21.9.2017

Mitä yritysten tulisi tietää Venäjän uudesta VPN-lainsäädännöstä?

Viime vuosina Venäjän viranomaiset ovat monin tavoin pyrkineet estämään Venäjällä oleskelevilta internetin käyttäjiltä pääsyn lainvastaisiin verkkosisältöihin. Marraskuun alusta lähtien uusi laki sulkee jälleen eräitä takaportteja, joiden kautta kieltoa on vielä voinut kiertää.

Uudet säännöt voivat hankaloittaa yritysten omien VPN-yhteyksien käyttöä kansainvälisissä yhtiöissä. Miten yritys sitten voi pitää VPN-yhteytensä avoinna, jos venäläiset työntekijät pyrkivät sen kautta verkossa valtion kieltämiin sisältöihin?

Yritysten VPN-yhteyksien pelätään tarjoavan takaportin lainvastaisiin sisältöihin

Monet verkkosisällöt ovat Venäjällä lainvastaisia ja kiellettyjä. Tällaisia sisältöjä ovat muun muassa sota- ja itsemurhapropaganda sekä ääri-ideologiset aineistot. Kiellosta seuraavat toimenpiteet vaihtelevat sen mukaan, millaisesta lainvastaisesta tiedosta on kyse, mutta lopputulos on aina sama: pääsyä tällaiselle verkkosivustolle rajoitetaan.

Venäjän viestintäviranomainen Roskomnadzor ylläpitää luetteloa verkkosivustoista ja niiden verkko-osoitteista ja edellyttää, että verkkosivustojen omistajat ja hosting-palveluntarjoajat estävät pääsyn lainvastaisiin sisältöihin. Jos ne laiminlyövät tätä velvollisuuttaan, kaikkien venäläisten internet-palveluntarjoajien (ISP) on estettävä asiakkaidensa pääsy kiellettyihin sisältöihin. Estoa voidaan helposti kiertää, jos käyttäjä vierailee verkkosivustolla muun kuin venäläisen palveluntarjoajan kautta.

Verkossa tarjottavista kaupallisista VPN-palveluista tulee siis rikoksentekovälineitä, joiden avulla venäläiset voivat ohjata verkkoliikenteensä kulkemaan Venäjän rajojen ulkopuolella sijaitsevien exit node ‑reitittimien kautta. Yritysten yksityiset VPN-yhteydet toimivat samalla tavalla, mutta käyttötarkoitus on toinen: niillä varmistetaan suojatut yhteydet yrityksen sisäisen verkon eri osien välillä.

Lopputulos on joka tapauksessa se, että Venäjällä asuvilla kansainvälisten yritysten työntekijöillä on pääsy sensuroimattomaan internetiin työnantajansa tietokoneilla.

Uusi lainsäädäntö estää pääsyn lainvastaisiin sisältöihin

Venäjän presidentti allekirjoitti 29.7.2017 lain tietotekniikkaa koskevan lainsäädännön muuttamisesta.[1] Siinä säädetään muun muassa, että Venäjällä kiellettyihin verkkoihin ja sisältöihin pääsemiseen käytetyt tieto- ja tietoliikenneverkkojen ja/tai tietovarantojen omistajat eivät saa sallia, että heidän omistamiaan tietovarantoja ja verkkoja hyödynnetään Venäjällä kiellettyihin tietovarantoihin ja verkkoihin pääsemiseksi.

Laki koskee sekä yksityisille käyttäjille tarkoitettuja kaupallisia VPN-palveluita että yritysten sisäisiä VPN-ratkaisuja.

Lakimuutoksen mukaan tieto- ja tietoliikenneverkkojen ja/tai tietovarantojen omistajan (toisin sanoen VPN-palveluntarjoajan) on liityttävä Venäjän federaation tietokantaan, jossa on luettelo tietovarannoista ja verkoista, joihin pääsyä Venäjällä on rajoitettu.

Valtion tietokantaa ylläpitää Roskomnadzor, ja se suodattaa pois kaikki sensuroidut sisällöt. Ellei lainsäädäntöä noudateta, Roskomnadzor voi estää venäläisten internet-palveluntarjoajien asiakkailta VPN-yhteyden käytön. Kiellettyihin aineistoihin pääsyä koskeva kielto kohdistuu tällä hetkellä ensisijaisesti kaupallisesti saataviin VPN-yhteyksiin, mutta lain kirjaimellisen tulkinnan mukaan sitä sovelletaan myös yritysten sisäisiin verkkoihin. Tästä syystä uudessa laissa säädetään kahdesta poikkeuksesta.

Poikkeukset VPN-yhteyksiä koskeviin rajoituksiin

Kiellettyihin aineistoihin pääsyä koskevaa kieltoa ei sovelleta valtion ja kuntien verkkoihin eikä tilanteisiin, joissa seuraavat kaksi edellytystä täyttyvät:

1) Venäjällä kiellettyihin sisältöihin pääsyn mahdollistavan VPN-yhteyden käyttäjät on määritelty etukäteen

2) VPN-yhteyttä käyttävä henkilö käyttää sitä tukitoimintoihinsa liittyviin teknisiin tarkoituksiin.

Näitä kahta edellytystä ei käsitellä lainsäädännössä tarkemmin, mikä jättää niihin tulkinnanvaraa.

On siis selvää, että täyttääkseen ensimmäisen ehdon VPN-yhteyden omistajan tulisi laatia luettelo kaikista VPN-yhteyttä käyttävistä työntekijöistään Venäjällä. Yleisen venäläisen liiketoimintakäytännön mukaan luettelo on laadittava kirjallisesti ja yhtiön toimitusjohtajan on allekirjoitettava se. Jos kyse on konsernista, voi kuitenkin olla vaikeaa määrittää, minkä konserniin kuuluvista yhtiöistä pitäisi laatia kyseinen luettelo.

Venäjän tietotekniikkalainsäädännössä ei tehdä eroa emoyhtiön (joka yleensä omistaa VPN-järjestelmän) ja sen tytäryhtiöiden ja osakkuusyhteisöjen (joiden työntekijät käyttävät yrityksen sisäistä VPN-järjestelmää) välillä. Toinen huomioitava seikka ovat vierasverkot, jotka saattavat käyttää samaa VPN-yhteyttä kuin yrityksen oma verkko. Jos näin on, yrityksen tulisi lainsäädännön vaatimukset täyttääkseen laatia luettelo myös vierasverkkoa käyttävistä vierailijoistaan.

Mitä toiseen ehtoon tulee, ”teknisten tarkoitusten” tosiasiallinen ulottuvuus ja rajanveto jäävät hämäriksi. Yhtiön tulisi jotenkin varmistaa, etteivät sen Venäjällä toimivat työntekijät käytä VPN-yhteyttä mihinkään muuhun kuin ”teknisiin tarkoituksiin”. On myös epäselvää, tarkoitetaanko uudessa laissa viitatulla ”VPN-yhteyttä käyttävällä henkilöllä” työntekijää vai yhtiötä. Mitä ”teknisillä tarkoituksilla” sitten tarkoitetaankin, varmaa on, että ne eivät koske työntekijöiden henkilökohtaisia tarpeita.

Kansainvälisten yritysten on kiellettävä VPN-yhteyksiensä yksityiskäyttö

Mitä kansainvälisten yhtiöiden venäläisten tytäryhtiöiden sitten kannattaisi tehdä? Venäläisen liiketoimintakäytännön perusteella toteuttamiskelpoisin ratkaisu olisi muuttaa paikallista IT-ohjeistusta tai ottaa käyttöön erillinen VPN-ohjeistus, jossa työntekijöitä kielletään käyttämästä yrityksen VPN-yhteyttä ja VPN-verkkoon yhdistettyjä yhtiön tietokonejärjestelmiä henkilökohtaisiin tarkoituksiin ja käyttämästä niitä millään tavalla Venäjän lakien kiertämiseen. Tällaisten ohjeistusten muuttaminen ja käyttöönotto on tehtävä Venäjän federaation työlainsäädännössä säädetyn menettelyn mukaisesti.

Se, ovatko nämä toimenpiteet riittäviä, selviää vasta sitten, kun lakimuutos on tullut voimaan ja Roskomnadzor alkaa valvoa sen noudattamista. Siksi on tärkeää seurata, mihin toimiin Roskomnadzor asiassa seuraavaksi ryhtyy.

Uusimmat referenssit

Avustimme Valio Oy:tä sen ostaessa Raisio Oyj:n kasviproteiiniliiketoiminnan, siihen liittyvän käyttöomaisuuden ja Härkis®- ja Beanit®-härkäpapubrändit. Käyttöomaisuuteen kuuluvat muun muassa kasviproteiinituotteita Kauhavalla valmistavan tehtaan laitteet. Kauppa tukee Valion strategiaa kasvaa meijeriyhtiöstä ruokataloksi. Tämä liiketoimintakauppa tekee meistä entistäkin merkittävämmän kasvipohjaisten proteiinituotteiden kehittäjän ja valmistajan. Näiden tuotteiden kysyntä kasvaa pitkällä aikavälillä ja kasvupotentiaalia on vielä paljon. Vuonna 2022 ostimme Gold&Green® -liiketoiminnan ja siitä lähtien olemme tehneet vahvaa tuotekehitystä sekä uudistaneet brändiä. Myynti on kasvanut onnistuneiden tuotelanseerauksien myötä vuoden 2024 viimeisellä neljänneksellä noin 50 % edelliseen verrattuna. Tällä kaupalla rakennamme omaa tuotantokyvykkyyttä. Kauhavan tehtaan tuotantovälineet sopivat juuri meidän tarpeeseemme ja tilanteeseemme Valion liiketoimintajohtaja Kimmo Luoma sanoo. Valio on vuonna 1905 perustettu suomalainen meijeri ja ruokatalo, jonka omistajia ovat suomalaiset maidontuottajaosuuskunnat. Valiolla on tytäryhtiöt Ruotsissa, Virossa, Yhdysvalloissa ja Kiinassa. Konsernin liikevaihto vuonna 2023 oli 2 278 miljoonaa euroa, ja sillä on yli 4 000 työntekijää.
Julkaistu 14.2.2025
Avustimme WithSecure Oyj:tä sen myydessä kyberturvallisuuskonsultointiliiketoimintansa Neqstille. WithSecure Oyj on listattu NASDAQ OMX Helsingissä. Neqst on ruotsalainen sijoitusyhtiö, joka keskittyy teknologiayrityksiin. Kaupan toteutuminen edellyttää vielä tavanomaisten ehtojen täyttymistä ja viranomaishyväksyntöjä.
Julkaistu 24.1.2025
Avustimme Smarter Contracts Ltd:tä prosessissa, jossa Liikenne- ja viestintävirasto Traficom vahvisti sen EU:n tunnustamaksi datan välityspalveluksi. EU:n ulkopuolisten yritysten on nimettävä laillinen edustaja johonkin EU-maahan, jotta ne voivat tarjota datan välityspalveluja datanhallinta-asetuksen mukaisesti. Smarter Contracts sijaitsee Isossa-Britanniassa ja valitsi tehtävään Suomen. Smarter Contracts on ensimmäinen Traficomin rekisteröimä EU:n ulkopuolinen datan välityspalvelu. Smarter Contractsin perustaja ja toimitusjohtaja Wayne Lloyd:  Castrénin tiimin tuki oli poikkeuksellista alusta loppuun. Uuden alueen valloitus on aina haastavaa, ja ensimmäisenä EU:n ulkopuolisena datan välityspalvelun tarjoajana kohtasimme merkittäviä oikeudellisia epävarmuuksia. Näistä haasteista huolimatta Castrénin tiimi ohjasi meitä asiantuntevasti jokaisessa vaiheessa huomattavalla tehokkuudella, tarjoten meille tarvittavaa varmuutta. Smarter Contracts tarjoaa kehittyneitä suostumus- ja käyttöoikeuksien hallintapalveluita kehittämänsä Pulse Permissions Protocol® -työkalun avulla. Tämä merkkipaalu on osoitus Castrén & Snellmanin taidosta hallita monimutkaisia sääntely-ympäristöjä ja Smarter Contractsin innovatiivisesta lähestymistavasta turvalliseen ja vaatimustenmukaiseen tietojen hallintaan.
Julkaistu 11.12.2024
Avustimme Pharmaca Health Intelligencea sen ostaessa Mediaattori Oy:n PODIUM Connect®- ja PODIUM Vierailut -liiketoiminnat. Liiketoimintakaupan myötä Pharmaca Health Intelligence vahvistaa palvelutarjontaansa sekä terveydenhuollon edustajille että lääkeyrityksille. Palvelutarjontaan kuuluu laajasti lääketiedon, tiedolla johtamisen ja koulutuksen palveluita. Pharmaca Health Intelligence on digitaalisen lääketiedon edelläkävijä sekä hyvinvointialueiden, yksityisen terveyspalvelusektorin ja apteekkien luotettava yhteistyötahona. Yhtiö panostaa lääkeinformaatioon liittyvien teknologia- ja palveluratkaisujen kehittämiseen myös kansainvälisesti.
Julkaistu 5.12.2024