tai haittaohjelman liikennöinnissä olisi suuri. - Laaja tulkinta johtaa useampien tunkeutujien kiinni saamiseen, mutta myös useampiin vääriin hälytyksiin. - Vastaavasti tiukka tulkinta johtaa pienempään määrään virhehälytyksiä, mutta samalla useampi tunkeutuja jää havaitsematta.

- Kaksi käytetyintä havaitsemistapaa tunkeutumisen havaitsemisjärjestelmissä ovat tilastollinen ja sääntöpohjainen havaitseminen. - Tilastolliseen havaitsemiseen tarvitaan tietokanta, johon on tallennettu otos normaalista verkkoliikennöinnistä. - - Analysoitavaa liikennettä verrataan tilastollisin testein tähän tietokantaan, josta voidaan päätellä, onko kyseessä tunkeutuja tai haittaohjelma vai normaali verkkoliikenne. - Sääntöpohjainen havaitseminen perustuu puolestaan joukkoon ennalta määriteltyjä sääntöjä, joilla yritetään tunnistaa, onko kyseessä tietyn haittaohjelman sormenjälki tai tunkeutujan käytös.

VPN - VPN (Virtual Private Network) voidaan suomeksi ilmaista sanoilla virtuaalinen sisäverkko, mikä tarkoittaa laitteisto- tai ohjelmistototeutuksena tehtävää ratkaisua, jolla organisaation sisäverkko voidaan ulottaa turvallisesti turvattoman julkisen verkon, kuten Internetin yli. - VPN-tekniikkaa käytetään yhdistämään joko kaksi tai useampia sisäverkkoja keskenään tai yksittäinen tietoliikennelaite, esim. etätyöntekijän tai yhteistyökumppanin työasema organisaation verkkoon.

- VPN:ssä siirrettävän tiedon suojaamiseen käytetään salausta, joka estää julkisessa verkossa välitettävän liikenteen sisällön paljastumisen kolmansille osapuolille. - Liikenteen salaamisen lisäksi VPN-ratkaisuissa liikennöivät osapuolet todennetaan vahvasti ennen yhteyden muodostamista. - Käytännössä VPN-yhteys muodostetaan tunneloimalla kaikki liikenne jonkin liikenteen salaavan protokollan (IPSsec, L2TP, PPTP) sisään.

Palomuuri - Palomuurit ovat joko ohjelmistoilla tai laitteistolla toteutettuja järjestelmiä, jotka valvovat tietoliikennettä verkkojen välillä. - Palomuureja käytetään yleisesti suojaamaan organisaation sisäverkkoa ulkoverkosta tulevilta hyökkäyksiltä sekä rajoittamaan liikennettä eri sisäverkkoavaruuksien välillä. - Palomuurin toiminnan perusedellytykset ovat, että kaikki verkkoliikenne kulkee sen läpi ja että palomuuri päästää lävitseen vain halutun kaltaisen verkkoliikenteen.

- Lisäksi palomuurijärjestelmän on oltava suojattu verkkohyökkäyksiltä, mikä tarkoittaa mm. sitä, että 1) palomuurilaitteisto on vikasietoinen, 2) laitteen kapasiteetti on riittävä verkkoliikenteen välittämiseen ja 3) palomuurin hallinta tapahtuu ainoastaan tietystä hallintaverkosta. - Palomuuri määrittelee verkkoliikenteelle yhden valvontapisteen, joka estää oikeudettoman liikennöinnin eri turvatasoilla olevien verkkojen välillä ja joka estää sisäverkon palvelujen käytön ulkoverkosta käsin. - Palveluihin kohdistuvien hyökkäysten lisäksi palomuuri estää useita erilaisia reititys- ja lähdeosoitteen väärennykseen perustuvia hyökkäystapoja. - Palomuuri tarjoaa myös mahdollisuuden verkkoturvallisuuteen liittyvien tapahtumien seuraamiseen, koska kaikki verkkoliikenne kulkee sen läpi. Esim. tapahtumalokeja ja hälytystoimintoja palomuurin yhteyteen…..

- Palomuuri toimii lisäksi varsinkin pienissä organisaatioissa myös muiden verkkopalveluiden alustana (esim. NAT, VPN, IDS) - Palomuurit eivät kuitenkaan suojaa kaikilta hyökkäyksiltä!! Hyökkääjä voi esim. käyttää hyväkseen palomuurin sallimassa palvelussa (esim. www-palvelin) olevaa tietoturva-aukkoa. - Palomuuri ei myöskään anna suojaa sellaisia hyökkäyksiä vastaan, joissa palomuuri kierretään tai ohitetaan. -- Esimerkkinä tästä huonosti toteutetun modeemisoittosarjan hyväksikäyttö. - Palomuuri ei puutu liikenteen sisältöön eli se ei estä haittaohjelmien siirtymistä ulkoverkosta sisäverkkoon tai toisinpäin!!!!!!!.

Virustorjunta - Perinteisillä työasemaan tai tiedostopalvelimeen tarkoitetuilla virustorjuntaohjelmistoilla on kaksi perustilaa: 1) staattinen tiedostojen tarkastustila ja 2) dynaaminen reaaliaikainen tila. - Staattinen tiedostojen tarkastustila on käyttökelpoinen esim. silloin, kun tarkastetaan, onko levykkeellä tai kovalevyllä saastuneita tiedostoja. - Reaaliaikainen tila puolestaan estää tiedostojen saastumisen, koska virustorjuntaohjelmisto tarkastaa tiedoston ennen kuin käyttäjä saa sen auki. - Virustorjuntaohjelmisto voidaan säätää toimimaan eri tavoin sen löytäessä saastuneen tiedoston. Mahdollisia toimintatapoja ovat esim. tiedoston puhdistus tai karanteeniin asettaminen. - Haittaohjelmien yleistyessä myös virustorjunta on siirtynyt osaksi verkkopalveluita.

- Erityisesti sähköpostipalvelimissa, tiedostopalvelimissa ja www-välityspalvelimissa, jotka vastaanottavat liikennettä ulkoverkosta tai käyttäjien työasemilta, käytetään virustorjuntaohjelmistoja. -- Sähköpostiliikenteestä poistetaan jo sähköpostiliikenteen vastaanottavalla palvelimella sellaiset sähköpostiviestit, jotka sisältävät haittaohjelmia. Virukset tai muut haittaohjelmat eivät näin pääse kohdekoneelle asti aiheuttamaan vahinkoa. - Joka kuukausi ilmestyy kymmeniä, jopa satoja uusia haittaohjelmia. (Netissä nyt yli haittaohjelmaa…) - Siksi on tärkeää päivittää virustorjuntaohjelmiston virustietokannat säännöllisesti, jotta torjuntaohjelma voisi suojata näiltä uusilta ja muilta haittaohjelmilta. - Lähes kaikki uusia tartuntoja aiheuttavat sähköpostin mukana kulkevat virukset ovat viimeksi kuluneen vuoden aikana vasta ensimmäisen kerran havaittuja.

Tietoverkkohyökkäykset:
- Tietoverkkoihin kohdistuvat erilaiset hyökkäykset ovat yleistyneet viime vuosina. - Verkottuminen sekä tietojärjestelmien kehitys ovat omalta osaltaan edesauttaneet hyökkääjien toimintaa. - Nopeat Internet-yhteydet, suoritintehojen kasvu ja levykapasiteetin lisääntyminen ovat kasvattaneet tietojärjestelmien kykyä suoriutua tämän päivän vaatimuksista. - Toisaalta ne ovat myös lisänneet potentiaalisten hyökkäyskohteiden määrää ja hyökkäysten kiinnostavuutta. - Hyökkäyskohteiden määrän kasvu on voitu nähdä esim. kotikäyttäjiin kohdistuvien hyökkäysten kasvuna.

- Hyökkäykset ovat yhä useammin automatisoituja ja laajoja.
- Lisäksi hyökkäyksillä tavoitellaan yhä usein taloudellista hyötyä, yleensä ottamalla hallintaan suuria määriä tietojärjestelmiä käytettäväksi esim. roskapostin välitykseen tai palvelun-estohyökkäyksiin. - Hyökkäyksiin varautuminen ja niiden ennaltaehkäisy vaatii tietoa ja ymmärrystä tietoverkkoihin kohdistuvista uhkista. - Ennen kaikkea tietoturvallisuus on asennekysymys ja siksi on tärkeää, että uhkiin suhtaudutaan vakavasti. - Toimenpiteet hyökkääjiä vastaan tulisi olla ennakoivia ja aktiivisia. - Tietoverkkohyökkäyksiä on monenlaisia ja uusi muotoja kehitetään jatkuvasti!!!

Tietoverkkohyökkäysten tyypit
Hyökkäystyyppejä on erilaisia. Käytetty hyökkäystyyppi riippuu usein hyökkääjän motiivista ja tavoitteista. Hyökkäystyypit voidaan jakaa esim. seuraavan luettelon mukaisesti: Palvelunestohyökkäys, jossa hyökkääjä pyrkii hidastamaan, vaikeuttamaan tai estämään kohteensa toimintaa. Luvaton käyttö, jossa hyökkääjä luvatta käyttää kohteen resursseja hyödykseen. Tietomurto tai tiedon varastaminen, jossa hyökkääjä anastaa hyökkäyksen kohteen tietoja.

Tietoverkkohyökkäyksien tekniikat
Hyökkääjällä on käytössään useita eri tapoja saavuttaakseen tavoitteensa. Menetelmien käyttö riippuu aina kohteesta sekä sen käyttämistä ohjelmistoista ja palveluista. Hyökkäystapoja ovat esimerkiksi: Kohteen verkkotiedustelu (host scanning) Käyttäjän manipulointi (social engineering) WAR dialer Salasanojen murtaminen Puskurin/Syötteen ylivuoto (Buffer overflow/ Input validation) Hyökkäys verkkoprotokollaa vastaan Kuormitushyökkäys (Flooding) Haittaohjelmat (Malware) Domainin kaappaus (Domain hijacking/ DNS spoofing) Reitityksen väärentäminen (ARP spoofing) Lähdeosoitteen väärentäminen (IP spoofing)

Haittaohjelmat - Haittaohjelmia ovat esim. virukset, Troijan hevoset ja madot. - Yleisesti haittaohjelmalla tarkoitetaan sellaista ohjelmaa, jonka tarkoituksena on aiheuttaa tietojärjestelmissä ei-toivottuja tapahtumia. - Myös sellaisia ohjelmia, jotka aiheuttavat tahattomasti haittaa tietojärjestelmille kutsutaan toisinaan haittaohjelmiksi.

- Haittaohjelmien lisäksi on olemassa myös uhkia, jotka eivät varsinaisesti ole tarkoitettu aiheuttamaan vahinkoa, mutta aiheuttavat kuitenkin päänvaivaa käyttäjille. - Tällaisia uhkia ovat erityisesti huijausviestit (hoax), vakoilu- ja mainosohjelmat sekä erilaiset pilailuohjelmat. - Hoax-käsitteellä tarkoitetaan perusteetonta varoitusta esim. viruksien leviämisestä. Näitä huijausviestejä lähetetään yleensä sähköpostitse. - Viesteissä pyritään huijaamaan käyttäjä lähettämään viesti eteenpäin mahdollisimman monelle vastaanottajalle, mikä voi tukkia tietojärjestelmiä.

- Spyware-ohjelmat ovat ohjelmistoja, jotka tutkivat tietojärjestelmän tiedostoja.
- - Nämä tiedot lähetetään eteenpäin Spyware-ohjelmistossa määritettyyn osoitteeseen. - Spyware-ohjelmistoja voidaan käyttää apuna esim. ohjelmistojen käyttäjien kartoituksessa tai hyökkäyksen valmistelussa. - Näitä vakoiluohjelmistoja jaetaan tavallisesti tietyillä joilla käyttäjä yritetään saada lataamaan ja asentamaan vakoiluohjelmisto.

- Mainosohjelmat ovat tavallisesti sovelluksia, joiden vapaa käyttö perustuu säännölliseen mainosten katseluun. - Tietyt mainosohjelmat näyttävät sovellusta asennettaessa lisenssisopimuksen ja vaativat käyttäjän suostumusta ohjelman asentamiseen, jolloin käyttäjä periaatteessa hyväksyy ohjelmiston toiminnan. SEURAAVAKSI JOITAIN ESIMERKKEJÄ TYYPILLISIMMISTÄ HAITTAOHJELMISTA:

VIRUKSET - Virukset ovat itseään monistavia ohjelmia, jotka leviävät kiinnittyneinä tietojärjestelmän muihin isäntäohjelmistoihin. - Avoin tietoliikenneverkko, kuten Internet, tarjoaa niille oivan leviämisalustan ympäri maapallon. - Virukset voivat heikentää tietojärjestelmien tietojen käytettävyyttä, eheyttä ja luottamuksellisuutta, eli ne voivat tuhota, muuttaa tai muokata tietojärjestelmien sisältämiä tietoja. - Virukset voivat myös haitata tietojärjestelmän muuta toimintaa, kuten hidastaa tai vaikeuttaa tietojärjestelmän tai käyttöjärjestelmän toimintaa. - Virus tarvitsee levitäkseen isäntäohjelmiston, johon kiinnittyneenä virus leviää. Isäntäohjelmistoja voivat olla makrot tekstinkäsittelyohjelmissa tai suoritettavat ohjelmat.

TROIJAN HEVOSET - Troijan hevosella tarkoitetaan ohjelmaa, johon on sisällytetty käyttäjälle vahingollisia toiminnallisuuksia, joista käyttäjä ei ole tietoinen. - Esimerkkinä tällaisesta toiminnallisuudesta on ns. takaporttiominaisuus, joka mahdollistaa tunkeutumisen kohteeseen ohittamalla ns. normaalit käyttäjäntodennusmenetelmät. - Troijalainen ei viruksista ja madoista poiketen leviä itsenäisesti. - Troijan hevoset leviävät kuitenkin usein virusten mukana. - Nimitys tulee Antiikin Kreikan Homeroksen tarinasta Troijan sodasta, jossa piirittäjät jättivät lähtiessään valtavan puuhevosen piirittämänsä kaupungin eteen. Sisälle oli kätkeytynyt sotilaita. Troijalaiset vetivät puuhevosen kaupunkiin ja yöllä hevosen sisällä olleet sotilaat avasivat portit tovereilleen. Kaupunki vallattiin ja hävitettiin.

MADOT - Madot ovat ohjelmia, jotka leviävät automaattisesti verkkoyhteyksien yli eivätkä tarvitse toimintaansa varsinaista isäntäohjelmaa. - Madot hyödyntävät kuitenkin usein tartuttamaansa järjestelmää, esim. etsimällä järjestelmästä sähköpostiosoitteita ja lähettämällä itsensä kaikkiin näihin osoitteisiin. - Perinteisesti madot ovat levinneet hyödyntämällä virheellisesti määriteltyjä tai tietoturvahaavoittuvuuden sisältäviä verkkopalveluita. - Nykyisin matojen leviämisen kannalta houkuttelevia ovat jatkuvasti verkossa laajakaistayhteydellä kiinni olevat, päivittämättömät kotitietokoneet, joissa on päällä paikkaamattomia tietoturvahaavoittuvuuksia sisältäviä verkkopalveluita.

- Madot leviävät myös sähköpostitse joko sähköpostin liitetiedostona tai itse viestissä.
- Sähköpostiviestin liitteenä leviävien matojen aktivointiin vaaditaan yleensä liitetiedoston avaaminen, mutta joskus mato voi aktivoitua jo viestiä esikatseltaessa. - Aktivoiduttuaan mato etsii kohdekoneesta sähköpostiosoitteita, joihin se voi levittää itseään eteenpäin. - Tietyt madot käyttävät lisäksi useita leviämismekanismeja, kuten yhdistelmää sähköpostileviämisestä, haavoittuvien verkkopalveluiden hyödyntämisestä ja leviämisestä avoimiin levyjakoihin.

TIETOTURVALLISUUTTA KÄSITTELEVÄÄ tai SIVUAVAA KIRJALLISUUTTA JA MATERIAALIA:
Tuomas Pöysti: Tietoturvallisuus. Artikkeli teoksessa Encyclopaedia Iuridica Fennica (EIF). Osa VII. Oikeuden yleistieteet. (1999) Sanna Helopuro – Juha Perttula – JuhaPekka Ristola: Sähköisen viestinnän tietosuoja. Talentum. Helsinki 2009. Asko Lehtonen: Oikeudellinen vastuu tietokoneviruksen aiheuttamasta vahingosta. Oppimateriaali Vaasan yliopiston talousoikeuden laitoksen verkkosivuilla. Antti Pihlajamäki: Tietojenkäsittelyrauhan rikosoikeudellinen suoja. Datarikoksia koskeva sääntely Suomen rikoslaissa. Suomalaisen Lakimiesyhdistyksen julkaisuja A-sarja N:o 258. Gummerus. Jyväskylä (väitöskirja) Risto Heinonen: Identiteetin väärinkäytökset lisääntyvät internetin käytön myötä. Tietosuoja 2/2005, s Xingan Li: Cybercrime and Deterrence. Turun yliopisto (väitöskirja)

Lisäinformaatiota tietoturvallisuudesta eri verkkosivuilla:
Viestintävirasto Väestörekisterikeskus Tietosuojavaltuutetun toimisto - esim. Hyvä tietää-sarja (huijaussähköposti, pharming jne….) ENISA Liikenne- ja viestintäministeriö Oikeusministeriö Sisäasiainministeriö Valtiovarainministeriö Kuluttajavirasto Tietoturvakoulu

CERT-FI (www.cert.fi); Nyt osa Kyberturvallisuuskeskusta
- Viestintävirastossa toimiva tietoturvaloukkauksiin ja niiden ennaltaehkäisyyn keskittyvä ryhmä (Computer Emergency Response Team FICORA). - Pyrkii toiminnassaan toteuttamaan yleisen CERT-toiminnan periaatteita sekä edistämään tietoyhteiskunnan turvallisuutta. - CERT-toiminnalla tarkoitetaan tietoturvaloukkausten ennaltaehkäisyä, niiden havainnointia ja ratkaisua sekä tietoturvauhkista tiedottamista. - CERT-FI toimii yhteistyössä kansallisten ja kansainvälisten CERT-toimijoiden sekä elinkeinoelämän ja julkishallinnon edustajien kanssa. - Viestintävirasto koordinoi myös CERT-työryhmää, joka toimii eri toimijoiden yhteistyöelimenä tietoturvaloukkausten havainnoinnin ja ratkaisun alueilla.

Sen tehtävinä on mm:………
CERT-FI vastaanottaa teleyrityksiltä tulevat tietoturvaloukkauksia ja niiden uhkia koskevat ilmoitukset. Sen tehtävinä on mm:……… * toteuttaa valtakunnallista tapahtumaseurantaa, dokumentointia ja tilastointia * muodostaa ja ylläpitää tilannekuvaa informaatiouhkista ja tiedottaa havainnosta * antaa suosituksia, neuvontaa ja ohjeistuksia tietoturvallisuuden kehittämiseksi * jakaa ennalta ehkäisevää tietoutta tietoturvaloukkauksista * antaa apua tietoturvaongelmien ratkaisemisessa * toimia yhteistyössä laite-, verkkoja ohjelmistotoimittajien kanssa * huolehtia yhteydenpidosta poliisiin ja muihin viranomaisiin sekä koordinoida tietoturvallisuusyhteistyötä * seurata ja analysoida informaatiouhkiin liittyvää kansainvälistä ja muuta kehitystä * hoitaa kansainväliset viranomaisyhteydet CERT-toiminnassa

CERT-FI antaa apua tietoturva-asioissa
CERT-FI antaa apua tietoturva-asioissa. Se kehottaa ottamaan yhteyttä organisaatioon esim. seuraavissa tilanteissa: ¤ Internetin infrastruktuuriin, kuten nimipalveluihin ja runkoverkkoon kohdistuvissa hyökkäyksissä sekä niiden yrityksissä; ¤ automaattisissa ja laajalle levinneissä Internet-sivustoille kohdistuneissa hyökkäyksissä sekä niiden yrityksissä ¤ televerkkoon kohdistuvissa vakavissa hyökkäyksissä sekä niiden yrityksissä ¤ uuden tyyppisten hyökkäystapojen havainnoinnissa ja käytön yrityksissä ¤ yksityisten henkilöiden, yrityksien, organisaatioiden tai hallinnon tietojärjestelmiin kohdistuneissa tietoturvaloukkauksissa tai niiden yrityksissä

Euroopan verkkoja tietoturvavirasto (ENISA)
- ENISA toimii osaamiskeskuksena EU:n jäsenvaltioille ja toimielimille, jotka tarvitsevat erityisneuvontaa verkkoja tietoturva-asioissa. - ENISA auttaa jäsenvaltioita, EU:n toimielimiä ja yritysmaailmaa ehkäisemään ja käsittelemään verkkoja tietoturvaan liittyviä ongelmia sekä löytämään niihin ratkaisut. Tätä varten ENISA keskittyy: 1. neuvomaan ja auttamaan komissiota ja jäsenvaltioita tietoturvaan liittyvissä asioissa ja etsimään ratkaisuja laitteistoissa ja ohjelmistoissa esiintyviin tietoturvaongelmiin yhdessä alan yritysten kanssa. 2. keräämään ja analysoimaan tietoa Euroopassa esiintyvistä tietoturvaongelmista ja -riskeistä

Lisätietoja: http://www.enisa.europa.eu
3. kehittämään riskinarviointi- ja riskinhallintamenetelmiä ja parantamaan näin valmiuksiamme hallita tietoturvaan kohdistuvia uhkia 4. vaihtamaan tietoja parhaista käytännöistä tietoturva-alan toimijoiden välisten tiedotustoimien ja yhteistyön avulla, erityisesti kehittämällä julkisen ja yksityisen sektorin kumppanuuksia tämän alan yritysten kanssa. 5. seuraamaan verkkoja tietoyhteiskuntaa liittyvien tuotteiden ja palvelujen standardointikehitystä ENISA:n toiminnan oikeudellisena kehyksenä on Euroopan parlamentin ja neuvoston asetus (EY) N.o 460/2004. Lisätietoja:

- oikeudellisesta näkökulmasta Kevät 2018

Samankaltaiset esitykset

Esitys aiheesta: "- oikeudellisesta näkökulmasta Kevät 2018"— Esityksen transkriptio:

Samankaltaiset esitykset

Projektista

Palaute

Kirjaudu sisään

Kirjaudu sisään sosiaaliverkostojen kautta:

- oikeudellisesta näkökulmasta Kevät 2018

Samankaltaiset esitykset

Esitys aiheesta: "- oikeudellisesta näkökulmasta Kevät 2018"— Esityksen transkriptio:

Samankaltaiset esitykset

Projektista

Palaute