Operaattoria epäillään tietosuojalain rikkomisesta
3
Erka Koivunen sanoo, että epäillyn dos-hyökkäyksen ilmoitusvelvollisuuden laiminlyönnin selvittämisessä on oltu kärsivällisiä, koska tilanne on uusi myös Viestintävirastolle.
Pienen suomalaisen internetoperaattorin epäillään laiminlyöneen ilmoitusvelvollisuuden tietosuojauhkasta Viestintävirastolle. Operaattoria vastaan epäillään kohdistuneen palvelunestohyökkäys, josta ei olisi tiedotettu viranomaiselle. Näin operaattori olisi rikkonut uutta sähköisen viestinnän tietosuojalakia.
Viestintäviraston Cert-fi-yksikön johtaja Erka Koivunen myöntää, että tilanne on uusi ja ainutlaatuinen. ”Operaattorin epäillään rikkoneen lakia laiminlyömällä sähköisen viestinnän tietosuojalaissa säädetyn ilmoitusvelvollisuuden. Olemme olleet operaattoriin yhteydessä tästä.”
Seuraus lain rikkomisesta voi vaihdella nuhtelukirjeestä julkiseen huomautukseen. ”Äärimmillään lain rikkominen voi johtaa toimiluvan perumiseen, mutta tuskin tässä tapauksessa niin pitkälle joudutaan”, sanoo Koivunen.
Koivusen mukaan vastaavia keskusteluja ei ole jouduttu aiemmin käymään, koska operaattorit ovat hoitaneet tiedotuksen lain mukaan. Kyseessä on Koivusen mukaan pienestä ja uudehkosta palveluntarjoajasta. ”Isoilla ja vakiintuneilla toimijoilla on näissä asioissa prosessit kohdallaan.”
Viestintävirasto on ollut yhteydessä operaattoriin alkuviikosta lähtien, mutta toistaiseksi se ei ole reagoinut viranomaisen yhteydenottoon. ”Tämäkin on uutta. Yleensä vastaus viranomaisen yhteydenottoon tulee nopeasti. Koska tilanne on uusi, emme vielä tiedä, miten pitkälle pinnamme venyy."
Cert-fi ei asian keskeneräisyyden takia paljasta operaattorin nimeä. Jos yhteistyö ei kuitenkaan lähde sujumaan, viranomainen voi joutua tiedottamaan asiasta operaattorin puolesta, ja silloin myös nimi tulee julki.
Tietosuojauhkista tiedotettava asiakkaille ja viranomaisille
Epäily hyökkäyksestä tuli julki, kun suomalainen netti-tv-palvelu tiedotti viikonloppuna yhteyksiensä häiriintyneen ”erääseen operaattoriin kohdistuneen palvelunestohyökkäyksen” takia.
Palvelunestohyökkäys (dos, denial of service) tarkoittaa sitä, että verkkoa tai palvelinta kuormitetaan vahingontekotarkoituksessa niin, ettei se pysty enää palvelemaan muita käyttäjiä. Samankaltainen häiriötilanne voi syntyä silloinkin, kun kapasiteettia on vain alimitoitetusti liikenteeseen tai samanaikaiseen käyttäjämäärään nähden.
Kesällä voimaan tulleen uuden sähköisen viestinnän tietosuojalain, myös Lex Nokiana tunnetun, mukaan operaattorin on tiedotettava myös asiakkaita koskevasta tietosuojan uhkasta, kuten Ruotsin FRA:n televakoilut. Lain 21 §:n määräykset koskevat tiedottamista muun muassa asiakkaille ja viranomaisille. Lain ajantasaiset säädökset ovat luettavissa Finlexissä.
