Viestinnän tietoturva
Teleyrityksen, lisäarvopalvelun tarjoajan ja yhteisötilaajan on huolehdittava asianmukaisesta tietoturvasta. Palvelun ja tietojenkäsittelyn turvallisuudesta huolehtiminen tarkoittaa toimenpiteitä, joilla varmistetaan toiminnan, viestinnän, laitteistojen ja ohjelmistojen turvallisuus sekä tietoturvallisuus. Nämä toimet on suhteutettava uhkien vakavuuteen, tekniseen kehitystasoon ja kustannuksiin.
Teleyrityksellä, lisäarvopalvelun tarjoajalla ja yhteisötilaajalla sekä niiden lukuun toimivilla on oikeus ryhtyä tarvittaviin toimenpiteisiin tietoturvan takaamiseksi. Tarvittaviin toimenpiteisiin kuuluu muun muassa:
havaita, ehkäistä ja tutkia viestintäverkkoihin tai niihin liitettyjen palveluiden tietoturvaan kohdistuvia haittoja sekä saattaa ne esitutkintaan
turvata viestin lähettäjän tai viestin vastaanottajan viestintämahdollisuudet; tai
estää viestintäpalvelujen kautta tapahtuvien laajamittaisten maksuvälinepetosten valmistelu
Näihin toimiin voi kuulua viestin sisällön automaattinen analysointi, viestien lähettämisen ja vastaanottamisen automaattinen estäminen tai rajoittaminen, tietoturvaa vaarantavien haittaavien tietokoneohjelmien automaattinen poistaminen sekä muut vastaavat tekniset toimenpiteet. Tietyissä lainsäädännössä määritellyissä tilanteissa yksittäisen viestin sisältöä saa käsitellä manuaalisesti. Manuaalisesta käsittelystä on ilmoitettava viestin lähettäjälle ja vastaanottajalle, jollei ilmoituksella todennäköisesti vaaranneta käsittelyn tavoitteiden toteutumista.
Jos palveluun kohdistuu erityinen tietoturvaloukkaus tai -uhka, teleyrityksen ja lisäarvopalvelun tarjoajan on ilmoitettava siitä viipymättä tilaajalle ja käyttäjälle sekä kerrottava samalla näiden käytettävissä olevista toimenpiteistä, niiden todennäköisistä kustannuksista sekä mistä tilaaja tai käyttäjä voi saada lisätietoja. Teleyrityksen ja lisäarvopalvelun tarjoajan on säilytettävä tiedot ilmoituksista.
Liikenne- ja viestintävirasto Traficom voi antaa teleyrityksille ja lisäarvopalvelun tarjoajille tarkempia määräyksiä toimenpiteiden teknisestä toteuttamisesta sekä ilmoitusten säilyttämisestä.
Teleyrityksen on ilmoitettava viipymättä Traficomille verkkopalvelun ja viestintäpalvelun merkittävistä tietoturvaloukkauksista ja sellaisista niihin kohdistuvista tietoturvauhkista, joista teleyritys on tietoinen. Samalla on annettava tiedot rikkomisen seurauksista ja toimenpiteistä, jotka on toteutettu tällaisten rikkomisten ja niiden uhkien toistumisen estämiseksi. Ilmoitusvelvollisuus Traficomille merkittävästä tietoturvallisuuteen liittyvästä häiriöstä on myös verkossa toimivan markkinapaikan, hakukonepalvelun sekä pilvipalvelun tarjoajalla.
Jos Traficom katsoo, että tietoturvaloukkauksesta ilmoittaminen on yleisen edun mukaista, Traficom voi määrätä teleyrityksen tai palveluntarjoajan tiedottamaan asiasta. Traficomilla on oikeus tehdä teleyrityksessä turvallisuustarkastus laissa asetettujen velvoitteiden valvomiseksi.