View page as slide show Export page to Open Document format

Tietoturvan Perusteet

Tietosuoja

  • Tietosuoja, yksityisyyden suoja (privacy protection): yksityisyyden suojaamiseksi tarkoitettu perusoikeus
    • Henkilökohtaisten tietojen luottamuksellisuuden varmistaminen
  • Henkilöntietojen käsittelyä koskeva säännöstö
    • Säilytys, Jakelu, Käyttö
    • Suomessa rajoitettu laeilla
      • Henkilötietolaki
      • Työelämän tietosuojalaki (aiemmin: laki tietosuojasta työelämässä).
  • Selkeiden tietojen lisäksi muistettava myös palveluiden ja resurssien käytön luottamuksellisuuden varmistaminen
    • esim: Suojattava tieto sairaudesta mutta myös tieto erikoislääkärin luona vierailusta

Yksityisyydensuojan tarve

  • Äänestyssalaisuus
  • Henkilökohtaiset tiedot
  • Tämän hetken luotettava hallitus voi olla tulevaisuuden tyrannia
    • Parable of ruritania
  • Kaikkea tietoa voidaan myös käyttää vääriin
    • Kiristys ja uhkailu
  • Vain rikollisilla on salattavaa?
    • Miksi ikkunoissa on verhot ja vessoissa ovet?
    • Kuinka saadaan pätevät ihmiset kiinnostumaan julkisista tehtävistä, jos minkäänlaista yksityisyyden suojaa ei ole?
  • Arkaluontoiset tiedot
    • Tietojen arkaluontoisuus vaihtelee kulttuureittain ja on muuttunut vuosisatojen varrella
    • Rotu/etninen alkuperä
    • Uskonnollinen poliittinen tai ammatillinen vakaumus
    • Seksuaalinen suuntautuminen
    • Rikokset ja rangaistukset
    • Terveydentila, hoitohistoria
    • Taloudelliset ongelmat (sosiaalihuolto)

Yksityisyydensuojan ongelmat

  • Yksityisen tiedon määrittäminen
    • Ihmisillä on omat henkilökohtaiset rajat mitä pitävät yksityisenä.
    • Tiedon yksityisyys voi riippua myös kohteesta kelle tieto on menossa
  • Tietojen kerääminen helppoa ja sitä tapahtuu paljon
  • Kaikki haluavat kysyttäessä taata oman yksityisyydensuojansa, mutta:
    • Siitä ei välttämättä haluta maksaa
    • Se ei saa vaikeuttaa muita toimia
  • Henkilökohtaisille tiedoille on käyttöä
    • Monet helpottavat toimenpiteet vaativat yksityiseksi ajateltavan tiedon luovuttamista ja käyttöä
    • Suoramarkkinointi
      • Mitä enemmän tietoa sen tarkempi markkinointi
    • Kanta-asiakaskortit
    • Hyvää kauppatavaraa
  • Tietojen omistus oikeus riippuu maan lainsäädännöstä
    • Suomessa yksityishenkilö omistaa tiedot itsestään
  • Paljon elektronisia jälkiä
    • Log tiedostot
    • Tietoliikenteen seuranta
    • Automaattiset tunnistetiedot dokumenteissa

Henkilötietojen hankkiminen

  1. Tietojen hankkiminen tietystä yksittäisestä kohteesta
    • Jäljitys
    • Ei voida täysin estää, mutta rikollinen voidaan pakottaa käyttämään perinteisiä metodeja.
  2. Tiedon kerääminen
    • Etsitään esim. poliittiset kannat, lahkon jäsenet, kaikki yli 70 kissan omistajat jne.
    • Tietotekniikka helpottaa suunnattomasti
      • Lainsäädäntö rajoittaa tietokantojen yhdistämistä

Jälijtys ja seurantamenetelmiä

  • Salakuuntelu
    • Mikrofonit.
    • Van Eck laitteet. (elektromagneettisen säteilyn seuranta)
      • TEMPEST
  • Salakuvaus
    • Minikamerat, kuituoptiikka
    • Valvontakamerat
    • Satelliittikamerat
  • Paikantaminen
    • Matkapuhelimet
    • Satelliittikuvat ja valvontakamerat
    • GPS
    • Aikaleimat ja logit.
  • Hankittujen tietojen käyttäminen
    • Hahmontunnistus
    • Äänentunnistus

Tietokannat

  • Tietokannoissa on paljon tietoa ihmisistä, joiden avulla yksityisyys voidaan murtaa
    • Kerättyä tietoa ei pidä käyttää muuhun tarkoitukseen kuin mihin se on alunperinkin kerätty
  • Henkilökohtaisia perustietoja
    • Valtio: henkilötiedot, osoite..
    • sairaala: sairaushistoria
    • pankki: luottotiedot
  • Käyttäytymistietoja
    • Verkkokauppa: mitä ostettu, mitä tuotteita tutkittu, mitä etsitty
    • ISP: missä surffailtu, kuinka kauan.
  • Eri kantojen yhdistely ilman lupaa on muutamaa poikkeusta lukuunottamatta kielletty.

Henkilörekisterit

  • Henkilörekisterien käyttöä ja ylläpitoa rajaa lait:
    • Henkilötietolaki ja Arkistolaki tärkeimmät
    • Monet muut lait pitävät sisällään erityissäännöksiä eritilanteissa henkilötietojen käsittelyyn: esim: laki henkilötietojen käsittelystä rangaistusten täytäntöönpanossa, väestötietolaki jne.
  • Tietosuojavaltuutettu valvoo
  • Henkilörekisteri on lähes mikä tahansa lista josta henkilöt voidaan yksilöidä
  • Älä luo rekisteriä ennenkuin olet tutustunut kunnolla lakeihin
    • Käytä mielummin lakimiestä apuna kun mietit rekisterin käyttötapoja

Rekisteröidyn oikeudet (www.tietosuoja.fi)

  • Oikeus saada tarkistaa itseään koskevat tiedot ja saaa niistä jäljennös
  • Oikeus saada tieto siitä, mistä rekisteriin tietoja saadaan, mihin niitä käytetään ja mihin säännönmukaisesti luovutetaan
  • Oikeus oikaista virheelliset tiedot
  • Oikeus saada kuvaus tietoja tulkitsevan sovelluksen toiminnasta (esim. profilointi)
  • Oikeus kieltää henkilötietojen käyttö
    • Suoramainontaan, etämyyntiin ja muuhun suoramarkkinointiin
    • markkina- ja mielipidetutkimukseen
    • henkilömatrikkeliin
    • sukututkimukseen.

Tietosuoja yrityksen kannalta

  • Paljon mielenkiintoisia asioita joita tarkkailla, joihin tietosuoja lait vaikuttavat
    • Työntekijöiden toimet verkossa
    • Työntekijöiden vapaa-ajan toimet
  • Tiedon käyttäminen vaatii tarkkaa suunnittelua
    • Mitä tietoja kerätään ja miten niitä voi käyttää
    • Lakitekniset ongelma
  • Kerätyn tiedon hallitseminen
    • Ulkopuolisten pääsyn estäminen
    • Luottamus
    • Tietojen luovuttaminen
  • Kokonaisuudessaan vaatii paljon työtä

Tietosuoja työntekijän kannalta

  • Suojaa laittomilta toimilta
    • esim. Huumetestit työhön otossa, puhelujen nauhoittaminen salaa jne.
  • Salassapito velvollisuus henkilötietojen suhteen
    • Mitä tehdä kun pomo käskee tehdä tietosuojalain vastaisesti?
      • Mustaa valkoisella
    • Entäs kun pitkäaikainen työkaveri pyytää?
    • Entäpä jos tietoja katsomalla voisi helpottaa omaa elämäänsä?

Ohjeita

  • Tunne oikeutesi
  • Älä luovuta henkilötietojasi, ellet tiedä, kuka niitä pyytää
  • Varmista että tiedät mihin tarkoitukseen henkilötietojasi annat (ja kenelle)
    • Toisena esiintyminen ei ole vaikeaa verkossa

Anonymiteetti

  • Anonymiteetin tarve digitaalisessa maailmassa on sama kuin reaalimaailmassa.
    • Rikosten uhrit
    • Keskustelut henkilökohtaisista asioista
    • Arkaluontoiset yhteiskunnalliset asiat (uskonto, politiikka)
  • Anonymiteetin väärinkäyttö
    • Uhkailu postit, vihan lietsonta, laittoman materiaalin levitys, virusten levittäminen …

Nymiteetit (Goldberg)

  1. Verinymiteetti
    • Kommunikointi osapuoli on tunnistettu.
  2. Pseudonymiteetti
    • Ei tietoa henkilöllisyydestä, mutta tiedot voidaan linkittää samaan pseudonyymiin
      • Salanimet, postilokerot, Sveitsiläinen pankkitili, AA tapaaminen
  3. Linkitettävä anonymiteetti
    • Tunnistetaan samalta laitteelta tapahtuvat toiminnot
    • Tapahtumat voidaan linkittää yhteen ja samaan yhteyden muodostukseen.
  4. Täysi anonymiteetti
    • Nimetön kirje, pulloposti, puhelinkioskista soitto
    • Uutta yhteydenottoa ei voida linkittää vanhaan.

Anonymiteetin toteuttamisen vaikeus

  • Lähes kaikesta toiminnasta jää jälkiä
    • Office-dokumentit lisäävät automaattisesti tunnistetietoja
    • Evästeet (Cookiet) pitävät kirjaa käyttäjästä
    • Anonyymipalvelun käyttäjä voidaan paikantaa IP-osoitteen pohjalta
    • Verkkokorteissa yksilöllinen tunniste (MAC-osoite)
  • Tunnisteita voidaan väärentää
    • Väärennöksetkin voidaan selvittää
  • Tietojen yhdistäminen eri lähteistä on työlästä mutta harvoin mahdotonta.

Kaupallinen anonymiteetti

  • Mitä anonymiteetti maksaa?
  • Paljonko anonymiteetin rikkomisesta saa rahaa?
  • Voiko sähköinen raha olla anonyymiä?
    • Tarvitaanko anonyymiä rahaa?
Last modified: 2013/07/01 14:42