Tietoturvatiedotteet

Lokit ja muut keinot yksityisyyden suojaamiseen

Tunnisteet: tietoturva, kyberturvallisuus, tietosuoja, yksityisyydensuoja, tietoturva nyt!, eväste

Välitystiedot, lokit ja evästeet ovat sähköisen viestinnän jälkiä, joita ei voi kohdella miten tahansa. Lokien kerääminen ja välitystietoihin sekä evästeisiin liittyvä sääntely antavat suojaa yksityisyydelle. Lainsäädäntö taas suojaa sähköisen viestinnän luottamuksellisuutta muun muassa määrittelemällä, millaisiin tarkoituksiin viestintäämme liittyviä tietoja voidaan käyttää.

Mitä kannattaa tietää välitystiedoista?

Kun soitat puhelun ystävällesi, puhelun yhdistämiseksi ja välittämiseksi tarvitaan välitystietoja. Näitä ovat esimerkiksi

  • tiedot puhelun soittajasta ja vastaanottajasta
  • tiedot sähköposti- tai tekstiviestin lähettäjästä ja vastaanottajasta
  • tiedot puhelun kestosta ja ajankohdasta
  • tieto matkapuhelimen sijainnista tai IP-osoitteesta.

Esimerkiksi teleyritykset, yritykset ja oppilaitokset voivat tarjota asiakkailleen tai oppilailleen sähköpostin ja nettiyhteyden. Jotta palvelut toimisivat ja vikatilanteet saataisiin ratkaistua, he voivat käsitellä käyttäjien viestejä ja välitystietoja, mutta vain laissa säädettyihin tarkoituksiin. Viestinnän välittäjät ovat myös vaitiolovelvollisia käsittelemistään tiedoista. Käsittelyyn tarvitaan myös viestinnän osapuolten suostumus.

Myös julkiseksi tarkoitetun viestinnän välitystiedot ovat luottamuksellisia. Tällaista viestintää voi olla esimerkiksi erilaisilla internetkeskustelupalstoilla. Palstan ylläpitäjä tai tarjoaja voi olla myös viestinnän osapuoli, näin hänellä on oikeus käsitellä kyseistä viestintää. Palvelusopimuksessa voi kuitenkin olla esimerkiksi rajoituksia viestinnän tarkempien tietojen julkaisemisesta.

Välitystiedot voivat olla myös henkilötietoja. Henkilötietojen käsittelyä säätelee henkilötietolaki, jonka noudattamista valvoo tietosuojavaltuutettu.

Keksi, cookie, eväste tarkoittavat samaa, mutta mitä ne ovat?

Muun muassa matkapuhelimelle tai tietokoneelle tallennettavat tiedot liittyvät yksityisyyden suojaan, siksi päätelaitteista tietoa keräävien ohjelmistojen käytöstä säädetään laissa.

Puhelut, tekstiviestit, nettiselailu ja -ostokset kertovat paljon käyttäytymisestämme sähköisessä maailmassa. Näitä tietoja keräävät muun muassa keksit, cookiet ja evästeet. Ne kaikki tarkoittavat samaa: tietokoneelle tai esimerkiksi matkapuhelimeen lähetettävää ja siellä säilytettävää tekstitiedostoa.

Evästeet eivät vahingoita tietokoneita tai tiedostoja, ja ne ovat pääsääntöisesti istuntokohtaisia. Tämä tarkoittaa, että evästeet tuhoutuvat, kun internetselain suljetaan. Evästeiden avulla kerätään esimerkiksi

  • internetissä käytetyn laitteen yksilöivä IP-osoite
  • kellonaika, jolloin tietyllä internetsivustolla on käyty
  • paikannustietoa siitä, missä on liikuttu.

Jokaisella on oikeus kieltää evästeiden käyttö - esimerkiksi selaimen asetuksista. Internetsivuilla on selkeästi ilmoitettava evästeiden käytöstä ja siitä, mihin tarkoitukseen niitä käytetään. Evästeistä ei tarvitse tiedottaa, jos niiden ainoa tarkoitus on helpottaa ja sujuvoittaa palvelun käyttöä vaikkapa verkkokauppaostoksilla ostoskoriin tavaroita valittaessa. Eväste pitää muistissa ostoskoriin valitut tuotteet.

Evästein kerätyillä tiedoilla voidaan parantaa sekä nettisivuston toimivuutta että sisältöä, eivätkä sivustot välttämättä toimi ilman evästeitä.

Evästeitä on monenlaisia, ja ne vaikuttavat eri tavoin käyttäjien oikeuksiin. Jos evästeen avulla esimerkiksi profiloidaan käyttäjää, häntä pitää asiasta informoida ja saada häneltä profilointiin suostumus.

Suostumus evästeiden käyttöön voidaan antaa muun muassa suoraan internetsivustolla tai selainasetusten kautta. Useimmista selaimista on mahdollista kytkeä evästetoiminto pois päältä.

Loki, lokitiedot, lokittaminen. Missä, mitä, miksi ja milloin?

Lokitietojen käytöllä on pitkä historia. Muun muassa laivojen kapteenit pitivät päiväkirjaa, kapteenin lokia. Teknisessä mielessä loki tarkoittaa aikajärjestyksessä kirjattua tallennetta tapahtumista ja niiden aiheuttajista.

Lokitiedot kertovat, missä, mitä, miksi ja milloin jotakin tapahtui. Tiedoilla voidaan selvittää virhetilanteita tai varmistaa, että virheitä ei ole syntynyt. Ilman lokitietoja virheiden syitä on mahdoton selvittää, ja niiden korjaaminen voi olla hyvin vaikeaa. Lokeja voidaan seurata reaaliajassa tai jälkeenpäin. Lokitietojen kerääjän ja käyttäjän pitää ennen tietojen keräämistä varmistaa, että hänellä on siihen oikeus.

Lokin sisältö määrittelee, kuinka sitä voi käsitellä. Jos lokit sisältävät välistystietoja, niitä on käsiteltävä tietoyhteiskuntakaaren mukaisesti. Välitystietolokien säilyttäminen on välttämätöntä, jotta esimerkiksi järjestelmän toiminta ja viestien eheys voidaan varmistaa sekä viestintä todentaa jälkeenpäin.

Loki on yksi tapa huolehtia ja rakentaa laadukasta tietoturvaa, jonka avulla viestiemme luottamuksellisuutta ja yksityisyyttämme voidaan parantaa sekä suojata. On silti hyvä muistaa, että myös muita tietoturvan osia tarvitaan. Kokonaisuus on valmis vasta, kun kaikki tietoturvapalaset ovat paikoillaan.
 

Linkkivinkit

Päivityshistoria

  • 14.09.2017 klo 14:05
    Julkaistu
Lue lisää

Kysymyksiä ja vastauksia yksityisyydensuojasta

Tunnisteet: tietoturva, yksityisyydensuoja, tietoturva nyt!

07.09.2017 klo 14:29 - Päivitetty 14.09.2017 klo 09:54

Syyskuun teema vastaa yksityisyydensuojaa koskeviin kysymyksiin. Vaikka kyse on perusoikeudestamme, sen merkitys on monelle epäselvä. Ota haltuun perusteet ja tiedä oikeutesi ja velvollisuutesi.

Mitä on yksityisyyden suoja, mihin sitä tarvitaan? Koskeeko luottamuksellinen viestintä minua? Jos saa toiselle kuuluvan viestin, mitä voi tehdä? Onko työnantajalla oikeus lukea alaisensa sähköposteja? Nämä kysymykset selviävät syyskuun ensimmäisessä teema-artikkelissa.

1. Onko minun viestintäni luottamuksellista? Millainen viestintä ylipäänsä on luottamuksellista?

Meillä on oikeus yksityisyyteen ja siihen, että lähettämämme viestit ovat luottamuksellisia. Nämä ovat perusoikeuksiamme.

Viestinnän luottamuksellisuus tarkoittaa käytännössä sitä, että viestejä saavat lukea ja käsitellä ainoastaan viestin lähettäjä ja vastaanottaja, viestinnän osapuolet. Jos viestin lähettäjä tai vastaanottaja on esimerkiksi antanut luvan, muutkin voivat käsitellä viestejä. Jos taas viestinnän osapuoliin kuulumaton esimerkiksi lukee tai välittää viestiä luvatta eteenpäin, tämä voi joutua teostaan rikosoikeudelliseen vastuuseen.

Laki suojaa viestinnän luottamuksellisuutta, ja laissa onkin säädetty tarkkaan ne perusteet, joilla viestejä tai välitystietoja voidaan käsitellä.

Viestintä on luottamuksellista riippumatta siitä, minkälaisella laitteella tai millä tavalla viestejä lähetetään. Luottamuksellisen viestinnän suoja ulottuu yhtälailla sähköisiin viesteihin kuin perinteiseen kirjepostiinkin. Esimerkiksi sähköpostitse ja Whatsappissa lähetetyt viestit sekä internetin chattiviestintä ovat lähtökohtaisesti luottamuksellisia.

2. Onko Facebook-viestintä tai chattiviestini luottamuksellista?

Facebook-viestintä on luottamuksellista samalla tavalla kuin perinteinen kirjeposti. Viesti ei ole kuitenkaan luottamuksellinen, jos viestin lähettäjä on tarkoittanut lähettää viestin kaikille aiheesta kiinnostuneille. Tyypillisesti tällaisia yleisesti vastaanotettavaksi tarkoitettuja viestejä voivat olla internetin avoimelle keskustelupalstalle lähetetyt viestit.

Facebookin julkiselle keskustelupalstalle lähetetyt viestit eivät siis ole luottamuksellisia, mutta Facebookissa tietylle rajoitetulle ryhmälle tai tietylle henkilölle lähetetyt viestit ovat luottamuksellisia.

3. Keskustelupalstalla esitetään minua loukkaavia kommentteja. Mitä minun tulisi tehdä?

Viestin lähettäjän on usein mahdollista muokata tai poistaa omia viestejään keskustelupalstoilta. Siksi tehokkain tapa saada asiaton viesti pois palstalta, on ottaa yhteyttä suoraan loukkaavan viestin lähettäjään. Myös keskustelupalstan ylläpitoon kannattaa olla yhteydessä. Ylläpitäjä (moderaattori) voi poistaa viestejä etenkin, jos ne ovat keskustelupalstan sääntöjen vastaisia.

Keskustelupalstalla käyty keskustelu on erotettava verkkojulkaisusta, joka tyypillisesti on sanomalehden nettiversio. Voit vaatia oikaisua suoraan julkaisijalta, jos verkkojulkaisussa on virheellinen uutisointi.

4. Sain viestin, jota ei ole tarkoitettu minulle. Mitä teen?

Jos viesti on lähetetty sinulle vahingissa, et ole viestinnän osapuoli. Tällöin et saa kertoa ulkopuoliselle viestissä olevia tietoja, julkaista niitä tai käyttää viestiä hyötymistarkoituksessa. Saat käsitellä viestiä vain sen verran kuin on tarpeen viestin oikean vastaanottajan selvittämiseksi.

Itselle kuulumattoman viestin saa lähettää sen oikealle vastaanottajalle. Ennen tätä on kuitenkin oltava selvää, mihin osoitteeseen viesti oli tarkoitus alun perin lähettää. Kun viesti on lähetetty oikealle vastaanottajalle, se pitää hävittää. Myös viestin lähettäjää voi informoida virheellisestä vastaanottajan osoitteesta.

5. Saako viestin vastaanottaja kertoa viestin sisällöstä ulkopuolisille?

Viestin vastaanottajalla on oikeus käsitellä saamiansa viestejä haluamallaan tavalla. Hän voi kertoa viestistä ja sen sisällöstä ulkopuolisille, vaikka viestin lähettäjä olisikin merkinnyt sen luottamukselliseksi.

Jos viesti sisältää esimerkiksi jotain seuraavista:

  • viranomaisille tarkoitettua salassa pidettävää viestintää
  • toisen henkilön terveystietoja
  • vastaanottajan ja lähettäjän salassapitosopimuksiin liittyvää tietoa,

viestin vastaanottaja ei saisi kertoa viestin sisällöstä ulkopuolisille vapaasti.

Toista henkilöä koskevan tiedon levittäminen saattaa olla rikos, ja tietoja levittävä henkilö voi pahimmillaan syyllistyä esimerkiksi kunnianloukkaukseen.

6. Saako työnantaja lukea alaisensa työsähköpostiin lähetettyjä viestejä?

Tavallisesti työnantaja ei ole viestinnän osapuoli, jos työntekijä lähettää tai vastaanottaa viestejä hänen henkilökohtaiseen käyttöön osoitetusta työsähköpostilaatikosta. Nämä viestit nauttivat luottamuksellisen viestin suojaa, eikä työnantajalla ole oikeutta lukea niitä muutoin kuin erikseen laissa säädetyillä perusteilla ja edellytyksillä.

Lisätietoa

Päivityshistoria

  • 07.09.2017 klo 14:29
    Julkaistu
  • 14.09.2017 klo 09:54
    Lisätty tarkennus: Vastaanottaja, joka saa viranomaisille tarkoitettua salassa pidettävää viestintää sisältävän viestin, ei saisi kertoa viestin sisällöstä ulkopuolisille vapaasti.
Lue lisää

Haittakoodia CCleaner asennuspaketissa

Tunnisteet: tietoturva, haittaohjelma, haavoittuvuudet

Suositun CCleaner-ohjelmiston asennuspaketin versio 5.33 asentaa tietokoneelle CCleanerin lisäksi haittaohjelman. Paketti on ollut jakelussa ainakin 15.8.-11.9. välisenä aikana.

CCleaner on suosittu ilmainen väliaikaistiedostojen ja rekisterien siivoukseen käytettävä sovellus. Sen asennuspakettia on muokattu niin, että sen mukana tietokoneelle asentuu haittaohjelma. Tarkempia tietoja murron tekijästä ei ole vielä tiedosta.

Haavoittuvuus koskee sinua vain jos olet asentanut CCleaner-ohjelmistosta 32-bittisen version 5.33. Muut versiot sekä 64-bittinen versio on turvallinen.

Myös ohjelman pilviversio (1.07.3191) on haavoittuva ja se on valmistajan mukaan päivitetty uudempaan automaattisesti.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

  • Paikallisesti

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

  • CCleaner 5.33.6162
  • CCleaner Cloud 1.07.3191

Ratkaisu- ja rajoitusmahdollisuudet:

Koska kyseessä ei ole haavoittuvuus CCleanerissa vaan sen mukana tullut haittaohjelma, toimintaohjeet ovat samat kuin missä tahansa haittaohjelmatartunnassa. Sen lisäksi CCleaner tulee päivittää uusimpaan versioon.

Lisätietoa:

Päivityshistoria

  • 19.09.2017 klo 10:27
    Julkaistu
Lue lisää
.