Tietoturvatiedotteet

Luottamuksellinen viestintä

Kukaan ei saa ilman laissa säädettyä perustetta tai suostumusta käsitellä toisen henkilön viestejä tai viestintään liittyviä välitystietoja. Oikeus luottamukselliseen viestintään on turvattu Suomen perustuslaissa. Valvomme sähköisen viestinnän tietosuojaa viestinnän välittäjien toiminnassa. Valvonta koskee tietyin edellytyksin myös ulkomailta tarjottuja palveluita.

Sähköisen viestinnän ja välitystietojen tietosuojasta säädetään sähköisen viestinnän palveluista annetussa laissa.

  • Sähköistä viestintää ovat esimerkiksi puhelut, sähköpostiviestit, tekstiviestit, kuvaviestit, puheviestit, pikaviestit ja internetissä surfailussa siirtyvät viestit.
  • Välitystietoja ovat esimerkiksi puhelinnumero, sähköpostiosoite sekä IP-osoite. Välitystiedot ovat tietoja, joita käsitellään viestintäverkoissa viestien siirtämiseksi, jakelemiseksi tai tarjolla pitämiseksi ja jotka ovat yhdistettävissä tilaajaan tai käyttäjään.

Viestinnän osapuolten käsittelyoikeudet

Lain mukaan viestinnän osapuoli voi käsitellä omia sähköisiä viestejään ja niihin liittyviä välitystietoja, jollei laissa toisin säädetä. Lisäksi sähköisiä viestejä ja välitystietoja saa käsitellä viestinnän osapuolen suostumuksella tai jos laissa niin säädetään. Se, joka on ottanut vastaan tai muutoin saanut tiedon sähköisestä viestistä, radioviestinnästä tai välitystiedosta, jota ei ole hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta ilmaista tai käyttää hyväksi viestin sisältöä, välitystietoa tai tietoa viestin olemassaolosta, ellei laissa toisin säädetä.

Toisin sanoen viestinnän lähettäjä ja aiottu vastaanottaja saavat lähtökohtaisesti käsitellä keskinäistä viestintäänsä, mutta viestintää ei saa käsitellä kukaan kolmas osapuoli.

  • Esimerkiksi omia puhelujaan saa lain mukaan nauhoittaa
  • Viestinnän luottamuksellisuutta ei myöskään loukata silloin, kun viestinnän osapuoli itse lähettää saamansa viestin, vaikkapa sähköpostiviestin, edelleen kolmannelle taholle, ellei salassapito perustu muuhun lakiin tai sopimukseen.
  • Viestin vastaanottaja voi myös kertoa saamastaan viestistä ja sen sisällöstä, ellei hänellä ole erikseen säädettyä vaitiolovelvollisuutta. Esimerkiksi viranomaisen palveluksessa olevan vaitiolovelvollisuus saattaa perustua lakiin viranomaisen toiminnan julkisuudesta.

Viestinnän välittäjien käsittelyoikeudet ja -velvollisuudet

Sääntelyn kohteet

Lain mukaan viestinnän välittäjät eli teleyritykset, yhteisötilaajat ja muut viestinnän välittäjät voivat lain mukaan käsitellä sähköisiä viestejä ja välitystietoja siinä määrin kuin se on tarpeen viestinnän välittämiseksi ja sovitun palvelun toteuttamiseksi sekä laissa säädetyllä tavalla tietoturvasta huolehtimiseksi.

Lue lisää sääntelyn kohteista

Sähköisen viestinnän palveluista annetussa laissa säädetään myös viestinnän välittäjien oikeuksista sähköisen viestinnän ja välitystietojen käsittelyyn mm. laskutusta, markkinointia ja teknistä kehittämistä varten.

Viestintäpalvelun tilaajalla sekä muutamilla viranomaisilla on joissain tapauksissa oikeus saada teleyrityksiltä tietoja käyttäjän viestinnästä.

Käsittelyoikeuksien lisäksi sähköisen viestinnän palveluista annettu laki käsittelee viestinnän välittäjien velvollisuuksia sähköisen viestinnän ja välitystietojen käsittelyssä. Lain mukaan esimerkiksi käsittelyn jälkeen sähköiset viestit ja välitystiedot on hävitettävä tai välitystiedot tehtävä sellaisiksi, ettei niitä voi yhdistää tilaajaan tai käyttäjään, jollei laissa toisin säädetä.

Julkiseksi tarkoitettu viestintä

Luottamuksellisen viestinnän lisäksi on myös julkiseksi tarkoitettua viestintää. Julkiseenkin viestintään liittyvät välitystiedot ovat luottamuksellisia. Viestinnän välittämiseen osallistuvat toimijat, kuten teleyritykset ja yhteisötilaajat saavat käsitellä välitystietoja ainoastaan laissa säädettyihin tarkoituksiin. Heillä on lisäksi välitystietoja koskeva vaitiolovelvollisuus.

Keskustelupalstapalvelun tai muun vastaavan viestien julkaisupalvelun tarjoajalla on oikeus julkaista keskustelijoiden lähettämiin viesteihin liittyviä välitystietoja, jos tästä on sovittu palvelun sopimusehdoissa. Kysymys on sanomalehden yleisönosastoon verrattavasta toiminnasta, jossa myös voidaan julkaista kirjoituksia joko nimellä tai nimimerkillä.

Julkaistun viestin sisältöä koskevasta vastuusta sekä julkaisijoiden velvollisuudesta paljastaa anonyymien viestien tietolähteet tai kirjoittajat on säädetty laissa.

Luottamuksellisen viestinnän rajoitukset ja rangaistukset viestintäsalaisuuden loukkaamisesta

Oikeutta luottamukselliseen viestintään voidaan rajoittaa muun muassa joidenkin rikosten tutkinnassa.

Poliisilla on oikeus käyttää telekuuntelua ja -valvontaa tiettyjen rikosten selvittämisessä. Myös hätäilmoituksia vastaanottaville viranomaisille on säädetty oikeus saada tiedot hätäilmoituksen tehneen sekä hädässä olevan käyttäjän liittymän sijainnista.

Viestintäsalaisuuden loukkaaminen on rikos. Rangaistavaa on muun muassa oikeudeton tiedon hankkiminen ulkopuoliselta suojatusta viestistä murtamalla suojaus.

Viranomaisvalvonta

Traficomin Kyberturvallisuuskeskus valvoo, että viestinnän välittäjät toteuttavat verkko- ja viestintäpalvelunsa tietoturvallisesti siten, ettei viestinnän luottamuksellisuus vaarannu. Lisäksi keskus ohjaa ja valvoo, että viestinnän välittäjät noudattavat lain oikeuksia ja velvollisuuksia luottamuksellisen viestinnän käsittelyssä.

Tietosuojavaltuutettu taas valvoo henkilötietojen ja viestintään liittyvien sijaintitietojen eli viestintäverkosta tai päätelaitteesta saatavien liittymän tai päätelaitteen maantieteellisen sijainnin ilmaisevien tietojen käsittelyä.

Luottamuksellista viestintää koskevissa rikosasioissa tulee kääntyä poliisin puoleen.

Evästeet

Eväste (cookie) on pieni tekstitiedosto, jonka internetselain tallentaa käyttäjän laitteelle. Evästeitä käytetään esimerkiksi silloin, kun käyttäjän tietoja halutaan säilyttää tämän siirtyessä internetpalvelun sivulta toiselle. Evästeiden käyttö edellyttää lähtökohtaisesti käyttäjän suostumusta.

Eväste voidaan tallentaa käyttäjän laitteelle pysyvästi (stored cookie) tai se voidaan poistaa palvelun käytön jälkeen (session cookie).

Evästeiden avulla voidaan kerätä muun muassa seuraavia tietoja:

  • käyttäjän IP-osoite
  • kellonaika
  • käytetyt sivut
  • selaintyyppi
  • mistä verkko-osoitteesta käyttäjä on tullut kyseiselle verkkosivulle
  • miltä palvelimelta käyttäjä on tullut verkkosivulle
  • mistä verkkotunnuksesta käyttäjä on tullut verkkosivulle.

Evästeiden käyttö vaatii käyttäjän suostumuksen

EU:n tuomioistuimen päätös 1.10.2019

Euroopan unionin tuomioistuin on antanut 1.10.2019 kyseisen tuomion evästekäytäntöihin liittyen. Virasto perehtyy tuomioon ja arvioi tarvetta muuttaa antamaansa ohjeistusta evästeistä.

EUT:n päätös asissa C-673/17

Evästeistä, käyttötietojen tallentamisesta ja niiden käyttötarkoituksesta on kerrottava selkeästi ja kattavasti sivuston käyttäjälle. Palvelun käyttäjältä on pyydettävä suostumus evästeiden avulla kerättävien tietojen tallentamiseen ja käyttöön. Informaatio evästeiden avulla kerättävistä tiedoista ja mahdollisuus niiden tallentamisen kieltämiseen pitää toteuttaa käyttäjän kannalta mahdollisimman vaivattomasti.

Laki sähköisen viestinnän palveluista 205 § (Ulkoinen linkki)

Suomessa on tulkittu sähköisen viestinnän tietosuojadirektiiviä  (Ulkoinen linkki) siten, että käyttäjä voi antaa suostumuksensa evästeiden tallentamiseen esimerkiksi selaimen tai muun sovelluksen asetusten avulla.

Suomessa evästeistä informoimista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa. Evästekäytännöt on kuitenkin mainittava verkkosivuilla niin, että käyttäjän on mahdollista saada niistä lisätietoa.

Tämä tulkintakäytäntö vaihtelee valtioittain. Ulkomaisissa palveluissa evästeitä saatetaankin kysyä sivustokohtaisesti.

Evästeiden käytöstä ei tarvitse informoida tai suostumusta pyytää, 

  • jos niiden ainoana tarkoituksena on toteuttaa viestin välittäminen teknisesti
  • joka on välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.

Tällaisia palveluita ovat esimerkiksi verkkopankit ja verkkokaupat. Käytännössä nämä palvelut eivät toimi ilman evästeitä. Evästeistä ja niiden käyttötarkoituksesta voi kuitenkin kertoa edellä mainituissa tapauksissa.

Evästeet ja EU-lainsäädäntö

EU:n yleinen tietosuoja-asetus (EU) 2016/679 (Ulkoinen linkki) tuli sovellettavaksi 25.5.2018. Samalla kumottiin yleisen tietosuoja-asetuksen edeltäjä henkilötietodirektiivi.

Sähköisen viestinnän palveluista annetun lain evästeitä koskevassa sääntelyssä suostumuksen käsite ja sen antamisen edellytykset ovat perustuneet henkilötietodirektiivin sääntelyyn. Yleisen tietosuoja-asetuksen mukaiset suostumuksen edellytykset ovat kuitenkin muuttuneet henkilötietodirektiiviin verrattuna.

EU:ssa on valmisteilla uusi sähköisen viestinnän tietosuoja-asetus (Ulkoinen linkki), joka korvaa valmistuttuaan sähköisen viestinnän tietosuojadirektiivin ja sähköisen viestinnän palveluista annetun lain evästeitä koskevan sääntelyn. Komission asetusehdotuksen mukaan suostumus evästeiden tallentamiseksi käyttäjän päätelaitteelle voitaisiin ilmaista käyttämällä asianmukaisia verkkoselaimen tai muun sovelluksen asetuksia. Lainsäädäntömenettely EU:ssa on vielä kesken, eikä asetuksen lopullisesta sisällöstä ja valmistumisaikataulusta ole vielä varmuutta.

Euroopan tietosuojaneuvosto (European Data Protection Board) on antanut maaliskuussa 2019 ohjeistuksen (pdf) (Ulkoinen linkki) sähköisen viestinnän tietosuojadirektiivin (2002/58/EY) ja tietosuoja-asetuksen soveltamisesta tilanteissa, joissa on yhtymäkohtia molempiin säädöksiin. Evästeiden osalta ohjeistuksessa käsitellään myös evästeitä koskevia esimerkkejä.

Lue lisää

Etätyöpöytäratkaisun kriittinen BlueKeep-haavoittuvuus vaatii kiireellistä päivittämistä vanhemmissa Windows-versioissa

Viime viikolla Microsoft julkaisi Remote Desktop Service (RDS) etätyöpöytäratkaisuun liittyvän kriittiseen haavoittuvuuden. Useat tietoturvaorganisaatiot ovat kehittäneet haavoittuvuuden havainnollistavia esimerkkikoodeja (PoC). Haavoittuvuuden hyväksikäytöstä ei ole vielä toistaiseksi havaintoja, mutta sen hyväksikäyttöä tietomurroissa pidetään lähinnä ajan kysymyksenä. Haavoittuvuuteen on olemassa päivitys, jonka käyttöönottoa suositellaan voimakkaasti.

Vanhempien Windowsien etätyöpöytäyhteyksiin liittyvissä RDS-ratkaisussa havaittiin toukokuun puolessa välissä kriittinen haavoittuvuus. Nykyään BlueKeep-nimellä tunnettua haavoittuvuutta hyväksikäyttämällä hyökkääjällä on mahdollisuus suorittaa koodia kohdejärjestelmässä lähettämällä siihen haitallinen viesti RDP:llä. Tämän voi tehdä ennen RDP-palveluun tunnistautumista, eikä haavoittuvuuden hyväksikäyttö vaadi kohdejärjestelmän käyttäjältä toimenpiteitä. Näin ollen haavoittuvuutta hyväksikäyttämällä on mahdollista tehdä automaattisesti leviäviä haittaohjelmia. Haavoittuvuus ei koske uusimpia käyttöjärjestelmiä, kuten Windows 10, Windows Server 2012 ja Windows Server 2016. 

Haavoittuvuuden hyväksikäytöstä tietomurroissa ei ole vielä viitteitä. Useat tietoturvatoimijat ovat testanneet haavoittuvuuden hyväksikäyttöä kehittämällä haavoittuvuutta hyödyntävän esimerkkikoodin (PoC). Esimerkkikoodin kehittäminen osoittaa haavoittuvuuden hyväksikäyttömahdollisuuden. On todennäköistä, että haavoittuvuutta tullaan käyttämään hyväksi tietomurroissa lähiaikoina.

Kyberturvallisuuskeskus on julkaissut aiheesta haavoittuvuustiedotteen.
Suosittelemme voimakkaasti haavoittuvien järjestelmien välitöntä päivittämistä tai muita korvaavia suojauskeinoja. Lisäksi on syytä selvittää avoimesti internetiin kytkettyjen etätyöpöytäratkaisujen tarpeellisuus. Avoimet etätyöpöytäratkaisut tarjoavat hyökkääjille mahdollisuuden järjestelmään tunkeutumiseen.  

Lisää tietoa haavoittuvuudesta löytyy Microsoftin Blokista , haavoittuvuustiedotteesta sekä  päivitysohjeista.

 

Lue lisää

Palkanlaskijoihin kohdistettu sähköpostihuijaus yleistynyt Suomessa

Tunnisteet: sähköpostihuijaus, toimitusjohtajahuijaus

Palkanlaskentaan kohdistuva toimitusjohtajahuijausten kaltainen sähköpostihuijaus on yleistynyt viime viikon aikana Suomessa. Huijauksessa yritetään vaihtaa organisaation työntekijän palkanmaksun tilitiedot hyökkääjän tiliksi.

Kyberturvallisuuskeskus on saanut muutaman päivän sisällä useamman ilmoituksen huijausyrityksestä, joissa eri organisaatioiden palkanlaskijoita on lähestytty väärennetyillä sähköpostiviesteillä. Viestien sisältönä on ollut pyyntö muuttaa jonkin organisaatiossa töissä olevan henkilön tilitietoja työntekijän palkan ohjaamiseksi väärälle tilille.

Viestin lähettäjän nimenä näkyy sen työntekijän nimi, jonka tilitietoja yritetään vaihtaa. Sähköpostiosoitteen loppuosa ei kuitenkaan ainakaan toistaiseksi ole vastannut organisaation nimeä. Viestit ovat kirjoitettu kohtuullisen ymmärrettävällä suomen kielellä. Esimerkki huijausviestistä löytyy myöhemmin tästä artikkelista. Jos huijausviestiin vastaa, hyökkääjä lähettää vastauksena uudet tilitiedot.

Kyberturvallisuuskeskus suosittelee vahvasti ohjeistamaan asiasta organisaation henkilöstöhallintoa sekä palkanmaksusta vastaavia tahoja. Tilitietojen muutoksia varten kannattaa suunnitella erillinen vahvistusprosessi, jolla saadaan todennettua aito muutospyyntö ja erotettua se huijausyrityksestä.

Esimerkkiviesti:

Hei N.N (palkanlaskijan nimi),

Minulla on uusi pankkitili ja haluaisin muuttaa palkkashekkini pankkitietoja. Voiko muutos tulla voimaan nykyisellä palkkakierroksella?

Parhain terveisin,
N.N (kohdeorganisaatiossa työskentelevän henkilön nimi)

Jos olette törmänneet vastaavaan toimintaan, pyydämme laittamaan mahdollisia havaintoja ja saatuja tilitietoja meille vinkkinä, esimerkiksi sähköpostitse osoitteeseen cert@traficom.fi tai ilmoituslomakkeemme kautta osoitteesta https://www.kyberturvallisuuskeskus.fi/fi/ilmoita

Lue lisää

 

E-Karjalan ICT-Palvelut.net Oy

Janne Kotisalo     050 300 9931
janne.kotisalo(AT)ict-palvelut.net
 
Markku Järvinen  050 305 9931 
markku.jarvinen(AT)ict-palvelut.net
 

Käytämme evästeitä. Lisätiedot. Tarkempi selvitys Traficomin jutusta tai täältä.

BQ Aquaris E4.5 Ubuntu Edition kokeilu

Kauan odotettu Ubuntu Phone on viimein kädessäni. Eli heti alkuun jos tarvitsee nopeasti puhelimen, ei tämä ole silloin sinun valinta. ...

Suomenkielinen Windows 10 testissä

Suomenkielielinen Windows 10

Testaan Suomenkielistä Windows 10 kokeiluversiota. ...

.