Tietosuoja 4/2013 - Lehtiluukku.fi

Haluatko ostaa tämän lehden?

Vaikuttaako lehti kiinnostavalta? Voit lukea koko lehden valitsemalla "Lisää ostoskoriin". Mukavia lukuhetkiä!

Olet esikatselutilassa. Lue koko lehti

tietoturvan ja tietosuojan erikoislehti 4 • 2013 15€ Työnhakijan yksityisyys vaakalaudalla Näin suojaat tietosi urkinnalta Hyvä hallinto ja pilvipalvelut: vaikea yhtälö. timo valli: Valtio tarvitsee lisää kyberosaamista
olli häkämies 4 • 2013 20 Sisältö 4 Pääkirjoitus 5 Lyhyesti 7 Miten on. 8 Henkilöarvioinneissa syynissä on soveltuvuus, ei persoonallisuus 14 Asianosaisjulkisuus on vaikea pala oikeusasteissakin 15 Kolumni 16 Asiantuntijalta Hyvä hallinto koskee myös pilvipalveluita Tomi Voutilainen 18 Rekisteröi tämä Tuhansien yhdistysten rekisteri olli häkämies 19 Kysy meiltä 20 Timo Valli Bitit uuteen järjestykseen 24 Lait ja säädökset 26 Entä jos meille murtaudutaan. tietosuoja 4 • 2013. 8 Tietoturvan ja tietosuojan erikoislehti Marraskuu 2013 Julkaisijat Patentti- ja rekisterihallitus Tietosuojavaltuutetun toimisto Tietosuojalautakunta Viestintävirasto Päätoimittaja Hanna Tamminen, Viestintävirasto hanna.tamminen@ficora.fi Toimitussihteeri Päivi Männikkö, Stellatum Oy paivi.mannikko@stellatum.fi Toimituspäälliköt Eija Kara, tietosuojavaltuutetun toimisto, eija.kara@om.fi Anna Lauttamus-Kauppila, Patentti- ja rekisterihallitus, anna.lauttamus-kauppila@prh.fi Ulkoasu Tarja Salonen, Sininen Arkki Oy tarja.salonen@sininenarkki.fi Kannen kuva Olli Häkämies 2
tietosuoja-lehti.fi 29 Näkökulma Isoveljen bonus 42 30 Tietoturvan opastaja 33 Lautakunnasta kuuluu 34 Internetissä näppäimilläkin on korvat 37 Gallup Havaitse ja reagoi ajoissa 38 Tietopääoma kannattaa suojata 41 Ilmiö numeroina 42 Edunvalvonta lisää itsemääräämisoikeutta maija nyman 45 Selailtua 46 Verkkolehdessä ja seuraavassa numerossa 38 Olen luvannut olla sanomatta ’ei’. shutterstock 30 Kustantaja Stellatum Oy Purotie 1 B 00380 Helsinki Ilmoitusmarkkinointi Anne Paavilainen, Stellatum Oy puh. 0400 435 636 anne.paavilainen@stellatum.fi 25. vuosikerta ISSN 0786-5767 Painopaikka Hämeen kirjapaino Oy LIINPAIN PA RAARLAI A UT UT HIILIN E HIILIN E Toimituskunta Pasi Hänninen ja Erika Leinonen, Viestintävirasto Lauri Karppinen, tietosuojavaltuutetun toimisto Olli Ilmarinen, Patentti- ja rekisterihallitus sekä toimituspäälliköt 441441 209209 Painotuote Painotuote E UOT OT OTE U OT Toimitusneuvosto puheenjohtaja, Reijo Aarnio Sari Laine-Lassila, FiCom ry Jukka Ihanus, Stellatum Oy Eila Ratasvuori, Helsingin kaupunki Ahti Saarenpää, Lapin yliopisto Anu Talus, oikeusministeriö ja toimituspäälliköt ClimateCalc ClimateCalc CC-000025/FI CC-000025/FI HÄMEEN HÄMEEN KIRJAPAINO KIRJAPAINO OYOY tietosuoja 4 • 2013 3
Pääkirjoitus 4 • 2013 Saanko hyötyä omista tiedoistani. Meidän pitää kuluttajina vaatia palvelun tarjoajilta sekä työkalujen ja ohjelmistojen kehittäjiltä enemmän tietoa palvelujen turvallisuudesta, alihankkijoiden taustoista ja sovellettavasta lainsäädännöstä sekä lisää valtaa omien tietojemme käyttöön. Niin ikään seminaarissa puhuneen EFFin varapuheenjohtajan Ville Oksasen mukaan tilanne hämärtyy entisestään tulevaisuudessa, kun esineitten internet on arkipäivää. Laitteistot ja ohjelmistot keräävät meistä aina vain enemmän tietoa, mutta kuka kontrolloi työkalujen ja ohjelmistojen kehittämistä. tavallisen ihmisen näkökulma tietojen keräämiseen ja käyttöön. Vielä useammin hämäräksi jää, kenelle kuluttaja tietonsa oikeastaan antaa, ja kuka vastaa sopimuksesta sekä tietojen luotettavasta käytöstä sopimuskauden ajan. Mitä tiedoille tapahtuu, kun sopimussuhde palveluntarjoajan kanssa päättyy. Magnus Löfving K äsite ”My Data” eli oikeus omiin tietoihin ja niiden uudelleen käyttöön on saanut entistä enemmän jalansijaa valistuneiden kuluttajien mielissä. Anna Lauttamus-Kauppila Patentti- ja rekisterihallituksen viestintäjohtaja 4. tietosuoja 4 • 2013. Viime aikojen urkintapaljastusten yhteydessä on noussut esiin myös nk. Petteri Järvinen viittaa tämän lehden kolumnissaan päivittäistavarakaupan hallinnoimaan tietomassaan asiakkaitten ostokäyttäytymisestä. Olisiko minulle S-ryhmän asiakasomistajana siis hyötyä siitä, että saisin itsestäni kerääntyneen tiedon käyttööni esimerkiksi perheemme elintapojen ja rahankäytön analysointia varten. KKV:n ylijohtaja Päivi Hentunen toi seminaariesityksessään selkeästi esille, miten jopa niinkin tavanomaisessa asiassa kuin puhelin- tai nettiliittymän hankinnassa kuluttajalle saattaa jäädä epäselväksi se, kenen kanssa sopimus loppujen lopuksi tehdään. Meidän pitää vaatia lisää valtaa omien tietojemme käyttöön. Se, miten esimerkiksi älyjääkaappimme keräämää dataa ruokailutottumuksistamme käytetään, on lähes täysin hallintamme ulottumattomissa. Tietosuojavaltuutetun toimiston, Viestintäviraston ja Kilpailu- ja kuluttajaviraston (KKV) seminaarissa marraskuussa yritettiin hahmottaa kuluttajan mahdollisuuksia selviytyä palvelujen viidakossa erityisesti omien tietojen suojan ja niiden hallinnan kannalta. Monta simppeliä kysymystä, joihin ei kuitenkaan ole helppoa saada vastauksia. Entä minkä maan lakeja sovelletaan, jos suomalaisen toimijan alihankkija onkin ulkomainen yritys. Ja hyvä asiakastyytyväisyys on hyvää bisnestä, eikö vain. Kun kerran tietojani joka tapauksessa kerätään ja säilytetään, miksen voisi hyödyntää itsestäni varastoituja tietoja omaksi hyväkseni. Päivi Hentusen sanoin: kuluttajan hämmennyksen ja epäluulon minimointi edistää luottamusta ja kohentaa asiakastyytyväisyyttä. Ja entäpä jos Google luovuttaisi minulle koko hakukonehistoriani! Kutkuttava ajatus
den 2014 aikana ja yksityiset palveluntuottajat viimeistään vuonna 2015. Heistä reilu puolet kuului yrityksensä tietohallintojohtoon ja reilu kolmannes ylimpään tai liiketoiminnan johtoon. Potilas voi tarkastella verkkosovelluksessa (Omakanta), mitä tietoja hänestä on tallennettu arkistoon, ja mitkä yksiköt ovat hakeneet niitä. Muut julkisen terveydenhuollon yksiköt liittyvät arkistoon vuo- Kesällä paljastunut USA:n ja sen liittolaismaiden harjoittama salakuuntelu on hätkähdyttänyt maailmaa, mutta suomalaisyritysten käytäntöihin sillä ei ole ollut merkittäviä vaikutuksia. www.kunnat.net/lakiasiat > Julkisoikeus > Julkisuus ja tietosuoja mista yksikön pitää päivittää potilastietojärjestelmänsä ja kouluttaa henkilöstönsä. Terveydenhuollon toimintayksikkö käyttää potilastiedon arkistoa oman potilastietojärjestelmänsä kautta. shutterstock Lyhyesti Verkkovakoilu ei hätkäytä johtajia Potilastietoarkiston käyttö alkaa Kansallisen potilastietoarkiston käyttöönotto edistyy. Kuntaliiton laatima muistio neuvoo kuntia pilvipalvelujen tietosuojakysymyksissä. Vastanneista puolet on tyytynyt seuraamaan tilannetta mutta ei usko urkintaskandaalin vaikuttavan oman yrityksensä toimintaan millään tavalla. Joka viidennen vastaajan yrityksessä verkkovakoilu-uutisiin on reagoitu lisäämällä ohjeistusta tai esimerkiksi arvioimalla riskejä. Aluksi arkistoon tallennetaan suurin osa potilaan jatkuvaa potilaskertomusta, kuten diagnoosit sekä riski-, rokotus- ja lääkitystiedot. Itä-Savon sairaanhoitopiiri on aloittanut potilastietojen tallentamisen arkistoon marraskuussa. Paljastuneen vakoilun laajuus ei yllättänyt vastaajia. Noin puolet vastanneista on kuitenkin sitä mieltä, että heidän henkilökohtainen luottamuksensa tietoverkkojen yksityisyyteen on kärsinyt. Ennen arkiston käytön aloitta- Kuntien pilvipalveluiden käytön odotetaan lisääntyvän lähivuosina kustannussäästöjen takia. Potilas voi myös kieltää tietojensa luovuttamisen joko kokonaan tai tietyn käynnin osalta. Jos potilas antaa suostumuksensa, hänestä arkistossa olevia hoitotietoja voidaan käyttää yli terveydenhuollon organisaatiorajojen. Vajaa kolmannes odottaa EU:n ja lainsäätäjän toimia. Kyselyyn vastasi 86 henkeä. Tietoturvan konsulttiyritys Nixu kysyi elo-syyskuussa 500 suurimman suomalaisyrityksen vastuuhenkilöiltä, miten amerikkalaisten harjoittaman verkkovakoilun paljastuminen on vaikuttanut heihin ja heidän yrityksensä toimintaan. tietosuoja 4 • 2013 5. Vuoteen 2016 mennessä arkistoa täydennetään muun muassa hammashoidon asiakirjoilla
Suomalaisia palvelimia, joissa tosta on löytynyt noin 560 aktiivista olisi aktiivinen takaovi, ei ole toistai- palvelimen takaovea, jotka voivat seksi löytynyt. Tietoturvan hallintajärjestelmän standardista ISO/IEC 27001 on julkaistu uusi versio. joutuneita palvelimia löytyy enem- Tähän mennessä käsitellystä aineis- män. yhä olla verkkorikollisten hallinnassa. Ratkaisussa painotetaan kuitenkin sitä, että passiasetuksen mukaan sormenjälkiä saa käyttää ainoastaan passinhaltijan tunnistamiseen ja passin oikeellisuuden toteamiseen. Poliisia ta- tiedon, kuten luottokorttinumeroiden pauksen selvittämisessä avustava ja salasanojen, varastamiseen. EU-tuomioistuimen ennakkoratkaisun mukaan passinhaltijan sormenjälkien kerääminen ja tallentaminen ei ole ristiriidassa EU:n perusoikeusasiakirjan kanssa, vaikka se saattaa kaventaa kansalaisten oikeutta yksityisyyteen ja tietosuojaan. Uudistetussa standardissa käsitellään myös sosiaalisen median ja mobiililaitteiden yleistymisen tuomia tietoturvauhkia. Tietomurtojen tutkinnassa löydetty satoja takaovia Helsingin poliisin lokakuussa paljasta- Takaoven kautta hyökkääjät pystyvät massa laajassa tietomurtojen sarjassa hallitsemaan kohdepalvelinta muun suomalaismiehellä oli pääsy yhteensä muassa palvelunestohyökkäyksen yli 60 000 murrettuun internet-palve- toteuttamiseen ja luottamuksellisen limeen ympäri maailmaa. tietosuoja 4 • 2013. 6. Samalla torjutaan tehokkaasti passien väärinkäyttöä ja laitonta maahantuloa. Suomeksi standardi julkaistaan joulukuun alussa. Monissa EU-maissa, myös Suomessa, on keskusteltu mahdollisuuksista hyödyntää passien sormenjälkitietoja rikosten selvittämiseen. CERT-FI on käsitellyt noin 52 000 eril- CERT-FI:n mukaan on todennä- lisen palvelimen tai palvelun tietomur- köistä, että hyökkäyksen kohteeksi toepäilyä koskevaa aineistoa. Tuomioistuimen mukaan sormenjälkien keräämistä ja tallentamista passiin puoltaa se, että niiden avulla henkilö pystytään tunnistamaan luotettavasti. Sormenjälkien keräys ei siten ole tavoitteisiin nähden ylimitoitettua. Asetusta ei pidä shutterstock tulkita siten, että se antaisi oikeusperustan kerätä sormenjälkiä keskitettyyn rekisteriin tai hyödyntää muihin tarkoituksiin kuin laittoman maahantulon estämiseen. Lyhyesti EU-tuomioistuin: Sormenjäljet saa tallettaa passiin, mutta… EU:n passiasetuksen mukaan passin siruun pitää tallettaa passinhaltijan kasvokuvan lisäksi kaksi sormenjälkeä
Kun tietomurtaja varastaa tiivisteet, hänen täytyy selvittää niitä vastaavat selväkieliset salasanat laskemalla kaikki mahdolliset salasanaa vastaavat tiivisteet ja vertaamalla niitä varastamiinsa tiivisteisiin.” ”Tiivisteiden laskenta vie sitä enemmän aikaa, mitä pitempi salasana on.” ”Varkaan työtä nopeuttaa se, että netissä on saatavilla taulukoita, joissa on eri tiivistefunktioilla valmiiksi laskettuja listoja salasanoja vastaavista tiivisteistä. Kiristyshaittaohjelmien (ransomware) määrä on kasvanut merkittävästi viime vuosina. ”On tosiaan epätodennäköistä, että yrittämällä kirjautua palveluun verkkosivun kautta onnistuisi arvaamaan oikean salasanan”, vastaa tietoturvaasiantuntija Ari-Matti Husa Viestintäviraston CERT-FI:stä. Vaaditun sakkomaksun suorittaminen ei poista koneen lukitusta, ja maksetut rahat menevät suoraan rikollisryhmille. www.oph.fi/julkaisut/2013 Apua kiristyksen uhreille Onko sinun tietokoneesi ruudulle ilmaantunut viralliselta kalskahtavaa ”Suomen Poliisin” ilmoitusta, Miten on. Jos joku yrittää arvailla käyttämääni salasanaa, hän voi kokeilla eri vaihtoehtoja korkeintaan pari kertaa ennen kuin palvelu lukitsee tilini. Poliisi, Viestintäviraston CERT-FI ja tietoturvayhtiö F-Secure ovat avanneet kiristyshaittaohjelmista kertovat nettisivut: www.ransomware.fi tietosuoja 4 • 2013 Miksi salasanan pitäisi silti olla pitkä, vaikka se voi olla vaikeampi muistaa. Lyhyesti tero pajukallio Koulujen tietosuojaoppaasta uudistettu painos Saako tiedon oppilaan sairaudesta tallettaa koulun oppilasrekisteriin. Useimmat palvelut myös hyväksyvät vähintään sellaisen.” ”Kannattaa myös huomata, että tietomurto ja salasanan joutuminen vääriin käsiin eivät suinkaan välttämättä paljastu heti. ”Mutta jos joku murtautuu palvelun tietokantaan ja vie sieltä kaikki tunnukset, tilanne on toinen.” ”Kunnolla suojatussa verkkopalvelussa salasanoista on tallennettu vain niitä vastaavat tiivisteet. jonka mukaan koneesi on lukittu ja vapautetaan vain sakkomaksua vastaan. Uudistetussa painoksessa on huomioitu vuosina 2010 ja 2011 voimaan tulleet oppilas- ja opiskelijatietojen käsittelyä koskevat lakimuutokset. Muun muassa näihin kysymyksiin vastataan Opetushallituksen uusitussa oppaassa Julkisuus ja tietosuoja opetustoimessa. Suosittelisin vähintään 15-merkkistä salasanaa. Viimeaikaisissa haittaohjelmaversioissa yhteistä on se, että viesti näyttää tulevan uhrin oman maan viranomaiselta. Onko sallittua antaa tiedotusvälineille tiedot valmistuneista opiskelijoista. Voiko välituntien valvonnassa käyttää apuna valvontakameroita. ”Kyllä, mieluummin reilusti pitempi. Poliisi on esitutkinnassa saanut näyttöä ryhmästä, joka on hyökännyt Suomessa yli 30 000 tietokoneeseen. Jos on, olet joutunut kiristyshaittaohjelman kohteeksi. Pahinta silloin on, jos samaa salasanaa on käyttänyt useissa eri palveluissa.” 7. ” ”Tällä hetkellä yleisemmin käytettyjä tiivisteitä varten on olemassa valmiita taulukoita ainakin kymmenmerkkisiä salasanoja varten.” Pitääkö salasanan siis olla pidempi kuin 10 merkkiä
tietosuoja 4 • 2013. Henkilö 8
Teksti Kirsi Castrén kuvat olli häkämies, psycon, cresco ja shutterstock tietosuoja 4 • 2013 9. arvioinneissa syynissä on soveltuvuus, ei persoonallisuus Soveltuvuusarvioinneissa työnantaja vastaa työnhakijan yksityisyydensuojasta silloinkin, kun arviointi on ulkoistettu
Työnantaja vastaa arvioista Soveltuvuusarvio on henkilötietoa, jonka henkilötietolain mukaisesta käsittelystä vastaa työnantaja rekisterinpitäjänä. ”Työelämän tietosuojalaki koskee näitäkin aloja, eikä hakijan pidä joutua kertomaan henkilötietojaan muiden kuullen.” 10. Arvio ei saa sisältää tarpeettomia tai arkaluonteisia henkilötietoja, kuten tietoja terveydentilasta. Siinä osallistujia pyydettiin kertomaan henkilökohtaisista ominaisuuksistaan muiden hakijoiden kuullen. Näin on myös silloin, kun työnantaja ulkoistaa arvioinnin tekemisen. tietosuoja 4 • 2013. Tietosuojavaltuutettu antoi seurakuntatyönantajalle huomautuksen konsultin työnhakijoilla teettämästä ryhmätestistä. Työnantaja etsii testauksilla useimmiten tukea omien haastattelukierrostensa päätelmille. ”Kun tehtävään etsitään tietyntyyppisiä ihmisiä, kuten seurakunnissa, mediassa ja taiteessa usein tehdään, voidaan yksityisyydensuojaa loukkaamatta teettää vaikkapa roolipelejä, joissa hakijat näyttelevät eri tilanteita”, Murtomäki opastaa. Tietosuojan kannalta kiperin kysymys liittyy soveltuvuusarvioinnissa käsiteltäviin tietoihin. Arviointi on yleisintä johtotason ja asiantuntijatehtäviin hakevilla, joskin nykyään sitä edellytetään monesti myös asiakaspalvelutehtävissä. ”Soveltuvuusarvio antaa vahvistuksen siitä, että henkilön kyvyt ja motivaatio ovat sen suuntaiset, että hänellä on mahdollisuus onnistua tehtävässä”, kuvaa henkilöstösuunnittelupäällikkö Tuija Riikonen SOKyhtymästä. ”Arvioitavien persoonallisuuden piirtei- den, esimerkiksi johtajaominaisuuksien, tarkkuuden tai suurpiirteisyyden, tulee aina liittyä työtehtävään”, korostaa ylitarkastaja Mia Murtomäki tietosuojavaltuutetun toimistosta. T yönhakijoille tehtävät psykologiset soveltuvuusarviot ovat lisääntyneet vauhdilla
Riittävän tarkat arviointikriteerit ovat sekä työnantajan että arvioitavan etu myös konsulttiyhtiön näkökulmasta. ”Arvioimme vain niitä asioita, jotka arviointikriteereissä on määritelty”, sanoo Psyconin toimitusjohtaja Tapani Haavisto. Tarkka toimenkuva auttaa Jotta arvio ei eksyisi sivuraiteelle, tarvitaan työnantajalta tarkka kuvaus tehtävästä ja sen vaatimuksista. ”Esimerkiksi harrastuksilla ei ole mitään merkitystä, vaan hakijan ominaisuuksia peilataan vasten vaadittua tehtäväkuvausta”, Tuija Riikonen kertoo. Emme voi antaa lausuntoa hakijan mielenterveydestä. ”Arvioinnissa ei ole mitään merkitystä esimerkiksi harrastuksilla”, sanoo SOK-yhtymän henkilöstösuunnittelupäällikkö Tuija Riikonen. tietosuoja 4 • 2013 11. ”Emme tee kokonaispersoonallisuusarviointia vaan arvioimme vain niitä asioita ja sitä tarkoitusta varten, jotka arviointikriteereissä on määritelty”, painottaa toimitusjohtaja Tapani Haavisto konsulttiyhtiö Psyconista. SOK-yhtymässä henkilöstöosaston rekrytointiasiantuntija keskustelee esimiehen kanssa toimenkuvasta ja siitä, millaisia taitoja ja työtyyliä se vaatii
”Henkilöarvion tulosten saanti edellyttää ”Soveltuvuustesti voi parhaimmillaan selittää työssä menestymisestä 25 prosenttia”, sanoo Crescon toimitusjohtaja Lilli Sundvik. ne on muistettava pitää salassa. on ammattilaisten käsissä. Henkilötie- mukaan oikeus pyynnöstä saada soveltu- kauksen perustetta”, Murtomäki sanoo. tietosuoja 4 • 2013. SEFE:n kehitysjohtaja Anja Uljas. Arvioiden Psyconissa arviointilausunnon alkupe- ”Kuulemani mukaan palaute käydään räiskappale lähetetään arvioitavalle itsel- useimmiten vain suullisesti läpi. ”Emme voi antaa lausuntoa esimerkiksi hakijan mielenterveydestä, vaikka monilla psykologeillamme onkin kliinisen psykologian koulutus ja kokemusta.” Säilytä suojatusti Kun arviointi on tehty ja tulokset selvillä, eteenpäin muualle. Psycon säilyttää arviointilausuntoja kaksi vuotta, minkä jälkeen ne hävitetään. Luottamusmiehellekin vain luvalla ”Lausuntoja säilytetään sähköisessä kan- Luottamusmies valvoo toimivaltansa puit- siossa. Näin ei ja soveltuvuusarvion tulosten kertominen aina tapahdu, tietää Suomen Ekonomiliitto ulkopuolisille on salassapitorikos. ”Jäseniämme huolettaa, meneekö tieto vuusarvioiden tuloksia. Siihen on pääsy vain muutamalla teissa syrjimättömyyttä ja tasa-arvon toteu- henkilöllä, jotka työssään käsittelevät näitä tumista työpaikalla. Toki mietitään myös testien reliabiliteettia ja validiteettia, eli miten hyvä käytetty väline on”, Uljas kertoo. ilman asianomaisen työntekijän suostumusta. tavoittelema tieto on koetellut lain sallimia rajoja. O toja käsitteleviä sitoo vaitiolovelvollisuus, vuusarvionsa tulokset kirjallisena. tietoja voidaan antaa luottamusmiehelle SOK:ssa ohjeistus on, ettei lausuntoja tulosteta tai välitetä talon sisällä vaan ainoastaan avataan tutustumista varten ja tallennetaan sitten salattuun kansioon. Tehtävänkuvauksen on oltava tarkka. Testauksen tietosuoja ei ole työnhakijalle itsestäänselvyys. Esimies ei lausuntoja yleensä säilytä vaan henkilöstöosasto”, 12. On tapa- leen. Yhtiön 60 toi- SOK-yhtymä saa soveltuvuuslausunnot mintavuoteen mahtuu Haaviston mukaan yhteistyökumppaniltaan suojatulla sähkö- kuitenkin myös tilanteita, jolloin asiakkaan postiyhteydellä. Tietosuojavaltuutetulta kysytään Mia Murtomäen mukaan toisinaan, onko luottamusmiehellä oikeus nähdä myös soveltu- joutuminen ulkopuolisten käsiin on hen- Arvioitavalla oikeus omiin tuloksiinsa kilörekisteririkkomus, josta vastuussa on Työnhakijalla on työelämän tietosuojalain aina suostumusta – myös arvioitaessa palk- rekisterinpitäjä eli työnantaja. pää kirjallista kuin suullistakaan palautetta.” ”Suosittelemme, että lausuntoja säilytetään keskitetysti. Psyconin asiakaskunta koostuu pääasiassa suurista yrityksistä ja julkisorganisaatioista, joissa henkilöstöasioiden hoito Tapani Haavisto kertoo. Kopio menee tilaajaorganisaatiolle, uksia, joissa hakija ei ole saanut sen enem- jossa siitä vastaa nimetty henkilö. Esimerkiksi palkka- tietoja”, Tuija Riikonen kertoo
Informoi hakijaa. Tutustu myös liiton Hyvän henkilöarvioinnin oppaaseen ja tietosuojavaltuutetun toimiston materiaaliin. Pätevyyden varmistaminen ei välttämättä ole yksinkertaista, sillä arviointibisneksessä on paljon erilaisia toimijoita. Tietosuojavaltuutetun toimiston käsikirja työelämän tietosuojasta: www.tietosuoja.fi > Oppaat > Asiaa tietosuojasta Lisätietoa henkilöarvioinnin sertifikaateista Suomen Psykologiliiton sivuilta: www.psyli.fi/ tietoa_psykologeista/henkiloarviointi Markkinoilla on monenlaista toimijaa Työnantaja vastaa siitä, että soveltuvuusarvioiden tekijät ovat päteviä ja käyttävät asianmukaisia menetelmiä. 3. 4. nähdä vain henkilöt, jotka käsittelevät niitä työtehtävässään. Osalla arvioijista on Suomen Psykologiliiton myöntämä psykologisen henkilöarvioinnin sertifikaatti. Tarkista taustat: Suomen Psykologiliitto julkaisee verkkosivuillaan listaa henkilöistä, joille liitto on myöntänyt psykologisen henkilöarvioinnin sertifikaatin. ”Suoriutumiseen vaikuttaa muun muassa se, millainen työyhteisö on, miten työntekijää perehdytetään ja hyvin monet muut seikat. Huomioi tietosuoja jo tekniikassa. SOK-yhtymässä luotetaan tutkimuksiin. Käytä suojattua sähköpostia, rajaa käyttöoikeudet, katso mihin tallennat ja tulostat. Arviointitietoja saavat 5. Määrittele arvion tarve ja tarkoitus. 5 Viisi vinkkiä 1. Määrittele vastuut. Henkilöarviointeja tehdään monenlaisin taustoin, jopa ilman minkäänlaista alan koulutusta. ”Tutkimusten mukaan soveltuvuustesti voi parhaimmillaan selittää työssä menestymisestä 25 prosenttia”, kertoo psykologian tohtori ja konsulttiyhtiö Crescon toimitusjohtaja Lilli Sundvik. Jopa sattumalla on osuutensa.” 13. ”Painotamme kilpailutuksessa tutkimuksiin pohjautuvia henkilöarviointimenetelmiä, joista saamme hakemaamme tietoa”, henkilöstösuunnittelupäällikkö Tuija Riikonen kertoo. tapäätöksen katsotaan edellyttävän psykologista soveltuvuusarviointia, laadi sitä varten selkeät tehtäväkohtaiset arviointikriteerit. Arvioitavalla on aina oikeus saada kirjallinen kopio lausunnostaan sekä käydä se suullisesti läpi konsultin kanssa. Jos valin2. Sen saaminen edellyttää laillistetun psykologin pätevyyttä sekä koulutusta ja kokemusta henkilöarvioinnissa. Tarkimmatkaan mittarit eivät silti kerro kaikkea
Lavertelu kilpahakijan soveltuvuustestistä työpaikan kahvipöydässä tai vaikka vain perhepiirissä voi täyttää salassapitorikoksen tunnusmerkit. Lausuntoja säilytetään Turussa kaksi vuotta eli lakisääteisen valitusajan verran. Tiivistelmät asianosaisten luettavissa Turun kaupunki teettää soveltuvuusarvioita harkinnan mukaan pääasiassa johtotason ja asiantuntijatehtäviin hakeville. Asianosaisella on vaitiolovelvollisuus. Julkisuuslaki sallii asianosaiselle mahdollisuuden viranomaisen harkinnan mukaan tutustua myös salassa pidettäviin asiakirjoihin. tietosuoja 4 • 2013. Ansiovertailut ovat yleensä julkisia tai ainakin asianosaisjulkisia eli saatavilla henkilöille, joiden oikeuksia tai etua asia koskee. Arvioinnit on ulkoistettu ja kilpailutettu. ”Konsulteilta saamamme raportit ovat tiiviitä, ja niissä puhutaan vain työtehtävään liittyvistä asioista: Mikä on henkilön kykyrakenne, työskentelytyyli ja osaamisen taso suhteessa haettavaan tehtävään”, kuvaa henkilöstöjohtaja Sinikka Valtonen. Laki toisaalta myös kieltää luo- Lavertelu kielletty Asianosainen on julkisuuslain mukaan vaitiolovelvollinen saamistaan salassa pidettävistä tiedoista. Asianosaisjulkisuus kaventaa hakijoiden yksityisyydensuojaa ja koettelee soveltuvuusarvion laatijan ammattitaitoa. Yhteenvedossa esitetään henkilötietojen lisäksi hakijoiden koulutus ja työkokemus sekä tiedot kelpoisuusvaatimuksen täyttymisestä. Virantäyttö edellyttää, että hakijoista on tehty ansiovertailu. KHO kuitenkin piti yksityisyydensuojaa painavampana perusteena ja päätyi salassapidon kannalle. Esimerkiksi eräässä korkeimman hallinto-oikeuden ratkaisussa vuonna 2010 todettiin, että viran täyttöä koskevassa asiassa viranhakija oli asianosainen ja virkaan valitun soveltuvuusarvio oli voinut vaikuttaa asian ratkaisuun. Tietoja saa käyttää ainoastaan siihen tarkoitukseen, johon ne on luovutettu, esimerkiksi syrjintäkanteen nostamiseen. 14. Viranomaisella on harkintavaltaa vuttamasta asiakirjaa asianosaisellekaan, mikäli se olisi vastoin erittäin tärkeää yksityistä etua. Asianosaisjulkisuus on vaikea pala oikeusasteissakin Julkisella sektorilla virantäytön julkisuus mutkistaa työnhakijan tietojen käsittelyä. Hallinto-oikeus oli määrännyt arvion annettavaksi valitsematta jääneelle hakijalle. Hakijat voivat halutessaan käydä tutustumassa kilpahakijoidensa soveltuvuusarvion tiivistelmään, jota muutoin säilytetään lukkojen takana. ”Viranhakemukset ovat pääsääntöisesti julkisia, mutta ne sisältävät usein salassa pidettävää tietoa muun muassa perhe- ja yksityiselämästä”, toteaa ylitarkastaja Mia Murtomäki tietosuojavaltuutetun toimistosta. ”Rajanveto on ehkä vaikeaa siltä osin kuin asianosainen puhuu omasta asiastaan”, Murtomäki pohtii
Ensimmäinen kvanttitietokoneeksi väitetty laite on jo markkinoilla. Jonkinlaisen kuvan tulevaisuuden teknologiaan saa, kun tutustuu kehitteillä oleviin uutuuksiin eri tutkimuslaitoksissa. Isompia, ihmismäisiä robotteja kehitetään erityisesti Aasiassa terveydenhuollon tarpeisiin. Kvanttitietokoneet lupaavat hurjaa numeronmurskausvoimaa ja nopeutta. Ensimmäiset laitteet, joilla tietokonetta voidaan ohjata vain ajattelemalla, voi jo ostaa verkosta. Tulevaisuuden vastasyntyneiltä määritellään ensimmäiseksi perimä. Jo nyt on mahdollista tarkistaa oman perimänsä osia ja mahdollisuuksia sairastua tiettyihin tauteihin vain muutamalla satasella. Tässä muutamia teknologia-alueita, joita kannattaa pitää silmällä – ihan tulevaisuutta varten. Tämän tiedon perusteella pystytään ohjaamaan paremmin potilaiden terveyttä ja hoitoa. Robottipuvut, jotka antavat kantajilleen lisävoimia, ovat jo todellisuutta. Sotatantereille on kehitetty robottikantomuuleja, ja pilotittomat lentokoneet tekevät tiedustelulentoja. Jos tätä päivää tarkasteltaisiin historian (noin 1900-luvun) tulevaisuusennusteiden näkökulmasta, söisimme ruokamme pillereinä, asuisimme avaruudessa kupla-asunnoissa, ja olohuoneissamme ”loistaisi” radiumin pala takkana. Kvanttitietokoneiden tekniikka perustuu kvanttitilojen superposition hyväksikäyttöön, mikä tekee niistä lukuisia kertoja nopeampia kuin nykyiset tietokoneet. Entä vuonna 2035: Miten elämme silloin, ja mitä teknologia on tuonut meille tullessaan. Hiilen eräs olomuoto, grafeeni, tuonee oman sysäyksensä tietotekniikan huimaan kehitykseen, kunhan sen hinta alenee. Ajatuskäyttöliittymää ihmisen ja tietokoneen välillä tutkitaan monissa tutkimuslaitoksissa ympäri maailmaa. Kuten tiedämme, elämämme on kaukana noista näkemyksistä. Siihen, millainen teknologiamaailma meitä odottaa vuonna 2035, edes futuristilla ei ole vastausta. Hän viimeistelee Kari Hiltusen kanssa kirjaa Teknoelämää 2035 – Miten teknologia muuttaa tulevaisuuttamme. Klaytroniikkapöytä voi muuttua käskystä tuoliksi. Kolumni Vuonna 2035 Elina Hiltunen T ulevaisuuden ennustaminen ei ole helppoa, ja usein ennustukset menevätkin pieleen. Siihen, että jokin teknologia omaksutaan yhteiskuntaamme, vaikuttavat erilaiset voimat ja vastavoimat muiden muassa markkinoiden, yhteiskunnan ja lainsäädännön taholta. tietosuoja 4 • 2013 Futuristi Elina Hiltunen on koulutukseltaan kemian diplomi-insinööri ja kauppatieteiden tohtori. Tulevaisuudessa syntyvien vauvojen ensimmäinen terveystesti lienee genomin määrittely, jonka perusteella koko uuden yksilön terveyssuunnitelma voidaan laatia. Klaytroniikka, eli pienen pienet robotit, katomit, tekevät materiaalista ohjelmoitavaa. Myös sotateollisuus satsaa robotiikan kehittämiseen. Ihmisen genomi eli perimä on pystytty määrittelemään jo vuonna 2003, ja tämän teknologian hinta halpenee huimaa vauhtia. 15. Internet oli tuolloin lapsen kengissä, ja nyt se on kaikkialla. Isossa-Britanniassa on päätetty määritellä 100 000 potilaan genomi vuoteen 2017 mennessä. Välillä puhtaalla sattumalla on omat voimansa pelissä. Rohkeimmat visionäärit haaveilevat tietokoneiden suorasta yhteydestä aivoihin nanorobottien avulla. Paljon on kuitenkin tapahtunut, kun katsomme 20 vuotta taaksepäin. On hyvä huomata, että teknologia ei kehity tyhjiössä
hankkiessaan. Nämä tietover- mistä vaatimuksista on säädetty julkisuuslain 18 §:ssä. Rekisterin- kiinnittää huomiota myös siihen, että tietojärjestelmät pitäjä vastaa aina viime kädessä henkilötietojen käsit- mahdollistavat hyvän hallinnon ja oikeusturvan sekä telystä eikä voi ulkoistaa tätä viimekätistä vastuutaan. Myös tietojen saatavuus sekä rekisterinpitäjän ulkoistetaan, rekisterinpitäjän täytyy huomioida tiedon oikeus tiedon siirrettävyyteen palvelusopimuksen päät- suojaamisen ja käytettävyyden vaatimukset palveluja tyessä pitää pystyä turvaamaan sopimuksissa. kon yli käytettävät ohjelmistopalvelut Siinä edellytetään, että tietojärjestelmän hankintaa eivät ole enää rekisterinpitäjän tietoko- suunniteltaessa viranomainen ryhtyy tarpeellisiin toi- neissa ja muissa päätelaitteissa, vaan niitä miin tietoon liittyvien oikeuksien ja tiedon laadun tur- käytetään päätelaiteriippumattomasti. Eduskunnan oikeusasiamiehen laillisuusvalvonnassa 16. tietojenkäsittelyssä turvataan yksilöiden oikeudet tieto- muiden perusoikeuksien turvaavat toimintatavat. Viranomaisten tulisikin vaatimukset henkilötietojen suojaamisesta. donhallinnan vastuut, miten palveluntarjoaja sitoute- Julkisuuslain säännös tarkoittaa, että jo hankintaa kutus pilvipalvelun käyttöönotolla on tietoon liittyviin Tästä syystä monissa organisaatioiden tietojenkäsit- taan noudattamaan asetettuja tietoturvavaatimuksia ja telypalveluissa tiedon käytettävyys ja sen turvaaminen miten näiden vaatimusten mukainen toiminta toden- on keskeinen suojaamisen kohde. vaamiseksi sekä asiakirjojen, tietojärjestelmien ja niissä Ohjelmiston hankkija hallinnoi ohjelmiston käyttöä olevien tietojen suojan järjestämiseksi. Kun tietojenkäsittely netaan. Kes- uhka potilasturvallisuudelle, myös hoitoa antavien ter- keisiä kysymyksiä ovat erityisesti se, muuttuvatko tie- veydenhuollon ammattihenkilöiden oikeusturvalle. oikeuksiin, kuten asiakirjojen julkisuuteen, salassapi- Jos tieto ei ole käytettävissä silloin, kun sitä tarvitaan toon, tietosuojaan ja tiedonsaantioikeuksiin sekä miten esimerkiksi potilaalle hoitoa annettaessa, on se paitsi nämä otetaan huomioon hankintasopimuksissa. P Teksti Tomi Voutilainen suojaan, hallinnon toiminnan tehokkuuteen ja muihin oikeusturvan takeisiin sekä tietoturvallisuuteen osana julkisuusperiaatteen toteuttamista. Asiantuntijalta Hyvä hallinto koskee myös pilvipalveluita Julkisen sektorin tiedot ovat pilvessä, mutta onko tietosuoja huomioitu sopimuksissa. on toistuvasti katsottu, ettei viranomainen voi perustella Viime kädessä vastuu on rekisterinpitäjällä poikkeamista hyvästä hallinnosta ja oikeusturvasta tie- Kaikkia rekisterinpitäjiä koskevat henkilötietolain 32 §:n tojärjestelmiin liittyvillä syillä. Pilvipalvelun vaikutukset on selvitettävä etukäteen ilvipalvelut luovat uusia vaatimuksia tie- Julkisessa hallinnossa tietoturvallisuuden keskeisim- tosuojan toteuttamiselle. Pilvipalveluiden käyttöönottoa valmisteltaessa viranomaisen tulee sel- hallittavuus on otettava huomioon, kun palveluissa käsi- vittää vaikutukset asiakirjojen julkisuuteen, salassapi- tellään henkilötietoja. toon ja suojaan sekä tietojen laatuun. Julki- Henkilötietolain säännöksen mukaan rekisterinpi- sen hallinnon rekisterinpitäjien on huolehdittava, että täjän on toteutettava tarpeelliset tekniset ja organi- tietosuoja 4 • 2013. Tietojenkäsittelyssä on turvattava perusoikeudet valmisteltaessa viranomaisen on selvitettävä, mikä vai- Julkisen hallinnon toiminta on hyvin tietointensiivistä. Järjestelmän vain käyttöoikeuksien hallinnan avulla
Tietoturvavaatimuksiin: käyttäjä-, käyttöoikeus- ja pääsynhallintaan, henkilötietojen tietosuoja 4 • 2013 ?. Tietojen säilytyspaikkaan tai sijaintimaahan sekä näitä koskeviin henkilötietolaista johtuviin rajoituksiin; ?. Lakisääteisen salassapitovelvoitteen noudattamatta jättäminen on rikoslaissa säädetty rikos. Tietojen siirto- ja säilytystapoihin sekä vahingossa tai tahallisesti tuhottujen tietojen palauttamiseen; ?. O Rekisterinpitäjän muistilista Pilvipalvelusopimuksissa tulisi ottaa kantaa ainakin seuraaviin tiedonhallintaa ja tietosuojaa koskeviin seikkoihin: ?. ?. ?. satoriset toimenpiteet henkilötietojen suojaamiseksi tia jo ennen hankintamenettelyn käynnistämistä, jotta asiattomalta pääsyltä tietoihin ja laittomalta käsittelyltä. Salassapitomääräyksen laiminlyönti voi johtaa taloudellisiin seuraamuksiin sopimusrikkomuksena. 17. ?. ?. Tietosuojavaatimukset on syytä laa- menettelytapoja. Tietojen tuhoamiseen palvelun päättyessä; ?. ulkoistamisesta. ron salaaminen, käyttäjä- ja käyttöoikeushallinnan jär- Rekisterinpitäjän lukuun toimivan yrityksen on jestäminen ja ajan tasalla pitäminen sekä lokitietojen ennen tietojen käsittelyyn ryhtymistä annettava rekis- kerääminen ja hallinta. Tiedon saatavuuden ja käytettävyyden turvaaviin toimenpiteisiin ja varajärjestelyihin; ?. Tomi Voutilainen on dosentti ja informaatio- ja tietoteknologiaoikeuden professori Itä-Suomen yliopistossa. käsittelyn seurantaan sekä laittoman tietojenkäsittelyn estoon; Tietoturvavaatimusten todentamismenettelyihin ja auditointikäytäntöihin sekä tietojen käsittelyn valvontaan; Tietosuojapoikkeamien ilmoittamismenettelyihin; Palveluntarjoajan mahdollisuuteen käyttää alihankkijoita sekä alihankkijoiden vastuisiin; Tietojenkäsittelyn vahingonkorvausvastuisiin ja muihin taloudellisiin vahinkoihin liittyviin velvollisuuksiin. Sitoumuksiin palvelun tilaajan tietosuojalainsäädännön noudattamiseksi; ?. Tietojenkäsittelyn huolellisuusvelvollisuuden toteuttamiseen; ?. terinpitäjälle asianmukaiset selvitykset ja sitoumukset Lainkohdassa säädetään myös tietojenkäsittelyn henkilötietojen suojaamisesta tietoturvajärjestelyillä. Tietojen siirrettävyyteen palvelun päättämistilanteessa; ?. rekisterinpitäjä ei hanki sellaista pilvipalvelua, joka ei Pilvipalveluissa keskeisiä suojaustoimia ovat tiedonsiir- täytä lainsäädännöstä johdettavia vaatimuksia. Rekisteröidyn oikeuksien toteuttamismenettelyihin; ?. Myös salassapitovelvollisuudesta on syytä olla määräys sopimuksessa, vaikka viranomaisen lukuun toimivilla on salassapitovelvoite joka tapauksessa muun muassa julkisuuslain nojalla. Rekisterinpitäjän on huolehdittava siitä, Rekisterinpitäjän pitää varmistaa auditoinneilla ja tar- että ulkoistamissopimuksissa otetaan huomioon tieto- kastuksilla, että palveluntarjoaja noudattaa sovittuja suojavaatimukset
PRH:ssa on tehty linjaus, jonka mukaan niiden perustamisasiakirjat ovat salassa pidettäviä. Usein rekisteröityminen on kysymyksiä”, PRH:n yhdistys- ja säätiörekis- tietoa, jota saa hankkimalla yhdistyksen rekisteriotteen Patentti- ja rekisterihallituksesta. Uskonnollisista yhdyskunnista pidetään erillistä rekisteriä. tietosuoja 4 • 2013. Kyseessä on siis iso henkilörekisteri”, Viertola huomauttaa. Skaala ulottuu muutaman ihmisen harras- merkitään kaikki rekisteröidyt Rekisteröityvän yhdistyksen pitää olla yhdistykset. ”Kun jokaisessa yhdistyksessä on 2–3 nimenkirjoittajaa, heitä on yhteensä Avoimessa datassa on riskinsä Patentti- ja rekisterihallituksen laajojen perustietovarantojen avaamista kaikkien saataville selvitetään parhaillaan osana valtionhallinnon avoimen datan strategiaa. lee erillinen oikeushenkilö, joka voi tehdä ”Nimi ja aatteellisuus ovat isoja tulkinta- nimet ja yhteystiedot ovat kaikille julkista oikeustoimia. Niitä on Suomessa toiminta-ajatukseltaan aatteellinen. Näistä Rekisteröinnin etuna yhdistyksestä tu- tuspiireistä satojentuhansien jäsenten ayliittoihin. haanjohtava, lainvastainen tai hyvän tavan tajien ja muiden nimenkirjoittajien nimet, vastainen. Lisäksi viranomaiset tarvitsevat yhdistysrekisterissä olevien rekisteröityjen tietoja yksittäistapauksissa. yhteystiedot ja henkilötunnukset. Julkisuuslain perusteella kuka tahansa voi pyytää yhdistysrekisteristä nimenkirjoittajien tiedot. ”Aatteellisuudella tarkoitetaan yhdessä tekemistä muussa kuin elinkeinotoiminnan mielessä”, hän selventää. ”Tällä hetkellä epäselvää on muun muassa se, miten suhtaudutaan ison yhdisteltävän datamäärän avaamiseen nimenomaan yksityisyydensuojan kannalta”, Viertola sanoo. Teksti Päivi Männikkö P teripäällikkö Juha Viertola toteaa. Yhdistysrekisteristä myös myydään nimenkirjoittajien yhteystietoja niin sanottuina massaluovutuksina. Sen pitää nimeltään erottua Julkista ja arkaluonteista tietoa nössä lakannut, jäljelle jää silti noin satatu- muista yhdistyksistä, eikä nimi saa olla har- Yhdistysrekisteriin merkitään puheenjoh- hatta yhdistystä. Jos joukosta vähennetään taasti elinkeinon harjoittamiseen sitä ei ne yhdistykset, joiden toiminta on käytän- voi perustaa. Pohdittavina ovat lainsäädännölliset ja tekniset rajoitteet, joita tietojen avaamiseen voi liittyä. Rekisteröi tämä Tuhansien yhdistysten rekisteri Yhdistysrekisterissä ovat edustettuina kaikki inhimillisen toiminnan alat. ylläpitämään yhdistysrekisteriin tumistilojen saamiselle. Yhdistysrekisterin voi katsoa edustavan atentti- ja rekisterihallituksen (PRH) myös edellytys julkisten tukien tai kokoon- lähes kaikki inhimillisen toiminnan aloja. Pankit hakevat yhdistysrekisteristä nimenkirjoittajien tietoja varmistuakseen heidän oikeudestaan tehdä sopimuksia yhdistyksen nimissä. Tämä johtuu siitä, että perustamisasiakirjassa on kaikkien perustajajäsenten nimet, ja tieto henkilön uskonnollisesta vakaumuksesta on henkilötietolain mukaan arkaluonteinen. Puh- noin 135 000. O 18. Kuitenkin henkilön asema yhdistyksen nimenkirjoittajana tai perustajajäsenenä voi paljastaa henkilötietolain mukaan arkaluonteista tietoa vakaumuksesta, suuntautumisesta tai vaikkapa terveydentilasta. ”Jos julkishallinnon rekistereiden tietoja voi yhdistellä vapaasti, rekisteröidyt voidaan profiloida varsin laajasti.” 300 000–400 000
Lähetä kysymyksesi meille, me etsimme sille sopivan vastaajan. Tietojen tarpeellisuus määräytyy tapauskohtaisesti ja mahdollisesti soveltuva lainsäädäntö huomioiden. Kysymyksiin vastasi ylitarkastaja Iiro Loimaala tietosuojavaltuutetun toimistosta. asialliseen yhteyteen rekisterinpitäjän ja rekisteröidyn välillä. Henkilötietojen käsittely yrityksen järjestämässä tapahtumassa voi perustua nk. Tietojen julkaisemista internetissä voidaan pitää tietojen sähköisenä luovutuksena rajoittamattomalle vastaanottajajoukolle, jolloin tietojen kaikista käsittelytarkoituksista ei voida varmistua eikä tietojen käyttöä voida käytännössä enää hallita. Kysymyksiä voi lähettää osoitteeseen info@tietosuoja-lehti.fi tietosuoja 4 • 2013 19. Rekisteröity voi vaatia rekisterinpitäjää, kuten yritystä poistamaan tietojenkäsittelyn kannalta tarpeettomat tiedot. Tietojen vieminen internetiin voi perustua laissa säädettyyn tai rekisteröidyn suostumukseen silloin, kun menettely on muutoin asiallisesti perusteltua ja tarpeellista rekisterinpitäjän toiminnan kannalta. Tietojenkäsittelyn on oltava tarpeellista. markkinointiluvan sisällyttämistä viestintäpalvelun sopimusehtoihin. Asiaa koskeva tiedote on löydettävissä toimiston verkkosivuilta osoitteesta www.tietosuoja.fi/63424.htm. Tällöin tietojenkäsittely on sidottu niille määriteltyyn ja asiallisesti perusteltuun tarkoitukseen. Onko oikein, että puhelinliittymän asiakkaalle lähetetään suoramarkkinointia puhelimeen ja sähköpostiin, eikä tätä voi perua, koska markkinoinnin vastaanottaminen kuuluu sopimusehtoihin. Rekisteröidyllä on oikeus kieltää henkilötietojensa käsittely suoramarkkinointitarkoituksessa, eikä tätä oikeutta voida rajoittaa sopimusehdoin. Tietosuojavaltuutetun mukaan tällaisen markkinoinnille annettavan suostumuksen kytkeminen välttämättömyyspalveluna tarjottuun matkapuhelin- tai internetliittymään ei ole asiallisesti perusteltua. Voinko pyytää poistamaan omat tiedot kokonaan tai edes osittain. Tietosuojavaltuutettu on antanut kannanoton, joka koskee nk. Askarruttaako jokin henkilötietojen suojaan, yksityisyyteen, viestinnän luottamuksellisuuteen tai tietoturvaan liittyvä asia. Kannanotossa ei tarkasteltu sellaisia lisäarvoa tuottavia palveluita, jotka toteutetaan kuluttajan toimeksiannosta ja jotka saattavat sisältää markkinointia. . Kysy meiltä Saako yritys julkaista netissä tapahtumansa osallistujalistan, jossa on osallistujien nimet, yhteystiedot sekä organisaatio ja tehtävänimike. Myös suora- markkinoinnille annetun suostumuksen voi perua. Tällöin tietojen julkaisuun pitää olla jokin oikeuttava peruste. Yrityksellä on oikeus käsitellä henkilötietoja tapahtuman järjestämiseksi tarpeellisessa määrin
Niiden on saatu pidettyä maltillisella tasolla. Siinä valtio tarjoaa käyttäjille helppo- velukeskusten ja virastojen toimialariip- käyttöisiä, edullisia ja luotettavia sähköisiä pumattomat tieto- ja viestintätekniset palveluita, joihin tunnistaudutaan luotetta- tehtävät kootaan saman katon alle. strategia 2012–2020, ICT 2015 -työryhmän Kaikkeen tähän kuluvien veroeurojen määrä raportti ja kyberturvallisuusstrategia. Niistä useim- rille ja ykkösten ja nollien virtuaaliseen lii- missa vastuutahona on Vallin johtama Jul- kenteeseen. puratkaisu. tietosuoja 4 • 2013. kICT-toiminto valtiovarainministeriössä. Bitit uuteen järjestykseen Ylijohtaja Timo Valli luotsaa julkista sektoria yltiöhajautetusta kohti keskitetympää tietohallintoa. Tieto- teellista liikennejärjestel- järjestelmät keskustelevat sujuvasti keske- mää. pohjalta ja jo aiemmin käynnistettyjä hank- Siirrytään tosielämään; julkiselle sekto- keita on ainakin puoli tusinaa. Teksti Päivi Männikkö Kuvat Olli Häkämies K uvitellaanpa hetki ihan- valla varmennepohjaisella ratkaisulla. Siinä pysäköintitilaa nään, ja sama tieto talletetaan vain yhteen on riittävästi ja ruuhka- paikkaan. Näitä 20. Voimassa olevia tietohallinnon uudis- kustajien vaihdot sujuvat rivakasti. Keskitettyyn palvelumalliin Mikäli tavoitteet toteutuvat, tuloksena on Valtion virastoja ja laitoksia juuri nyt puhut- ihanteellinen virtuaalinen liikennejärjes- tava hanke on TORI, jossa valtion ICT-pal- telmä. Julkisen sektorin tietohallintoa on viime vuosina alettu uudistaa reippaalla kädellä. Joka tien- tamiseen tähtääviä strategioita on kolme: pätkälle on nimetty ylläpitäjä, joten jalkakäy- julkisen hallinnon ICT:n hyödyntämisen tävillä voi kävellä kuivin jaloin myös talvisin. ”Meidän pitäisi pystyä pyörittämään kuntien palveluita sähköisinä ilman uhkaa siitä, että tiedot valuvat kyberhuijarille”, sanoo julkisen hallinnon ICT-johtaja Timo Valli. Suomi on kyberturvallisuuden ja maksuista on tehty so- sähköisten palvelujen kärkimaa. Joukkoliiken- Julkisen sektorin tietohallinnon uudis- teen toimijat suunnittelevat reittinsä ja tuksessa ylijohtaja Timo Valli on paljon var- aikataulunsa yhdessä, minkä ansiosta mat- tijana
tietosuoja 4 • 2013 21
Urkintauutiset maailmalta ja hiljattain Suomestakin ovat herättäneet huomiota valtionhallinnossa ja lisänneet kiinnostusta Timo Valli ?. Asia- kuksen maine on vaakalaudalla. Tietoturva-asetuksessa ei vaadita käsiteltävien tietojen luokittelua julkisesta erittäin salaiseen tai johonkin siltä väliltä. Jotta niitä voitaisiin välittää ministeriöiden välillä, edellytetään, että kaikilla on luokittelu käytössä ja vieläpä samalla tavalla ymmärrettynä”, Valli huomauttaa. Ministeriöitä ja virastoja on kuitenkin patistettu luokittelemaan tietonsa. ?. Valtiovarainministeriö Uutta menettelyä ja perustettavaa viras- ”Tällä hetkellä valtionhallinnossa noin 80 laatii parhaillaan palvelukeskuksen kanssa toa koskeva laki on eduskunnan käsitte- virastoa tuottaa ja ostaa ICT-palveluita itse. tehtäviä hoitamaan perustettava palvelu- omaisen turvatason palvelujen ohella. ”Ministeriöt käsittelevät paljon esimerkiksi EU:n luottamuksellisia ja salassa pidettäviä tietoja. filosofian maisteri, MBA tietoturvallisuuteen, joskin syvempi tietämys kyberuhkista näyttää osoittavan, että uhkia riittää loputtomiin. dollinen aloituspäivä on 1. Valli pohtiikin, millä varmuudella sähköinen tieto voidaan salata ja vastaa itse: ”Sähköiset tiedot on kyettävä salaamaan erittäin suurella varmuudella, se on tietoyhteiskunnan tehokkuuden kannalta ihan vält- 22. palveluiden tasoluokkia ja sopimusmalleja. tietosuoja 4 • 2013. Tietojen hajasijoitus ei lisää niiden turvaa. Molemmat keskus tuottaa virastoille niiden tarvitsemia kasviraston tehtävänä on valita sen tarpeita osapuolet toimivat virkavastuulla.” ICT-ratkaisuja pilvipalveluina. tammikuuta. julkisen hallinnon ICT-johtaja 2011–, ylijohtaja 2013 – Pirkanmaan sairaanhoitopiirin tietohallintojohtaja 1999–2011 Valli on toiminut hallituksen jäsenenä sekä tietohallinnon asiantuntija- ja johtotehtävissä useissa yrityksissä. ?. lyssä. Jotkin ministeriöt, kuten oikeusministeriö, eivät vielä ole alkaneet luokitella tietojaan edes osittain. Uuden viraston ensimmäinen mah- Nyt tämä toiminta laitetaan yhteen viras- Vallin mukaan vaarana ei ole, että asia- toon sekä luodaan yhtenäiset asiakkaan ja kasvirasto voisi palveluja valitessaan säästää palvelukeskuksen väliset toimintamallit.” tietoturvasta. Kyberosaamista tarvitaan lisää Tarjolla tulee olemaan korkean turval- ”Palvelukeskus ei tuota asiakkaalle ali- Virastoja ja laitoksia on viime vuodet pai- lisuuden ja varautumisen palveluja tavan- mittaista palvelua, koska silloin myös kes- mennettu tehostamaan tietoturvaa. ?. vastaava tasoluokka. ”Joissakin virastoissa on vielä auditoinneissa huomattu joitakin puutteita, jotka korjataan, mutta pääsääntöisesti perustaso on nyt saavutettu”, Valli kertoo. Valtionhallinnon tietoturva-asetuksen mukaan kaikkien hallinnonalojen piti saavuttaa tietoturvan perustaso syyskuun loppuun mennessä
Esimerkiksi terveyskeskus hakee tule- nata henkseleitä paukutella, mutta olen vaisuudessa henkilön yhteystiedot suoraan toiveikas.” väestötietojärjestelmästä eikä kopioi niitä omaan rekisteriinsä. Keskitetyssä mallissa tieto voidaan myös hallitusti hajauttaa, mikäli se olisi tarpeen.” Kansallinen tunnistusratkaisu – vielä kerran Palveluväylähankkeessa Virosta otetaan oppia muussakin kuin tiedonsiirtotekniikassa, sillä valtiovetoisen vahvan sähköisen tunnistamisen läpimurtoa yritetään jälleen. tämätöntä. Suomessa näin ei juuri ole, koska se on saatavilla avointen rajapintojen aina törmännyt”. Siellä myös tämmöinen virkahenkilö pystyy käymään keskustelua.” ”Facebookin olen aika usein lopettanut, kun siellä verkosto tuppaa laajenemaan työn puolelle.” Haluat siis pitää työ- ja yksityiselämän erossa toisistaan. Valtionhallinnossa on kymmeniä, ellei Valtio takaa edullisen tunnistusvälineen muun muassa EU-lainsäädännön takia. 2 000 ihmistä, joiden taustayhteisöt ovat näkyvissä, kertovat siellä mielipiteitään, ja kaikki aineisto jää muistiin. vahvan tunnistamisen kriteerejä uuden keskeisten suomalaisten viranomaisten Vallin mukaan muutaman vuoden ajan direktiivin voimaantulon jälkeen. Ne voisivat tarjota asiakkailleen tietosuoja 4 • 2013 23. Yritykset saisivat nistamisen ja allekirjoittamisen direktiiviä, rekisterien vyyhteä halutaan virtaviivaistaa myös tehdä omia, valtion juurivarmentee- joka tiukentanee sähköisen tunnistamisen rakentamalla niin sanottu kansallinen pal- seen perustuvia varmenteitaan tai tarjota vaatimuksia. kautta kaikille sitä tarvitseville järjestel- ”Vielä ei kuitenkaan tässä asiassa kan- mille. O Kolme kysymystä somesta Mitä sosiaalisen median palveluita käytät. Tällä kertaa tarkoituksena on, että valtio tarjoaa Väestörekisterikeskuksen varmennepalvelun ilmaiseksi tunnistuspalvelujen jo vuosikymmeniä. ”Virossa jo pitkään käytössä olleiden hyvin yksinkertaisten rakenteiden kautta tieto saadaan liikkumaan turvallisesti perusrekistereistä käyttötilanteeseen”, Valli vakuuttaa. ”Kun tiedot on keskitetty, niiden suojaamiseen on enemmän voimavaroja kuin jos ne ovat hajallaan jokaisessa virastossa. ”Me olemme käyttäneet sitä esimerkiksi JulkICT-strategian laatimisessa.” ”LinkedIniin perustettiin ryhmä, jonka jäsenet keskustelevat strategiasta ja sen toteutuksesta. meillä hallinnollista taakkaa on kevennetty kanssa. ”Pyrin kovasti ja huomaan, että oikeastaan mulle on somessa vain se virkaelämä mahdollinen.” Miten julkisen hallinnon ICT-toiminnossa hyödynnetään somea. Kukin järjestelmä hallitsee omia tietojaan vastaten niiden oikeellisuudesta ja reaaliaikaisesta saatavuudesta. ”LinkedInissä olen ollut 6–7 vuotta. Pankit voisivat halutes- Vähemmän rekistereitä tietosuoja-lehti.fi Vähemmän mutta turvallisempia palvelinkeskuksia saan istuttaa varmenteen nykyiseen Tupastunnistusjärjestelmäänsä. ”Hallintoa on purettu onneksi jo ennen kuin sitä on lähdetty automatisoimaan ja 3 Kansallisen varmennepohjaisen tunnis- tusratkaisun toteuttamiseen on paineita sähköistämään”, työkseen tietohallintoa remontoiva ICT-johtaja tiivistää. hierotulla kompromissiratkaisulla ”on hyvät Useissa EU-maissa on tavallista, että säh- Palveluväylän ideana on, että tieto on mahdollisuudet kiertää karikot, joihin tämä köinen asiointi edellyttää sähköistä allekir- tallennettuna yhteen järjestelmään, josta homma on vuosituhannen alusta lähtien joitusta. Onko tekniikka niin korkealla tasolla, että tämä onnistuu. Siinä mielessä kyberstrategian näihin varmenteisiin tunnistusvälineitä ja tavoite, että Suomi olisi johtava kybertur- valitsisivat itse, millaisille välineille varmen- vallisuusmaa vuonna 2017, on todella hyvä.” teet istutettaisiin. Siitä on oltu kiinnostuneita myös tutkimusaineistona.” tarjoajien, kuten pankkien ja teleyritysten, käyttöön. Tätä haluamansa välineen. Hän uskoo, että tietojen keskittäminen pikemminkin vähentää kuin lisää riskejä. Suomalaisten suosimat verk- veluväylä, jonka arkkitehtuuri on suunni- kokonaan omia varmennepalveluitaan kan- kopankkitunnukset eivät välttämättä täytä teltu Viron mallin mukaiseksi yhteistyössä sallisen ratkaisun rinnalla. satoja rekistereitä, joissa on kansalaisten jokaiselle, mutta kansalaiset voivat valita EU:ssa valmistellaan uutta sähköisen tun- henkilötietoja ja arkaluonteista tietoa
käsitellyksi vielä ennen toukokuussa 2014 pidettäviä Esitysluonnoksen mukaan kaikissa yrityksissä, jotka eurovaaleja. 24. vaihdosta. Jos rekis- luonnoksessa. Niin ikään vastaava tulisi nimittää myös esimer- jatkuvat jäsenmaiden kesken Euroopan parlamen- kiksi silloin, kun rekisterinpitäjän tai henkilötietojen tin kansalaisvapauksien sekä oikeus- ja sisäasioiden käsittelijän ydintoimintaan liittyy arkaluonteisten tie- valiokunnan lokakuussa hyväksymän esitysluonnok- tojen käsittelyä. pitäjän tulisi välittää pyyntö myös Valiokunta tiukentaisi tietosuo- muille tahoille, joilla on rekisteröirodeo jarikkomuksen hallinnollisia seuraamuksia. Rikosrekisteriotteen antaisi Oikeusrekisterikeskus. Jäsenmaiden ja komission kantana on käsittelevät 12 kuukauden aikana vähintään 5 000 kuitenkin ollut, että asetus pyritään saamaan valmiiksi henkilön henkilötietoja, on oltava tietosuojavas- vuonna 2015. Valiokunta myös kiristäisi ehtoja, joilla yritys saisi luovuttaa EU- tai 5 prosenttia yrityksen maailmanlaajuisesta liike- maissa käsiteltäviä henkilötietoja kolmansiin maihin. antero aaltonen ja sakkorekisteritietojen avulla. Rikostausta syyniin myös vapaaehtoisilta Eduskunta käsittelee lakiesitystä, joka ulottaisi lasten kanssa toimivien rikostaustan selvittämisen myös lasten parissa vapaaehtoistyötä tekeviin. Komission ehdotuksen mukaan tieto- sen pohjalta. Edellytyk- tietosuoja 4 • 2013. kät keskustelut siitä, mitkä euro- Valiokunta korvaisi komission parlamentaarikoiden tekemistä ehdottaman oikeuden tulla unoh- 4 000 muutosehdotuksesta huo- detuksi oikeudella tulla poiste- mioitaisiin varsinaisessa esitys- tuksi (right to erasure). Ne voisivat olla suuruudeltaan jopa 100 miljoonaa euroa dyn tiedot. suojavastaava olisi pakollinen kaikissa vähintään 250 Valiokunnan hyväksymää luonnosta edelsivät pit- työntekijän yrityksissä. Lait ja säädökset Valiokunta ajaa tiukempaa tietosuojaa Neuvottelut EU:n yleisestä tietosuoja-asetuksesta taava. Esitysluonnos eroaa teröity pyytää rekisterinpitäjää useilta osin komission vuonna poistamaan tietonsa, rekisterin- 2012 tekemästä ehdotuksesta. Komission ehdotuksessa enimmäismäärät Parlamentin tarkoituksena on ollut saada ehdotus ovat miljoona euroa tai 2 prosenttia. Esityksen mukaan vapaaehtoistyön järjestäjä saisi selvittää lasten parissa vapaaehtoistyötä tekevän taustan rikossenä otteen hakemiselle olisi, että vapaaehtoinen on antanut siihen kirjallisen suostumuksensa
Lait ja säädökset Sananvapauspykäliin muutoksia Rikoslain säännöksiä yksityiselämää loukkaavan tiedon levittämisestä muutetaan sananvapautta korostavaan suuntaan Euroopan ihmisoikeustuomioistuimen ratkaisukäytännön mukaisesti. Yksilökohtainen opiskeluhuolto edellyttäisi opiskelijan törkeimpiä tapauksia varten, joissa suostumusta. opiskelijan suostumuksella ryhmän toimintaan osallistuvalle olisi Lakiesityksen käsittelyssä on perusopetuslaissa säädettyä alempi. ei olla sananvapauden ydinalueilla. tietosuoja 4 • 2013 Turvallisuusverkko tarkastelussa Lakiesitys julkisen hallinnon turvallisuusverkkotoiminnasta on valiokuntakäsittelyssä. kiinnitetty huomiota rikostuomion ja rikoksentekijän nimen julkaisemiseen. Hallituksen esityksen perustelujen mukaan rikostuomio voidaan lukea yksityiselämän piiriin kuuluviin suojattuihin tietoihin, jos rikoksella ei ole yleistä yhteiskunnallista merkitystä. Ryhmällä olisi oikeus konsultoida kulloinkin tarvittavaa asian- Lakivaliokunta on perustellut tuntijaa ja luovuttaa hänelle konsultoinnin kannalta välttämättö- vankeusrangaistuksen säilyttämistä miä tietoja. Turvallisuusverkon perustana on puolustusvoimien viestintäverkko, joka luovutettaisiin Suomen Erillisverkko Oy:lle. tekomuotoon. Lainmuutokset tulevat voimaan vuoden 2014 alussa. Yksityiselämää loukkaavassa Oppilashuollosta oma laki tiedon levittämisessä on kyse louk- Eduskunta käsittelee lakiesitystä, jolla oppilashuoltoa koskevat kaavasta mutta totuudenmukaisten säännökset koottaisiin koulutusta koskevista laeista oppilas- ja opis- tietojen levittämisestä. Ehdotetun lain mukaan turvallisuusverkko olisi valtion omistuksessa ja hallinnassa oleva viranomaisverkko. Törkeästä tekomuodosta voi- yksittäistä opiskelijaa. Perustekomuodossa Lakiesitykseen sisältyy ehdotus yksilökohtaisesta opiskeluhuol- rangaistusuhkana on jatkossa sak- losta, jolla koulun eri alojen asiantuntijoista koottu ryhmä tukisi koa. Suomi on saanut outi mustonen useita langettavia päätöksiä ihmisoikeussopimuksen sananvapausartiklan loukkaamisesta. Tällaisesta tukimuodosta ei ole nykyisin lain- daan tuomita sakkoa tai enintään säädäntöä. 25. Näiltä osin kynnys luovuttaa sosiaali- ja vasti, eikä sitä voi puolustaa sanan- terveydenhuollon tietoja opettajalle tai ryhmänohjaajalle ja muulle vapaudella. Lakivaliokunnan mielestä rikollisen toiminnan paljastaminen voi kuitenkin olla rangaistavaa vain hyvin poikkeuksellisesti. Uudessa laissa säädettäisiin myös oppilasta tai rikoslaissa tavalliseen ja törkeään opiskelijaa koskevien tietojen luovuttamisesta. Se jaetaan kelijahuoltolakiin. kaksi vuotta vankeutta. Sivistysvaliokunnan lausunnon mukaan ryhmän jäsenillä tulisi Esimerkiksi alastonkuvan julkaisu olla hyvin vapaat mahdollisuudet välittää toisilleen sellaisia salassa netissä ilman kyseisen henkilön pidettäviäkin tietoja, joiden katsottaisiin olevan välttämättömiä lupaa loukkaa yksityisyyttä vaka- opiskelijan tukemiseksi
Entä jos meille murtaudutaan. 26. tietosuoja 4 • 2013
Työasemien ei käteen, mitä tehdä, jos... Lagus kuvat shutterstock hminen on aina tietojärjestelmien heikoin lenkki. Arvioinnissa voidaan kuitenkin ottaa kantaa esimerkiksi siihen, tarvitaanko varmennettua tietoliiken- Niin suojattua järjestelmää ei olekaan, ettei siihen voisi mur- nettä tai kahdennettua konesalia. Nuopponen kehottaakin tuhoamaan sellaiset tämättä tarkoituksenmukaista irrottaa heti kaikkia piuhoja, materiaalit, joita ei enää tarvita. hakea internetistä viitteitä siitä, minkä organisaatioiden kanssa kohdehenkilö on tekemisissä. Jonkin verkkopalvelun poisjääminen voi merkitä suuriakin taloudellisia menetyksiä”, Tauriainen sanoo. Muuten voi olla don työtä, kun tallennustilaa ei tarvita niin valtavasti. Tämä helpottaa myös ylläpi- vaan yrittää selvittää, mistä hyökkäys tulee. Kun hyökkääjä on saanut yhden käyttäjän koneen jumiin, hän odottaa, että ylläpidosta joku, jolla on pääkäyttäjätunnukset, tulee korjaamaan konetta. linnaan, jossa vihollisen pääsyä sisimpään vaikeutettiin muurilla ja useilla linnanpihoilla. Tarkastus ja hyväksynnät -ryhmän päällikkö Aki Tauriaisen Kun tällaiselta taholta näyttää tulevan sähköpostiviesti, sen mukaan asiakkaiden kypsyystaso on paranemaan päin, jos- aitoutta ei epäillä samalla tavoin kuin tuntemattomalta kaan hallinnossa ei vielä olla tasalaatuisia. Myös harjoittelu on varautumista Viranomaisten tietojärjestelmien turvallisuutta ja tietoturvakontrollien riittä- uusia menetelmiä. seja, muistuttaa tietoturvakonsultti Antti Nuopponen Nixu Ihmiset ovat tehneet nekin ohjelmistot, joiden haa- Oy:stä. I Teksti Antti J. Kaikkien organisaatioiden pitää määritellä omat kriittiset palvelunsa itse. Asiantuntijatyötä selvitykseen voi tarvittaessa hankkia myös organisaation ulkopuolelta. Nuop- vaarana, että kun hyökkääjä havaitsee, ponen suosittelee myös tiedon luokit- että hänet on huomattu, hän vetäytyy telua ja luokittelun mukaista käsittelyä. tulevan viestin, ja liitetiedosto tulee todennäköisemmin avatuksi. He voivat esimerkiksi vyyttä arvioidaan Viestintävirastossa. ”Jos joku väittää, että meidän järjestelmiin ei voi murtautua, hän ei tiedä, mistä puhutaan.” Enää ei voida ajatella niin, että palomuuri erottaa orga- Tällaisiin uhkiin voi varautua ja miettiä jo etu- nisaation kaikesta pahasta, mitä verkossa on. Lisäksi annetaan menet- tautua, jos hyökkääjällä tarpeeksi motivaatiota ja resurs- telytapaohjeita henkilöstölle esimerkiksi sähkökatkon tai tietosuoja 4 • 2013 27. Palomuuri ei riitä ”Varautumisen tulee olla sitä suurempaa, mitä kriittisemmästä palvelusta on kyse. ja jättää järjestelmään jonkin takaoven, Salainen tieto on luonnollisesti arka- jota kautta voi tulla sisään tilanteen rauhoituttua. Ihmiset myös usein tahtomattaan auttavat verkkorikollista sisäänpääsyssä. Nuopponen vertaa rakennetta keskiaikaiseen taansa. luonteisempaa kuin julkinen. Sitten hän nappaa pääkäyttäjätunnuksetkin. Tauriainen muistuttaa, että ulkopuolinen ei tähän kykene. Kun tietomurtoihin on varauduttu pitäisi pystyä suoraan kommunikoimaan toisten työasemien ja tilanteista selviämistä harjoiteltu, organisaatiot pääse- kanssa, eikä palvelimista pitäisi olla mahdollista avata yhteyk- vät huomattavasti nopeammin takaisin tavalliseen toimin- siä vapaasti. Selvitä, mistä hyökätään Joskus hyökkääjät ovat voineet seurata kohdettaan vuo- Jos organisaatiossa aletaan epäillä tietomurtoa, ei ole vält- sikausiakin. voittuvuuksia tietomurroissa käytetään. Hyökkääjät kehittävät koko ajan Kaikkia piuhoja ei kannata irrottaa heti. Perusteellinen varautuminen nopeuttaa tietomurrosta toipumista
Ei laiteta pukkia kaalimaan vartijaksi. kutsutuissa tapauksissa on itse asiassa kyse luvattomasta käytöstä tai vaaran aiheuttamisesta tietojärjestelmälle. Tutultakin lähettäjältä tuleva viesti voi sisältää hyökkäyksen aloittavan liitetiedoston tai houkuttelun sivustolle, joka murtautuu uhrin koneelle www-selaimen tietoturva-aukkojen kautta. Tunkeutumisenestojärjestelmien virittämiseen kannattaa panostaa. Kun tatapojen parantamisen kannalta olisi kuitenkin suotavaa, testeihin on lupa omistajalta, niitä voidaan tehdä itse tai että siitä kerrottaisiin. Kertomalla autat muita Omiin järjestelmiin saa ”tunkeutua” Jos kaikesta varautumisesta huolimatta järjestelmät joutu- Tauriainen kehottaa testaamaan tietojärjestelmiä tietomur- vat tietomurron kohteeksi, Nixun Antti Nuopponen kehot- tojen ehkäisemiseksi. Valtaosan tapauksista tutkii paikallispoliisi. Yksi varotoimi on huolehtia siitä, että seurantajärjestelmiä ylläpitävät eri henkilöt kuin palvelimia. Keskusrikos- Jotta tietomurtoa ei tapahtuisi, organisaatiot ohjeistavat tioiden tietoihin. Pienemmät organisaatiot ulkoistavat usein tietotekniikkansa. kaan samalla menetelmällä tunkeuduta toisten organisaa- Kajantie huomauttaa, että yleiskielessä tietomurroiksi 28. Näin voitaisiin ehkäistä se, ettei aina- teettää ulkopuolisella palveluntarjoajalla. palvelunestohyökkäyksen varalta. Ylitarkastaja Sari Kajantie Keskusrikospoliisista sitee- murron kohteeksi joutunut haluaa tuoda sitä esiin. Testaa tai testauta järjestelmäsi tietomurtojen varalta. Toimin- raa lakia, jossa sanotaan: ”joka oikeudetta tekee...”. Sopimukseen kannattaa kirjata kumppanin vastuu palvelinten päivittämisestä. mista tai tietojärjestelmiin testimielessä tunkeutumista vas- Viestintäviraston Aki Tauriainen tietää, että harva tieto- taan. Tällaista palautekeskustelua ei aina pidetä, minkä vuoksi sen Poliisilla ei ole mitään omien tietojärjestelmien testaa- pitäisi olla kirjattuna prosessiohjeisiin. Hyökkääjä vaanii pääkäyttäjän tunnuksia. Tauriainen kehottaa myös on toteutettu jollakin tavalla järjestäytyneesti tai joilla on harjoittelemaan. Älä jätä pukkia kaalimaan vartijaksi Mahdollisiin tietomurtoihin kannattaa varautua harjoittelemalla toimintaa tietomurron yhteydessä. Muuten voi käydä kuten vanhassa kansansadussa ”Pekka ja susi”, jossa turhat hälytykset johtivat kehnoon lopputulokseen. ei ole tultu ajatelleeksikaan. Jos testaaminen annetaan ulkopuo- taa organisaatiota käymään läpi, miten murto oli mah- lisen tahon tehtäväksi, sen kanssa on kuitenkin syytä laatia dollinen, ja miten tietoturvakontrolleja voitaisiin kehittää. Tämä on Kajantien mukaan tunnistettu poliisihallinnossa, ja korjaus on tekeillä. O tietosuoja 4 • 2013. Koska samalla luvattoman käytön nimikkeellä rekisteröidään nykyään myös esimerkiksi pyörävarkaudet, ei poliisilla ole järkevää tilastoa tietomurroista. turvallisuussopimus. Näin voidaan havaita sellaisia asioita, joita selvästi kansainvälisiä kytkentöjä. Suhtaudu varauksella tuntemattomilta tahoilta tuleviin sähköpostiviesteihin. poliisin tutkittaviksi tulevat sellaiset tietomurtoepäilyt, jotka ja kouluttavat työntekijöitään
Mitä parem- – olemmehan kuulleet uutisista, kuinka bonusrekisterin tiedot kerätään vain tuo- min kauppa tuntee meidät, sitä vähemmän USA:n tiedustelu vakoilee meitä kaikkia. Bonustiedot läpiva- joka on EU-alueen vahvin. Petteri Järvinen on IT-alaan erikoistunut tietokirjailija ja kouluttaja. a oliko plussakorttia?” Viaton Henkilötietolaki velvoittaa bonuskaup- kysymys kaupan kassalla muis- piasta laatimaan rekisteriselosteen. Kun sitten myyntiin pääsi saamme turhaa mainontaa. vaan myös tietojärjestelmän ja markkinoinnin kustannukset. Näkökulma Isoveljen bonus Petteri Järvinen ”J Bonustietoja kehdosta hautaan tai Facebook mutta ei tunnu lainkaan yhtä pelottavalta. Henkilökohtais- Ihmiselle on luontaista pelätä tunte- myrkyllisiä oliiveja, ostajat saatiin selville ten kulutustietojen myyminen on kulutta- mattomia ja kaukaisia asioita. vastaan terveydenhuollossa tai vakuutus- Asiakas maksaa Ruokaostoksista kerätyt tiedot profiloi- yhtiössä. Korttien ainoaksi hyödyksi jääkin tietojen kerääminen. Eikä pelkästään niitä, kone tuntee meidät yhtä hyvin kuin Google maita kalliimpaa – bonuksista huolimatta. teryhmätasolla. Elintapoja kuvaavat ostokset varjoissa haluten tietojamme. Samalla kun yhdistämällä bonustiedot kassakoneiden jan oikeus. Bonus on asiakkaalta kerättyä ylihintaa, josta kauppias maksaa osan takaisin. asiakas ei ole kenenkään kanta-asiakas. S-ryhmän bonusohjelma ulottuu ja lujittavan kahden keskusliikkeen asemaa, tohyvitystä. Vuosia Kauppias tuntee elintapasi tuttaa meitä valvonnasta. Ruuan lisäksi bonusta mieltä tahansa, bonuskorteilla on toinenkin kulutustietonsa. Onko vain sattu- Todellisuudessa asiakas maksaa itse laisevat koko ihmisen. kia on venyttää, ja miten valheellinen kuva voivat jonain päivänä vuotaa nettiin ja tulla asioista voidaan antaa. Niin ei kuitenkaan käy, sillä tyypillisellä kuluttajalla on monien kauppojen bonuskortteja. Keskusliikkeen tieto- maa, että ruoka on Suomessa muita EU- omat bonuksensa. tietosuoja 4 • 2013 29. Bonuskortit voisivat toimia, jos ne johtaisivat kanta-asiakkuuteen. Kaikkien kanta- Keskusliikkeen tietokone tuntee meidät yhtä hyvin kuin Google tai Facebook. Asiakas luulee voitta- saa melkein kaikesta elämisestä ja kulutta- kielteinen seuraus. Ne vähentävät kilpailua neensa, kun tilille tippuu muutama euro os- misesta. hautauspalveluun asti. Bonuskortti pelasti ehkä henkiä dessään ymmärtää tietojen luovutuksen läheisempi isoveli myhäilee K- ja S-kaupan mutta osoitti, miten helppoa tietosuojala- merkityksen. Todellinen hyötyjä on kauppias, joka saa asiakkaan tiedot. Asiakas saa vain hyvän mielen. Bonuskortti on puhdasta psykologiaa, ja juuri siksi se toimii paremmin kuin mikään urkintatekniikka. Oleellista on, että hän niin teh- mediahuomio kiinnittyy NSA:han, paljon tietoihin. Lupaamalla asiakkaalle bonusta ostoksista vat perheen elintavat, harrastukset, tulo- Olipa tietosuojanäkökulmasta mitä hänet saadaan luovuttamaan henkilö- ja tason ja liikkumisen. Tai keskusliikkeet vakuuttivat, ettei yksittäisen Monen mielestä lähikaupan bonusrekis- ainakin sen pitäisi muistuttaa tuotteen ostajia pystytä jäljittämään, koska teri on suorastaan hyvä asia
Etätöissä työsähköpostin käyttö nuksia.” on mahdotonta tai takkuilevaa – tietoturvan takia. Jokaisen vastuulla Jari Pirhonen on toiminut pankkien maksujärjestelmäpalveluja ja sähköisiä asiointipalveluja tuottavan Samlinkin turvallisuusjohtajana yhdeksän vuotta. nalta kriittistä infrastruktuuria, ja sen henkilöstön suhtautuminen tietoturvaan on selvitysten perusteella erittäin myönteinen. Eikö se ole paljon luvattu. Hyvän asenteen pohjalta on periaatteessa helppoa toteuttaa näkemystä, jonka mukaan tietoturva on kaikkien työntekijöiden ”Heti kun tulin taloon, totesin, että turvallisuus ei ole vahti- vaan opaskoira. Teksti Päivi Männikkö kuvat samlink F acebookia ei saa käyttää tietoturvasyistä, ei myös- sen muuttaa, mutta siitä saattaa sitten tulla työtä ja kustan- kään muistitikkuja. Kiellot eivät silti ole täysin pannassa. Hän on yhdessä johtamansa turvallisuusosaston kanssa pyrkinyt muovaamaan tietoturvan roolia rajoittajasta mahdollistajaksi. Samlink edustaa tietoturvan kan- yksittäisen työntekijän vastuuta kuin organisaation sisäistä vastuunjakoa. Minun pitäisi muistaa aina sanoa, että nykyisillä väli- Kun organisaatiossa on turvallisuusyksikkö, on erityisesti neillä tai toimintamalleilla ei voida tehdä toisin: Me voimme esimiehillä suuri kiusaus mieltää kaikki vähänkään turvallitietosuoja 4 • 2013. 30. ”On. Tietoturvan johtaminen alkaa lähestyä ideoiden myyntiä. Me autamme ja vastuulla. Tietoturvayksiköillä ja niiden ohjeiden vastainen toiminta on kiellettyä, vaikka sitä ei olisi päälliköillä on usein työpaikoilla epäkiitollinen kieltäjän ja teknisesti estettykään. Tietoturvan opastaja Tavoitteiden ja vastuunjaon pitää olla mahdollisimman selkeitä ja perusteltuja, sanoo Samlinkin turvallisuusjohtaja Jari Pirhonen. Selvästi tietoturva- Kuulostaako tutulta. Käytännössä Pirhonen on kuitenkin huomannut, haemme ratkaisuvaihtoehtoja.” että turvallisuusjohtaja joutuu usein määrittämään niin Pirhonen on luvannut olla tyrmäämättä työyhteisön ehdotuksia sanomalla ’ei’. hankaloittajan maine
Samlinkissä ei ole erillistä tietoturvastrategiadokumenttia, koska Pirhosen mukaan ”yrityksessä on vain yksi strategia”, josta tietoturvatavoitteet johdetaan. Esimiehet vastaavat alaistensa toi- Turvallisuusjohtaja osastoineen vastaa siitä, että tietotur- minnasta ja heidän riittävästä ohjeistamisestaan. Suhtautumista alettiin muuttaa esimerkiksi sillä, että koko henkilöstö kuulee tietoturva-asioista myös suoraan toimitusjohtajalta hänen pitämissään säännöllisissä Turvallisuusjohtaja Jari Pirhonen ammentaa kehitysideoita muiden alojen tilaisuuksista. voa päätöksissä, jotka vaikuttavat koko organisaatioon.” Palveluiden ja prosessien omistajat vastaavat omien prosessiensa tietoturvasta. Hallituksen hyväksymä tietoturvapolitiikka Samlinkillä kyllä on. työntekijän vastuulla on noudattaa tietoturvallisia menet- ”Meidän tehtävänämme on katsoa kokonaisuutta ja neutietosuoja 4 • 2013 telytapoja päivittäisessä työssään. 31. Jokaisen vaprosessit, ja -ohjeet ovat riittävät ja vastaavat tavoitteita. ”Tietohallintojohtaja puhuu jostain ihan muusta kuin tietoturvasta, mutta yhtäkkiä huomaan, että tuohan soveltuu minunkin työhöni.” katsauksissa. Asenne näkyi selvityksessäkin. suuteen liittyvät asiat kuuluviksi sen rooteliin
mutta jotain kättä pidempääkin pitää saada”, Pirhonen sanoo. Sam- taan, mikä on yhtiön tietoturvan taso muihin finanssialan linkissä tietoturva on kuitenkin organisoitu palveluiden ja yrityksiin verrattuna. ”Silloin on helpompi lähteä myymään sitä seuraavaa ”Usein ne asiat, jotka ovat pinnalla lehdissä, eivät ole ratkaisua, jonka tarve ei ehkä olekaan organisaatiolle yhtä niitä kaikkein tärkeimpiä tietoturvavastaavalle tai organi- itsestään selvä.” saatiolle.” O tietosuoja 4 • 2013. ”Pikavoitot” kannustavat jatkamaan Investointeihin tarvitaan kättä pidempää Standardeissa ja oppaissa neuvotaan organisoimaan tieto- Samlinkissä tietoturvan toteutumista seurataan mittareilla turva siten, että tiedoille määritellään omistajat, jotka vas- ja auditoinneilla. Pankkitiedon omistavat luonnollisesti pankit itse. Vertailuanalyyseilla (benchmark) seura- taavat niiden turvallisuudesta jokaisessa vaiheessa. 32. ole koskaan toteutunut alalla. Hänen mukaansa takaisinmaksun todennäköisyyden ja siihen kuluvan ajan. prosessien omistajuuden kautta. Uusia investointeja harkittaessa vertailu muihin toimi- Pirhonen selittää poikkeavaa mallia yrityksen syntyhis- joihin kiinnostaa aina yritysjohtoa, kuten toki myös arviot torialla, josta johtuen toimintaa on rakennettu palvelui- torjuttavasta riskistä ja kustannuksista. Ensin Pirhonen korostaakin, ettei tietoturvaoppaiden neuvoja määritellään poikkeama, sen esiintymistiheys ja siitä aiheu- voi ottaa käyttöön sellaisenaan, vaan niitä pitää soveltaa tuvat kustannukset sekä investoinnin hinta. ”On helppo maalailla jokin uhkakuva ja kertoa sen torjumisen hinta, on arvioida, kuinka realistista uhan toteutuminen on hänen organisaatiossaan. Monipankkijärjestelmässä eri parantavia toimia ei mitenkään voida toteuttaa, vaan on pankkien tietojen pitäminen erillään valittava ja perusteltava tärkeimmät on joka tapauksessa toiminnan perus- toimet. liikkuu, mutta meidän oli organisaa- Yhtiössä on hiljattain otettu käyt- tion toimintaa mullistamatta vaikea töön työkalu sen arvioimiseksi, missä nimetä tiedolle yhtä vastuullista omistajaa.” ajassa tietoturvainvestointi maksaa itsensä takaisin. Tietoturvajohtajan tehtävänä Hän kannustaa myös ”pikavoittojen” eli helppojen ja nopeasti tulosta tuottavien keinojen käyttöön. ”Kyllä meillekin on tärkeää tietää, mitä tietoa meillä on, ja missä se Olen luvannut olla sanomatta ’ei’. edellytys. tietosuoja-lehti.fi Kuinka viesti saadaan perille. Kaikkia tietoturvaa den omistajuuden pohjalta. organisaation toimintaa seuraamalla huomaa nopeasti Pirhosen mukaan ongelmallisinta on keskustelu sellai- kipupisteet, menettelyjen hyödyt ja haasteet sekä sen, mitkä sesta uhasta, joka on näkyvästi esillä mediassa, mutta joka ei keinot on helppo ottaa käyttöön. Työkalu laskee oman organisaation toimintaan sopiviksi
T ietosuojalautakunnan saarnaajien yksityistä aineistoa. vat muistin apuna vierailtaessa kerääminen tapahtui siis yhdys- uudelleen kiinnostusta osoitta- kunnan toimintaa varten ja yh- neiden luona. Päätöksessään tietosuojalau- tekemään muistiinpanoja eikä Lautakunta katsoi, että Jeho- takunta kielsi Jehovan todistajien sillä ole niihin pääsyä tai mää- van todistajien uskonnollinen uskonnollista yhdyskuntaa käsit- räysvaltaa. Tällaista tieto- Ratkaisussa keskeiseksi nousi vissä. Jehovan muistiinpanoja ja antanut ohjeita tietojen käsittelyn edellytykset todistajien muistiinpanot toimi- kerättävistä tiedoista. Tietojen täyttyvät. Yhdyskunta oli ei kerätä henkilötietoja ilman, mahdollisuus kuin se, millaiselle kehottanut saarnaajia tekemään että henkilötietolaissa tarkoitetut alustalle ne on koottu. O Rekisteröidyn tiedot helposti saatavilla Jehovan todistajat vetosivat siihen, että muistiinpanot ovat tietosuoja 4 • 2013 lomakkeella. Jeho- henkilötietolain mukaista perus- -työssä syntyy henkilörekisteri tai van todistajat olivat vedonneet tetta. Näin ollen lomake 33. kunta tai yhdyskunta ei velvoita rekisterinpitäjän määritelmää. Lautakunnan mää- siihen, ettei yhdyskunta säilytä voi perustua esimerkiksi kyseis- rittelemänä henkilörekisteri muo- yksittäisten saarnaajien keräämiä ten henkilöiden yksiselitteisesti dostuu silloin, kun tiettyä henki- tietoja. Lau- löä koskevat tiedot on järjestetty takunta myös velvoitti Jehovan siten, että ne löytyvät helposti. Lisäksi ovelta ovelle -työtä jen keruuta ei voi pitää yksityi- kysymys siitä, muodostavatko tehdään alueittain, joten muis- seen tarkoitukseen tehtävänä ovelta ovelle -työssä tehtävät tiinpanot on järjestetty alueit- henkilötietojen käsittelynä, joka ei muistiinpanot henkilörekisterin. todistajat huolehtimaan siitä, että Merkityksellistä on pikemmin- Lautakunnan mukaan rekisterinpitäjän määritelmän kannalta ei kuitenkaan ole keskeistä, kuka yhdyskunnan tarkoituksia varten kin muistiinpanojen käsittely- tietoja säilyttää. Henkilötietojen käsittely -rekistereitä. Seura- Toinen keskeinen kysymys koski rinpitäjien määritelmiä. tain. todistajien saarnaamis- lomakkeelle tai muutoinkaan niin työssään käsittelemistä järjestelmällisesti, että nimen- henkilötiedoista luonnehditaan omaisen henkilön tietoja voitai- Rekisterinpitäjä antoi ohjeita myös henkilörekisterin ja rekiste- siin hakea tai ylläpitää. yhdyskunta ja tietoa keräävät yhdyskunnan jäsenet ovat telemästä henkilötietoja ovelle Lautakunnan mukaan on kui- ovelle -saarnaamistyössä ilman tenkin ilmeistä, että ovelta ovelle yhdessä rekisterinpitäjiä. Lautakunnasta kuuluu Organisoitu tiedonkeruu vaatii rekisteröidyn luvan Henkilörekisteri syntyy, kun tiettyä henkilöä koskevat tiedot on järjestetty siten, että ne löytyvät helposti. Tiettyä henkilöä dyskunnan antamien suuntavii- koskevat tiedot ovat siis löydettä- vojen mukaisesti. edesauttaa henkilöä koskevien ratkaisussa Jehovan Niitä ei tehdä standardisoidulle tietojen etsimistä ja siirtämistä. Vierasta kieltä tai viittoma- kuuluisi henkilötietolain sovelta- kieltä puhuvista kerätään tietoja misalaan. antamaan suostumukseen
nut viestintäpalvelujen luottamuksellisuu- Viestintävirasto katsookin, että viestintä- teen. toimesta, jolloin palveluihin sovelletaan vakoiluohjelmista osoittivat, Viestintävirasto selvitti vastikään tele- kotimaista lainsäädäntöä. ”Tulemme keskustelemaan muun muastietosuoja 4 • 2013. Tuorein skandaali on kotimaasta: sistä toteuttaa viestintäpalvelunsa koko- ulkoministeriön tietoverkkoa vakoiltiin vuo- naan Suomessa ja suomalaisten yritysten sien ajan haittaohjelman avulla. Teksti Kirsi Castrén kuva shutterstock C IA:n alihankkijan entisen työn- suojalakiin perustuva ilmoitusvelvollisuus tekijän Edward Snowdenin pal- Viestintävirastolle. Teleyritysten vaan saattaa tulla rajoituksia paikallisesta arvioiden mukaan urkinta ei ole vaikutta- sääntelystä. Internetissä näppäimilläkin on korvat Mitkä ovat verkonkäyttäjän mahdollisuudet parantaa viestintänsä turvaa. Teleyritykset ilmoittivat toteuttavansa palvelujen käyttäjien valinnanvapaus edel- palveluitaan niihin sovellettavan sääntelyn lyttää käyttäjien tietoisuuden lisäämistä pal- mukaisesti ja luovuttavansa tietoja viran- velujen turvallisuusominaisuuksista. yhteistyön, jonka yhtenä tavoitteena on tarkentaa tiedottamisen pelisääntöjä. aloittaa lähiaikoina teleyritysten kanssa Tietomurtoja ja niiden yrityksiä ei selvityksessä suoranaisesti kartoitettu, sillä niistä teleyrityksillä on sähköisen viestinnän tieto34. Käyttäjille tiedottamisen pelisääntöjä tarkistetaan. Loput teleyrityk- yrityksille suunnatulla kyselyllä kansain- set toteuttavat palvelujaan kokonaan tai välisen tiedustelutoiminnan vaikutuksia osittain ulkomailla, jolloin niiden tietotur- suomalaisten tietoturvaan. jastukset Yhdysvaltain laajoista etteivät sen enempää tavallinen netinkäyt- Käyttäjille tiedotettava turvallisuudesta täjä kuin valtionpäämiehetkään ole turvassa Reilu kolmasosa suomalaisista teleyrityk- urkinnalta. Virasto omaisille ainoastaan lain puitteissa
suus valita tarpeisiinsa soveltuvat palvelut.” Lait ja tekniikat tarkistuslistalle Viestintävirastossa toivotaan, että käyttäjät alkaisivat aktiivisemmin miettiä omien tietietosuoja 4 • 2013 Palvelun turvallisuutta kannattaa miettiä vaohjelmiston valinnan, kannalta, myös pal- Kieli ei tee palvelusta suomalaista veluun sovellettavan lainsäädännön näkö- Käyttäjä ei aina tule ajatelleeksi, että vaikka kulmasta. Arvioinnin merkitys korostuu erityisesti ”Tarkoituksena ei ole ohjata verkon käyt- Lisäksi kannattaa arvioida, onko jollain valittaessa palvelua, johon tallennetaan täjiä suosimaan vain kotimaisia palveluntar- ulkopuolisella mahdollisuus käsitellä tietoja erittäin arkaluontoisia tietoja, kuten yritys- joajia, vaan turvata käyttäjille aito mahdolli- siten, että tiedot on tarpeen salata. salaisuuksia. veluihin voidaan soveltaa jopa täysimääräi- käyttäjilleen ulkomaisten alihankkijoiden ”Olisi hyvä pohtia, voisiko joku ulkopuo- sesti palveluntarjoamismaan sääntelyä, joka käytöstä palvelujen toteuttamisessa”, ker- linen olla kiinnostunut tiedoistasi, ja miten voi poiketa merkittävästikin suomalaisesta too turvallisuussääntelyryhmän päällikkö tietojasi käsitellään käyttämissäsi palve- sääntelystä”, Saarimäki huomauttaa. luissa”, Saarimäki opastaa. verkkopalvelu olisikin tarjolla suomenkie- paitsi teknisten näkökohtien, kuten tietotur- ”Suomen ulkopuolelta tarjottaviin pal- lisenä, se ei välttämättä ole Suomen tie35. Jarkko Saarimäki Viestintävirastosta. sa siitä, pitäisikö teleyritysten ilmoittaa tojensa suojaamisen tarvetta
Kun hankkii uuden mobiililaitteen, kannattaa käyttää hetki siihen tutustumiseen. tosuojalainsäädännön piirissä. töä. rämaaperiaate, jonka mukaan maasta toi- Vakoilu on totta murto ja kansainväliset vakoiluskandaalit seen tarjottavissa palveluissa sovelletaan Suomen verkkoviestintä ulkomaille kul- ehkä vain konkretisoivat ilmiötä suurelle lähtökohtaisesti tarjontamaan lainsäädän- kee Ruotsin kautta. ”Ihmiset eivät aina huomaa, että uuden puhelimen käyttöönottokin saattaa edellyttää jonkinlaisen käyttäjätilin luomista, ja käyttäjätiedot saattavat tallentua pilvipalveluihin, joiden sijaintipaikka vaihtelee”, Hänninen huomauttaa. huhuttu jo vuosia. Silti harva vaivautuu suojaamaan viestejään. Vuonna 2009 Ruotsissa yleisölle”, Saarimäki pohtii. ten kanssa. Tarjolla on helppokäyttöisiä salausohjelmia, joiden avulla voi yhdellä napin painalluksella tehdä viestinsä ulkopuoliselle lukukelvottomaksi. Viestintävirasto selvittää, voitaisiinko myös Suomen tietoturvasääntelyä ulottaa ”Viimeaikaiset vakoiluskandaalit toivottavasti viimeistään hälventävät ne keskustelut, joiden mukaan Ruotsin kiertäminen jotenkin auttaisi meitä”, Saarimäki heittää. Virasto hyväksyessään hyväksynyt sen, että sopi- tekee asiassa kansainvälistä yhteistyötä eri- Eri tahojen harjoittamasta valtiollisesta mukseen sovelletaan ulkomaista lainsää- tyisesti muiden EU-maiden televiranomais- tiedustelutoiminnasta on Suomessakin däntöä”, Saarimäki muistuttaa. kutsutun signaalitiedustelun. tekee sopimuksen ulkomaalaisen yrityksen kanssa. ”Viestin salaaminen riittävän vahvalla salakirjoitusmenetelmällä on peruskäyttäjälle ainoa suhteellisen varma tapa pitää verkkoviestintänsä yksityisenä”, Hänninen toteaa. ”Suomalaisten viranomaisten on vaikea joiltain osin koskemaan kokonaan ulko- tulla väliin, kun käyttäjä on käyttöehdot mailta tarjottavia viestintäpalveluja. ”Viestitettäessä ulkomailta Suomeen on syytä muistaa, että toisen maan verkossa puhelin on lain silmissä ulkomailla, vaikka liittymä on hankittu suomalaiselta teleyritykseltä. Vaikka palvelu on suomeksi, se ei välttämättä ole Suomen lain piirissä. Esimerkiksi PGP on ohjelma, jota Viestintävirasto suosittelee yhtenä hyvistä ilmaisista salausvaihtoehdoista. 36. Tällöin tietosuojaan pätevät kyseisen maan lait”, toteaa Tilannekuvapalvelut-ryhmän päällikkö Pasi Hänninen Viestintävirastossa toimivasta kansallisesta tietoturvaviranomaisesta CERT-FI:stä. Vaikkapa joissakin tilanteissa soveltaa suomalaisen Facebook-tilin perustaessaan käyttäjä kuluttajansuojan säännöksiä. ”Ohjekirja on hyvä lukea tarkkaan läpi.” Tavallisen, salaamattoman sähköpostin tietoturva on samaa luokkaa kuin postikortin. Viestintävirasto antoi 2010 Ruotsin lakimuutoksen johdosta määräyksen, jossa korostetaan teleyritysten velvollisuutta tiedottaa asiakkailleen ulkomailla toteutettaviin, suomalaisille tarjottaviin palveluihin kohdistuvista tietoturvauhkista. Viestintäviraston ohjeita viestinnän suojaamisesta: www.viestintavirasto.fi > Ohjaus ja valvonta > Ohjeet, tulkinnat, suositukset ja selvitykset > asiakirjat tietosuoja 4 • 2013. Suomen kuluttaja-asiamiehen tulkin- säädettiin laki, joka sallii armeijan radio- ”Me Viestintävirastossa toivoisimme ylei- takäytännön mukaan Suomessa tarjottaviin tiedustelulaitokselle (FRA) maan kautta sen tietoisuuden tietoturvauhista kasvavan ulkomaisiin palveluihin voidaan kuitenkin kulkevan ulkomaisen viestiliikenteen niin edelleen.” O EU:ssa on käytössä niin sanottu alkupe- ”Nyt nähdään, että vastaavaa tiedustelutoimintaa tekevät muutkin tahot.” ”Ulkoministeriöön kohdistunut tieto- Lue ainakin ohjekirja Tietoturva-asiantuntija neuvoo kiinnittämään erityishuomiota matkapuhelimen ja tietokoneen käyttöön ulkomailla. Tiedotusvelvoite perustuu sähköisen viestinnän tietosuojalakiin
Suu- mutta myös henkilöresursseista ja 1. Kysy itseltäsi, onko organisaa- huomaamattomasti. Toisaalta käytettävyydenkin lun kohteena kuin muutkin valtiot. Kyse on osin tekniikasta perusteella toimenpiteisiin. vastuusta omissa toimissaan. Ari Uusikartano ulkoministeriö turvaamiseen. Gallup Havaitse ja reagoi ajoissa Näitä kysyimme: 1. Mitä voimme oppia ulkoministeriön verkkovakoilutapauksesta. Tärkeintä on huolehtia perus- 2. Verkkovakoilua on valitettavan rimmalta osalta yrityksistä ja valtion osaamisesta. Samoin pitää 2. Vaikka tietoliikenneyh- oikeus ja tarve niihin. Kun vastapuolen resurssit ovat hyvät, pitää suojautumisen olla vastaavalla tasolla. Oleellista on tun- organisaatioista tämä havaitsemis- nistaa keskeisimmät suojattavat kyky ja siten reagointikyky puuttuu kokonaisuudet ja panostaa niiden lähes kokonaan tai on heikko. Tämä edellyttää jatkuvaa ja tiollanne hyvät mahdollisuudet tarkkaa verkon sekä palveluiden havaita tunkeilija ja ryhtyä sen seurantaa. On eriytettävä tiedot, jotka on ehdottomasti turvattava, ja rajattava niihin pääsy. lisuutta pitää hoitaa operatiivi- teys tai liitetiedosto tulee luote- silla tietoturvatoimenpiteillä eikä tulta taholta, sen sisältöön ei pidä pelkällä hallinnollisten tietoturva- luottaa sinisilmäisesti. Hajautus luo Professori Jukka Manner Aalto-yliopisto Professori Tomi Voutilainen 1. Tiedot tulee saattaa Itä-Suomen yliopisto vain niiden ulottuville, joilla on 1. Suomi on yhtä lailla verkkovakoi- toimenpiteet ovat jääneet kovin tekoa. Kyberturvallisuusjohtaja Jarno Limnéll Stonesoft don tasot ja luotava suojausmenetelmät sen mukaisesti. Myös Suomi on tiedustelutoi- kohteiden kannattaa eriyttää verkei pääse koneilta, joilla käytetään www:tä ja ulkopuolista sähköpostia. Tiedusteluorganisaatioilla on kyky tuottaa ja hankkia uusia ohjel- turvallisuutta. vuosia ja keräämään paljon tietoa 2. On kohteista ja osa organisaatioiden myös luokiteltava turvattavan tie- toimintakulttuuria. Koko henkilökunnan pitää sitou- säädännön kehittämisen tarve on tua tietoturvakäytäntöihin, vaikka tunnistettu jo 1990-luvulla, mutta ne usein häiritsevät sujuvaa työn- 1. Julkisen hallinnon tietoturval- eivät tunne. heikoiksi. periaatteiden kehittämisellä. Todellista turvallisuuden tasoa voidaan nostaa merkittävästi esimerkiksi koulutuksilla ja harjoituksilla. Tiedustelija pyrkii 1. Järjestelmiä ei pystytä rakenta- pysymään kohteensa verkossa maan aukottoman turvallisiksi. vaikeaa torjua. 2. minnan kohde. 2. Mitä organisaatioiden tulisi tehdä välttyäkseen urkinnalta. Ammattimaisessa tiedustelussa kyse on siitä, pystytäänkö se havaitsemaan ajoissa ja reagoi- Tietohallintojohtaja maan. Tietoturvan pitäisi olla yksi kes- keskustella, koskeeko korotettu tie- asioista, kuten jokaisen työtekijän keisistä strategisista kehittämis- toturva kaikkia. Johtava tietoturva-asiantuntija Johtava tietoturva-asiantuntija CGI Mika Laaksonen 1. tietosuoja 4 • 2013 Valtiollisen tahon kiinnostuksen konsa siten, että kriittiseen tietoon Jan Mickos KPMG mistoja, joita torjuntaohjelmat 37. pitää olla kunnossa. 2. Lain- 2
Tie- voidaan tarvittaessa myös estää.” tovuodot ovat mahdollisia myös yrityskauppuuttua helpommin kuin esimerkiksi tar- Sähköpostia ei seurata Suomessa jousasiakirjojen vuotamiseen kolmannelta Ylhäisi kertoo, että koska Euroopassa lain- osapuolelta kilpailijoille. Teksti Antti J. säädännöt vaihtelevat maittain, järjestelmä pojen yhteydessä. Ko- esimerkiksi Ruotsissa, Nor- pioinnista tulee lokimerkintä, ja kopiointi jassa ja Yhdysvalloissa. Lagus kuvat itella, shutterstock ja Andritz E jestelmää (DLP eli data loss prevention, tiedon häviämisen estäminen), joka on kaikissa yrityksen tietokoneissa. Tietopääoma Mitä tehdä, kun käy ilmi, että työnantajaa vaihtava työntekijä on vienyt tietoja mukanaan. Näihin asioihin yritys voi 38. giayrityksellä Andritzilla on ”Järjestelmä seuraa sitä, kopioidaanko kokemuksia tietovuodoista tiedostoja ulkoisille muistivälineille. Vuotojen havaitsemiseksi Andritz on vuodesta 2008 alkaen käyttänyt DLP-jär- tietosuoja 4 • 2013. Vaikkei järjestelmä aivan aukoton olekaan, sen avulla on tietoturvajohtaja Teemu Ylhäisin mukaan onnistuttu estämään tiedon kopiointia ja ri puolilla maailmaa toimi- myös saamaan arvokasta tietoa mahdolli- valla itävaltalaisella teknolo- seen oikeuskäsittelyyn
Kolmas taso sisältää kaiken muun Sähköpostivalvontaa Andritz tekee tiedon, esimerkiksi intranetin sisällön. Salaista tietoa, esimer- ”Esimerkiksi Suomessa sähköpostiliiken- kiksi strategioita tai yritysostosuunnitelmia, teen valvominen pitäisi tehdä niin sanotun ei saa lähettää sähköpostilla yrityksen ulko- Lex Nokia -menettelyn kautta, joka sisältää puolelle lainkaan. Luottamuksellisen tie- muun muassa ilmoituksen tietosuojaval- don, esimerkiksi tuotetiedon tai 3D-mallien, tuutetulle. Kaiken toiminnan valvominen ei olisi talou- IT-yksikkö ei voi tietää, mikä tieto missäkin dellisesti eikä toiminnallisesti järkevää. Olemme kuitenkin päättäneet kopioinnista tulee lokimerkintä, ja tiedostot tehdä Suomessa suppeampaa valvontaa.” salataan. 39. maissa, joissa se on yleisesti sallittua. Val- ”Kun tiedon luokittelu otetaan käyt- vontatoimet on Ylhäisin mukaan kuitenkin töön, liiketoimintayksiköt koulutetaan, ja viritetty niin, etteivät ne haittaa työntekoa. tai muuksi tiedoksi. kannattaa suojata on toteutettu kunkin toimintamaan lainsää- luokitellaan salaiseksi, luottamukselliseksi däntöä noudattaen. yksikössä arvioidaan luottamukselliseksi tai Luokittelu on Lex Nokiaa tehokkaampaa Parhaillaan Andritz on ottamassa käyttöön tiedonluokittelujärjestelmää, jossa tieto tietosuoja 4 • 2013 salaiseksi”, Ylhäisi sanoo. vastuu luokittelusta siirtyy liiketoiminnalle. ”Suomessa valvontamme on suppeampaa”, tietoturvajohtaja Teemu Ylhäisi sanoo
Tie- rikolliset saavat toimia rauhassa. Tiedon luokittelu vaikuttaa tiedon käsittelyyn koko sen elinkaaren ajan ja kaikissa muodoissa. Tosin kerran patentoitua tai edes sellaista asiaa, josta on jonnekin jätetty patenttihakemus, eivät toiset voi muualla patentoida. Tietopääomariskien toimenpiteiksi työryhmä suositti säännöllistä raportointia ”Kuitenkin vain kaksi prosenttia tapauk- tävirastossa toimiva kansallinen tietoturva- sista ilmoitetaan poliisille”, Rajamäki ihmet- viranomainen CERT-FI tekee jo tätä. tietosuoja 4 • 2013. Patentit liittyvät nykyään usein aiempiin keksintöihin. ”Mielestäni Lex Nokian vähäinen käyttöönotto kertoo jo paljon. Useimmiten hän on nähnyt käytettävän kolmi- tai neliportaista asteikkoa. Neliportainen asteikko voisi olla esimerkiksi julkinen, sisäinen, luottamuksellinen ja salainen. Sen mukainen toiminta ei pelasta mitään, jos asiat eivät ole muuten kunnossa.” Kansainvälisyys lisää riskejä Rajamäki johti kansallista elinkeinoelämän ja viranomaisten yhteisen yritysturvallisuusstrategian kirjoitustyöryhmää, joka sai työnsä päätökseen viime vuonna. situksia kuuteen eri riskikategoriaan, joista yksi on tietopääomaan kohdistuvat riskit. Ryhmä ehdottaa myös tietoturvatasoon Hän kyllä ymmärtää, että yritykset saat- sidottua kannustinta startup-yritysten jul- tavat punnita ilmoittamiseen liittyvää mai- kiseen rahoitukseen. Useinkaan ei tulla ajatelleeksi, että suojan lisäksi patentointi tarjoaa myös tiedonvälitysjärjestelmän. Ilmarisen mukaan jotkut hakijat haluavat hakemuksensa tulevan julkiseksi heti. Sillä ei nimittäin enää ole uutuusarvoa. Patentilla osoitetaan ainutlaatuista uutuusarvoa. tietoturva- ja yritysvakoilu-uhista. Rajamäen mukaan luokittelu ja on tehokkaampaa kuin Lex Nokian mukainen viestiliikenteen seuranta. Patenttihakemus tulee julkiseksi viimeistään 18 kuukauden kuluttua hakemuksen jättämisestä. Strategiatyössä ryhmiteltiin toimenpiteitä ja suo- kyse yrityssalaisuuden urkinnasta. ”Patentoinnissa syntyvät tietokannat ovat arvokas tietolähde muille kehittäjille, jotka haluavat selvittää hankkeidensa patentoitavuutta”, Patentti- ja rekisterihallituksen viestintäasiantuntija Olli Ilmarinen sanoo. Kansainvälisyys lisää tietoriskejä. Tähän on tulossa muutoksia ensi vuonna”, Rajamäki sanoo. telee. Ilmarisen mukaan patentti kannattaa Suomen lisäksi hakea päämarkkina-alueille, sillä Suomessa myönnetty patentti antaa suojan vain Suomessa. Kaikki nämä patentit eivät välttämättä ole tuotteen valmistajan omia, vaan valmistaja on lisensoinut oikeudet niiden käyttöön. Useimmat taas haluavat sen pysyvän salassa mahdollisimman kauan. Esimerkiksi autossa on noin 10 000 – 20 000 patenttia, ja älypuhelimessa saattaa olla tuhansia patentteja. O lisuuden rikosuhkista 40 prosenttia kohdis- Patentointi välittää tietoa Tietopääomaa suojataan myös patentoinnilla eli yksinoikeuden antamisella patentoitavan asian kaupalliseen hyödyntämiseen. Viestin- Lisää rikosilmoituksia ”Tietopääoman suojaaminen ei ole projekti vaan laatutyöhön verrattavaa jatkuvaa toimintaa”, muistuttaa Itellan turvallisuus- ja riskienhallintajohtaja Markku Rajamäki. kaikilta osin ole sellainen, että niiden tut- Strategiatyöryhmän tietojen mukaan teol- Myös Itellan riskienhallinta- ja turvallisuusjohtaja Markku Rajamäki pitää tiedon luokittelua hyvänä keinona tietoturvan parantamiseen. Aloittavien yritysten neriskiä. Patenteilla voi siis käydä kauppaa. 40. tuu tietojärjestelmään ja 12 prosentissa on kinnassa saisi käyttää tarpeellisia telepakkokeinoja. Ilmoitusten määrää pitää tevät kansainvälistymään nykyään varsin kuitenkin saada nostetuksi, sillä muuten pian. toturvan rakentaminen alusta lähtien on ”Lainsäädäntö on myös ollut puutteel- myös helpompaa kuin olemassa olevien linen, sillä tietomurtojen rangaistavuus ei käytäntöjen muuttaminen. Yritykset voivat myös kokea tapah- tietoturvaan kannattaa Rajamäen mielestä tuneen yksinkertaisesti nolona, eivätkä kiinnittää huomiota siksi, että yritykset läh- halua kertoa siitä
Androidin markkinaosuus kaikista mobiililaitteista on miltei 80 prosenttia. shutterstock 79 riskialttiin tai haittaohjelman sisältävän mobiilisovelluksen haamuraja ylitettiin tietoturvayhtiö Trend Micron mukaan tämän vuoden kolmannella neljänneksellä. Väärennetyn SIM-kortin päivityksen turvin puhelimeen voidaan esimerkiksi asentaa maksullisia tekstiviestejä lähettävä haittaohjelma. 1 000 000 tietosuoja 4 • 2013 wikimedia commons 1 000 shutterstock 0 prosenttia mobiililaitteiden haittaohjelmista on tehty Android-käyttöjärjestelmälle, todetaan USA:n turvallisuusministeriön raportissa. SIM-korttia työryhmänsä kanssa tutkinut saksalainen tietoturvatutkija Karsten Nohl paljasti loppukesällä löytäneensä haavoittuvuuden, joka liittyy tietyissä SIM-korteissa käytettävään salausalgoritmiin sekä tekstiviestitse lähetettäviin SIM-kortin päivityksiin. 41. Ilmiö numeroina on niiden haittaohjelmien määrä, jotka tietoturvayhtiö F-Secure oli marraskuuhun mennessä havainnut tänä vuonna Blackberryn, Applen (iOS) ja Windows Phonen käyttöjärjestelmissä
tietosuoja 4 • 2013. 42
Rekiste- viime vuonna yhteensä 572. ”Pyyntö voidaan tehdä, jos jostakin Useimmiten valtuutettu on oma lapsi. tille. Julkinen Laadittujen edunvalvontavaltuutusten määrää ei tiedä kukaan, koska ne lepäävät ensi vaiheessa asianomaisten piironginlaatikoissa. Tieto rekisteriin Kaikki edunvalvonnat ja valtuutusten vahvistamiset merkitään holhousasioiden rekisteriin, jota ylläpitävät maistraatit ja niiden tullut sairauden vuoksi kyvyttömäksi hoitamaan asioitaan. Valtakirjoja vahvistettiin liikenteestä kirjaa sekä säilytettävä kuitit ja taiseksi ollut aihetta edes pistokokeena. Edunvalvontavaltuutuksessa sitä ei ole tunnettu, vaikka sitä pidet- ilman erillistä määräystä valtakirjassa. tuutetun on kuitenkin aina pidettävä raha- säädetty salassapitovelvollisuus. Valtuutus- Valtaosa valtuutuksista koskee taloudellis- mahdollisuus lisää kansalaisen itsemää- ten asioiden lisäksi myös henkilöä koskevia Maistraatti voi oma-aloitteisesti pyytää räämisoikeutta. edunvalvojan nimet ja valvonnan alkamis- rän odotetaan kasvavan 40–50 prosenttia ”Valtaosassa valtuutettu on oma lapsi. Esimerkiksi muistisairauk- asioita, esimerkiksi hoitoon ja asumiseen kirjanpitoa nähtäväkseen. syystä syntyy epäily, ettei taloudenpito ole kunnossa”. Edunvalvontavaltuutus lisää itsemääräämisoikeutta Edunvalvontavaltuutuksella kansalainen voi valtuuttaa valitsemansa henkilön huolehtimaan asioistaan sitten, kun oma toimintakyky ei enää riitä. Helsingissä ”Maistraattiin ei ole tullut tietoa, että riin merkitään muun muassa valtuuttajan ja niitä vahvistettiin viime vuonna 50, ja mää- salassapitoa olisi rikottu”, Pöntinen kertoo. ohjaus- ja kehittämisyksikkö MOK. Valtuutetulle on laissa kertoo, ettei tällaiseen pyyntöön ole tois- tiin monin tavoin oivallisena suurten ikäluokkien ikääntyessä. Teksti Marianne Saine Kuva Maija Nyman M ahdollisuus valtuutuksen Helsingin maistraatin holhoustoimen perustuva tilinantovelvollisuus maistraa- tekemiseen on vielä vähän yksikön päällikkö Kari Pöntinen sanoo. Rekisterin sisältämät tiedot on tänä vuonna. edunvalvonta ei pysty kantamaan nopeasti kasvavaa asiakasmäärää. ”Vahvistusten määrä saisi olla isompikin. Kari Pöntinen siin sairastuneiden määrä kasvaa nopeasti liittyviä kysymyksiä. Jo ajankohta. ”Rekisterin tietomäärä on varsin suppea”, Pöntinen sanoo. 43. Val- uudistuksena vuonna 2007, kun valtuutusta Valtuutetulla salassapitovelvollisuus koskeva uusi laki tuli voimaan. Maistraatit vahvistavat valtuutukset hakemuksesta silloin, kun laatija on tiliotteet. Valtuutuksesta ei vielä tiedetä riittävästi”, tietosuoja 4 • 2013 tämä ehkäisee sitä, että hän alkaisi huudella vanhempansa asioista turuilla ja toreilla.” Julkiseen edunvalvontaan liittyy lakiin määritelty laissa
Näin ehkäis- aiemmin syntyneet tekisivät valtuutuksen. Edunvalvontavaltuutus tulee voimaan maistraatin vahvistamisella. Lääkärintodistuksella näytetään, ettei valtuuttaja enää voi hoitaa asioitaan. hoitajan tai pankkineuvojan nimi”, Pöntinen räämisoikeuden edistäjänä. ”Pääsy rekisteriin on vain työntekijöillä, aiheesta enemmän jotka tarvitsevat tietoja työtehtäviensä hoi- www.maistraatti.fi/Palvelut/holhoustoimi/Edunvalvontavaltuutus/ http://edunvalvontavaltuutus.com/ tamiseen.” Holhousasioiden rekisteri on julkinen, ja kuka tahansa voi kysyä siitä tietoja. Muun muassa silloin pitää näyttää, tiedon puutetta. Maistraatti valvoo valtuutetun toimintaa. Valtakirja allekirjoitetaan kahden esteettömän todistajan ollessa yhtä aikaa läsnä. masti eri tahoja,” lakimies Vesa Anttila ker- Tiedonsaantioikeudet selviksi on valtuutettu, on syytä kirjata, onko muil- too. kohtauksen tai onnettomuuden, varalta. Helsingin maistraatin Kari Pöntinen suosit- lakin oikeus saada esimerkiksi hoitopaikasta telee vahvasti, että kaikki 1940-luvulla ja sitä samat tiedot kuin valtuutetulla. Usein kysyjä pyytää yksi käsi nousta kertomaan, että on kuullut Se on hyvä olla olemassa muistisairautta tietoja itsestään, vaikkapa taksilupaa hank- valtuutuksesta aiemminkin”, Anttila kuvaa äkillisempienkin tilanteiden, kuten sairaus- kiessaan. Valtuutus tehdään kirjallisesti testamentin tapaan. Valtakirjassa valtuuttaja määrittelee ne asiat, jotka valtuutus kattaa. tään epäselvyyksiä ja perheriitoja.” O ”Kierrämme kouluttamassa maksutto- ”Jos luennolla on 30 kuulijaa esimerkiksi sosiaali- ja terveysaloilta, voi kysyttäessä 44. sanoo. Erilaisia toimintaohjeita voi antaa valtuutuksen liitteenä. Mikä edunvalvontavaltuutus. ”Jos suunnittelee oikeustointa toisen kanssa, vaikkapa kiinteistökauppaa, voi pyytää rekisteriotteen. ettei ole edunvalvonnan alaisena.” Osuuskunta ei tallenna henkilötunnusta Osuuskunnankaan eteen ei ole vielä tullut tilannetta, jossa valtuutettu olisi rikkonut salassapitovelvoitettaan. lökortilla.” valtuuttajan tietoja annetaan. Edunvalvontavaltuutuksella voi valtuuttaa valitsemansa henkilön huolehtimaan asioistaan siltä varalta, että myöhemmin tulee kykenemättömäksi hoitamaan asioitaan itse. ”Jos valtuuttajalla on kolme lasta ja yksi tietosuoja 4 • 2013. ”Hyvä tapa on laittaa toimintaohjeisiin ”Tietosuoja-asioihin liittyy myös se, että tiedot siitä, missä pankissa valtuuttajalla on Turussa on tiedostettu edunvalvontaval- valtuutuksen laatijayhteisö noudattaa tieto- tilejä ja tallelokeroita sekä mainita salkun- tuutuksen tärkeys kansalaisen itsemää- suojan säännöksiä”, Anttila muistuttaa. Perusteilla on ”Osuuskuntamme ei esimerkiksi tallenna Edunvalvontavaltuutus ry, ja valtuutusten henkilötunnuksia tai kirjaa niitä valtuutuk- Lakimies Vesa Anttila muistuttaa, että tekemisessä avustava osuuskunta Edun on seen, koska henkilöys todennetaan henki- valtuutuksessa voi myös määrätä, kenelle toiminut tämän vuoden
Sitä ei selvitetty, mistä ne johtuvat. Saksalainen sanomalehti Die Zeit viittaa olympialaisten mot- Mistä tietoturvalle oma Airbus. Sisäisen muistion mukaan GCHQ:n tavoitteena on salakuunnella kaikkia maailman mobiililaitteita reaaliajassa. shutterstock Tutkijat testasivat, kuinka helposti salasana saatiin paljastettua algoritmilla ja laskivat sen perusteella todennäköisyyden salasanan murtumiseen. satallentamisen. 45. Salasanojen monimutkaisuudessa havaittiin suuria eroja. Tähän päätelmään tultiin Ars technican uutisoimassa tutkimuksessa, jossa tarkasteltiin yhdysvaltalaisen Carnegie Mellonin yliopiston kaikkien opiskelijoiden ja henkilökunnan edustajien käyttämiä salasanoja. shuttersatock siinsa. Kaikkein helpoimpia salasanoja käyttävät kuitenkin kauppatieteilijät. tietosuoja 4 • 2013 GCHQ:n tavoitteita salakuuntelussa. Esitys ”Jos kongressi olisi tiennyt 9/11:n jälkeen, lopettaisi esimerkiksi teletunnistetietojen mas- mitä NSA aikoo, Patriot Actia ei olisi hyväksytty. Näin sanoo Euroopan verkko- ja tietoturvavirasto Enisan pääjohtaja Udo Helmbrecht. Selailtua Patriot Actin isä urkintaa rajoittamassa Republikaanien kongressiedustaja Jim Sensenbrenner esitteli edustajainhuoneelle loka- sille laajat toimivaltuudet antaneen Patriot Actin isänä. IT-markkinoilla ei pärjätä kansallisilla ratkaisuilla, vaan nyt pitäisi luoda turvallisia eurooppalaisia palveluita. Washington Postin haastattelussa kuussa lakiesityksen (USA Freedom Act), jonka hän sanoo, että kongressin valvonta on pettä- tarkoitus on rajoittaa NSA:n oikeutta kerätä tie- nyt, ja siksi NSA:n toiminta on karannut käsistä. toja USA:n kansalaisten viestiliikenteestä. vama muistio on peräisin vuodelta 2011. NSA on unohtanut täysin kansalaisoikeudet Sensenbrenner tunnetaan USA:ssa WTCiskujen jälkeen säädetyn, tiedusteluviranomai- Bushin ja Obaman hallintojen myötävaikutuksella.” Republikaanien kongressiedustaja Jim Sensenbrenner moittii NSA:ta kansalaisoikeuksien laiminlyönnistä. Saksalaisen sanomalehti Der Tagesspiegelin haastattelema Helmbrecht toivoo eurooppalaiselle tietotekniikka-alalle samanlaista läpimurtokeksintöä kuin aikoinaan Airbus lentokoneteollisuudessa. Tutkimushenkilöitä oli yhteensä 25 000. Nopeammin, korkeammalle, voimakkaammin. Reitittimien avulla voidaan kuunnella jopa Kauppatieteilijöillä heppoisimmat salasanat Tietojenkäsittelyopin opiskelijat ja opettajat keksivät vahvempia salasanoja kuin humanistit. Alun perin aikakauslehti Der Spiegelin esiin kaiVoidakseen kuunnella mobiililaitteita tiedustelupalvelu tarvitsee pääsyn 26 reitittimelle, jotka yhdistävät eri maiden mobiiliverkot toiyksittäistä puhelinta, mahdollisesti myös lähiympäristössä käytäviä keskusteluja. toon kuvatessaan Ison-Britannian tiedusteluorganisaatio Eurooppa voi suojautua verkkovakoilulta vain yhteisillä toimilla ja palveluilla
tietosuoja-lehti.fi Lue lisää netistä Näin viestit tietoturvasta oikein Tietoturvaohjeita ei välttämättä aina osata tai muisteta noudattaa. Risuja, ruusuja, kysymyksiä sekä juttuvinkkejä voit antaa toimitukselle sähköpostitse: info@tietosuoja-lehti.fi puhelimitse: 044 310 0093 verkkolehden lomakkeella: www.tietosuoja-lehti.fi -> Palaute 46. tietosuoja 4 • 2013. Tietosuoja 1 • 2014 ilmestyy 11.3.2014 shutterstock Turvallinen tietojärjestelmä – utopiaa vai arkea. Koko lehteä pääsee lukemaan netissä rekisteröitymällä verkkolehden käyttäjäksi lehden takakannen osoitekentässä olevan tilausnumeron avulla. shutterstock Verkossa on myös koko painetun lehden sisältö. Lue verkkolehdestä, miksi se parantaa tietoturvaa. Risuja ja ruusuja Kerro mielipiteesi uudistetusta Tietosuoja-lehdestä, jotta voimme kehittää lehteä lukijoiden toivomaan suuntaan. www.tietosuoja-lehti.fi Ensi numerossa Lue näistä seuraavassa Tietosuojassa: Näin paransimme tietoturvaamme Työntekijän taustat syynissä – säilyykö yksityisyys. Keskittäminen lisää turvaa Valtion IT-palveluiden keskittäminen näkyy myös palvelinkeskuksissa, joiden määrää aiotaan vähentää 150:stä noin 15:een. Verkkolehdessä kerrotaan, miten viesti menee perille
Tilaushinnat ulkomailla 2013 Laskutusväli 12 kuukautta Skandinavian ja Baltian maat 61,10 euroa, sisältää arvonlisäveroa 10 % Muu Eurooppa 63,80 euroa, sisältää arvonlisäveroa 10 % Muut maanosat 62 euroa, arvonlisävero 0 % Asiakasrekisteri Rekisterikuvaus ja -seloste ovat nähtävissä kustantajan Stellatum Oy:n tiloissa Purotie 1 B, 00380 Helsinki. Jos laskutusjakso tai mak-sueriä on maksettu ennen irtisanomisen voimaantuloa, tilaus päätetään maksetun jakson loppuun. Osoitetietoja käytetään ainoastaan kustantajan Stellatum Oy:n omassa toiminnassa. Yhteydenotot tulee tehdä kirjallisina ja allekirjoitettuina em. tietosuoja 41 •• 2013 47. Tilaajan tietoja käytetään asiakassuhteen ylläpitoon ja hoitoon. Jos tilaaja irtisanoo kestotilauksensa tilausjakson alkamisen jälkeen, hän on velvollinen maksamaan irtisanomisen voimaantuloon saakka lähetetyt lehdet. osoitteeseen tai henkilökohtaisesti rekisterinpitäjän luona. Kestotilauksena tilattu lehti toimitetaan tilaajalle tilausjakso kerrallaan ilman eri uudistusta, kunnes tilaaja joko muuttaa sen määräaikaiseksi tai irtisanoo tilauksen. Tilaukset ja osoitteenmuutokset Osoitteenmuutosta tehdessäsi muista ilmoittaa lehden nimi. Tilaaja voi kieltää tietojensa käytön markkinointitarkoituksiin ja markkinatutkimuksiin ilmoittamalla asiasta tilaajapalveluun. Tilauksen hinta on tilausjakson alussa voimassa oleva hinta, joka on painettu lehteen. Kestotilauksen voi irtisanoa ennen uuden tilausjakson alkua. Tilaajapalvelu/Tietosuoja PL 115 30101 Forssa puhelin 03 4246 5301 faksi 03 4246 5341 tilaajapalvelu@stellatum.fi www.stellatum.fi Tilaushinnat Suomessa 2013 Hinnat sisältävät arvonlisäveroa 10 % Kestotilaus (laskutusväli 12 kuukautta) 55 euroa Määräaikainen (kesto 12 kuukautta) 58,30 euroa Irtonumero 15 euroa Tietosuoja ilmestyy neljä kertaa vuodessa Tilausehdot Hinnat ovat voimassa vuonna 2013 Suomeen tehtyihin tilauksiin