Hyväksytty Lapin Yliopiston hallituksessa 14.3.2006

TIETOTEKNIIKKARIKKOMUSTEN SEURAAMUSKÄYTÄNTÖ
Sisällysluettelo:

1 Käyttöoikeuksien rajoittaminen selvitystyön ajaksi

2 Seuraamukset

2.1 Opiskelijat

2.2 Henkilökunta

3 Seuraamustaulukot

3.1 Käsitteitä

 

Tietotekniikkarikkomuksina pidetään yliopiston tietojärjestelmien käytöstä annettujen sääntöjen tai määräysten vastaista toimintaa tai tietojärjestelmien käyttöä Suomen lakien vastaisesti.

Tässä dokumentissa on kuvattu toimenpiteitä, joita henkilöön kohdistetaan, kun tietotekniikkarikkomus on havaittu tai sitä on perusteltua syytä epäillä. Toimenpiteet on jaettu käyttöoikeuksien rajoituksiin rikkomuksen selvitystyön ajaksi sekä mahdollisiin rikkomuksesta määrättyihin seuraamuksiin.

Dokumentti keskittyy ensisijaisesti yliopiston tutkinto-opiskelijoihin ja henkilökuntaan. Yliopiston järjestelmiin voi olla käyttäjätunnuksia myös mm.
-   OPM-rahoituksella toimivilla tutkijoilla, emerituksilla ja ulkopuolisten palveluntarjoajien työntekijöillä, sekä
-   täydennyskoulutuksen ja avoimen yliopiston opiskelijoilla.
Ryhmän heterogeenisuudesta johtuen sen osalta käytetään enemmän tapauskohtaista harkintaa.

Kaikki havaitut tietotekniikkarikkomukset ja niistä aiheutuneet toimenpiteet on ilmoitettava yliopiston tietoturvavastaavalle.

1      Käyttöoikeuksien rajoittaminen selvitystyön ajaksi

Käyttöoikeuksia voidaan rajoittaa joko sulkemalla kaikki tai osa käyttäjän käyttäjätunnuksista tai muutoin estämällä jonkin tietojärjestelmän käyttö (esim. poistamalla tiedon muutosoikeus)

Selvitystyön ajaksi
-   opiskelijalta pääsääntöisesti suljetaan käyttäjätunnukset ja hänet kutsutaan keskustelemaan tietoturvavastaavan tai järjestelmästä vastaavan henkilön kanssa
-   henkilökuntaan kuuluvan käyttöoikeuksia rajoitetaan tarvittavassa määrin. Rajoituksena verkkohäiriötilanteissa voi olla myös työaseman kytkeminen irti verkosta.

Käyttöoikeuksia on rajoitettava aina, kun on perusteltua syytä epäillä, että käyttäjä on syyllistynyt väärinkäytökseen, ja on mahdollista, että käyttöoikeudesta on haittaa rikkomuksen selvittämiselle tai vahinkojen minimoimiselle.

Käyttöoikeuksien rajoittamisesta selvitystyön ajaksi päättää tietojärjestelmän omistaja, yksikön johtaja tai muu tehtävään nimetty henkilö. Rajoittamisen toteuttaa ylläpitäjä. Kiireellisissä tapauksissa ylläpitäjä voi omalla päätöksellään rajoittaa käyttöoikeuksia enintään kolmeksi päiväksi, mistä tulee välittömästi ilmoittaa rajoituksista vastaavalle henkilölle.

2        Seuraamukset

Lievimmissä tapauksissa käyttäjälle huomautetaan asiattomasta toiminnasta.

Tietotekniikkarikkomuksen seurauksena käyttäjä on korvausvastuussa sekä väärinkäyttämistään resursseista (esim. koneaika) että väärinkäytön selvitystyöstä aiheutuneista kustannuksista.

2.1 Opiskelijat

Opiskelijalle kohdistettavia seuraamuksia voivat olla tietojärjestelmien käyttöoikeuksien rajoittaminen (käyttäjätunnusten sulkeminen)[1], yliopiston sisäiset hallinnolliset toimet (kirjallinen varoitus, määräaikainen erottaminen)[2] sekä rikosilmoituksen tekeminen (laissa rangaistaviksi määritellyt teot).

Käyttäjätunnusten sulkemisesta päättää yliopiston nimeämä henkilö. Käytön rajoitusaikaan ei lasketa mukaan tunnusten sulkemista selvitystyön ajaksi.

Kirjallisen varoituksen antamisesta opiskelijalle päättää yliopiston rehtori ja määräaikaisesta erottamisesta yliopiston hallitus. Käyttöoikeudet perutaan erottamisen ajaksi. Käyttöoikeuksien rajoittamisen kokonaiskesto on kuitenkin vähintään liitteenä olevassa taulukossa esitetyn mittainen.

2.2 Henkilökunta

Henkilökuntaa koskevia seuraamuksia voivat olla yliopiston työ- ja virkamiesoikeudelliset toimet (kirjallinen varoitus, irtisanominen, palvelussuhteen purku)[3] sekä rikosilmoituksen tekeminen (laissa rangaistaviksi määritellyt teot). Varoituksen antaa yksikön johtaja tai hallintojohtaja. Käyttöoikeudet yksittäisiin järjestelmiin voidaan väärinkäytöksestä johtuvan luottamuspulan synnyttyä evätä määräajaksi tai pysyvästi.

3      Seuraamustaulukot

Liitteen taulukoissa annetaan suositukset tietotekniikkarikkomusten seuraamuksista yliopiston tutkinto-opiskelijoille, henkilökunnalle ja muille.

Taulukoissa on esimerkkejä tyypillisistä tietojärjestelmien käytön yhteydessä esiintyvistä rikkomuksista luokiteltuina rikkomuksen vakavuusasteen mukaan. Seuraamuksiin vaikuttaa rikkomuksen vakavuuden lisäksi teon tahallisuuden aste.

Taulukon seuraamusruuduissa ylin rivi on varattu mahdolliselle rikosilmoitukselle, seuraavalla rivillä ovat hallinnolliset toimet ja alimmalla atk-palveluiden toteuttamat toimet.

Jos käyttäjä on sekä opiskelija että henkilökuntaa, sovelletaan häneen henkilökunnan taulukkoa.

3.1. Käsitteitä

Rikoslain alaisen materiaalin oikeudeton käsittely
-   rikoslain alaista materiaalia ovat esimerkiksi lapsiporno, eläimiin sekaantuminen, raaka väkivalta, rasistinen aineisto ja kansankiihottamismateriaali
-   käsittelyä ovat mm. materiaalin levittäminen ja hallussapito

Tekijänoikeuslain alaista materiaalia on esimerkiksi musiikki, videot, sarjakuvat, elokuvat, pelit ja ohjelmistot.

Palvelu on toiminto, jota voidaan käyttää koneen ulkopuolelta. Esimerkiksi
-   sähköpostipalvelu (smtp, imaps, …)
-   tiedostonsiirtopalvelu (ftp, http, scp, ...)
-   vertaisverkko- palvelu (Kazaa, eDonkey,...)

Tunnuksen luovuttamista on esim. salasanan kertominen toiselle käyttäjälle tai istunnon auki jättäminen niin, että joku toinen pääsee valvomattomasti käyttämään toisen tunnusta.

Tiedon luottamuksellisuuden vaarantamista ovat esim.
-   ei-julkiseksi luokitellun tiedon luovuttaminen henkilölle, jolla ei ole oikeutta saada sitä, esim. palvelinten käyttäjätietojen luovutus
-   ei-julkiseksi luokitellun tiedon tietoturvan laiminlyönti, esim. puutteelliset suojaukset järjestelmässä, jossa tietoa käsitellään
-   salassapitorikokset
-   henkilötietolain rikkominen

Henkilökohtaisen tietoturvan laiminlyöntiä on esimerkiksi salasanan jättäminen näkyviin.

 

--------------------------------------------------------------------------------

[1]  Tietojärjestelmien käyttösäännöt

[2]  Yliopistolaki 19§ ja Yliopistoasetus 20§

[3]  Virkamieslaki 24§, 33-34§, 40§ ja Työsopimuslaki 7 luku,2§ 8luku,1§