Sähköisen viestinnän tietoturva
Viestin välittäjän (teleyritys, yhteisötilaaja tai muu taho, joka välittää sähköistä viestintää muutoin kuin yksityisiin tarkoituksiin) ja lisäarvopalvelun tarjoajan (tai niiden lukuun toimivan) on huolehdittava asianmukaisesta tietoturvasta. Palvelun ja tietojenkäsittelyn turvallisuudesta huolehtiminen tarkoittaa toimenpiteitä, joilla varmistetaan toiminnan, viestinnän, laitteistojen ja ohjelmistojen turvallisuus sekä tietoturvallisuus. Nämä toimet on suhteutettava uhkien vakavuuteen, tekniseen kehitystasoon ja kustannuksiin.
Viestinnän välittäjällä ja lisäarvopalvelun tarjoajalla sekä niiden lukuun toimivilla on oikeus ryhtyä tarvittaviin toimenpiteisiin tietoturvan takaamiseksi. Tarvittaviin toimenpiteisiin kuuluu muun muassa:
havaita, ehkäistä ja tutkia viestintäverkkoihin tai niihin liitettyjen palveluiden tietoturvaan kohdistuvia haittoja sekä saattaa ne esitutkintaan,
turvata viestin lähettäjän tai viestin vastaanottajan viestintämahdollisuudet, tai
estää viestintäpalvelujen kautta tapahtuvien laajamittaisten maksuvälinepetosten valmistelu.
Näihin toimiin voi kuulua viestin sisällön automaattinen analysointi, viestien lähettämisen ja vastaanottamisen automaattinen estäminen tai rajoittaminen, tietoturvaa vaarantavien haittaavien tietokoneohjelmien automaattinen poistaminen sekä muut vastaavat tekniset toimenpiteet.
Yksittäisen viestin sisältöä saa käsitellä manuaalisesti vain, jos viesti sisältää haitallisen tietokoneohjelman tai käskyn, eikä automaattisella selvittämisellä pystytä turvaamaan tarvittavaa tietoturvaa. Manuaalisesta käsittelystä on ilmoitettava viestin lähettäjälle ja vastaanottajalle, jollei ilmoituksella todennäköisesti vaaranneta käsittelyn tavoitteiden toteutumista.
Jos palveluun kohdistuu merkittävä tietoturvaloukkaus tai -uhka, teleyrityksen ja lisäarvopalvelun tarjoajan on ilmoitettava siitä ja tilanteen arvioidusta kestosta viipymättä tilaajalle ja käyttäjälle. Samalla on kerrottava tilaajan ja käyttäjän käytettävissä olevista suojaustoimenpiteistä, niiden todennäköisistä kustannuksista sekä mistä tilaaja tai käyttäjä voi saada lisätietoja. Viestinnän välittäjän ja lisäarvopalvelun tarjoajan on säilytettävä tiedot ilmoituksista.
Liikenne- ja viestintävirasto Traficom voi antaa teleyrityksille ja lisäarvopalvelun tarjoajille tarkempia määräyksiä toimenpiteiden teknisestä toteuttamisesta sekä ilmoitusten säilyttämisestä.
Teleyrityksen on ilmoitettava viipymättä Traficomille verkkopalvelun ja viestintäpalvelun merkittävistä tietoturvaloukkauksista ja sellaisista niihin kohdistuvista tietoturvauhista, jotka estävät viestintäpalvelun toimivuuden tai häiritsevät sitä olennaisesti. Samalla on annettava tiedot häiriön tai uhan kestosta, vaikutuksista ja toimenpiteistä, jotka on toteutettu tällaisten rikkomisten ja niiden uhkien toistumisen estämiseksi. Ilmoitusvelvollisuus Traficomille merkittävästä tietoturvallisuuteen liittyvästä häiriöstä on myös verkossa toimivan markkinapaikan, hakukonepalvelun sekä pilvipalvelun tarjoajalla.
Jos Traficom katsoo, että tietoturvaloukkauksesta ilmoittaminen on yleisen edun mukaista, Traficom voi määrätä teleyrityksen tai palveluntarjoajan tiedottamaan asiasta. Traficomilla on oikeus tehdä teleyrityksessä turvallisuustarkastus laissa asetettujen velvoitteiden valvomiseksi.