Tietoturvan rikkomukset ja seuraamukset

Tietotekniikkarikkomuksen seuraamuskäytäntö

1 Soveltamisala

1.1        Tarkoitus

Tämä dokumentti kuvaa toimenpiteitä, joita henkilöön kohdistetaan, kun tietotekniikkarikkomus on havaittu tai sitä on perustellusti syytä epäillä. Toimenpiteet on jaettu käyttövaltuuksien rajoituksiin rikkomuksen selvitystyön ajaksi sekä mahdollisiin rikkomuksesta määriteltyihin seuraamuksiin

1.2        Ketä  seuraamussäännöstö koskevat?

Seuraamussäännöstö sitoo ja velvoittavaa kaikkia Tampereen korkeakouluyhteisön, johon kuuluvat Tampereen yliopisto ja Tampereen ammattikorkeakoulu (jatkossa korkeakoulu), jäseniä, korkeakoulujen IT-palvelujen ja tietojärjestelmien käyttäjiä sekä yksiköitä.

1.3        Miksi seuraamussäännöstö pitää olla olemassa?

Politiikoilla, säännöstöillä ja ohjeistoilla varmistetaan korkeakoulun tieto-omaisuuden luottamuksellisuus, eheys, saatavuus, tiedon käsittelyn oikeellisuus, lakien ja asetusten asettamat velvollisuudet (esim. EU Tietosuoja-asetus, laki Tieto-ja viestintärikoksista).

Korkeakoulu käsittelee viranomaisluokittelua aineistoa, joka edellyttää tiettyjen tietoturvallisuus viitekehysten vaatimusten täyttämisen (esim. Katakri 11 kohta 8031).

2     Tietoturvarikkomus

Tietotekniikkarikkomuksina pidetään korkeakoulun tietojärjestelmien käytöstä annettujen sääntöjen tai määräysten vastaista toimintaa tai tietojärjestelmien käyttöä Suomen lakien vastaisesti.

2.1      Ilmoitusvelvollisuus

Jokaisella on velvollisuus ilmoittaa mahdolliset rikkomukset ja epäillyt tietoturva-asiantuntijalle, ylläpidolle tai muun annetun ohjeistuksen mukaisesti.

2.2        Oikeuksien rajoittaminen

Rajoituksista päätetään, kun rikkomus on havaittu tai sitä epäillään. Valtuuksia rajoitetaan aina, kun perustelluista syistä epäillään, että käyttäjä on syyllistynyt väärinkäytökseen, ja on mahdollista, että käyttövaltuudesta on haittaa rikkomuksen selvittämiselle tai vahinkojen minimoimiselle. Tarvittaessa käyttäjä kutsutaan kuultavaksi.

Käyttövaltuuksien rajoittamisesta päättää IT-palvelun omistaja, yksikön johtaja, tietohallintojohtaja tai muu tehtävään nimetty henkilö. Rajoittamisen toteuttaa palvelun ylläpitäjä.

Rajoitukset voidaan purkaa selvitystyön päätyttyä, jos käyttövaltuuksien palauttamisesta ei ole ilmeistä haittaa.

2.3        Kiireelliset tapaukset

Tapaukset, jossa voidaan epäillä, että rikkomuksella on merkittävää vaikutusta korkeakoulun tietoturvaan tai yksilön tietosuojaan, voi tietoturvapäällikkö ja/tai ylläpitäjä omalla päätöksellään rajoittaa käyttövaltuuksia enintään viideksi (5) arkipäiväksi, mistä tulee välittömästi ilmoittaa palvelun omistajalle ja tietohallintojohtajalle.

3     Seuraamukset

Lievissä tapauksissa käyttäjälle huomautetaan asiattomasta toiminnasta.

Tietotekniikkarikkomuksen seurauksena käyttäjä voi olla korvausvastuussa väärinkäyttämistään resursseista (esim. palvelimet tai tietoverkko), välittömistä vahingoista ja väärinkäytön selvitystyön aiheuttamista kustannuksista.

3.1        Seuraamukset opiskelijalle

Opiskelijalle kohdistettavia seuraamuksia voivat olla määräaikainen käyttövaltuuksien menettäminen tai rajoittaminen, korkeakoulun hallinnolliset toimet (kirjallinen varoitus, määräaikainen erottaminen)  ja rikosilmoituksen tekeminen (laissa rangaistaviksi määritellyt  teot).

Käyttövaltuuksiin kohdistuvista toimista päättää tietohallintojohtaja. Käytön rajoitusaikaan ei lasketa mukaan selvitystyöhön kulunutta aikaa. Kirjallisen varoituksen antamisesta opiskelijalle päättää yliopiston rehtori ja määräaikaisesta erottamisesta yliopiston hallitus. Henkilön käyttövaltuudet perutaan erottamisen ajaksi.

Käyttövaltuuksien rajoittamisen kokonaiskesto on kuitenkin vähintään liitteenä olevassa tietotekniikkarikkomusten seuraamustaulukossa esitetyn mittainen (liite A).

3.2        Seuraamukset  henkilökuntaan kuuluvalle

Henkilökuntaa koskevia seuraamuksia voivat olla korkeakoulun työoikeudelliset toimet (kirjallinen varoitus, irtisanominen, palvelussuhteen purku) sekä rikosilmoituksen tekeminen (laissa rangaistaviksi määritellyt teot).

Käyttövaltuudet yksittäisiin järjestelmiin voidaan väärinkäytöksestä johtuvan luottamuspulan synnyttyä evätä määräajaksi tai pysyvästi. Käyttövaltuuksiin kohdistuvista toimista päättää tietohallintojohtaja, palvelun omistaja tai yksikön johtaja.

3.3        Seuraamukset muille käyttäjille

Korkeakoulun henkilökuntaan tai tutkinto-opiskelijoihin kuulumattomia käyttäjiä koskevat seuraamukset voivat olla käyttövaltuuksien poistaminen tai rajoittaminen sekä rikosilmoituksen tekeminen (laissa rangaistaviksi määritellyt teot).

Käyttövaltuudet yksittäisiin järjestelmiin voidaan väärinkäytöksestä johtuvan luottamuspulan synnyttyä evätä määräajaksi tai pysyvästi. Käyttövaltuuksiin kohdistuvista toimista päättää tietohallintojohtaja, palvelun omistaja tai yksikön johtaja.

3.4        Seuraamustaulukot

Tämän dokumentin liitteenä olevissa taulukoissa annetaan suositukset tietotekniikkarikkomusten seuraamuksista korkeakoulun opiskelijoille (liite A), henkilökunnalle (liite B) ja muille käyttäjille (liite C).

Taulukoissa on annettu esimerkkejä tyypillisistä tietojärjestelmien käytön yhteydessä esiintyvistä rikkomuksista luokiteltuina rikkomuksen vakavuusasteen mukaan. Seuraamuksiin vaikuttaa rikkomuksen vakavuuden lisäksi teon tahallisuuden aste. Jos käyttäjä on sekä opiskelija että henkilökuntaa, sovelletaan häneen henkilökunnan taulukkoa.

3.5        Esimerkkejä IT-palvelujen väärinkäytöksistä

Rikoslain ja tekijänoikeuslain alaisen materiaalin oikeudeton käsittely

• Rikoslain alaista materiaalia ovat esimerkiksi, raaka väkivalta, rasistinen aineisto ja kansankiihottamismateriaali.
• Käsittelyä ovat mm. materiaalin levittäminen ja hallussapito.

Tekijänoikeuslain alaista materiaalia ovat esimerkiksi musiikki, videot, sarjakuvat, elokuvat, pelit ja ohjelmistot.

Tunnuksen luovuttamista on esimerkiksi

• Salasanan kertominen toiselle käyttäjälle.
• Tietokoneen auki jättäminen niin, että toinen henkilö pääsee käyttämään toisen tunnusta.

Tiedon luottamuksellisuuden vaarantamista on esimerkiksi

• Salassa pidettävän tai muutoin lain suojaa nauttivan tiedon luovuttaminen henkilölle, jolla ei ole oikeutta saada sitä (esimerkiksi palvelinten käyttäjätietojen luovutus).
  • salassa pidettävän tiedon tietoturvan laiminlyönti (passiivista toimimattomuutta)
  • tahalliset salassapitorikokset (aktiivista toimintaa)
  • tietosuojalain rikkominen

Henkilökohtaisen tietoturvan laiminlyöntiä on esimerkiksi

• Salasanan jättäminen näkyviin.
• Yliopiston varmuuskopiointikäytäntöjen laiminlyöminen.

Palvelu on toiminto, jota voidaan käyttää koneen ulkopuolelta, esim.

• Sähköpostipalvelu
  • tiedonsiirtopalvelu
  • tiedonsiirtoon tarkoitettu vertaisverkkopalvelu

4      Muita määräyksiä

4.1        Voimaantulo

Tämä käyttösääntö tulee voimaan 1.1.2019.

4.2        Muutoksenhallinta

Tämä dokumentti tarkistetaan tarvittaessa, jotta se vastaa voimassaolevia palveluita ja lainsäädäntöä.

Merkittävät muutokset käsitellään YT-menettelyssä. Muutostarpeesta päättää tietohallinto.

Muutoksesta tiedotetaan tavanomaisten tiedotuskanavien kautta, ei henkilökohtaisesti.

4.3        Säännöistä poikkeaminen

Lupa sääntöjen vastaiseen toimintaan voidaan myöntää vain kirjallisen hakemuksen perusteella ja perustellusta syystä.

Luvan poikkeamaan voi myöntää tietohallinto. Luvassa voi olla ehtoja, rajoituksia ja lisävastuita.

4.4        Valvonta

Säännön valvontavastuu määritellään korkeakoulun tietoturva-  ja tietosuojapolitiikoissa.

Tietotekniikkarikkomusten seuraamuskäytännöt (taulukot A, B ja C)

 

Tampereen korkeakouluyhteisön tietotekniikkarikkomusten seuraamukset henkilöstölle. Liite A:

TEON TAHALLISUUDEN ASTE	Tietämättömyys Osaamattomuus Huolimattomuus Vahinko Tahattomuus	Piittaamattomuus Törkeä huolimattomuus Välinpitämättömyys Näyttämisen halu Tahallisuus Toistuvuus	Rikoksentekotarkoitus (vahingonteko, luvaton käyttö, vakoilu, salassapitorikos, aseman väärinkäyttö yms.) Hyötymistarkoitus
RIKKOMUKSEN VAKAVUUS
Vakava rikkomus (lain mukaan rikkomuksena tai rikoksena tuomittava teko), esim. * hakkerointi, tunkeutuminen * rikoslain alaisen materiaalin oikeudeton käsittely * tekijänoikeuslain alaisen materiaalin laiton levittäminen * tarkoituksellinen luvaton porttiskannaus * virusten tahallinen levittäminen * palvelunestohyökkäys	Rikosilmoitusta harkitaan                    Kirjallinen varoitus	Rikosilmoitus Irtisanominen / työsuhteen purku	Rikoksentekotarkoitus (vahingonteko, luvaton käyttö, vakoilu, salassapitorikos, aseman väärinkäyttö yms.) Hyötymistarkoitus
Rikkomus (vakava väärinkäyttö tai turvallisuuden vaarantaminen), esim. * ohjelmien ja pelien luvaton kopiointi * luvattomien ohjelmien asentaminen * hakkerointi / ylläpitäjän työkalujen luvaton hallussapito * palvelun luvaton pystytys * tunnuksen luovuttaminen * tiedon luottamuksellisuuden vaarantaminen	Kirjallinen huomautus	Rikosilmoitusta harkitaan Kirjallinen varoitus / Irtisanominen	Rikosilmoitus Irtisanominen / työsuhteen purku
Lievä rikkomus (väärinkäytös), esim. * henkilökohtaisen tietoturvan laiminlyönti * epäasiallinen käytös tietoverkoissa * haitan aiheuttaminen * luvaton tai oikeudeton sähköpostin massalähetys * resurssien tuhlaus * virustorjunnan tai tietoturvapäivitysten estäminen * luvaton kaupallinen tai poliittinen toiminta * kulunvalvontasääntöjen rikkominen	Huomautus	Kirjallinen huomautus / Kirjallinen varoitus	Rikosilmoitusta harkitaan Kirjallinen varoitus / Irtisanominen

 

Tampereen korkeakouluyhteisön tietotekniikkarikkomusten seuraamukset opiskelijoille. Liite B:

TEON TAHALLISUUDEN ASTE	Tietämättömyys Osaamattomuus Huolimattomuus Vahinko Tahattomuus	Piittaamattomuus Törkeä huolimattomuus Välinpitämättömyys Näyttämisen halu Tahallisuus Toistuvuus	Rikoksentekotarkoitus (vahingonteko, luvaton käyttö, vakoilu, salassapitorikos, aseman väärinkäyttö yms.) Hyötymistarkoitus
RIKKOMUKSEN VAKAVUUS
Vakava rikkomus (lain mukaan rikkomuksena tai rikoksena tuomittava teko), esim. * hakkerointi, tunkeutuminen * rikoslain alaisen materiaalin oikeudeton käsittely * tekijänoikeuslain alaisen materiaalin laiton levittäminen * tarkoituksellinen luvaton porttiskannaus * virusten tahallinen levittäminen * palvelunestohyökkäys	Rikosilmoitusta harkitaan Kirjallinen varoitus ja käyttöoikeuksien rajoitus 1 - 3 kk	Rikosilmoitus Määräaikainen erottaminen ja käyttöoikeuksien rajoitus erottamisen ajaksi	Rikosilmoitus Määräaikainen erottaminen ja käyttöoikeuksien rajoitus erottamisen ajaksi
Rikkomus (Vakava väärinkäyttö tai turvallisuuden vaarantaminen), esim. * ohjelmien ja pelien luvaton kopiointi * luvattomien ohjelmien asentaminen * hakkerointi / ylläpitäjän työkalujen luvaton hallussapito * palvelun luvaton pystytys * tunnuksen luovuttaminen * tiedon luottamuksellisuuden vaarantaminen	Huomautus ja käyttöoikeuksien rajoitus 1 vk - 2 kk	Rikosilmoitusta harkitaan Kirjallinen varoitus ja käyttöoikeuksien rajoitus 1 - 3 kk	Rikosilmoitus Määräaikainen erottaminen ja käyttöoikeuksien rajoitus erottamisen ajaksi
Lievä rikkomus (väärinkäytös), esim. * henkilökohtaisen tietoturvan laiminlyönti * epäasiallinen käytös verkkoympäristössä * haitan aiheuttaminen * luvaton tai oikeudeton sähköpostin massalähetys * resurssien tuhlaus * virustorjunnan tai tietoturvapäivitysten estäminen * luvaton kaupallinen tai poliittinen toiminta * kulunvalvontasääntöjen rikkominen	Huomautus	Huomautus ja käyttöoikeuksien rajoitus 1 vk - 2 kk	Rikosilmoitusta harkitaan Kirjallinen varoitus ja käyttöoikeuksien rajoitus 1 - 3 kk

Käyttöoikeudet yksittäisiin järjestelmiin voidaan väärinkäytöksestä johtuvan luottamuspulan synnyttyä evätä määräajaksi tai pysyvästi.

Tampereen korkeakouluyhteisön tietotekniikkarikkomusten seuraamukset muille käyttäjille. Liite C:

TEON TAHALLISUUDEN ASTE	Tietämättömyys Osaamattomuus Huolimattomuus Vahinko Tahattomuus	Piittaamattomuus Törkeä huolimattomuus Välinpitämättömyys Näyttämisen halu Tahallisuus Toistuvuus	Rikoksentekotarkoitus (vahingonteko, luvaton käyttö, vakoilu, salassapitorikos, aseman väärinkäyttö yms.) Hyötymistarkoitus
RIKKOMUKSEN VAKAVUUS
Vakava rikkomus (lain mukaan rikkomuksena tai rikoksena tuomittava teko), esim. * hakkerointi, tunkeutuminen * rikoslain alaisen materiaalin oikeudeton käsittely * tekijänoikeuslain alaisen materiaalin laiton levittäminen * tarkoituksellinen luvaton porttiskannaus / palvelussuhteen purku * virusten tahallinen levittäminen * palvelunestohyökkäys	Rikosilmoitusta harkitaan Kirjallinen varoitus ja käyttöoikeuksien rajoitus                   1 - 3 kk	Rikosilmoitus Käyttöoikeuksien peruminen	Rikosilmoitus Käyttöoikeuksien peruminen
Rikkomus (vakava väärinkäyttö tai turvallisuuden vaarantaminen), esim. * ohjelmien ja pelien luvaton kopiointi * luvattomien ohjelmien asentaminen * hakkerointi / ylläpitäjän työkalujen luvaton hallussapito * palvelun luvaton pystytys * tunnuksen luovuttaminen * tiedon luottamuksellisuuden vaarantaminen	Huomautus ja käyttöoikeuksien rajoitus 1 vk - 2 kk	Rikosilmoitusta harkitaan Kirjallinen varoitus ja käyttöoikeuksien rajoitus 1--3 kk	Rikosilmoitus Käyttöoikeuksien peruminen
Lievä rikkomus (väärinkäytös), esim. * henkilökohtaisen tietoturvan laiminlyönti * epäasiallinen käytös * haitan aiheuttaminen * luvaton tai oikeudeton sähköpostin massalähetys * resurssien tuhlaus * virustorjunnan tai tietoturvapäivitysten estäminen * luvaton kaupallinen tai poliittinen toiminta * kulunvalvontasääntöjen rikkominen	Huomautus	Huomautus ja käyttöoikeuksien rajoitus 1 vk - 2 kk	Rikosilmoitusta harkitaan Kirjallinen varoitus ja käyttöoikeuksien rajoitus 1 - 3 kk