Käytännön kysymyksiä

Voiko teleyritys käsitellä tunnistamistietoja selvittääkseen, kenen tilaajan liittymästä lähetetään haittaohjelmia sisältäviä viestejä tai roskapostia?

Tunnistamistietoja saa käsitellä siinä määrin kuin se on tarpeen verkko-, viestintä- tai lisäarvopalvelun toteuttamiseksi sekä tietoturvasta huolehtimiseksi (SVTSL 9 §). Teleyrityksellä on tietoturvaloukkausten torjumiseksi ja tietoturvaan kohdistuvien häiriöiden poistamiseksi oikeus muun muassa estää sähköpostiviestien, tekstiviestien ja muiden vastaavien viestien välittäminen ja vastaanottaminen ja poistaa haittaohjelmia viesteistä (SVTSL 20 §). Tunnistamistietoja voidaan siis pääsääntöisesti käsitellä haittaohjelmien lähettäjän selvittämiseksi sekä roskapostituksen lopettamiseksi, mikäli toiminta vaarantaa viestintäpalvelun käytettävyyden ja tietoturvallisuuden.

Teleyrityksellä on myös velvollisuus ryhtyä toimenpiteisiin häiriö- tai vaaratilanteen korjaamiseksi ja tarvittaessa irrottaa viestintäverkko tai laite yleisestä viestintäverkosta (VML 131 §). Näin ollen tietty liittymä voidaan myös sulkea kokonaan yleisestä viestintäverkosta, jos se on sillä hetkellä ainoa keino korjata vaaraa tai häiriötä aiheuttava tilanne.

Miten estolistat soveltuvat teleyrityksen toteuttamaan sähköpostiliikenteen suodatukseen?

Estolistat ovat yksi sähköpostin suodattamisessa apuna käytetty mekanismi, jolla torjutaan haitallisen sähköpostiliikenteen aiheuttamia käytettävyys- ja tietoturvaongelmia. Estolistalla tarkoitetaan tavallisesti tietokantaa verkko-osoitteista, jotka on todettu esimerkiksi sähköpostia lähettävän haittaohjelman saastuttamiksi tai avoimiksi sähköpostin välityspalvelimiksi.

Estolistoja voidaan käyttää joko sisältöpohjaisen suodatuksen apuna arvioitaessa viestien haitallisuutta tai estolistan perusteella voidaan kieltäytyä ottamasta viestiä välitettäväksi estolistalla olevasta järjestelmästä. Estolistoja käytetään yleisesti viestinnän suodattamisessa, sillä estolistojen käyttöönotto on yksinkertaista ja estolistat ovat tehokas keino tietyn haitallisen sähköpostiliikenteen torjumisessa.

Kun sähköpostijärjestelmä kieltäytyy ottamasta viestiä välitettäväksi, sähköpostipalvelin lähettää asiasta lähettäjälle protokollan mukaisen virheilmoituksen. Mikäli sähköpostijärjestelmä kieltäytyy estolistan perusteella ottamasta viestiä välitettäväksi, viestin sisältöä ei tarvitse analysoida tarkemmin eikä sähköpostijärjestelmän resursseja tarvitse tuhlata haitallisen sähköpostiliikenteen säilytykseen.

Sähköpostiviestin suoran estämisen lisäksi sähköpostijärjestelmä voi estolistan perusteella ainoastaan merkitä viestin haitalliseksi ja päästää tämän toimenpiteen jälkeen viestin eteenpäin. Näin vältytään väärien tulkintojen aiheuttamilta ongelmilta.

Sähköpostipalveluntarjoaja vastaa estolistan toiminnasta sekä soveltuvuudesta sähköpostiliikenteensä suodatukseen. Päätöksen käytettävän estolistan sopivuudesta sähköpostiliikenteen suodattamiseen tekee sähköpostipalveluntarjoaja. Koska estolistat ovat usein yksityisten tahojen ylläpitämiä ja saattavat muuttaa toimintatapojaan varsin nopeasti, yksityiskohtaista suositusta niistä estolistoista jotka soveltuvat teleyritysten käyttöön ei voida antaa. Yleisesti luotettavina voidaan kuitenkin pitää suurten palveluntarjoajien käyttämiä jo käyttöön vakiintuneita estolistoja, kuten Spamhausin SBL ja XBL.

Käytettäviä estolistoja valittaessa on syytä välttää estolistoja, joita ei suositella suurille palveluntarjoajille, estolistoja jossa listalle joutumisen perusteet ovat epäselvät sekä listoja jossa listalta poispääsyyn ei ole selkeitä menettelyjä. Osa tällaisista estolistoista soveltuu käytettäväksi lähinnä sisällönsuodatuksen apuna, jolloin sähköpostipalvelun käyttäjällä voi olla mahdollisuus säätää itse sähköpostiliikenteen suodatusmekanismia vastaanotettujen sähköpostien osalta.