010627000 Tietoturvan Perusteet Tietosuoja Pekka Jäppinen 17. lokakuuta 2007 Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007
Tietosuoja Tietosuoja Tietosuoja: yksityisyyden suojaamiseksi tarkoitettu perusoikeus Henkilökohtaisten tietojen luottamuksellisuuden varmistaminen Henkilöntietojen käsittelyä koskeva säännöstö Säilytys, Jakelu, Käyttö Suomessa rajoitettu laeilla Henkilötietolaki Työelämän tietosuojalaki (entinen laki tietosuojasta työelämässä). Selkeiden tietojen lisäksi muistettava myös palveluiden ja resurssien käytön luottamuksellisuuden varmistaminen Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 1/25
Tietosuoja esim: Suojattava tieto sairaudesta mutta myös tieto erikoislääkärin luona vierailusa Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 2/25
Yksityisyydensuojan tarve Tietosuoja Äänestyssalaisuus Henkilökohtaiset tiedot Tämän hetken luotettava hallitus voi olla tulevaisuuden tyrannia Kaikkea tietoa voidaan myös käyttää vääriin Kiristys ja uhkailu Vain rikollisilla on salattavaa? Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 3/25
Tietosuoja Miksi ikkunoissa on verhot ja vessoissa ovet? Kuinka saadaan pätevät ihmiset kiinnostumaan julkisista tehtävistä, jos minkäänlaista yksityisyyden suojaa ei ole? Parable of ruritania Arkaluontoiset tiedot Tietojen arkaluontoisuus vaihtelee kulttuureittain ja on muuttunut vuosisatojen varrella Rotu/etninen alkuperä Uskonnollinen poliittinen tai ammatillinen vakaumus Seksuaalinen suuntautuminen Rikokset ja rangaistukset Terveydentila, hoitohistoria Taloudelliset ongelmat (sosiaalihuolto) Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 4/25
Yksityisyydensuojan ongelmat Tietosuoja Yksityisen tiedon määrittäminen Ihmisillä on omat henkilökohtaiset rajat mitä pitävät yksityisenä. Tiedon yksityisyys voi riippua myös kohteesta kelle tieto on menossa Tietojen kerääminen helppoa ja sitä tapahtuu paljon Kaikki haluavat kysyttäessä taata oman yksityisyydensuojansa, mutta: Siitä ei välttämättä haluta maksaa Se ei saa vaikeuttaa muita toimia Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 5/25
Henkilökohtaisille tiedoille on käyttöä Tietosuoja Monet helpottavat toimenpiteet vaativat yksityiseksi ajateltavan tiedon luovuttamista ja käyttöä Suoramarkkinointi Mitä enemmän tietoa sen tarkempi markkinointi Kanta-asiakaskortit Hyvää kauppatavaraa Tietojen omistus oikeus riippuu maan lainsäädännöstä Suomessa yksityishenkilö omistaa tiedot itsestään Paljon elektronisia jälkiä Log tiedostot Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 6/25
Tietoliikenteen seuranta Automaattiset tunnistetiedot dokumenteissa Tietosuoja Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 7/25
Henkilötietojen hankkiminen Tietosuoja, uhat 1. Tietojen hankkiminen tietystä yksittäisestä kohteesta Jäljitys (henkilöstä), teollisuusvakoilu (yrityksestä), vakoilu (valtiosta) Ei voida täysin estää, mutta rikollinen voidaan pakottaa käyttämään perinteisiä metodeja. 2. Tiedon kerääminen Etsitään esim. poliittiset kannat, lahkon jäsenet, kaikki yli 70 kissan omistajat jne. Tietotekniikka helpottaa suunnattomasti lainsäädäntö rajoittaa tietokantojen yhdistämistä Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 8/25
Jälijtys ja seurantamenetelmiä Tietosuoja, uhat Salakuuntelu Mikrofonit. Van Eck laitteet. (elektromagneettisen säteilyn seuranta) TEMPEST Salakuvaus Minikamerat, kuituoptiikka Valvontakamerat Satelliittikamerat Paikantaminen Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 9/25
Matkapuhelimet Satelliittikuvat ja valvontakamerat GPS Aikaleimat ja logit. Tietosuoja, uhat Hankittujen tietojen käyttäminen Hahmontunnistus Äänentunnistus Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 10/25
Tietokannat Tietosuoja, uhat Tietokannoissa on paljon tietoa ihmisistä, joiden avulla yksityisyys voidaan murtaa Kerättyä tietoa ei pidä käyttää muuhun tarkoitukseen kuin mihin se on alunperinkin kerätty Henkilökohtaisia perustietoja Valtio: sairaala: pankki: henkilötiedot, osoite.. sairaushistoria luottotiedot Käyttäytymistietoja Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 11/25
Verkkokauppa: mitä ostettu, mitä tuotteita tutkittu, mitä etsitty ISP: missä surffailtu, kuinka kauan. Tietosuoja, uhat Eri kantojen yhdistely muutamaa poikkeusta lukuunottamatta kielletty. Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 12/25
Henkilörekisterit Tietosuoja, uhat Henkilörekisterien käyttöä ja ylläpitoa rajaa lait: Henkilötietolaki ja Arkistolaki tärkeimmät Monet muut lait pitävät sisällään erityissäännöksiä eritilanteissa henkilötietojen käsittelyyn: esim: laki henkilötietojen käsittelystä rangaistusten täytäntöönpanossa, väestötietolaki jne. Tietosuojavaltuutettu valvoo Henkilörekisteri on lähes mikä tahansa lista josta henkilöt voidaan yksilöidä Älä luo rekisteriä ennenkuin olet tutustunut kunnolla lakeihin Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 13/25
Tietosuoja, uhat Käytä mielummin lakimiestä apuna kun mietit rekisterin käyttötapoja Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 14/25
Rekisteröidyn oikeudet (www.tietosuoja.fi) Tietosuoja, uhat Oikeus saada tarkistaa itseään koskevat tiedot ja saaa niistä jäljennös Oikeus saada tieto siitä, mistä rekisteriin tietoja saadaan, mihin niitä käytetään ja mihin säännönmukaisesti luovutetaan Oikeus oikaista virheelliset tiedot Oikeus saada kuvaus tietoja tulkitsevan sovelluksen toiminnasta (esim. profilointi) Oikeus kieltää henkilötietojen käyttö Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 15/25
Suoramainontaan, etämyyntiin ja muuhun suoramarkkinointiin markkina- ja mielipidetutkimukseen henkilömatrikkeliin sukututkimukseen. Tietosuoja, uhat Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 16/25
Tietosuoja yrityksen kannalta Tietosuoja, uhat Paljon mielenkiintoisia asioita joita tarkkailla, joihin tietosuoja lait vaikuttavat Työntekijöiden toimet verkossa Työntekijöiden vapaa-ajan toimet Tiedon käyttäminen vaatii tarkkaa suunnittelua Mitä tietoja kerätään ja miten niitä voi käyttää Lakitekniset ongelma Kerätyn tiedon hallitseminen Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 17/25
Ulkopuolisten pääsyn estäminen Luottamus Tietojen luovuttaminen Tietosuoja, uhat Kokonaisuudessaan vaatii paljon työtä Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 18/25
Tietosuoja työntekijän kannalta Tietosuoja, uhat Suojaa laittomilta toimilta esim. Huumetestit työhön otossa, puhelujen nauhoittaminen salaa jne. Salassapito velvollisuus henkilötietojen suhteen Mitä tehdä kun pomo käskee tehdä tietosuojalain vastaisesti? Mustaa valkoisella Entäs kun pitkäaikainen työkaveri pyytää? Entäpä jos tietoja katsomalla voisi helpottaa omaa elämäänsä? Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 19/25
Ohjeita Tietosuoja, uhat Tunne oikeutesi Älä luovuta henkilötietojasi, ellet tiedä, kuka niitä pyytää Varmista että tiedät mihin tarkoitukseen henkilötietojasi annat (ja kenelle) Toisena esiintyminen ei ole vaikeaa verkossa Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 20/25
Anonymiteetti Anonymiteetti Anonymiteetin tarve digitaalisessa maailmassa on sama kuin reaalimaailmassa. Rikosten uhrit Keskustelut henkilökohtaisista asioista Arkaluontoiset yhteiskunnalliset asiat (uskonto, politiikka) Anonymiteetin väärinkäyttö Uhkailu postit, vihan lietsonta, laittoman materiaalin levitys, virusten levittäminen... Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 21/25
Nymiteetit (Goldberg) Anonymiteetti 1. Verinymiteetti Kommunikointi osapuoli on tunnistettu. 2. Pseudonymiteetti Ei tietoa henkilöllisyydestä, mutta tiedot voidaan linkittää samaan pseudonyymiin Salanimet, postilokerot, Sveitsiläinen pankkitili, AA tapaaminen 3. Linkitettävä anonymiteetti Tunnistetaan samalta laitteelta tapahtuvat toiminnot Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 22/25
Anonymiteetti Tapahtumat voidaan linkittää yhteen ja samaan yhteyden muodostukseen. 4. Täysi anonymiteetti Nimetön kirje, pulloposti, puhelinkioskista soitto Uutta yhteydenottoa ei voida linkittää vanhaan. Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 23/25
Anonymiteetin toteuttamisen vaikeus Anonymiteetti Lähes kaikesta toiminnasta jää jälkiä Office-dokumentit lisäävät automaattisesti tunnistetietoja Evästeet (Cookiet) pitävät kirjaa käyttäjästä Anonyymipalvelun käyttäjä voidaan paikantaa IP-osoitteen pohjalta Verkkokorteissa yksilöllinen tunniste (MAC-osoite) Tunnisteita voidaan väärentää Väärennöksetkin voidaan selvittää Tietojen yhdistäminen eri lähteistä on työlästä mutta harvoin mahdotonta. Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 24/25
Kaupallinen anonymiteetti Anonymiteetti Mitä anonymiteetti maksaa? Paljonko anonymiteetin rikkomisesta saa rahaa? Voiko sähköinen raha olla anonyymiä? Tarvitaanko anonyymiä rahaa? Pekka Jäppinen, Lappeenranta University of Technology: 17. lokakuuta 2007 25/25