Tietotekniikkarikkomuksen seuraamuskäytäntö

Tämä dokumentti kuvaa toimenpiteitä, joita henkilöön kohdistetaan, kun tietotekniikkarikkomus on havaittu tai sitä on perustellusti syytä epäillä. Toimenpiteet on jaettu käyttövaltuuksien rajoituksiin rikkomuksen selvitystyön ajaksi sekä mahdollisiin rikkomuksesta määriteltyihin seuraamuksiin.

Seuraamussäännöstö sitoo ja velvoittavaa kaikkia Tampereen korkeakouluyhteisön, johon kuuluvat Tampereen yliopisto ja Tampereen ammattikorkeakoulu (jatkossa korkeakoulu), jäseniä, korkeakoulujen IT-palvelujen ja tietojärjestelmien käyttäjiä sekä yksiköitä.

Politiikoilla, säännöstöillä ja ohjeistoilla varmistetaan korkeakoulun tieto-omaisuuden luottamuksellisuus, eheys, saatavuus, tiedon käsittelyn oikeellisuus, lakien ja asetusten asettamat velvollisuudet (esim. EU Tietosuoja-asetus, laki Tieto-ja viestintärikoksista).

Korkeakoulu käsittelee viranomaisluokittelua aineistoa, joka edellyttää tiettyjen tietoturvallisuus viitekehysten vaatimusten täyttämisen (esim. Katakri II kohta 8031).

Tietotekniikkarikkomuksina pidetään korkeakoulun tietojärjestelmien käytöstä annettujen sääntöjen tai määräysten vastaista toimintaa tai tietojärjestelmien käyttöä Suomen lakien vastaisesti.

Jokaisella on velvollisuus ilmoittaa mahdolliset rikkomukset ja epäillyt tietoturva-asiantuntijalle, ylläpidolle tai muun annetun ohjeistuksen mukaisesti.

Rajoituksista päätetään, kun rikkomus on havaittu tai sitä epäillään. Valtuuksia rajoitetaan aina, kun perustelluista syistä epäillään, että käyttäjä on syyllistynyt väärinkäytökseen, ja on mahdollista, että käyttövaltuudesta on haittaa rikkomuksen selvittämiselle tai vahinkojen minimoimiselle. Tarvittaessa käyttäjä kutsutaan kuultavaksi.

Käyttövaltuuksien rajoittamisesta päättää IT-palvelun omistaja, yksikön johtaja, tietohallintojohtaja tai muu tehtävään nimetty henkilö. Rajoittamisen toteuttaa palvelun ylläpitäjä.

Rajoitukset voidaan purkaa selvitystyön päätyttyä, jos käyttövaltuuksien palauttamisesta ei ole ilmeistä haittaa.

Tapaukset, jossa voidaan epäillä, että rikkomuksella on merkittävää vaikutusta korkeakoulun tietoturvaan tai yksilön tietosuojaan, voi tietoturvapäällikkö ja/tai ylläpitäjä omalla päätöksellään rajoittaa käyttövaltuuksia enintään viideksi (5) arkipäiväksi, mistä tulee välittömästi ilmoittaa palvelun omistajalle ja tietohallintojohtajalle.

Lievissä tapauksissa käyttäjälle huomautetaan asiattomasta toiminnasta.

Tietotekniikkarikkomuksen seurauksena käyttäjä voi olla korvausvastuussa väärinkäyttämistään resursseista (esim. palvelimet tai tietoverkko), välittömistä vahingoista ja väärinkäytön selvitystyön aiheuttamista kustannuksista.

Opiskelijalle kohdistettavia seuraamuksia voivat olla määräaikainen käyttövaltuuksien menettäminen tai rajoittaminen, korkeakoulun hallinnolliset toimet (kirjallinen varoitus, määräaikainen erottaminen) ja rikosilmoituksen tekeminen (laissa rangaistaviksi määritellyt teot).

Käyttövaltuuksiin kohdistuvista toimista päättää tietohallintojohtaja. Käytön rajoitusaikaan ei lasketa mukaan selvitystyöhön kulunutta aikaa. Kirjallisen varoituksen antamisesta opiskelijalle päättää yliopiston rehtori ja määräaikaisesta erottamisesta yliopiston hallitus. Henkilön käyttövaltuudet perutaan erottamisen ajaksi.

Käyttövaltuuksien rajoittamisen kokonaiskesto on kuitenkin vähintään liitteenä olevassa tietotekniikkarikkomusten seuraamustaulukossa esitetyn mittainen:

Henkilökuntaa koskevia seuraamuksia voivat olla korkeakoulun työoikeudelliset toimet (kirjallinen varoitus, irtisanominen, palvelussuhteen purku) sekä rikosilmoituksen tekeminen (laissa rangaistaviksi määritellyt teot).

Käyttövaltuudet yksittäisiin järjestelmiin voidaan väärinkäytöksestä johtuvan luottamuspulan synnyttyä evätä määräajaksi tai pysyvästi. Käyttövaltuuksiin kohdistuvista toimista päättää tietohallintojohtaja, palvelun omistaja tai yksikön johtaja.

Korkeakoulun henkilökuntaan tai tutkinto-opiskelijoihin kuulumattomia käyttäjiä koskevat seuraamukset voivat olla käyttövaltuuksien poistaminen tai rajoittaminen sekä rikosilmoituksen tekeminen (laissa rangaistaviksi määritellyt teot).

Käyttövaltuudet yksittäisiin järjestelmiin voidaan väärinkäytöksestä johtuvan luottamuspulan synnyttyä evätä määräajaksi tai pysyvästi. Käyttövaltuuksiin kohdistuvista toimista päättää tietohallintojohtaja, palvelun omistaja tai yksikön johtaja.

Tämän dokumentin liitteenä olevissa taulukoissa annetaan suositukset tietotekniikkarikkomusten seuraamuksista:

Taulukoissa on annettu esimerkkejä tyypillisistä tietojärjestelmien käytön yhteydessä esiintyvistä rikkomuksista luokiteltuina rikkomuksen vakavuusasteen mukaan. Seuraamuksiin vaikuttaa rikkomuksen vakavuuden lisäksi teon tahallisuuden aste. Jos käyttäjä on sekä opiskelija että henkilökuntaa, sovelletaan häneen henkilökunnan taulukkoa.

Rikoslain ja tekijänoikeuslain alaisen materiaalin oikeudeton käsittely

• Rikoslain alaista materiaalia ovat esimerkiksi, raaka väkivalta, rasistinen aineisto ja kansankiihottamismateriaali
• käsittelyä ovat mm. materiaalin levittäminen ja hallussapito.

Tekijänoikeuslain alaista materiaalia ovat esimerkiksi musiikki, videot, sarjakuvat, elokuvat, pelit ja ohjelmistot.

Tunnuksen luovuttamista on esimerkiksi

• salasanan kertominen toiselle käyttäjälle
• tietokoneen auki jättäminen niin, että toinen henkilö pääsee käyttämään toisen tunnusta.

Tiedon luottamuksellisuuden vaarantamista on esimerkiksi

• Salassa pidettävän tai muutoin lain suojaa nauttivan tiedon luovuttaminen henkilölle, jolla ei ole oikeutta saada sitä (esimerkiksi palvelinten käyttäjätietojen luovutus)
• salassa pidettävän tiedon tietoturvan laiminlyönti (passiivista toimimattomuutta)
• tahalliset salassapitorikokset (aktiivista toimintaa)
• tietosuojalain rikkominen. 

Henkilökohtaisen tietoturvan laiminlyöntiä on esimerkiksi

• salasanan jättäminen näkyviin
• yliopiston varmuuskopiointikäytäntöjen laiminlyöminen.

Palvelu on toiminto, jota voidaan käyttää koneen ulkopuolelta. Esimerkiksi

• sähköpostipalvelu
• tiedonsiirtopalvelu
• tiedonsiirtoon tarkoitettu vertaisverkkopalvelu

Tämä käyttösääntö tulee voimaan 1.1.2019.

Tämä dokumentti tarkistetaan tarvittaessa, jotta se vastaa voimassaolevia palveluita ja lainsäädäntöä.

Merkittävät muutokset käsitellään YT-menettelyssä.

Muutostarpeesta päättää tietohallinto.

Muutoksesta tiedotetaan tavanomaisten tiedotuskanavien kautta, ei henkilökohtaisesti.

Lupa sääntöjen vastaiseen toimintaan voidaan myöntää vain kirjallisen hakemuksen perusteella ja perustellusta syystä.

Luvan poikkeamaan voi myöntää tietohallinto.

Luvassa voi olla ehtoja, rajoituksia ja lisävastuita.

Säännön valvontavastuu määritellään korkeakoulun tietoturva- ja tietosuojapolitiikoissa.