Tietoturva, yksilönsuoja ja tekijänoikeudet



Samankaltaiset tiedostot
Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä?

Tutkimus web-palveluista (1996)

Tietoturvatekniikka Ursula Holmström

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Tietoturvan perusteet - Syksy SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

myynti-insinööri Miikka Lintusaari Instrumentointi Oy

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Salaustekniikat. Kirja sivut: ( )

Langattomien verkkojen tietosuojapalvelut

TEEMME KYBERTURVASTA TOTTA

Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

PK-yrityksen tietoturvasuunnitelman laatiminen

Y k s i t y i s y y s j a t i e t o s u o j a v e r k o s s a. Mikko Rauhala Vaalimasinointi.org

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Salaustekniikat. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2010

TEEMME KYBERTURVASTA TOTTA

Lyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n turvaama HTTP. TLS:n suojaama sähköposti

VALVO JA VARAUDU PAHIMPAAN

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Kymenlaakson Kyläportaali

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

VALO ja tietoyhteiskunnan kehitysvaihtoehdot

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

Pilvipalveluiden arvioinnin haasteet

Kansalaisyhteiskunta ja julkisuus

Kansallinen palveluarkkitehtuuri digitalisoituvan yhteiskunnan selkärankana

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

DNSSec. Turvallisen internetin puolesta

Ehdotusten vaikutukset EU:n kilpailuasemaan luotettavien digitaalisten sisämarkkinoiden kehityksessä

TIETOTURVAPOLITIIKKA

Tietoturva ja viestintä

Verkkorikosten tutkinta. Nixu Oy:n ja FireEye Inc. aamiaisseminaari Rikoskomisario Timo Piiroinen Keskusrikospoliisi

Henkilötietoja sisältävän datan säilytyksen ja käsittelyn tekniset ratkaisut

TURVALLISUUSSELVITYSLAIN- SÄÄDÄNNÖN KOKONAISUUDISTUS. Tausta, tavoitteet ja tarkoitus

Yhteisöllinen tapa työskennellä

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

10 Yksityiselämän suoja

IISALMEN KAUPUNKI KIINTEISTÖJEN KAMERAVALVONTA Matti Rönkkö tekninen isännöitsijä Iisalmen kaupunki / tilapalvelu

Auditoinnit ja sertifioinnit

TEEMME KYBERTURVASTA TOTTA

IPsec-SA:n perustaminen. Kuljetus/Sovelluskerroksen tietoturvaratkaisut. Luottamuksenhallinta. Arkkitehtuuri Internetin turvallisuudelle

Kyberturvallisuus kiinteistöautomaatiossa

TIETOJÄRJESTELMIEN AMMATILLISET ERIKOISTUMISOPINNOT (30 op)

TIETOSUOJA SÄÄDÖKSISSÄ

Tietoturvan haasteet grideille

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Salakirjoitusmenetelmiä

Salaustekniikat. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2010

Case VYVI-Turvaposti miten huolehditaan turvallisesta viestinnästä eri sidosryhmien kesken? Tommi Simula Tietoturvapäällikkö Valtori

T Henkilöturvallisuus ja fyysinen turvallisuus, k-04

Diplomityöseminaari Teknillinen Korkeakoulu

TIETOSUOJASELOSTE Henkilötietolaki (523/99) 10 JA Rekisterin nimi Kokkolan perheneuvolan asiakas- ja potilasrekisteri

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

Vihdin kunnan tietoturvapolitiikka

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

T Henkilöstöturvallisuus ja fyysinen turvallisuus, k-04

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

HALLITUKSEN TIETOYHTEISKUNTA- OHJELMA. -tavoitteet - sisältö - toteutus

Yritysturvallisuuden perusteet

Kuljetus/Sovelluskerroksen tietoturvaratkaisut

Tietoturvallisuus yhteiskunnan, yritysten ja yksityishenkilöiden kannalta

Ekosysteemin eri toimijat. Yritys Työntekijä Ulkopuolinen taho Media Muut tiedonvälittäjät (esim. Wikileaks)

IHTE-1900 Seittiviestintä

IHTE-1900 Seittiviestintä

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Yritysturvallisuuden perusteet

MITÄ TIETOSUOJA TARKOITTAA?

TIETOTURVAA TOTEUTTAMASSA

Turvallisuusselvityslainsäädännön kokonaisuudistus Tausta ja keskeiset muutokset

Lokipolitiikka (v 1.0/2015)

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) ja Secure Shell (SSH)

Tietojenkäsittelyn perusteet 2. Lisää käyttöjärjestelmistä

Onko meitä petetty, mihin voi enää luottaa?

Laatua ja tehoa toimintaan

Verkostokehittäjät-hanke Tietosuoja ja tietoturvallisuus

Tietoturvapäivä

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut

T Henkilöstö- ja toimitilaturvallisuus. Ilkka Kouri Henkilöstöturvallisuus : Henkilöstöturvallisuuden tavoitteet ja hallintakeinot

Uusia eväitä verkkoon Pertunmaa

Median sääntely ja sananvapaus. Anna Alatalo

Ongelma 1: Miten tieto kannattaa koodata, jos sen halutaan olevan hyvin vaikeasti luettavaa?

Tietoturvallisuuden ja tietoturvaammattilaisen

Kuljetus/Sovelluskerroksen tietoturvaratkaisut

Tämän luennon aiheet. Kuljetus/Sovelluskerroksen tietoturvaratkaisut. TLS:n turvaama HTTP. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Transkriptio:

T-110.556, S-72.510, TU-53.263 Oppiminen ja oppimisympäristöt 17.3.2003 Tietoturva, yksilönsuoja ja tekijänoikeudet Dosentti Arto Karila Karila A. & E. Oy E-mail: Arto.Karila@karila.com Tik-110.556, 17.3.2003-1 Tiedon suhteellisen arvon kehitys Tiedon suhteellinen arvo tuotannontekijänä on jatkuvasti kasvanut (lähde: professori Olli Martikainen) Arvo Pääomat ja raaka-aineet Työ Tieto 1800 1900 2000 Aika Tik-110.556, 17.3.2003-2 1

Tiedon merkitys Tieto tuotannontekijänä: Työvoima Pääoma/Raaka-aineet Tieto Tiedon roolit tuotteessa: Know-how Tieto asiakkaiden tarpeista ja kyky tuottaa näihin tuotteita Logistiikka Tieto tuote-elementtinä Firmware (esim. Nokian matkapuhelin) Tieto tuotteena Digitaalinen media (esim. Disney-yhtiöt) Software (esim. Microsoft) Tik-110.556, 17.3.2003-3 Tietoturvallisuus tietoyhteiskunnassa Tietoturvallisuudella tarkoitetaan tietojen suojaamista valtuuttamattomalta paljastumiselta, muuttumiselta ja tuhoutumiselta sekä niiden käytettävyyden varmistamista Yhteiskunnassa jonka toiminta, tuotanto ja kilpailukyky perustuvat kasvavassa määrin tietoon on tiedot turvattava Kehittyvä lainsäädäntö asettaa yhä uusia vaatimuksia tietoturvallisuudelle, esimerkiksi: Perusoikeudet (mm. yksityisyyden suoja) on turvattu perustuslaissa Tietosuojan perustan muodostaa henkilötietolaki Ohjelmistoja ja tietosisältöjä suojaa tekijänoikeuslaki Rikoslain piiriin kuuluu joukko tietotekniikkarikoksia, joiden tunnusmerkkien täyttyminen edellyttää suojauksia Tietoturvallisuus on järjestettävä jotta tietotekniikan tarjoamat mahdollisuudet voitaisiin täysimääräisesti hyödyntää Tik-110.556, 17.3.2003-4 2

Tietoverkkojen turvallisuuden merkitys Tietoverkko on nykyaikaisen tietojärjestelmän keskeinen komponentti Tietoverkkojen turvallisuus on tietoyhteiskunnan keskeinen kysymys koska: Lähes kaikki yhteiskunnan ja elinkeinoelämän kriittiset tietojärjestelmät ovat kiinni tietoverkoissa Verkoissa liikkuu yhä huomattavampia taloudellisia arvoja Ammattirikollisuus ja terrorismi ovat tulleet tietoverkkoihin Perinteisesti on tietoturvan keskeisinä ulottuvuuksina nähty tietojen luottamuksellisuus ja eheys Yhteiskunnan ja elinkeinoelämän keskeisten toimintojen perustuessa tietoverkkoihin olisi näiden lamaantumisella erittäin vakavat seuraukset Tietojärjestelmien käytettävyyden (availability) turvaaminen on siksi yhä keskeisempi vaatimus Tik-110.556, 17.3.2003-5 Uhkakuvia Tässä mainitaan joitain keskeisiä tämän hetken uhkakuvia, joilta jokaisen organisaation on suojauduttava Uhkakuvat eivät ole toisiaan poissulkevia vaan ne voivat esiintyä yhdessä tai erikseen Virukset ja muut tuholaisohjelmat leviävät yhä nopeammin ja laajemmin ja aiheuttavat yhä suurempia tuhoja, onneksi niiltä suojautuminen on yleensä jo suhteellisen hyvin hoidettu Käyttökatkoilta suojautuminen on yhä tärkeämpää - tämä edellyttää m.m. toimiviksi testattuja varautumissuunnitelmia sekä lisää redundanssia palvelimiin ja verkkoihin Teollisuusvakoilu on yleistä ja edelleen kasvussa, yhä useammin sitä suoritetaan ammattimaisten valtiollisten tiedusteluorganisaatioiden avustuksella (ns. Echelon yms.) Myös terrorismi ja sodankäynti ovat löytämässä tietoverkot Tik-110.556, 17.3.2003-6 3

Tietoverkkosodankäynti ja -terrorismi Tietoverkot ovat tietoyhteiskunnan keskeistä infrastruktuuria Suomessa monet yhteiskunnan keskeiset toiminnot kuten esimerkiksi pankkitoiminta ja tiedotusvälineet ovat täysin riippuvaisia tietoverkkojen jatkuvasta toiminnasta Teollisuusyrityksen intranetin lamaantuminen aiheuttaa useissa tapauksissa heti ongelmia ja noin puolen tunnin kuluttua kokonaisten teollisuusprosessien pysäyttämisen Riippuvuutemme tietojärjestelmistä ja -verkoista kasvaa edelleen jatkuvasti Mitä tahansa kehittynyttä valtiota vastaan voidaan hyökätä mistä tahansa maailmassa minimaalisin resurssein Hyökkäyksen kohteen on vaikea edes varmistua olevansa hyökkäyksen kohteena ja vielä vaikeampaa luotettavasti tunnistaa vihollinen Kokonaismaanpuolustuksessa suojeluobjekti on koko yhteiskunta ja elinkeinoelämä kriittisine tietojärjestelmineen Tik-110.556, 17.3.2003-7 Tietoturvapolitiikan määrittäminen Tietoturvapolitiikka tarkoittaa ylimmän johdon hyväksymää kirjallisessa muodossa olevaa näkemystä tietoturvallisuuden päämääristä, periaatteista ja toteutuksesta organisaatiossa Tietoturvapolitiikka vastaa kysymykseen mitä? (ei miten? ) Tietoturvapolitiikkaa täydentää alemman tason ohjeisto, joka ulottuu hyvinkin yksityiskohtaisiin tehtäväkuvauksiin Yleisesti hyväksytty tietoturvatyön ohjenuora on brittiläinen standardi BS 7799 (jonka perusteella on laadittu ISO 17799) BS 7799 on laadittu 1990-luvulla ja koostuu kahdesta osasta: Part 1: Code of Practice for Information Security Part 2: Specification for Information Management Systems Sertifiointi ei ole useimmille organisaatioille tarpeen eikä standardia yleensä kannata soveltaa koko laajuudessaan mutta se on silti hyvä pohja tietoturvan kehitystyölle Tik-110.556, 17.3.2003-8 4

BS 7799 ja ISO 17799 Tietoturvatyön tarkoitus on taata tietojen ja tietojärjestelmien eheys, saatavuus ja luottamuksellisuus organisaatiossa Tätä varten organisaation johto luo ja ylläpitää kontrolleja Yllä mainitut standardit määrittelevät joukon kontrolleja, jotka kuuluvat onnistuneeseen tietoturvallisuusohjelmaan: Kirjallinen tietoturvapolitiikka Tietoturvan vastuuttaminen organisaatiossa Tietoturvakoulutus Turvatapahtumien raportointi ja vasteet niihin Virustorjunta Toiminnan jatkuvuuden suunnittelu Ohjelmistojen kopioinnin valvonta Henkilötietojen suojaus Toistuvat tietoturvatarkastukset Tik-110.556, 17.3.2003-9 Tietoturvallisuuden toteuttaminen Tietoturvallisuuden toteuttaminen jaetaan yleisesti seuraaviin kahdeksaan osa-alueeseen, jotka on alunperin määritellyt Kanadan kuninkaallinen ratsupoliisi: Hallinnollinen ja organisatorinen turvallisuus Henkilöstöturvallisuus Fyysinen turvallisuus Tietoliikenneturvallisuus Laitteistoturvallisuus Ohjelmistoturvallisuus Tietoaineistoturvallisuus Käyttöturvallisuus Kaikki nämä osa-alueet on huomioitava tietoturvallisuutta toteutettaessa Tik-110.556, 17.3.2003-10 5

Avoimuus vastaan sumeus Ainoa tunnettu tapa varmistua tietojärjestelmän turvallisuudesta on perustaa sen suunnittelu komponentteihin ja menetelmiin, jotka ovat olleet pitempään avoimia kritiikille ja joiden uskotaan toimivan turvallisesti Ratkaisut jotka eivät ole avoimia, eivät ole tieteellisen keskustelun kohteita Tietoteknisen turvaratkaisun tulee olla siten suunniteltu ja toteutettu, ettei sen turvallisuus perustu sen rakenteen tai teknisten yksityiskohtien salaisuuteen Vaikka järjestelmän turvallisuus ei saa perustua sen suunnittelun salaisuuteen, voidaan turvallisuutta yleensä parantaa olemalla paljastamatta kaikkia suunnittelun yksityiskohtia Luotettu toiminnallisuus, jonka virheellinen toiminta vaarantaa koko järjestelmän turvallisuuden, on minimoitava Erityisesti kriittisten osien turvallisuus on varmistettava Tik-110.556, 17.3.2003-11 Luotettu toiminnallisuus Tietoturvan toteuttaminen tietojärjestelmissä edellyttää aina luotettua toiminnallisuutta, jonka uskomme toimivan oikein USA:ssa suunnitellut mikroprosessorit, käyttöjärjestelmät, sovellukset, tietoliikennelaitteet (esim. reitittimet) y.m. muodostavat kaikkien modernien tietojärjestelmien perustan Näiden komponenttien sisäinen rakenne on salainen Niiden vientiä valvotaan ja rajoitetaan Niiden tiedetään sisältävän dokumentoimattomia piirteitä: Pentium-prosessorissa on joukko dokumentoimattomia käskyjä ja piipinta-alaa, jonka tarkoitus on tuntematon Window NT:ssä on tuntemattomia salausavaimia Microsoft Excel sisältää Flight Simulatorin ja Word Doomin demoversion Koko maailman kriittiset tietojärjestelmät perustuvat teknologioille, jotka tuottaa maailman ainoa supervalta ja joiden tiedetään sisältävän tuntemattomia ja ei-toivottuja piirteitä Tik-110.556, 17.3.2003-12 6

Turvallisen tietojärjestelmän suunnittelu Kriittisten komponenttien, jotka saattavat vaarantaa koko järjestelmän turvallisuuden, määrä on minimoitava Ainakin näiden komponenttien tulee perustua avoimeen suunnitteluun ja niiden turvallisuus on voitava tarkastaa Tietoverkkojen puolustusjärjestelmissä tulee olla riittävästi syvyyttä jotta vihollinen voidaan havaita ja poistaa ennen kuin tämä on saavuttanut perimmäiset tarkoituksensa Kaikki matalan turvatoiminnallisuuden tai luottamustason järjestelmät on suojattava hyökkääjiltä sijoittamalla ne vahvojen puolustuslinjojen taakse Kriittisiin järjestelmiin tulee suunnitella ja rakentaa riittävästi redundanssia ja teknistä monimuotoisuutta jotta ne eivät kohtuudella voi täysin pettää Kaikessa tietojen siirrossa tulee käyttää avoimia yhteyskäytäntöjä ja sanomaformaatteja Erityisesti käytettyjen salausmenetelmien, niiden toteutusten ja julkisen avaimen infrastruktuurin on oltava luotettavia Tik-110.556, 17.3.2003-13 Internet-arkkitehtuuri Sovellukset E-mail WWW VoIP... digit. media TCP/UDP Internet Protocol (IP) - Liikkuvuus - Turvallisuus - Palvelunlaatu WLAN GPRS UMTS... langalliset Fyysiset verkot Tik-110.556, 17.3.2003-14 7

Internet-teknologian kehitys Internet-teknologia kehittyy merkittävästi nopeammin kuin perinteinen teletekniikka (Mooren laki) Syynä tähän on Internet-arkkitehtuurin yksinkertaisuus - uusia verkkoteknologioita voidaan helposti ottaa käyttöön Avoin tiedonsiirto = Internet-teknologia! Kustannustehokkuus Internetteknologia leikkauspiste nopeasti kasvava teknologiakuilu perinteinen teletekniikka Aika Tik-110.556, 17.3.2003-15 Avoimen verkon tietoturva Avoimuus tarkoittaa järjestelmien kykyä keskinäiseen kommunikaatioon - ei turvallisuuden puutetta Myös avoin järjestelmä voidaan tehdä turvalliseksi Tekniset järjestelyt ovat vain osa tietoturvallisuutta ja salauksen käyttö vain osa teknisiä järjestelyjä Vahvan salauksen käyttö on välttämätön (muttei riittävä) edellytys tietoturvallisuudelle avoimissa verkoissa Eheys ja luottamuksellisuus toteutetaan salauksella joka upotetaan protokollaan - esim. IPSEC, SSL, TLS, SSH tai PGP Lisäksi tarvitaan avoimessa ympäristössä julkisen avaimen infrastruktuuri (Public Key Infrastructure, PKI) Saatavuus edellyttää redundanssia järjestelmissä Kun tiedon eheys ja luottamuksellisuus on hoidettu salauksella, on saatavuus toteutettavissa verraten helposti Tik-110.556, 17.3.2003-16 8

Tämänhetkisiä salausratkaisuja Laajasti käytettyjä tämänhetkisiä turvaprotokollia ovat: IPSEC - IP:n turvalaajennus, joka on nopeasti yleistymässä Secure Socket Layer (SSL) WWW-käytön vakioratkaisu ( HTTPS ) Sisäänrakennettu lähes kaikkiin selaimiin Secure Shell (SSH) Ratkaisu turvalliseen etäpäätekäyttöön ja tiedostonsiirtoon Saatavilla on myös open source versio OpenSSH Pretty Good Privacy (PGP) Ohjelmisto, joka mahdollistaa sähköpostin sekä liitetiedostojen allekirjoituksen ja salauksen Soveltuu käytettäväksi myös ilman sähköpostia Saatavilla myös Gnu-versio GnuPG (Gnu Privacy Guard) joka on RFC 2440 OpenPGP Message Format mukainen IPSec (IP Security) ja ISKAMP (Internet Security Association and Key Management Protocol) - RFC 2401 2411 Tik-110.556, 17.3.2003-17 Symmetrinen salaus N.s. salaisen avaimen menetelmä Salaukseen ja sen purkuun käytetään samaa avainta (tai purkuavain on helposti pääteltävissä salausavaimesta) Symmetrisiä salaimia: RC4, 3DES, IDEA, Blowfish, Faster, CAST, AES (Rijndael) ym. Symmetrisessä salausavaimessa tulee kaupallisessa käytössä olla vähintään 90 bittiä entropiaa (satunnaisuutta) avain k avain k sanoma m E kryptogrammi c = E k (m) D sanoma m = D k (c) Salaa (Encrypt) Pura (Decrypt) Tik-110.556, 17.3.2003-18 9

Asymmetrinen salaus Avainpari (p, s) Julkinen avain p Salainen avain s Laskennallisesti mahdotonta johtaa p:stä s Soveltuvat sekä salaukseen että allekirjoitukseen Esimerkiksi: RSA (Rivest, Shamir, Adleman), ElGamal ja elliptisten käyrien kryptosysteemit (ECC) Julkinen avain p Salainen avain s sanoma m E kryptogrammi c = E p (m) D sanoma m = D s (c) Salaa (Encrypt) Pura (Decrypt) Tik-110.556, 17.3.2003-19 Julkisen avaimen infrastruktuuri Julkisen avaimen infrastruktuuri (public key infrastructure, PKI) on avoimessa ympäristössä välttämätön julkisen avaimen sitomiseksi luotettavasti henkilöön (tai valtuuteen) Sertifikaatti (certificate) on varmenneviranomaisen (certification authority, CA) digitaalisesti allekirjoittama määrämuotoinen tietue, jolla liitetään julkinen avain henkilöön Toistaiseksi merkittävin sertifikaattistandardi on X.509, joka kuuluu osana ISO:n X.500 -hakemistopalveluun ja sitoo julkisen avaimen globaalisti yksikäsitteiseen nimeen Suomalainen julkishallinnon yhteisprojekti Henkilön Sähköinen Tunnistaminen (HST), jonka tarkoitus on mahdollistaa laajamittainen sähköinen asiointi, perustuu X.509:ään Simple Public Key Infrastructure (SPKI) ja sen lähisukulainen Key Note 2 ovat mielenkiintoinen uusia ehdotuksia, jotka mahdollistavat mm. paikallisten nimien ja anonyymien valtuussertifikaattien käytön Tik-110.556, 17.3.2003-20 10

Henkilön sähköinen tunnistaminen Henkilön sähköinen tunnistaminen (HST) on hallinnon yhteishanke sähköisten asiointipalvelujen luomiseen HST perustuu julkisen avaimen salakirjoitukseen ja varmenneviranomaisen (certification authority) antamiin sertifikaatteihin Luodaan toimikortti, johon talletetaan kaksi 1024-bittistä RSAavainparia seuraaviin tarkoituksiin: Todennukseen ja tiedon salaukseen Sähköiseen allekirjoitukseen Kumpaankin avainpariin liittyy varmenneviranomaisen antama X.509-tyyppinen sertifikaatti, jolla julkinen avain sidotaan henkilöön ja käyttötarkoitukseensa Tarkoituksena on tuoda toimikortti kaikkien kansalaisten saataville henkilöllisyystodistuksen hintaisena Toimikortin käytöllä voidaan korvata fyysinen asiointi virastoissa ja perinteiset allekirjoitukset - käyttö on vapaaehtoista Käytännössä HST ei ole yleistynyt läheskään toivotulla tavalla Tik-110.556, 17.3.2003-21 Anonyymi asiointi tietoverkoissa Perinteisesti on ajateltu, että käyttövaltuudet päätellään käyttäjän identiteetistä (identiteettipohjainen pääsynvalvonta) Nykyään erotetaan valtuutus todennuksesta ja puhutaan valtuuspohjaisesta pääsynvalvonnasta, joka ei perustu käyttäjän identiteetin vaan tämän valtuuksien todentamiseen Salaustekniikat mahdollistavat digitaalisesti allekirjoitettujen väärentämättömien valtuuksien käytön pääsynvalvonnassa Simple Public Key Infrastructure (SPKI) ja sen seuraaja Key Note tarjoavat monipuolisia mahdollisuuksia valtuutukseen Mahdollisuus anonyymiin asiointiin on keskeinen kysymys HST-kortin salausavaimet identifioivat ihmisen jopa henkilötunnusta varmemmin ja mahdollistavat täydellisen valvonnan Terve epäluottamus viranomaisia ja muita vallankäyttäjiä kohtaan on kansalaisyhteiskunnan säilymisen paras turva Tik-110.556, 17.3.2003-22 11

Turvallisuus nyt ja tulevaisuudessa Toistaiseksi tietoverkkojen turvallisuus perustuu pitkälti luottamukseen julkisia telepalveluita kohtaan Jo lähitulevaisuudessa salauksen merkitys korostuu Perinteisten tietoturvapalveluiden (mm. luottamuksellisuus, eheys ja saatavuus) rinnalle on nousemassa uusia: Valtuutus nähdään maailmanlaajuisissa tietoverkoissa todennuksesta erillisenä ja erittäin vaikeana kysymyksenä Aidon kiistämättömyyden merkitys tietoverkkojen kautta tapahtuvassa liiketoiminnassa on suuri Valtuutusta ja kiistämättömyyttä varten tarvitaan toimiva julkisen avaimen infrastruktuuri Käyttövaltuuksien hallinta on osoittautunut ongelmalliseksi suurissa yhtymäverkoissa, internetissä ongelma on suurempi Anonyymi asiointi tietoverkoissa on huomispäivän vaatimus Tik-110.556, 17.3.2003-23 Normeista Yhteiskunnan toimintaa säätelevät normit, joita sisältyy eritasoisiin säädöksiin: perustuslaki muut lait asetukset ministeriöiden päätökset Suomen 1.3.2000 voimaan astunut perustuslaki yhdistää entiset neljä perustuslakia (hallitusmuoto, valtiopäiväjärjestys, laki valtakunnanoikeudesta sekä ministerivastuulaki) yhdeksi yhtenäiseksi laiksi Perustuslain tasoisena pidetään myös lakia Ahvenanmaan itsehallinnosta Tik-110.556, 17.3.2003-24 12

Perusoikeudet Vuonna 1995 voimaan tulleet perusoikeussäännökset toivat useita uusia perusoikeuksia perustuslain suojan piiriin Perusoikeudet sisältävät mm. seuraavaa: Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu Henkilötietojen suojasta säädetään tarkemmin lailla Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton (rajoitettavissa lailla rikostutkinnan mahd.) Jokaisella on sananvapaus (rajoitettavissa lailla lasten suoj.) Sananvapauteen sisältyy oikeus ilmaista, julkistaa ja vastaanottaa tietoja, mielipiteitä ja muita viestejä kenenkään ennakolta estämättä Viranomaisen hallussa olevat asiakirjat ja muut tallenteet ovat julkisia, jollei niiden julkisuutta ole välttämättömien syiden vuoksi lailla erikseen rajoitettu Jokaisella on oikeus saada tieto julkisesta asiakirjasta ja tallenteesta Tik-110.556, 17.3.2003-25 Tietosuoja Tietosuojan perusta muodosti henkilörekisterilaki, joka tuli voimaan 1988 ja jota on muutettu vuosina 1989, 1994 ja 1995 Kesällä 1999 henkilörekisterilaki korvattiin henkilötietolailla Tietosuojalainsäädännön tavoitteena on: suojata kansalaisten yksityisyyttä ja oikeusturvaa, varmistaa valtion turvallisuus, luoda hyvään rekisteritapaan perustuvia yhtenäisiä rekisterikäytäntöjä varmistaa yhteiskunnan avoimuus henkilörekistereitä käytettäessä Henkilötietolaki koskee sekä julkisia että yksityisiä henkilörekistereitä näiden toteutustavasta riippumatta Laki asettaa henkilörekisterin pitäjille joukon velvoitteita (mm. tietojen asianmukainen suojaaminen väärinkäytöltä) Laki antaa rekisteröidylle tiettyjä oikeuksia itseään koskeviin tietoihin (mm. oikeuden tarkistaa omat tietonsa) Tik-110.556, 17.3.2003-26 13

Yksilönsuoja tietoyhteiskunnassa Tietoyhteiskunnassa tietotekniikka on käytössä lähes kaikilla inhimillisen elämän alueilla Ihmisistä ja näiden toiminnasta jää jälkiä joka paikkaan: Kiinteä puhelinverkko Matkapuhelimet Pankki-, toimi- yms. korttien käyttö Tietoverkkojen käyttö Viranomaisten, yritysten yms. rekisterit Tietotekniikka mahdollistaa ihmisten lähes täydellisen valvonnan (vrt. Orwellin 1984) Tietotekniikka mahdollistaa oikein käytettynä myös mitä suurimman yksityisyyden ja ilmaisuvapauden On tärkeää, että henkilötietojen keruuta ja käyttöä rajoitetaan lainsäädännöllä ja oikeus yksityisyyteen turvataan Tik-110.556, 17.3.2003-27 Sananvapaus Tietoverkot mahdollistavat ennennäkemättömän ilmaisuvapauden - periaatteessa kuka tahansa saa niiden kautta asiansa globaaliin jakeluun Sananvapauden keskeinen periaate on ennakkosensuurin kieltäminen Julkaistu aineisto ei kuitenkaan saa olla loukkaavaa tai muuten lainvastaista Sananvapaus koskee kaikkia ilmaisumuotoja, tietoja, mielipiteitä ja viestejä välineestä ja sisällöstä riippumatta Vuodelta 1919 peräisin olevaa painovapauslakia oltiinn uusimassa tavalla, joka olisi merkittävästi rajoittanut sananvapautta Internetissä näistä suunnitelmista on viimeisessä lakiehdotuksessa luovuttu Monissa perinteisissä kansalaisyhteiskunnissa ollaan edelleen vaatimassa ennakkosensuuria Internetiin Tik-110.556, 17.3.2003-28 14

Rikoslain kokonaisuudistus Vuonna 1980 aloitetun rikoslain kokonaisuudistuksen läpivienti kuuluu Lipposen hallituksen hallitusohjelmaan: I vaihe tuli voimaan 1.1.1991 (769-834/90) II vaihe 1.9.1995 (578-747/95) III vaihe on edelleen valmisteilla Rikoslain kokonaisuudistuksen toinen vaihe toi suuren joukon tietotekniikkarikoksia rikoslain piiriin Seuraavalla sivulla on mainittu rikoslain keskeiset pykälät, jotka liittyvät tietoverkkoihin Tik-110.556, 17.3.2003-29 Rikokset tietoverkoissa RL 12:5 Vakoilu (myös muut 12 ja 13 luvun :t) RL 28:7 Luvaton käyttö RL 30:4 Yritysvakoilu RL 33:1 Väärennös RL 34:1 Tuhotyö (aikomus lisätä säännös vaaran aiheuttamisesta tietojenkäsittelylle, virukset) RL 35:1 Vahingonteko RL 36:1 Petos RL 37:8 Maksuvälinepetos RL 38:3 Viestintäsalaisuuden loukkaus RL 38:5 Tietoliikenteen häirintä RL 38:8 Tietomurto RL 38:9 Henkilörekisteririkos Tik-110.556, 17.3.2003-30 15

Tekijänoikeudet Tekijänoikeus suojaa kaikkia koti- ja ulkomaisia teoksia, jotka ovat omaperäisiä - muita vaatimuksia ei teokselle aseteta Tekijänoikeuden piiriin kuuluvat mm. suulliset ja kirjalliset esitykset, sävellykset, valokuvat, elokuvat ja tietokoneohjelmat Suoja kattaa sekä taloudelliset että moraaliset oikeudet Digitaalisen median kopiointi on helppoa ja tietoverkoista on muodostunut uhka tekijänoikeuksille Tästä syystä moni kieltäytyy antamasta teoksiaan sähköiseen jakeluun Kuitenkin tietoverkko antaa tekijänoikeuksien haltijoille ainutlaatuisen mahdollisuuden saada teoksensa maailmanlaajuiseen levitykseen Tekijänoikeuslainsäädäntö ja kansainväliset sopimukset ovat pääosin vanhentuneita eivätkä sovellu tietoyhteiskuntaan Tik-110.556, 17.3.2003-31 Digital Rights Management Digital Rights Management (DRM) tarkoittaa Internetissä levitettävän tiedon tekijänoikeuksien turvaamista sekä luvattoman käytön ja kopioinnin estämistä DRM:n toteuttaminen vaatii luotettua laitteistoa ja ohjelmistoa Intelin Trusted Computing Platform Alliance (TCPA) ja Microsoftin Palladium yrittävät tuoda DRM:n osaksi PClaitteistoa ja ohjelmistoa sekä päivittäistä tietojenkäsittelyä TCPA/Palladium mahdollistaa esim. digitaalisen elokuvan myynnin niin, että sen voi katsoa vain kolme kertaa tai ohjelmistolisenssin peruuttamisen niin, että paitsi ohjelma myös sillä tehdyt tiedostot lakkaavat toimimasta Valitettavasti nämä hankkeet palvelevat selvästi enemmän valmistajia ja mediataloja kuin kuluttajia DRM on uhka open source -maailmalle Tik-110.556, 17.3.2003-32 16

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute