Sisältöön

Roskapostin suodatus - SecMeter

Ohita valikko
Ohita valikko

Roskapostin suodatus

Yritysturvallisuus > Yksityisyyden suoja
Roskapostin suodatus



Roskaposti on digitaalisessa viestinnässä yleinen ja häiritsevä ilmiö. Sillä tarkoitetaan sähköpostiviestejä, joita vastaanottaja ei ole pyytänyt tai tilannut, ja jotka usein sisältävät tarpeetonta tai epäolennaista mainontaa. Tyypillisesti roskapostiksi katsotaan viestit, joiden sisältö ei palvele vastaanottajaa ja jotka toistuvat häiritsevällä tavalla. Vaikka yksittäinen viesti saattaa tuntua harmittomalta, massoittain lähetettyinä roskapostit kuormittavat viestintäjärjestelmiä ja voivat aiheuttaa merkittäviä haittoja.

Roskapostin suodatuksella pyritään rajoittamaan tarpeettoman sähköpostiliikenteen määrää sekä suojaamaan käyttäjiä haittaohjelmilta ja tietojenkalastelulta. Automaattiset suodattimet tunnistavat viestejä esimerkiksi lähettäjän osoitteen, viestin otsikon tai sisällön perusteella ja siirtävät epäilyttävät viestit roskapostikansioon. Tämä on erityisen tärkeää organisaatioissa, joissa suuri määrä roskapostia voi hidastaa tiedonkulkua ja vaarantaa tietoturvan.

Lainsäädäntö asettaa tarkkoja rajoja sille, millä ehdoilla suoramarkkinointia voidaan kohdistaa yksityishenkilöihin. Tietoyhteiskuntakaaren (917/2014) 24 luvun 200 §:n mukaan suoramarkkinointia sähköpostitse, tekstiviestitse, puhelimitse, ääniviestinä tai kuvaviestinä saa lähettää vain sellaisille luonnollisille henkilöille, jotka ovat antaneet siihen etukäteen suostumuksensa. Tämä ns. opt-in -periaate on keskeinen osa yksityisyyden suojaa digitaalisessa ympäristössä. Vastoin suostumusta toteutettu markkinointi on kiellettyä ja voi johtaa valvontaviranomaisten toimenpiteisiin.

Poikkeuksen muodostavat olemassa olevat asiakassuhteet, joissa yritys voi lähettää markkinointiviestejä omille asiakkailleen, kunhan heille tarjotaan selkeä mahdollisuus kieltää viestien vastaanottaminen jatkossa. Tällöin markkinoinnin tulee liittyä läheisesti aiemmin hankittuihin tuotteisiin tai palveluihin.
Digitaalinen viestintä on keskeinen osa nykyaikaista työelämää, ja sähköpostista on tullut olennainen työkalu yrityksille. Sähköpostiviestintään liittyy kuitenkin myös riskejä, kuten haittaohjelmien leviäminen ja ei-toivotun viestinnän, kuten roskapostin vastaanottaminen. Tämän vuoksi työnantajalla voi olla tarve hallita ja rajoittaa sähköpostiliikennettä. Toimien on kuitenkin tapahduttava selkeässä oikeudellisessa kehyksessä, jossa otetaan huomioon työntekijöiden yksityisyyden suoja ja viestintäsalaisuus.

Työntekijän oikeus vastaanottaa viestejä ja työnantajan rajoitukset
Työnantajalla ei ole yleistä oikeutta päättää työntekijän puolesta, mitä postia työntekijä saa vastaanottaa. Poikkeuksena ovat viestit, jotka voivat vaarantaa työnantajan tietojärjestelmien käytettävyyden, tietojen luottamuksellisuuden tai eheyden. Tietoturvapoikkeamien ehkäisyyn liittyvät toimet ovat sallittuja ilman työntekijän suostumusta, mutta ne tulee rajata vain välttämättömään.

Suoramarkkinointi ja oikeus kieltää viestintä
Suoramarkkinointi yrityksille on lähtökohtaisesti sallittua, ellei yritys ole sitä nimenomaisesti kieltänyt. Tietoyhteiskuntakaaren (917/2014) 24 luvun 202 § mukaan suoramarkkinoijan on tarjottava yritykselle helppo ja maksuton tapa kieltää yhteystietojensa käyttö markkinointiin. Tämä vaatimus koskee kaikkia sähköisiä viestintämuotoja, kuten sähköpostia, tekstiviestejä, ääniviestejä ja kuvaviestejä.

Roskapostin suodatus ja viestintäsalaisuus
Roskapostin suodatus on välttämätön osa yrityksen tietoturvaa. Suodatusjärjestelmillä voidaan estää haittaohjelmien leviäminen ja tarpeettoman viestiliikenteen aiheuttamat häiriöt. Koska sähköpostiviestintä on lähtökohtaisesti yksityistä, roskapostisuodatusta suunniteltaessa on otettava huomioon viestintäsalaisuuden toteutuminen. Suomessa viestintäsalaisuus on turvattu muun muassa perustuslain (731/1999) 10 §:ssä sekä rikoslain säännöksillä.

Yrityksissä suodatusperiaatteet on käsiteltävä henkilöstön kanssa, esimerkiksi yhteistoimintalain mukaisessa YT-työryhmässä. Tämä lisää avoimuutta ja työntekijöiden luottamusta siihen, että heidän oikeuksiaan kunnioitetaan.

Käytännön toimenpiteet ja karanteenimenettely
Roskapostin suodatuksen yhteydessä on riski, että toivotut viestit tulkitaan virheellisesti roskapostiksi. Tämän vuoksi viestit on ohjattava ensin karanteeniin eikä poistettava suoraan. Karanteenissa työntekijä voi itse tarkistaa ja vapauttaa virheellisesti luokitellut viestit.

Toisaalta, jos suodatusjärjestelmä havaitsee viestissä tai sen liitteessä haittaohjelman, koko viesti voidaan poistaa välittömästi tietoturvaloukkausten estämiseksi. Näitä viestejä ei saa välittää eteenpäin eikä säilyttää. Hyvän tiedonkäsittelytavan mukaisesti työntekijälle on kuitenkin ilmoitettava poistetuista viesteistä automaattisesti, jotta hän on tietoinen toimenpiteistä.

Operaattoreiden vastuu ja tekniset rajoitteet
Suomessa teleoperaattoreilla on lain mukaan velvollisuus estää haitallisen liikenteen ohjautuminen asiakkailleen. Tämä on osa kansallista tietoturvastrategiaa. Vaikka operaattoreiden suorittama suodatus vähentää riskejä, se ei poista niitä kokonaan. Yrityksen oma sisäinen tietoturvavalvonta ja suodatusjärjestelmät ovat yhä välttämättömiä.

Lainsäädännön vaatimuksia
Työnantajan oikeus suodattaa vastaanottajan sähköpostiliikennettä on rajattu vain välttämättömiin toimenpiteisiin viestintäpalvelujen taikka viestinnän vastaanottajan viestintämahdollisuuksien turvaamiseksi.

Roskapostin suodattaminen ja haittaohjelmien poistaminen viesteistä on toteutettava huolellisesti ja toimenpiteet on mitoitettava torjuttavan häiriön vakavuuteen. Työntekijän pyynnöstä työnantajan on estettävä häiritsevän roskapostin välitys (tietoyhteiskuntakaari 24 luvun 204 §).

Käsitteitä

Haittaohjelma
Viestiin tai sen liitetiedostoon sisältyvä ohjelmakoodi esimerkiksi virus tai mato, joka vaarantaa järjestelmän eheyden, luottamuksellisuuden tai käytettävyyden.

Haitallinen sähköpostiliikenne
Haitallisella sähköpostiliikenteellä tarkoitetaan sellaista sähköpostiliikennettä, joka voi vaarantaa sähköpostipalvelun toimivuutta tai saattaa oleellisesti heikentää sähköpostipalvelun käytettävyyttä.

Massapostitus (roskapostihyökkäys)
Roskapostihyökkäyksellä tarkoitetaan sähköpostipalvelimen tahallista ylikuormittamista massapostituksen avulla. Roskapostihyökkäyksessä massapostittajat käyttävät väärennettyjä lähettäjätietoja.

Rooliosoite
Rooliosoitteella tarkoitetaan yhteystietoa, joka ohjaa viestin yhdelle tai useammalle henkilölle. Rooliosoite varmistaa yrityksen palveluprosessien toiminnan henkilöriippumattomasti. Rooliosoitteeseen lähetetty posti on aina julkisuuslain alaista.

Suodattaminen
Suodattamisella tarkoitetaan sähköpostiviestin lähetyksen tai vastaanottamisen estämistä ja järjestelmien eheyttä, luottamuksellisuutta tai käytettävyyttä vaarantavien haittaohjelmien poistamista viesteistä.

Sähköinen asiakirja
Sähköisellä asiakirjalla tarkoitetaan puolestaan sähköistä viestiä, joka liittyy asian vireillepanoon, käsittelyyn tai päätöksen tiedoksi antamiseen.

Sähköinen viesti
Sähköisellä viestillä tarkoitetaan sähköisellä tiedonsiirtomenetelmällä lähetettyä helposti kirjallisessa muodossa tallennettavissa olevaa informaatiota.

Sähköpostiliikenteen suodatus
Suodattamisella tarkoitetaan sähköpostiviestien lähettämisen, välittämisen tai vastaanottamisen estämistä, tietoturvaa vaarantavien haittaohjelmien poistamista viesteistä tai muita näihin rinnastettavia teknisluonteisia toimia.

Työntekijän sähköpostiosoite
Työntekijän sähköpostiosoite on henkilökohtainen. Henkilökohtaisten sähköpostiosoitteiden osalta on erikseen harkittava, kenen yhteystietoja annetaan julkisuuteen. Ensisijaisesti tulee julkistaa vain rooliosoitteita.

Suodatusperiaatteet

  • Viestien suodattamisella ei kajota sananvapauteen.
  • Viestien suodattamisella ei kajota henkilöiden toimesta viestin sisältöön tai yksityisyyden suojaan. Viestien sisältöön puututaan ainoastaan teknisin menetelmin.
  • Käyttäjällä on oikeus suojata viesti ja siihen liittyvät välitystiedot.
  • Lähettäjän salaamaa viestiä ei pureta yrityksen toimesta.
  • Käyttäjiä tiedotetaan menettelyistä, jotka koskevat ylisuurten liitetiedostojen suodattamista.
  • Sähköpostiviesti tai sen sisältämä liite voidaan tuhota automaattisesti, jos se sisältää haittaohjelman. Tällöin vastaanottajalle lähetetään tuhoamisesta ilmoitus.
  • Roskapostiksi luokitellut viestit ohjataan vastaanottajan hallinnassa olevaan roskapostikansioon tai koontitiedostoon (varastoon eli karanteeniin).
  • Vastaanottaja hoitaa omaa henkilökohtaista roskapostikansiotaan (karanteenia).
  • Organisaatio estää sellaisten viestien välityksen ulospäin, jotka eivät ole lähtöisin sen omasta osoiteavaruudesta.

Suodatusesimerkki

  • Jos viestin lähettäjä on internetin mustalla listalla (black list = roskapostittaja), ei postia vastaanoteta.
  • Jos viesti sisältää haittaohjelman, viesti poistetaan automaattisesti.
  • Jos viesti pisteytetään 80%-100% todennäköisyydellä roskapostiksi, ohjataan viesti roskapostilaatikkoon.
  • Jos viesti pisteytetään yli 50% todennäköisyydellä roskapostiksi, ohjataan viesti karanteeniin, josta käyttäjä voi tarvittaessa vapauttaa viestin.
  • Muut viestit välitetään normaalisti vastaanottajalle.

Case "Viranomaisen sähköpostijärjestelmän virhe"
Valtio hävisi syksyllä 2011 korkeimmassa oikeudessa riidan, joka koski käräjäoikeuteen lähetetyn sähköpostin vireilletuloajankohtaa.

Helsinkiläinen mieshenkilö oli ilmoittanut sähköpostilla tyytymättömyytensä Helsingin käräjäoikeuden ratkaisemaan riitajuttuun, joka koski velkasuhteeseen perustuvaa saatavaa. Henkilö lähetti sähköpostiviestin tuntia ennen valitusajan päättymistä.

Käräjäoikeuden sähköpostipalvelimen roskapostisuodatin tulkitsi viesti roskapostiksi ja ohjasi viestin karanteeniin erikseen selvitettäväksi, jonka johdosta viesti ohjautui käräjäoikeuden kirjaamoon vasta seuraavana päivänä.

Käräjäoikeus ja jätti valituksen myöhästyneenä käsittelemättä. Asia eteni asianomistajan toimesta hovioikeuteen. Hovioikeus päätyi ratkaisussaan samaan lopputulokseen kuin käräjäoikeus ja jätti päätöksen voimaan.

Asianomistaja sai valitusluvan KKO:sta, joka teki jutussa yksimielisen ennakkopäätöksen. KKO totesi päätöksessään, että sähköpostiviestin myöhästyminen aiheutui käräjäoikeuden sähköpostijärjestelmän virheestä ja valitus oli otettava käsittelyyn. KKO:n mukaan Hovioikeus ei olisi saanut hyväksyä käräjäoikeuden tutkimattajättämispäätöstä hankkimatta selvitystä valituksen saapumisesta käräjäoikeuden tietojärjestelmiin.

Lain sähköisestä asioinnista viranomaistoiminnassa (24.1.2003/13) 3 luvun 8 § mukaan vastuu sähköisen viestin perillemenosta lähettäjän omalla vastuulla. Tämä lainkohta edellyttää, että asianomistaja lähettää viestinsä oikeaan aikaan oikeaan osoitteeseen asianmukaisilla välineillä.

Saman lain 10 § mukaan: "Jos saapumisajankohdasta ei ole selvitystä sen johdosta, että viranomaisen käyttämä sähköinen tiedonsiirtomenetelmä on ollut epäkunnossa tai poissa käytöstä taikka selvitystä ei muusta vastaavasta syystä voida esittää, sähköinen viesti katsotaan saapuneeksi sinä ajankohtana, jona se on lähetetty, jos lähettämisajankohdasta voidaan esittää luotettava selvitys."

Tämän lainkohdan mukaisena luotettavana selvityksenä viestin lähetysajasta voidaan pitää esimerkiksi viestiä välittäviltä palvelimilta sähköpostiviestin otsikkokenttiin kirjautuvaa tietoa viestin lähettämisajasta.

Sähköpostiviestinä lähetetyn asian vireilletuloajankohtana (saapumisajankohta) on pidettävä sitä hetkeä, jolloin asian sisältävä sähköpostiviesti on saapunut käräjäoikeuden tietojärjestelmään. Lähde: (kko.fi KKO:2011:63)
Ohita valikko
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön