Tietoturvan rikkomukset ja seuraamukset
Tietotekniikkarikkomuksen seuraamuskäytäntö
1 Soveltamisala
1.1 Tarkoitus
Tämä dokumentti kuvaa toimenpiteitä, joita henkilöön kohdistetaan, kun tietotekniikkarikkomus on havaittu tai sitä on perustellusti syytä epäillä. Toimenpiteet on jaettu käyttövaltuuksien rajoituksiin rikkomuksen selvitystyön ajaksi sekä mahdollisiin rikkomuksesta määriteltyihin seuraamuksiin
1.2 Ketä seuraamussäännöstö koskevat?
Seuraamussäännöstö sitoo ja velvoittavaa kaikkia Tampereen korkeakouluyhteisön, johon kuuluvat Tampereen yliopisto ja Tampereen ammattikorkeakoulu (jatkossa korkeakoulu), jäseniä, korkeakoulujen IT-palvelujen ja tietojärjestelmien käyttäjiä sekä yksiköitä.
1.3 Miksi seuraamussäännöstö pitää olla olemassa?
Politiikoilla, säännöstöillä ja ohjeistoilla varmistetaan korkeakoulun tieto-omaisuuden luottamuksellisuus, eheys, saatavuus, tiedon käsittelyn oikeellisuus, lakien ja asetusten asettamat velvollisuudet (esim. EU Tietosuoja-asetus, laki Tieto-ja viestintärikoksista).
Korkeakoulu käsittelee viranomaisluokittelua aineistoa, joka edellyttää tiettyjen tietoturvallisuus viitekehysten vaatimusten täyttämisen (esim. Katakri 11 kohta 8031).
2 Tietoturvarikkomus
Tietotekniikkarikkomuksina pidetään korkeakoulun tietojärjestelmien käytöstä annettujen sääntöjen tai määräysten vastaista toimintaa tai tietojärjestelmien käyttöä Suomen lakien vastaisesti.
2.1 Ilmoitusvelvollisuus
Jokaisella on velvollisuus ilmoittaa mahdolliset rikkomukset ja epäillyt tietoturva-asiantuntijalle, ylläpidolle tai muun annetun ohjeistuksen mukaisesti.
2.2 Oikeuksien rajoittaminen
Rajoituksista päätetään, kun rikkomus on havaittu tai sitä epäillään. Valtuuksia rajoitetaan aina, kun perustelluista syistä epäillään, että käyttäjä on syyllistynyt väärinkäytökseen, ja on mahdollista, että käyttövaltuudesta on haittaa rikkomuksen selvittämiselle tai vahinkojen minimoimiselle. Tarvittaessa käyttäjä kutsutaan kuultavaksi.
Käyttövaltuuksien rajoittamisesta päättää IT-palvelun omistaja, yksikön johtaja, tietohallintojohtaja tai muu tehtävään nimetty henkilö. Rajoittamisen toteuttaa palvelun ylläpitäjä.
Rajoitukset voidaan purkaa selvitystyön päätyttyä, jos käyttövaltuuksien palauttamisesta ei ole ilmeistä haittaa.
2.3 Kiireelliset tapaukset
Tapaukset, jossa voidaan epäillä, että rikkomuksella on merkittävää vaikutusta korkeakoulun tietoturvaan tai yksilön tietosuojaan, voi tietoturvapäällikkö ja/tai ylläpitäjä omalla päätöksellään rajoittaa käyttövaltuuksia enintään viideksi (5) arkipäiväksi, mistä tulee välittömästi ilmoittaa palvelun omistajalle ja tietohallintojohtajalle.
3 Seuraamukset
Lievissä tapauksissa käyttäjälle huomautetaan asiattomasta toiminnasta.
Tietotekniikkarikkomuksen seurauksena käyttäjä voi olla korvausvastuussa väärinkäyttämistään resursseista (esim. palvelimet tai tietoverkko), välittömistä vahingoista ja väärinkäytön selvitystyön aiheuttamista kustannuksista.
3.1 Seuraamukset opiskelijalle
Opiskelijalle kohdistettavia seuraamuksia voivat olla määräaikainen käyttövaltuuksien menettäminen tai rajoittaminen, korkeakoulun hallinnolliset toimet (kirjallinen varoitus, määräaikainen erottaminen) ja rikosilmoituksen tekeminen (laissa rangaistaviksi määritellyt teot).
Käyttövaltuuksiin kohdistuvista toimista päättää tietohallintojohtaja. Käytön rajoitusaikaan ei lasketa mukaan selvitystyöhön kulunutta aikaa. Kirjallisen varoituksen antamisesta opiskelijalle päättää yliopiston rehtori ja määräaikaisesta erottamisesta yliopiston hallitus. Henkilön käyttövaltuudet perutaan erottamisen ajaksi.
Käyttövaltuuksien rajoittamisen kokonaiskesto on kuitenkin vähintään liitteenä olevassa tietotekniikkarikkomusten seuraamustaulukossa esitetyn mittainen (liite A).
3.2 Seuraamukset henkilökuntaan kuuluvalle
Henkilökuntaa koskevia seuraamuksia voivat olla korkeakoulun työoikeudelliset toimet (kirjallinen varoitus, irtisanominen, palvelussuhteen purku) sekä rikosilmoituksen tekeminen (laissa rangaistaviksi määritellyt teot).
Käyttövaltuudet yksittäisiin järjestelmiin voidaan väärinkäytöksestä johtuvan luottamuspulan synnyttyä evätä määräajaksi tai pysyvästi. Käyttövaltuuksiin kohdistuvista toimista päättää tietohallintojohtaja, palvelun omistaja tai yksikön johtaja.
3.3 Seuraamukset muille käyttäjille
Korkeakoulun henkilökuntaan tai tutkinto-opiskelijoihin kuulumattomia käyttäjiä koskevat seuraamukset voivat olla käyttövaltuuksien poistaminen tai rajoittaminen sekä rikosilmoituksen tekeminen (laissa rangaistaviksi määritellyt teot).
Käyttövaltuudet yksittäisiin järjestelmiin voidaan väärinkäytöksestä johtuvan luottamuspulan synnyttyä evätä määräajaksi tai pysyvästi. Käyttövaltuuksiin kohdistuvista toimista päättää tietohallintojohtaja, palvelun omistaja tai yksikön johtaja.
3.4 Seuraamustaulukot
Tämän dokumentin liitteenä olevissa taulukoissa annetaan suositukset tietotekniikkarikkomusten seuraamuksista korkeakoulun opiskelijoille (liite A), henkilökunnalle (liite B) ja muille käyttäjille (liite C).
Taulukoissa on annettu esimerkkejä tyypillisistä tietojärjestelmien käytön yhteydessä esiintyvistä rikkomuksista luokiteltuina rikkomuksen vakavuusasteen mukaan. Seuraamuksiin vaikuttaa rikkomuksen vakavuuden lisäksi teon tahallisuuden aste. Jos käyttäjä on sekä opiskelija että henkilökuntaa, sovelletaan häneen henkilökunnan taulukkoa.
3.5 Esimerkkejä IT-palvelujen väärinkäytöksistä
Rikoslain ja tekijänoikeuslain alaisen materiaalin oikeudeton käsittely
- Rikoslain alaista materiaalia ovat esimerkiksi, raaka väkivalta, rasistinen aineisto ja kansankiihottamismateriaali.
- Käsittelyä ovat mm. materiaalin levittäminen ja hallussapito.
Tekijänoikeuslain alaista materiaalia ovat esimerkiksi musiikki, videot, sarjakuvat, elokuvat, pelit ja ohjelmistot.
Tunnuksen luovuttamista on esimerkiksi
- Salasanan kertominen toiselle käyttäjälle.
- Tietokoneen auki jättäminen niin, että toinen henkilö pääsee käyttämään toisen tunnusta.
Tiedon luottamuksellisuuden vaarantamista on esimerkiksi
- Salassa pidettävän tai muutoin lain suojaa nauttivan tiedon luovuttaminen henkilölle, jolla ei ole oikeutta saada sitä (esimerkiksi palvelinten käyttäjätietojen luovutus).
- salassa pidettävän tiedon tietoturvan laiminlyönti (passiivista toimimattomuutta)
- tahalliset salassapitorikokset (aktiivista toimintaa)
- tietosuojalain rikkominen
- Tiedon ohjaaminen/kierrättäminen maahan joka on voimassa olevien pakotteiden alainen.
Henkilökohtaisen tietoturvan laiminlyöntiä on esimerkiksi
- Salasanan jättäminen näkyviin.
- Yliopiston varmuuskopiointikäytäntöjen laiminlyöminen.
Palvelu on toiminto, jota voidaan käyttää koneen ulkopuolelta, esim.
- Sähköpostipalvelu
- tiedonsiirtopalvelu
- tiedonsiirtoon tarkoitettu vertaisverkkopalvelu
4 Muita määräyksiä
4.1 Voimaantulo
Tämä käyttösääntö tulee voimaan 1.1.2019.
4.2 Muutoksenhallinta
Tämä dokumentti tarkistetaan tarvittaessa, jotta se vastaa voimassaolevia palveluita ja lainsäädäntöä.
Merkittävät muutokset käsitellään YT-menettelyssä. Muutostarpeesta päättää tietohallinto.
Muutoksesta tiedotetaan tavanomaisten tiedotuskanavien kautta, ei henkilökohtaisesti.
4.3 Säännöistä poikkeaminen
Lupa sääntöjen vastaiseen toimintaan voidaan myöntää vain kirjallisen hakemuksen perusteella ja perustellusta syystä.
Luvan poikkeamaan voi myöntää tietohallinto. Luvassa voi olla ehtoja, rajoituksia ja lisävastuita.
4.4 Valvonta
Säännön valvontavastuu määritellään korkeakoulun tietoturva- ja tietosuojapolitiikoissa.
Tietotekniikkarikkomusten seuraamuskäytännöt (taulukot A, B ja C)
Tampereen korkeakouluyhteisön tietotekniikkarikkomusten seuraamukset henkilöstölle. Liite A:
| TEON TAHALLISUUDEN ASTE | Tietämättömyys Osaamattomuus Huolimattomuus Vahinko Tahattomuus | Piittaamattomuus Törkeä huolimattomuus Välinpitämättömyys Näyttämisen halu Tahallisuus Toistuvuus | Rikoksentekotarkoitus (vahingonteko, luvaton käyttö, vakoilu, salassapitorikos, aseman väärinkäyttö yms.) Hyötymistarkoitus |
|---|---|---|---|
| RIKKOMUKSEN VAKAVUUS | |||
| Rikosilmoitusta harkitaan Kirjallinen varoitus | Rikosilmoitus Irtisanominen / työsuhteen purku | Rikoksentekotarkoitus (vahingonteko, luvaton käyttö, vakoilu, salassapitorikos, aseman väärinkäyttö yms.) Hyötymistarkoitus |
| Kirjallinen huomautus | Rikosilmoitusta harkitaan Kirjallinen varoitus / Irtisanominen | Rikosilmoitus Irtisanominen / työsuhteen purku |
| Huomautus | Kirjallinen huomautus / Kirjallinen varoitus | Rikosilmoitusta harkitaan Kirjallinen varoitus / Irtisanominen |
Tampereen korkeakouluyhteisön tietotekniikkarikkomusten seuraamukset opiskelijoille. Liite B:
| TEON TAHALLISUUDEN ASTE | Tietämättömyys Osaamattomuus Huolimattomuus Vahinko Tahattomuus | Piittaamattomuus Törkeä huolimattomuus Välinpitämättömyys Näyttämisen halu Tahallisuus Toistuvuus | Rikoksentekotarkoitus (vahingonteko, luvaton käyttö, vakoilu, salassapitorikos, aseman väärinkäyttö yms.) Hyötymistarkoitus |
|---|---|---|---|
| RIKKOMUKSEN VAKAVUUS | |||
Vakava rikkomus (lain mukaan rikkomuksena tai rikoksena tuomittava teko), esim. * pakotekäytäntöjen rikkominen ja käyttösääntäjen rikkominen | Rikosilmoitusta harkitaan Kirjallinen varoitus ja käyttöoikeuksien rajoitus 1 - 3 kk | Rikosilmoitus Määräaikainen erottaminen ja käyttöoikeuksien rajoitus erottamisen ajaksi | Rikosilmoitus Määräaikainen erottaminen ja käyttöoikeuksien rajoitus erottamisen ajaksi |
Rikkomus (Vakava väärinkäyttö tai turvallisuuden vaarantaminen), esim. * Geoblokkauksen kiertoyritys, laitteen vienti pakotteiden alaiseen maahan, Kirjautumisen tai liikenten kierrätys pakotteiden alaisen maan kautta. | Huomautus ja käyttöoikeuksien rajoitus 1 vk - 2 kk | Rikosilmoitusta harkitaan Kirjallinen varoitus ja käyttöoikeuksien rajoitus 1 - 3 kk | Rikosilmoitus Määräaikainen erottaminen ja käyttöoikeuksien rajoitus erottamisen ajaksi |
| Lievä rikkomus (väärinkäytös), esim. * henkilökohtaisen tietoturvan laiminlyönti * epäasiallinen käytös verkkoympäristössä * haitan aiheuttaminen * luvaton tai oikeudeton sähköpostin massalähetys * resurssien tuhlaus * virustorjunnan tai tietoturvapäivitysten estäminen * luvaton kaupallinen tai poliittinen toiminta * kulunvalvontasääntöjen rikkominen | Huomautus | Huomautus ja käyttöoikeuksien rajoitus 1 vk - 2 kk | Rikosilmoitusta harkitaan Kirjallinen varoitus ja käyttöoikeuksien rajoitus 1 - 3 kk |
Käyttöoikeudet yksittäisiin järjestelmiin voidaan väärinkäytöksestä johtuvan luottamuspulan synnyttyä evätä määräajaksi tai pysyvästi.
Tampereen korkeakouluyhteisön tietotekniikkarikkomusten seuraamukset muille käyttäjille. Liite C:
| TEON TAHALLISUUDEN ASTE | Tietämättömyys Osaamattomuus Huolimattomuus Vahinko Tahattomuus | Piittaamattomuus Törkeä huolimattomuus Välinpitämättömyys Näyttämisen halu Tahallisuus Toistuvuus | Rikoksentekotarkoitus (vahingonteko, luvaton käyttö, vakoilu, salassapitorikos, aseman väärinkäyttö yms.) Hyötymistarkoitus |
|---|---|---|---|
| RIKKOMUKSEN VAKAVUUS | |||
Vakava rikkomus (lain mukaan rikkomuksena tai rikoksena tuomittava teko), esim. * pakotekäytäntöjen rikkominen ja käyttösääntäjen rikkominen | Rikosilmoitusta harkitaan Kirjallinen varoitus ja käyttöoikeuksien rajoitus 1 - 3 kk | Rikosilmoitus Käyttöoikeuksien peruminen | Rikosilmoitus Käyttöoikeuksien peruminen |
Rikkomus (vakava väärinkäyttö tai turvallisuuden vaarantaminen), esim. * Geoblokkauksen kiertoyritys, laitteen vienti pakotteiden alaiseen maahan, Kirjautumisen tai liikenten kierrätys pakotteiden alaisen maan kautta. | Huomautus ja käyttöoikeuksien rajoitus 1 vk - 2 kk | Rikosilmoitusta harkitaan Kirjallinen varoitus ja käyttöoikeuksien rajoitus 1--3 kk | Rikosilmoitus Käyttöoikeuksien peruminen |
| Lievä rikkomus (väärinkäytös), esim. * henkilökohtaisen tietoturvan laiminlyönti * epäasiallinen käytös * haitan aiheuttaminen * luvaton tai oikeudeton sähköpostin massalähetys * resurssien tuhlaus * virustorjunnan tai tietoturvapäivitysten estäminen * luvaton kaupallinen tai poliittinen toiminta * kulunvalvontasääntöjen rikkominen | Huomautus | Huomautus ja käyttöoikeuksien rajoitus 1 vk - 2 kk | Rikosilmoitusta harkitaan Kirjallinen varoitus ja käyttöoikeuksien rajoitus 1 - 3 kk |