Sähköpostiurkinta Suomessa

  • 11 December 2014
  • 5 kommenttia
  • 4 katselukertaa

Uutisissa on ollut paljonkin juttua NSA:n puuhailuista mm. ihmisten sähköpostilaatikoilla, mutta millaista urkintaa Suomessa harjoitetaan ja miten Sonera siihen osallistuu? Onhan Suomessakin mm. sähköposteja koskeva tunnistetietojen tallennusvelvoite.

Mitä tämä tarkoittaa käytännössä Soneran asiakkaiden tulevien, lähtevien ja postilaatikossa säilytettävien viestien osalta? Mitä tietoja tarkkaan ottaen tallennetaan, kuinka pitkäksi aikaa ja kenellä tietoihin on pääsy?

Voiko urkinnalta suojautua asentamalla kotiin postipalvelimen (esim. postfix SMTP + dovecot IMAPS)? Lähtevät postit ilmeisesti on kuitenkin ohjattava kulkemaan Soneran SMTP:n kautta.

5 kommenttia

Hei aes

Meillä Soneralla noudatetaan Suomen lakiin perustuvaa säädäntöä ja ohjeita. Meidän omaan tietosuojapolitiikkaan pääset tutustumaan täältä: http://www.sonera.fi/tietosuoja+ja+turv ... politiikka

Omaa kokemusta sähköpostien suojausohjelmista ei ole mutta periaatteessa niitä voi käyttää kunhan käytät vain oikeita palvelinasetuksia ohjelmassasi. Itse ehkä näkisin itse sähköpostiviestin kryptaamisen helpoimmaksi keinoksi suojautua urkinnalta? Siinä tapauksessa jos viesti saadaan kaapattua, on se silti kryptatussa muodossa johon vain viestin alkuperäisellä vastaanottajalla on avain.
Antti- kirjoitti:
Meillä Soneralla noudatetaan Suomen lakiin perustuvaa säädäntöä ja ohjeita. Meidän omaan tietosuojapolitiikkaan pääset tutustumaan täältä: http://www.sonera.fi/tietosuoja+ja+turv ... politiikka


Enpä löytänyt tuosta minkäänlaista selostusta tunnistetietojen säilyttämisestä viranomaistarpeita varten. Viittaako Sonera siis kintaalla tunnistetietojen tallennusvelvoitteelle vai käsitteleekö se sittenkin tietoja myös muuten kuin mitä tietosuojapolitiikassa kuvaillaan?

Käsittääkseni tietojen tallennusvelvoitetta ja sen käytännön toteutusta ei ole missään säädetty salassapidettäväksi. Kun kyse on aika rankasta viestintäsalaisuuden loukkauksesta olisi varsin tärkeää, että loukkauksen laajuutta voisi valvoa ja tarvittaessa kyseenalaistaa. Siksi tallennusvelvoitteen toteutuksesta pitäisi esittää julkinen, yksityiskohtainen selostus.

Antti- kirjoitti:
Itse ehkä näkisin itse sähköpostiviestin kryptaamisen helpoimmaksi keinoksi suojautua urkinnalta? Siinä tapauksessa jos viesti saadaan kaapattua, on se silti kryptatussa muodossa johon vain viestin alkuperäisellä vastaanottajalla on avain.


Kryptaamalla voi suojata viestin sisällön mutta ei tietoja viestinnän osapuolista eikä ajankohdasta. Myös nämä tiedot ovat urkkijan kannalta tärkeitä: urkkijaa voi hyvinkin kiinnostaa kenen kanssa A viestittelee ja milloin - ehkä jopa enemmän kuin viestinnän sisältö.

Tallentaako Sonera jotain tietoja viranomaiskäyttöä varten
- asiakasliittymän SMTP-porttiin suuntautuvasta liikenteestä?
- asiakasliittymästä mail.inet.fi:n kautta lähtevästä liikenteestä?
- muusta sähköpostiliikenteestä, esim. portit 465, 587 tai IMAP(S)?
Hei aes

Tarkentaisin vielä vastaustani seuraavalla tavalla:

Antti- kirjoitti:
Meillä Soneralla noudatetaan Suomen lakiin perustuvaa säädäntöä ja ohjeita.

Noudatamme Suomen lain ja ohjeistuksen lisäksi myös Viestintäviraston määrittämiä velvollisuuksia ja sähköisen viestinnän tietosuojalakia sekä henkilötietolakia kaikessa sähköpostidatan ja tunnistamistietojen käsittelyssä.

aes kirjoitti:
Mitä tämä tarkoittaa käytännössä Soneran asiakkaiden tulevien, lähtevien ja postilaatikossa säilytettävien viestien osalta? Mitä tietoja tarkkaan ottaen tallennetaan, kuinka pitkäksi aikaa ja kenellä tietoihin on pääsy?

Kyllä, kaikki smtp-logit pidetään tallessa palvelimilla, jonne ei ole pääsyä kuin hyvin rajatulla taustoiltaan viranomaistarkistetulla käyttäjäryhmällä.

Antti- kirjoitti:
Kryptaamalla voi suojata viestin sisällön mutta ei tietoja viestinnän osapuolista eikä ajankohdasta. Myös nämä tiedot ovat urkkijan kannalta tärkeitä: urkkijaa voi hyvinkin kiinnostaa kenen kanssa A viestittelee ja milloin - ehkä jopa enemmän kuin viestinnän sisältö.

Totta, olet tässä aivan oikeassa. Tämä oli vain oma esimerkki suojautua juuri viestin sisällön suhteen.
Antti- kirjoitti:
Noudatamme Suomen lain ja ohjeistuksen lisäksi myös Viestintäviraston määrittämiä velvollisuuksia ja sähköisen viestinnän tietosuojalakia sekä henkilötietolakia kaikessa sähköpostidatan ja tunnistamistietojen käsittelyssä.


OK, mutta eikö tunnistamistietojen tallentamisesta viranomaiskäyttöä varten olisi syytä kertoa erikseen tietosuojaselosteessanne? Nyt tulee vaikutelma, että "viranomaisurkinta" halutaan lakaista maton alle.

Selosteesta tai sen liitteestä pitäisi selvitä tiedot, joiden tallentamista edellytetään ja miten tätä käytännössä tulkitaan (esim. juuri 'sähköpostin tunnistetiedot' -> SMTP-logi).

Antti- kirjoitti:
Kyllä, kaikki smtp-logit pidetään tallessa palvelimilla, jonne ei ole pääsyä kuin hyvin rajatulla taustoiltaan viranomaistarkistetulla käyttäjäryhmällä.


Onko smtp-logit siis ainoa tieto, joka sähköpostiliikenteestä tallennetaan? ...ja tallennetaanko logit sellaisenaan vai prosessoidaanko ne joksikin tietokannaksi?
Kysynpä nyt uudemman kerran, että miksi Sonera ei kerro asiakkailleen tarkkoja tietoja viranomaisurkinnasta?

Asiassa on kuitenkin kyse sensitiivisten, viestintäsalaisuuden suojaamien tietojen käsittelystä, joten mielestäni asiakkailla on oikeus tietää, mitä tietoja tallennetaan (ja muutenkin käsitellään?) viranomaistarpeita varten ja millä edellytyksillä tietoja luovutetaan ulos. Laeissa, asetuksissa ja määräyksissä on aina tulkinnanvaraa, joten olisi tärkeää tietää miten Sonera käytännössä ohjeistusta soveltaa.

On suorastaan harhaanjohtavaa, että tunnistetietojen käsittelyn tästä puolesta ei mainita mitään Tietosuojapolitiikassanne (esim. 1.2 Sähköiseen viestintään liittyvien tietojen käsittely)!

Siellä todetaan tunnistetietojen säilyttämisestä seuraavaa: Säilytämme tunnistamistietoja enintään kolmen vuoden ajan laskun eräpäivästä, ellei tietoja ole tarpeen laskun perintään liittyvistä syistä säilyttää kauempaa. Koskeeko tämä vain laskutuksen kannalta relevantteja tietoja vai kaikkea muutakin kuten tietoja sähköposteista?

Vastaa