REFRRER:path /

Kansallinen virustorjuntaohjelma? Lakiehdotus: Supo saisi varoittaa yrityksiä verkkouhista

Markku Uhari

Yrityksille voitaisiin tietyin edellytyksin antaa tiedustelulainsäädännön avulla hankittua tietoa, todetaan siviilitiedustelulainsäädännön mietinnössä.

Parhaillaan lausuntokierroksella olevassa mietinnössä ja lakiluonnoksessa todetaan, että suojelupoliisilla olisi oikeus luovuttaa tietoliikennetiedustelulla saatua, salassa pidettävääkin tietoa yrityksille tai yhteisöille, jos kyseessä olisi haitallisesta tietokoneohjelmasta tai -käskystä.

Tiedon luovuttaminen voisi lakiesityksen mukaan tulla kyseeseen, jos sen katsotaan olevan tarpeen ”kansallisen turvallisuuden suojaamiseksi tai tiedon saajan etujen turvaamiseksi.”

Lainsäädäntöneuvos Marko Meriniemi sisäministeriön poliisiosastolta tarkentaa, että laki tulisi tältä osin olemaan salliva, ei velvoittava.


– Tämä keskustelutti jo valmistelussa, että ollaanko luomassa kansallista virustorjuntaohjelmaa. Ei ole sellaisesta kyse, vaan pitää arvioida Suomen kansallista turvallisuutta ja tiedon saavan yrityksen etuja, toteaa Meriniemi Lännen Medialle.

Lopullisesta tiedon luovuttamisesta päättäisivät viime kädessä suojelupoliisin virkamiehet.

– Tätä lainsäädäntöä ei säädetä sitä varten, että palveltaisiin yrityksiä, vaan pitää olla kansallisen turvallisuuden aspekti, hän sanoo.

Kyse olisi lakiesityksen ja Meriniemen mukaan pelkästään haittaohjelmista tai niiden uhista, eikä suomalaisille yrityksille olisi määrä luovuttaa yrityssalaisuuksia, joita tietoverkkotiedustelussa voisi supon haltuun tulla.

– Jos tietoliikennetiedustelusta tulee analyysivaiheeseen sellaisia tietoja, jotka ovat yrityssalaisuuksia, niin lähtökohtaisesti ne tulevat poistettaviksi irrelevanssiperusteella, hän lisää.

Tietoverkkotiedustelu olisi esitettyjen lakien perusteella luvanvaraista, ja kyseisen tiedustelumenetelmän käyttämisestä päättäisi esityksen mukaan Helsingin käräjäoikeus.

Lisäksi on ehdotettu, että tiedustelun lainmukaista toteutumista valvoisi uusi tiedusteluvaltuutettu.

Oikeusoppineet: rajaus onnistunut

Tiedustelulainsäädännössä oleva rajaus tietojen luovuttamisesta yrityksille on onnistunut, kunhan yrityksille voi luovuttaa vain haittaohjelmia tai vastaavia koskevaa tietoa. Näin arvioi tietoyhteiskunnan oikeuteen erikoistunut Turun yliopiston oikeustieteen professori Juha Lavapuro.

– Jos henkilötietoja voitaisiin luovuttaa yrityksille taloudellisten etujen turvaamiseksi, niin silloin se olisi perustuslain kannalta ongelmallista. Tässä ei ole siitä kysymys, sanoo Lavapuro.

Kyberturvallisuuden professori Jarno Limnéll Aalto-yliopistosta muistuttaa, että viranomainen ei voisi valvoa tietoverkkotiedustelussa kaikkea Suomessa kulkevaa liikennettä. Oikeudelta haettavaa lupaa varten tiedustelun kohteesta olisi oltava jonkinlaista ennakkotietoa.

Yrityksille luovutettava tieto olisi perusteltua hänestä erityisesti silloin, kun on kyse yhteiskunnan kannalta tärkeästä tuotantolaitoksesta. Tällaisia voisivat olla esimerkiksi sähkölaitokset.

– Harkinnanvaraisesti viranomaiset voivat tiedottaa näitä suomalaisia yrityksiä, että nyt saattaisi olla, että teihin kohdistuu kybervakoilua tai jonkinlaista aktiviteettia, Limnéll toteaa.

Vakoilevatko valtiot yritysten puolesta?

Limnéllin mukaan teollisuusvakoilua tehdään entistä voimakkaammin tietoverkoissa. Hänen mukaansa selkeää näyttöä on vaikea saada siitä, että maailmalla valtiolliset tiedusteluorganisaatiot luovuttaisivat yrityssalaisuuksia yrityksille.

– Yhdysvallat on erityisesti syyttänyt Kiinaa teollisuusvakoilusta ja nimenomaan siitä, että Kiinan tiedusteluorganisaatiot pyrkivät järjestelmällisesti hakkeroitumaan yhdysvaltalaisten yritysten järjestelmiin, Limnéll sanoo.

Hän toteaa, ettei Suomeen kaavaillussa tiedustelulainsäädännössä säädettäisi sellaisista valtuuksista, jotka mahdollistaisivat vastaavaa suomalaisviranomaisille.

Kommentit

Näytä 10 20 30 40 50 kommenttia sivulla

Jätä kommentti