Skip to end of metadata
Go to start of metadata
Tämän sivun sisältö:
 
 
TunnisteFunetin Parhaat käytännöt-dokumentti
Versio1.0
TilaFunetin työvaliokunnan hyväksymä
Päiväys27.1.2012
OtsikkoWLAN-verkot ja lainsäädäntö
TyöryhmäMobileFunet
LaatijatWenche Backman-Kamila/CSC, Timo Porjamo/CSC, Ville Mattila/CSC, Tanda Tuovinen/HY, Mikko Laiho/HY, Olli-Mikko Ojamies/Aalto-yliopisto, Matti Sysmäläinen/UTU, Mats Kommonen/UTU
VastuutahoWenche Backman-Kamila/CSC
Tyyppisuositus

Johdanto

Tässä dokumentissa tarkastellaan WLAN-verkkoja koskevaa lainsäädäntöä sellaisella tasolla, että Funet-jäsenet saisivat yleiskäsityksen siitä, mitä vaaditaan heidän pystyttämältään WLAN-verkolta. Ensin käsitellään erityisesti WLAN-verkkoja koskevaa lainsäädäntöä ja seuraavaksi käsitellään läheisesti WLAN-verkkoihin liittyviä asioita, rekisteriselosteita ja lokeja, jotka koskevat WLAN-verkkojen lisäksi myös muita palveluja. Koska tarkastellaan lakia, voidaan tämän !BCP:n väitteet pitää määräyksinä. Dokumentti on kuitenkin laadittu Funet-yhteisön piirissä ja perustuu Funet-yhteisön yhteisymmärrykseen, eikä sitä voida pitää viranomaismääräyksenä. Epävarmoissa tapauksissa kannattaa kääntyä lakimiehen puoleen. Dokumentin lopussa käsitellään WLAN-verkkoja koskevaa ohjeistusta, eli tässä osiossa EI tarkastella lakia.

Todettakoon tässä vaiheessa, että mikäli lainsäädäntöön on jätetty tulkinnanvaraa, Funet-yhteisöllä on laajuutensa takia suhteellisen suuri vaikutusvalta tulkinnassa. Tästä syystä esitetään myös Funet-jäsenten yhteisymmärrys tulkinnanvaraisiin asioihin liittyen. Funet-yhteisöä on myös kuunneltu lainsäädännön laatimisvaiheessa, minkä ansiosta mm. yliopistojen ja korkeakoulujen IT-osastot erotetaan lainsäädännössä selvästi teleyrityksistä.

Erityisesti WLAN-verkkoja koskeva lainsäädäntö

WLAN-verkkojen kannalta tärkeimmät lait ovat Viestintämarkkinalaki 23.5.2003/393 sekä Sähköisen viestinnän tietosuojalaki 16.6.2004/516. Viestintäviraston näkemys lainsäädännön soveltamisesta on esitetty Viestintäviraston muistiossa Viestintämarkkinalainsäädännön soveltaminen langattomien laajakaistayhteyksien tarjontaan 21.8.2007.

Sähköisen viestinnän tietosuojalaissa erotetaan selvästi yhteisötilaajat teleyrityksistä. Laissa tarkoitetaan yhteisötilaajalla "viestintäpalvelun tai lisäarvopalvelun tilaajana olevaa yritystä tai yhteisöä, joka käsittelee viestintäverkossaan käyttäjien luottamuksellisia viestejä, tunnistamistietoja tai paikkatietoja". Lain edessä Funet-jäsenet toimivat näin yhteisötilaajan roolissa tarjotessaan ilmaisia viestintäpalveluja opiskelijoilleen ja henkilökunnalleen.

Viestintämarkkinalaissa säädetään tarkasti käyttäjän oikeuksista huomioiden ensisijaisesti tilanne, jossa käyttäjä ostaa liittymän teleyritykseltä. Koska Funet-jäsenten WLAN-verkot tarjotaan käyttäjille maksutta, nämä säännöt voidaan jättää huomioimatta. Sen sijaan sekä viestintämarkkinalaissa että sähköisen viestinnän tietosuojalaissa asetetaan myös vaatimuksia WLAN-verkkojen tekniseen toimivuuteen, luotettavuuteen, turvallisuuteen ja tietoturvaan. Nämä vaatimukset koskevat myös WLAN-verkkoja, jotka tarjotaan ilmaiseksi ja vaatimukset kartoitetaan kappaleessa  'Kaikkia WLAN-verkkoja koskeva lainsäädäntö'. Ensin kartoitetaan lyhyesti avoimien ja autentikointia vaativien WLAN-verkkojen erot.

Avoimien ja autentikointia vaativien WLAN-verkkojen erot

Lainsäädännössä erotetaan toisistaan tapaukset, jossa verkko tarjotaan etukäteen rajatulle käyttäjäpiirille tilanteesta, jossa verkko tarjotaan rajaamattomalle käyttäjäpiirille. Autentikointia vaativan kampusverkon käyttäjäpiiri on etukäteen rajattu. Samoin pienen kampuksen avoin WLAN-verkko on rajattu pienen peittoalueen takia, sillä Viestintäviraston muistiossa mainitaan että mm. kahvilapitäjän WLAN-verkko tarjotaan etukäteen rajatulle käyttäjäpiirille. Funet-jäsenten tarjoamat WLAN-verkot on rajattu kampuksiin ja näin ollen Funet-yhteisönä nähdään että myös avoimen kampusverkon käyttäjäpiiri on peittoalueen rajallisen ulottuvuuden takia etukäteen rajattu.

Jos Internet-yhteyttä tarjottaisiin WLAN-verkon kautta etukäteen rajaamattomalle käyttäjäpiirille, olisi kyse yleisestä teletoiminnasta. Ennen kuin yleinen teletoiminta aloitetaan, on siitä ilmoitettava kirjallisesti Viestintävirastolle (ohjeet teletoimintailmoituksista Viestintäviraston www-sivustolla). Myös muutoksista ja lopettamisesta on ilmoitettava. Ilmoitusvelvollisuudesta seuraa myös maksuvelvollisuus mutta maksun määräytyessä liikevaihdon mukaan ilmaisiin avoimiin verkkoihin ei liittyne maksuja. Jos todettaisiin että suuren kampuksen kattava avoin WLAN-verkko voitaisiin pitää yleisenä teletoimintana, kampusten tulisi seurata yleisiin viestintäverkkoihin asetettuja velvoitteita, joita tässä BCP:ssä ei käsitellä.

Sekä avoimista että autentikointia vaativista WLAN-verkoista kerätään usein lokitietoja. Nämä lokit voivat sisältää tunnistamis- ja paikkatietoja, jotka on suojattava Sähköisen viestinnän tietosuojalain säännösten mukaan, katso kohta Lokit.

Lainsäädäntöä muutettiin 15.3.2011 niin, että suojaamattomien WLAN-verkkojen käyttö Internet-yhteyksiin ei ole enää rangaistavaa: lisätiedot Oikeusministeriön tiedotteesta 3.3.2011. Näin tilanne selkeytyy, sillä käyttäjä ei välttämättä voi etukäteen tietää, onko avoin verkko tarkoitettu vapaasti käytettäväksi tai onko se vahingossa jäänyt suojaamattomaksi.

Kaikkia WLAN-verkkoja koskeva lainsäädäntö

Viestintämarkkinalaissa ja Sähköisen viestinnän tietosuojalaissa asetetaan vaatimuksia WLAN-verkkojen tekniseen toimivuuteen, luotettavuuteen, turvallisuuteen ja tietoturvaan liittyen.

Tietoturva

Tietoturvasta on huolehdittava riittävin teknisin järjestelmin. Tietoturvaan liittyvät velvollisuudet ja oikeudet on säännelty Sähköisen viestinnän tietosuojalain 19§:ssa ja 20§:ssa sekä tarkennettu Viestintäviraston muistiossa Viestintämarkkinalainsäädännön soveltaminen langattomien laajakaistayhteyksien tarjontaan. Seuraavat toimenpiteet ovat tarpeellisia:

  • Tietoliikenne on suojattava oikeudetonta kuuntelua vastaan. Jos liikennettä ei ilmarajapinnassa salata, salakuuntelun ja uudelleenohjauksen riskeistä sekä suojautumiskeinoista on kerrottava käyttäjille. Sekä avoimissa että web-autentikoiduissa verkoissa liikennettä ilmarajapinnassa ei salata ja velvollisuuden täyttämiseksi voidaan esimerkiksi ohjata käyttäjät ohjesivulle autentikoinnin onnistuttua tai verkkoon liittymiseen jälkeen. Salakuuntelulta ja uudelleenohjauksilta suojautumiseksi voidaan käyttäjä esimerkiksi ohjeistaa käyttämään aina VPN-yhteyttä. Jos ohjesivua ei haluta käyttää, voidaan ohjeet viedä esimerkiksi rakennusten sisäänkäyntien luo. Vähimmäisvaatimus on, että organisaation kotisivuilta löytyy tietoa salaamattomasta WLAN-verkosta, mutta on epävarmaa riittääkö tämä.
  • WLAN-verkon tarjoajan on pystyttävä kytkemään käyttäjä irti verkosta, jos tämä syyllistyy esim. palvelunestohyökkäykseen tai aiheuttaa muuten häiriötä tietoverkolle. Irtikytkeminen voidaan tehdä esimerkiksi sulkemalla käyttäjätunnus tai käyttämällä päätelaitteiden MAC-osoitteisiin (Media Access Control) perustuvaa sulkulistaa. Häiriötä aiheuttavan käyttäjän irtikytkentävelvoite koskee myös Network Address Translation (NAT) -tekniikkaa hyödyntäviä WLAN-verkkoa.
  • Vakavista vika- ja häiriötilanteista on ilmoitettava Viestintävirastolle. Ilmoitusvelvollisuus voi koskea esimerkiksi tapauksia, joissa WLAN-verkkoa on käytetty haittaohjelmien levittämiseen tai merkittävän tietomurron yritykseen.

Todettakoon myös, että riippumatta WLAN-verkon suojauksen teknisestä tasosta sen purkaminen on rikos. Näin ollen jopa heikon ja helposti murrettavan WEP-salauksen purkaminen on rikos.  Perusteluja ja perustason ohjeita WLAN-verkkojen suojaustekniikoiden käyttöön sekä teknistä sanastoa on julkaistu esimerkiksi Viestintäviraston julkaiseman Tietoturvaoppaan ohjeessa  Koti-WLANin suojaaminen 27.7.2010.

Jos käyttäjistä kerätään tunnistamis- ja paikkatietoja, näiden tietojen tietoturvasta on myös huolehdittava. Viestintäviraston muistiossa mainitaan, että palvelun ja käsittelyn tietoturvasta huolehtimiseksi tehtävät toimet on suhteutettava uhkien vakavuuteen, tekniseen kehitystasoon ja kustannuksiin. Kaikkia tietoturvauhkia ei ole velvoitettu poistamaan esim. tilanteissa, joissa poistaminen aiheuttaisi kohtuuttomia kustannuksia tai se ei ole teknisesti mahdollista.

Laatuvaatimukset ja muut tekniset vaatimukset

Kaikkiin viestintä- ja palveluverkkoihin kohdistuu teknisiä laatuvaatimuksia, jotka yksilöidään viestintämarkkinalain §128:ssa:

  • Viestintä on oltava tekniseltä laadultaan hyvää ja verkkojen on kestettävä odotettavissa olevat ilmastolliset, mekaaniset ja sähkömagneettiset häiriöt. Lisäksi ne eivät saa aiheuttaa sähkömagneettisia ja muita häiriöitä.
  • Tietoturvasta ja tietosuojasta on pidettävä huolta eikä ihmisten terveydelle tai omaisuudelle saa aiheutua vaaraa.
  • Verkkojen on toimittava yhdessä ja niihin pitäisi pystyä liittämään radiolain vaatimuksia täyttäviä päätelaitteita.
  • Veloituksen on oltava tarkkaa ja luotettavaa, jos verkkojen käytöstä veloitetaan.
  • Pääsy hätäpalveluihin on oltava turvattu myös häiriötilanteissa mahdollisimman hyvin.

Pääsy hätäpalveluihin voidaan joutua huomioimaan myös häiriötilanteiden osalta, jos WLAN-verkolle vaihtoehtoista pääsyä hätäpalveluihin ei ole saatavilla.

Periaatteessa viestintäverkoilta vaaditaan myös varautuminen normaaliolojen häiriötilanteisiin ja poikkeusoloihin, mutta näitä varautumisvelvoitteita ei kuitenkaan toistaiseksi ole kohdistettu WLAN-verkoille Viestintäviraston muistion mukaan.

Rekisteriseloste

Henkilötietolain 22.4.1999/523 10 § mukaan rekisteriseloste on laadittava ja se on pidettävä yleisesti saatavilla esimerkiksi rekisterinpitäjän toimipaikassa tai verkkopalvelussa. Henkilötiedoiksi lasketaan tiedot, joiden avulla luonnollinen henkilö tai hänen perheensä (tmv. pieni ihmisjoukko), hänen ominaisuudet tai elinolosuhteet voidaan tunnistaa.  Lisätietoja Tietosuojavaltuutetun toimiston julkaisemasta oppaasta  Ota oppaaksi henkilötietolaki! 15.9.2010. Lomake Rekisteriselosteen laatimiseksi sekä sen täyttöohje ovat saatavilla  Tietosuojavaltuutetun toimiston www-sivustolta.

Funet-organisaatioiden palveluiden lokeista vaaditaan rekisteriseloste. Lain mukaan rekisteriselosteesta tulee käydä ilmi vain tiedot, jotka kerätään, eli ei tarvitse ilmoittaa mistä palveluista tiedot kerätään. Monesta palveluista kerätään samantyyppistä tietoa, ja näille palveluille riittää yksi rekisteriseloiste. Yleensä kuitenkin esim. sähköpostipalveluista vaaditaan eri rekisteriseloiste, mutta WLAN-verkosta kerätyt tiedot voidaan ilmoittaa samassa selosteessa kuin muut IT-palvelut.

Jos WLAN-verkosta kerätyt tiedot halutaan esittää eri rekisteriselosteessa, voi esimerkkinä hyödyntää  Helsingin yliopiston eduroam-palvelun rekisteriselostetta.

Lokit

Sähköisen viestinnän tietosuojalaissa ei yhteisötilaajia velvoiteta keräämään tai säilyttämään verkon käytön tunnistamistietoja. Jos tunnistamistietoja kerätään, niitä saa lain mukaan käsitellä seuraavissa tapauksissa:

  • viestintä-, verkko- ja lisäarvopalveluiden toteuttamiseksi tai näiden palveluiden tietoturvasta huolehtimiseksi
  • laskutusta varten
  • palvelujen ja toiminnan tekniseen kehittämiseen
  • väärinkäytösten ehkäisemiseksi ja selvittämiseksi
  • teknisten vikojen selvittämiseen

Tunnistamistietojen käsittely on säännelty Sähköisen viestinnän tietosuojalain 3. luvussa.

Mikäli poliisilla tai pelastusviranomaisilla on lain mukaan oikeus tietoihin, on tallessa olevat WLAN-verkon tunnistamistiedot luovutettava. Tällaisessakin tilanteessa on ko. viranomaisen pystyttävä esittämään pyynnölleen laillinen peruste.

Erityisesti WLAN-verkkoja koskeva ohjeistus

WLAN-verkkoja koskeva ohjeistus käsitellään tässä erillään lainsäädännöstä aiheutuvista velvoitteista.

VAHTI-ohjeistus

Valtionvarainministeriön VAHTI-ohjeistus sitoo vain julkishallintoa ja valtiohallinnon piiriin kuuluvia ja siksi ne eivät velvoita useimpia Funet-jäseniä. Vaikka ohjeistus ei olisikaan sitova, sitä on kuitenkin hyvä seurata. VAHTI sisäverkko-ohjeessa on langattomiin lähiverkkoihin liittyvää ohjeistusta kappaleessa 10. WLAN-verkkojen tarkistuslista on myös tämän Parhaat käytännöt-dokumentin liitteenä.

Kommentteja

2011-12-15 Ville.Mattila@csc.fi

  • Kohdassa Tietoturva on maininta _"Jos käyttäjistä kerätään tunnistamis- ja paikkatietoja, näiden tietojen tietoturvasta on myös huolehdittava."_  - Tämä kaipaisi täsmennystä erityisesti siihen miten tietoturvasta huolehditaan (esim. VAHTI sisäverkko -ohjeesta löytynee neuvoja) ja ehkä myös viittausta siihen mikä laki tai asetus tähän velvoittaa.
    • Kommentti huomioitu, kappale täsmennetty.
  • Kohdassa Laatuvaatimukset ja muut tekniset vaatimukset lukee _"Periaatteessa viestintäverkoilta vaaditaan myös varautuminen normaaliolojen häiriötilanteisiin ja poikkeusoloihin, mutta näitä varautumisvelvoitteita ei kuitenkaan toistaiseksi ole kohdistettu WLAN-verkoille."_ - Onko jossain laissa tai asetuksessa tai siinä Viestintäviraston näkemys -muistiossa nimenomaan mainittu WLAN-verkkojen olevan tässä suhteessa poikkeus, vai onko kyseessä alan käytäntö?
    • Kommentti huomioitu, Viestitäviraston muistiossa on mainittu tästä. Viite lisätty tekstiin.