Roskapostin suodatus - SecMeter

Sisältöön

Roskapostin suodatus

Yritysturvallisuus > Yksityisyyden suoja
Roskapostilla tarkoitetaan vastaanottajaa häiritseviä sähköpostiviestejä, joita vastaanottaja ei ole pyytänyt tai tilannut. Roskapostia on yleensä kaikki käyttäjälle tarpeeton mainosposti.

Roskapostin suodatuksella pyritään vähentämään tarpeetonta sähköpostiliikennettä ja ehkäisemään haittaohjelmista aiheutuvia vahinkoja.

Sähköpostiviestien, tekstiviestien, puheviestien, ääniviestien tai kuvaviestien avulla toteutettua suoramarkkinointia saa kohdistaa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen ennalta suostumuksensa (tietoyhteiskuntakaari 24 luvun 200 §).

Työnantajalla ei ole laillista oikeutta päättää työntekijän puolesta mitä postia työntekijä on oikeutettu vastaanottamaan, lukuun ottamatta postia, joka voi vaarantaa työnantajan tietojärjestelmien käytettävyyden, tietojen luottamuksellisuuden tai eheyden.

Suoramarkkinointi yritykselle on sallittu, ellei yritys ole sitä nimenomaisesti kieltänyt. Suoramarkkinoijan on tarjottava yritykselle mahdollisuus helposti ja ilman erillistä maksua kieltää yhteystietojensa käyttö suoramarkkinointitarkoituksessa lähetetyn sähköpostiviestin, tekstiviestin, puheviestin, ääniviestin ja kuvaviestin yhteydessä (tietoyhteiskuntakaari 24 luvun 202 §).

Roskapostin suodatusta suunniteltaessa on otettava huomioon seikkoja, joilla on merkitystä erityisesti viestintäsalaisuuden toteutumisen kannalta. Roskapostin suodatusperiaatteet on käsiteltävä myös yrityksen YT-työryhmässä.

Työnantajalla on mahdollisuus ilman työntekijän suostumusta estää sähköposti- ja tekstiviestien vastaanottaminen sekä poistaa viesteistä haittaohjelmat tietoturvaan kohdistuvien häiriöiden poistamiseksi ja tietoturvaloukkausten torjumiseksi.

Suomessa teleoperaattoreille on säädetty velvollisuus estää haitallisen liikenteen ohjautuminen asiakkaalle. Operaattoreiden suodatus ei kuitenkaan täysin poista riskiä siitä, ettei sähköpostiliikenteen ja muun tietoliikenteen joukossa olisi viruksia tai muita haitallisia ohjelmia, jotka pääsisivät yrityksen tietoverkkoon tai työasemaan.

On myös mahdollista, että roskapostisuodatin merkitsee vastaanottajan toivomia sähköpostiviestejä roskapostiviesteiksi. Tämän johdosta viestit tulee ohjata ennen poistamista ensin karanteeniin, josta viestin vastaanottaja voi tarkistaa viestit.

Mikäli suodatusjärjestelmä löytää sähköpostiviestistä tai sen liitteestä haittaohjelman, voidaan koko viesti poistaa suoraan. Näitä poistettuja sähköpostiviestejä ei saa välittää edelleen eikä varastoida.
Hyvän tiedonkäsittelytavan mukaisesti viestin vastaanottajalle tulee ilmoittaa poistetuista sähköpostiviesteistä (automaattinen ilmoitus).

Lainsäädännön vaatimuksia
Työnantajan oikeus suodattaa vastaanottajan sähköpostiliikennettä on rajattu vain välttämättömiin toimenpiteisiin viestintäpalvelujen taikka viestinnän vastaanottajan viestintämahdollisuuksien turvaamiseksi.

Roskapostin suodattaminen ja haittaohjelmien poistaminen viesteistä on toteutettava huolellisesti ja toimenpiteet on mitoitettava torjuttavan häiriön vakavuuteen. Työntekijän pyynnöstä työnantajan on estettävä häiritsevän roskapostin välitys (tietoyhteiskuntakaari 24 luvun 204 §).

Käsitteitä

Haittaohjelma
Viestiin tai sen liitetiedostoon sisältyvä ohjelmakoodi esimerkiksi virus tai mato, joka vaarantaa järjestelmän eheyden, luottamuksellisuuden tai käytettävyyden.

Haitallinen sähköpostiliikenne
Haitallisella sähköpostiliikenteellä tarkoitetaan sellaista sähköpostiliikennettä, joka voi vaarantaa sähköpostipalvelun toimivuutta tai saattaa oleellisesti heikentää sähköpostipalvelun käytettävyyttä.

Massapostitus (roskapostihyökkäys)
Roskapostihyökkäyksellä tarkoitetaan sähköpostipalvelimen tahallista ylikuormittamista massapostituksen avulla. Roskapostihyökkäyksessä massapostittajat käyttävät väärennettyjä lähettäjätietoja.

Rooliosoite
Rooliosoitteella tarkoitetaan yhteystietoa joka ohjaa viestin yhdelle tai useammalle henkilölle. Rooliosoite varmistaa yrityksen palveluprosessien toiminnan henkilöriippumattomasti. Rooliosoitteeseen lähetetty posti on aina julkisuuslain alaista.

Suodattaminen
Suodattamisella tarkoitetaan sähköpostiviestin lähetyksen tai vastaanottamisen estämistä ja järjestelmien eheyttä, luottamuksellisuutta tai käytettävyyttä vaarantavien haittaohjelmien poistamista viesteistä.

Sähköinen asiakirja
Sähköisellä asiakirjalla tarkoitetaan puolestaan sähköistä viestiä, joka liittyy asian vireillepanoon, käsittelyyn tai päätöksen tiedoksi antamiseen.

Sähköinen viesti
Sähköisellä viestillä tarkoitetaan sähköisellä tiedonsiirtomenetelmällä lähetettyä helposti kirjallisessa muodossa tallennettavissa olevaa informaatiota.

Sähköpostiliikenteen suodatus
Suodattamisella tarkoitetaan sähköpostiviestien lähettämisen, välittämisen tai vastaanottamisen estämistä, tietoturvaa vaarantavien haittaohjelmien poistamista viesteistä tai muita näihin rinnastettavia teknisluonteisia toimia.

Työntekijän sähköpostiosoite
Työntekijän sähköpostiosoite on henkilökohtainen. Henkilökohtaisten sähköpostiosoitteiden osalta on erikseen harkittava, kenen yhteystietoja annetaan julkisuuteen. Ensisijaisesti tulee julkistaa vain rooliosoitteita.

Suodatusperiaatteet

  • Viestien suodattamisella ei kajota sananvapauteen.
  • Viestien suodattamisella ei kajota henkilöiden toimesta viestin sisältöön tai yksityisyyden suojaan. Viestien sisältöön puututaan ainoastaan teknisin menetelmin.
  • Käyttäjällä on oikeus suojata viesti ja siihen liittyvät välitystiedot.
  • Lähettäjän salaamaa viestiä ei pureta yrityksen toimesta.
  • Käyttäjiä tiedotetaan menettelyistä, jotka koskevat ylisuurten liitetiedostojen suodattamista.
  • Sähköpostiviesti tai sen sisältämä liite voidaan tuhota automaattisesti, jos se sisältää haittaohjelman. Tällöin vastaanottajalle lähetetään tuhoamisesta ilmoitus.
  • Roskapostiksi luokitellut viestit ohjataan vastaanottajan hallinnassa olevaan roskapostikansioon tai koontitiedostoon (varastoon eli karanteeniin).
  • Vastaanottaja hoitaa omaa henkilökohtaista roskapostikansiotaan (karanteenia).
  • Organisaatio estää sellaisten viestien välityksen ulospäin, jotka eivät ole lähtöisin sen omasta osoiteavaruudesta.

Suodatusesimerkki

  • Jos viestin lähettäjä on internetin mustalla listalla (black list = roskapostittaja), ei postia vastaanoteta.
  • Jos viesti sisältää haittaohjelman, viesti poistetaan automaattisesti.
  • Jos viesti pisteytetään 80%-100% todennäköisyydellä roskapostiksi, ohjataan viesti roskapostilaatikkoon.
  • Jos viesti pisteytetään yli 50% todennäköisyydellä roskapostiksi, ohjataan viesti karanteeniin, josta käyttäjä voi tarvittaessa vapauttaa viestin.
  • Muut viestit välitetään normaalisti vastaanottajalle.

Case "Viranomaisen sähköpostijärjestelmän virhe"
Valtio hävisi korkeimmassa oikeudessa syksyllä 2011 riidan, joka koski käräjäoikeuteen lähetetyn sähköpostin vireilletuloajankohtaa.

Helsinkiläinen mieshenkilö oli ilmoittanut sähköpostilla tyytymättömyytensä Helsingin käräjäoikeuden ratkaisemaan riitajuttuun, joka koski velkasuhteeseen perustuvaa saatavaa. Henkilö lähetti sähköpostiviestin tuntia ennen valitusajan päättymistä.

Käräjäoikeuden sähköpostipalvelimen roskapostisuodatin tulkitsi viesti roskapostiksi ja ohjasi viestin karanteeniin erikseen selvitettäväksi, jonka johdosta viesti ohjautui käräjäoikeuden kirjaamoon vasta seuraavana päivänä.

Käräjäoikeus ja jätti valituksen myöhästyneenä käsittelemättä. Asia eteni asianomistajan toimesta hovioikeuteen. Hovioikeus päätyi ratkaisussaan samaan lopputulokseen kuin käräjäoikeus ja jätti päätöksen voimaan.

Asianomistaja sai valitusluvan KKO:sta, joka teki jutussa yksimielisen ennakkopäätöksen. KKO totesi päätöksessään, että sähköpostiviestin myöhästyminen aiheutui käräjäoikeuden sähköpostijärjestelmän virheestä ja valitus oli otettava käsittelyyn. KKO:n mukaan Hovioikeus ei olisi saanut hyväksyä käräjäoikeuden tutkimattajättämispäätöstä hankkimatta selvitystä valituksen saapumisesta käräjäoikeuden tietojärjestelmiin.

Lain sähköisestä asioinnista viranomaistoiminnassa (24.1.2003/13) 3 luvun 8 § mukaan vastuu sähköisen viestin perillemenosta lähettäjän omalla vastuulla. Tämä lainkohta edellyttää, että asianomistaja lähettää viestinsä oikeaan aikaan oikeaan osoitteeseen asianmukaisilla välineillä.

Saman lain 10 § mukaan: "Jos saapumisajankohdasta ei ole selvitystä sen johdosta, että viranomaisen käyttämä sähköinen tiedonsiirtomenetelmä on ollut epäkunnossa tai poissa käytöstä taikka selvitystä ei muusta vastaavasta syystä voida esittää, sähköinen viesti katsotaan saapuneeksi sinä ajankohtana, jona se on lähetetty, jos lähettämisajankohdasta voidaan esittää luotettava selvitys."

Tämän lainkohdan mukaisena luotettavana selvityksenä viestin lähetysajasta voidaan pitää esimerkiksi viestiä välittäviltä palvelimilta sähköpostiviestin otsikkokenttiin kirjautuvaa tietoa viestin lähettämisajasta.

Sähköpostiviestinä lähetetyn asian vireilletuloajankohtana (saapumisajankohta) on pidettävä sitä hetkeä, jolloin asian sisältävä sähköpostiviesti on saapunut käräjäoikeuden tietojärjestelmään. Lähde: (kko.fi KKO:2011:63)

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön