Tietotekniikkarikkomusten seuraamuskäytäntö

IT-palvelujen väärinkäytön seuraamukset lyhyesti

Korkeakoulun IT-palvelujen säännöstö  sitoo ja velvoittaa jokaista käyttäjää. Myös sinua.

IT-palvelujen väärinkäytöllä tarkoitetaan IT-palvelujen sääntöjen tai lakien vastaista käyttöä. Kaikki havaittu väärinkäyttö on ilmoitettava tietoturvapäällikölle.

Väärinkäyttöä epäiltäessä korkeakoulu voi selvitystyön ajaksi rajoittaa käyttäjän oikeutta käyttää palveluja. Teon vakavuuden ja tahallisuuden perusteella väärinkäytöllä voi olla korkeakoulun sisäisiä seuraamuksia ja se voi johtaa rikosilmoituksen tekemiseen.

Tietoturvarikkomusten tutkinnan aikana tietoturvapäälliköllä on mahdollisuus rajoittaa käyttöoikeuksia tietojärjestelmiin.

IT-palvelujen väärinkäytön seuraamukset

Tietotekniikkarikkomuksina pidetään korkeakoulun tietojärjestelmien käytöstä annettujen sääntöjen tai määräysten vastaista toimintaa tai tietojärjestelmien käyttöä Suomen lakien vastaisesti.

Tämä toimintaohje kuvaa toimenpiteitä, joita henkilöön voidaan kohdistaa, kun tietotekniikkarikkomus on havaittu tai sitä on perustellusti syytä epäillä. Toimenpiteet on jaettu käyttövaltuuksien rajoituksiin rikkomuksen selvitystyön ajaksi sekä mahdollisiin rikkomuksesta määriteltyihin seuraamuksiin.

Korkeakoulu voi rajoittaa IT-palveluiden käyttövaltuuksia selvitystyön ajaksi

Rajoituksista päätetään, kun tietotekniikkarikkomus on havaittu tai sitä epäillään. Valtuuksia rajoitetaan aina, kun perustelluista syistä epäillään, että käyttäjä on syyllistynyt väärinkäytökseen ja on mahdollista, että käyttövaltuudesta on haittaa rikkomuksen selvittämiselle tai vahinkojen minimoimiselle. Käyttäjälle varataan mahdollisuus päästä kuultavaksi ja vakavammissa tapauksissa käyttäjä kutsutaan kuultavaksi.

Käyttövaltuuksien rajoittamisesta päättää tietoturvapäällikkö tai tietohallintopäällikkö. Rajoittamisen toteuttaa palvelun ylläpitäjä.

Kiireellisissä tapauksissa ylläpitäjä voi omalla päätöksellään rajoittaa käyttövaltuuksia enintään kolmeksi päiväksi, mistä tulee välittömästi ilmoittaa tietoturvapäälliköllle.

Tarvittaessa käyttäjän työasema voidaan kytkeä irti verkosta.

Rajoitukset puretaan selvitystyön päätyttyä, jos käyttövaltuuksien palauttamisesta ei ole ilmeistä haittaa.

Seuraamukset

Lievissä tapauksissa käyttäjälle huomautetaan asiattomasta toiminnasta.

Tietotekniikkarikkomuksen seurauksena käyttäjä voi olla korvausvastuussa väärinkäyttämistään resursseista (esim. palvelimet tai tietoverkko), välittömistä vahingoista ja väärinkäytön selvitystyön aiheuttamista kustannuksista.

Seuraamukset tutkinto-opiskelijalle

Opiskelijalle kohdistettavia seuraamuksia voivat olla määräaikainen käyttövaltuuksien rajoittaminen, korkeakoulun hallinnolliset toimet (kirjallinen varoitus, määräaikainen erottaminen) ja rikosilmoituksen tekeminen (laissa rangaistaviksi määritellyt teot).

Käyttövaltuuksiin kohdistuvista toimista päättää tietoturvapäällikkö tai tietohallintopäällikkö. Käytön rajoitusaikaan ei lasketa mukaan selvitystyöhön kulunutta aikaa. Kirjallisen varoituksen antamisesta opiskelijalle päättää rehtori ja määräaikaisesta erottamisesta korkeakoulun hallitus.Henkilön käyttövaltuudet perutaan erottamisen ajaksi.

Seuraamukset henkilökuntaan kuuluvalle

Henkilökuntaa koskevia seuraamuksia voivat olla korkeakoulun työoikeudelliset toimet (kirjallinen varoitus, irtisanominen, palvelussuhteen purku) sekä rikosilmoituksen tekeminen (laissa rangaistaviksi määritellyt teot).

Käyttövaltuudet yksittäisiin järjestelmiin voidaan väärinkäytöksestä johtuvan luottamuspulan synnyttyä evätä määräajaksi tai pysyvästi. Käyttövaltuuksiin kohdistuvista toimista päättää tietoturvapäällikkö tai tietohallintopäällikkö.

Seuraamukset muille käyttäjille

Korkeakoulun henkilökuntaan tai tutkinto-opiskelijoihin kuulumattomia käyttäjiä koskevat seuraamukset voivat olla käyttövaltuuksien poistaminen tai rajoittaminen sekä rikosilmoituksen tekeminen (laissa rangaistaviksi määritellyt teot).

Käyttövaltuudet yksittäisiin järjestelmiin voidaan väärinkäytöksestä johtuvan luottamuspulan synnyttyä evätä määräajaksi tai pysyvästi. Käyttövaltuuksiin kohdistuvista toimista päättää tietoturvapäällikkö tai tietohallintopäällikkö.

Esimerkkejä IT-palvelujen väärinkäytöksistä

  • Rikoslain ja tekijänoikeuslain alaisen materiaalin oikeudeton käsittely
    • Rikoslain alaista materiaalia ovat esimerkiksi lapsiporno, eläimiin sekaantuminen, raaka väkivalta, rasistinen aineisto ja kansankiihottamismateriaali
    • käsittelyä ovat mm. materiaalin levittäminen ja hallussapito.
  • Tekijänoikeuslain alaista materiaalia ovat esimerkiksi musiikki, videot, sarjakuvat, elokuvat, pelit ja ohjelmistot.
  • Tunnuksen luovuttamista on esimerkiksi
    • salasanan kertominen toiselle käyttäjälle
    • tietokoneen  auki jättäminen niin, että toinen henkilö pääsee käyttämään toisen tunnusta.
  • Tiedon luottamuksellisuuden vaarantamista on esimerkiksi
    • Salassa pidettävän tai muutoin lain suojaa nauttivan tiedon luovuttaminen henkilölle, jolla ei ole oikeutta saada sitä (esimerkiksi palvelinten käyttäjätietojen luovutus)
    • salassa pidettävän tiedon tietoturvan laiminlyönti (passiivista toimimattomuutta)
    • tahalliset salassapitorikokset (aktiivista toimintaa)
    • henkilötietolain rikkominen.
  • Henkilökohtaisen tietoturvan laiminlyöntiä on esimerkiksi
    • salasanan jättäminen näkyviin
    • korkeakoulun varmuuskopiointikäytäntöjen laiminlyöminen.