F-Secure: Laki ei johtaisi sähköpostin massaseulontaan
Tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppönen arvioi, että Lex Nokiaksi ristittyä tietosuojalakia käytetään harvoin, jos kiistelty laki tulee voimaan. Hyppösen mukaan laki ei johtaisi sähköpostien koneelliseen massaseulontaan, sillä yrityksellä on oltava ensin epäilys yrityssalaisuuksien vuodosta.
Yritykset tekevät jatkuvasti automaattista turvatarkastusta työntekijöidensä sähköpostiliikenteestä. Järjestelmät etsivät lähinnä viruksia ja haittaohjelmia.
Tietoturvayhtiö F-Secure on erikoistunut virustorjuntaohjelmien tekemiseen. Yhtiön tutkimusjohtajan Mikko Hyppösen mukaan tietoturvalain voimaantulo ei johtaisi siihen, että automaattijärjestelmiä alettaisiin käyttää työntekijöiden sähköpostin massaseulontaan.
- Tämän lain perusteella se ei mene niin päin, vaan pitää ensin olla syytä epäillä, että yrityksestä vuotaa tietoja ulos. Ensin pitää tehdä normaali tutkinta, jossa selvitetään mitä tietoja on saattanut mennä ja minne ja saada tietoja, että keitä yrityksen työntekijöitä olisi syytä epäillä. Sen jälkeen voidaan sitten lähteä katsomaan tarkemmin minkälaisia tunnistetietoja näissä sähköposteissa voisi olla.
Hyppösen mukaan tunnistetiedot keräisi kone, mutta lopulta epäilyttävän aineksen seuloisi ihminen.
- Luultavasti se seuloutuu ihan ihmisvoimin. Pannaan filtteri päälle, joka seuraa tiettyjen ihmisten sähköpostiliikennettä. Sieltä sitten otetaan lokitiedosto luettavaksi: tämä henkilö on lähettänyt näihin osoitteisiin tämänkokoista sähköpostia näillä päivämäärillä. Sen sitten joku yrityksen oma turvahenkilö tarkistaa.
Viranomaisten mahdotonta valvoa työntekijöiden valvontaa
Hyppösen mukaan on täysin mahdollista, että yritykset jo nykyään paitsi seuraavat työntekijöidensä sähköpostiliikennettä, jopa lukevat heidän sähköpostejaan.
- Voin hyvin kuvitella, että monessakin yrityksessä laittomasti on ollut tilanteita, että ylläpitohenkilökunta tai yrityksen johto menee ja lukee työntekijöidensä sähköposteja. Se on siis laitonta. Sellaista ei saisi tapahtua, ei ennen eikä tämän lain voimaantulon jälkeen.
Laittomasta toiminnasta on käytännössä vaikea jäädä kiinni.
- Yritysten sisällä voi tapahtua mitä vain. Viranomaisilla, kuten poliisilla, ei ole mitään keinoa seurata sitä, käyttäytyvätkö yritykset lakien mukaan.
Hyppönen: uusi laki ei muuttaisi juuri mitään
Tutkimusjohtaja Hyppönen ei näe, että uuden lain voimaantulo johtaisi suuriin muutoksiin yritysten tai yhteisöjen toiminnassa.
- Koko ongelma, jota tällä lailla yritetään ratkaista, on lukumääräisesti aika pieni. En usko, että kovinkaan monta tapausta vuodessa olisi, että edes harkittaisiin tällaisten keinojen käyttöä.
Lainmuutos on Hyppösen arvion mukaan räätälöity yrityssalaisuuksien vuotojen tukkimiseen, eikä se koskisi käytännössä juuri lainkaan yhteisöjä, kuten yliopistoja. Yrityksistäkin se koskettaisi vain harvoja.
- Varmaan kourallista. Suomen suurimpia ja teknisesti kehittynyttä tuotekehitystä tekeviä yrityksiä.
Toisaalta Hyppönen pitää ei pidä laki erityisen tehokkaana keinona estää yrityssalaisuuksien vuotamista.
- Toki on helppo kiertää yrityssalaisuuksien varastamisen yhteydessä yrityksen oman sähköpostin käyttö. Mutta tällä hetkellä tilanne on sillä tavalla nurinkurinen, että järkevin tapa lähettää yrityssalaisuuksia kilpailijoille on nimenomaan yrityksen oma sähköposti, koska siihen ei saa puuttua. Ei yritys eikä edes poliisi.
Työntekijöiden henkilökohtaisten sähköpostien lokitietojen valvonta on rajattu lain ulkopuolelle. Oman sähköpostin käyttö on kuitenkin estetty tai kielletty yrityksissä, joissa yrityssalaisuuksien vuotamiseen on suuri riski.
YLE Uutiset