Mitä tarkoittaa tietoturvan luottamuksellisuus?

TietoturvakonsulttiLauri Jurvanen Päivitetty
Luottamuksellisuus - mitä tarkoittaa tietoturvan luottamuksellisuus - Tietoturvakonsultti Lauri Jurvanen vastaa

Tietoturva on olennainen osa nykypäivän digitaalista liiketoimintaympäristöä, jossa yritykset ovat enenevässä määrin riippuvaisia teknologiasta ja tietoverkoista.

Tässä artikkelissa keskitymme tarkastelemaan yhtä tietoturvan tärkeimmistä osatekijöistä eli luottamuksellisuutta. Kerromme myös, miten sitä tulee noudattaa erityisesti tuotantoyrityksen OT-verkossa.

Tietoturvan luottamuksellisuuden määritelmä

Tietoturvan luottamuksellisuus tarkoittaa tietojen suojaamista luvattomalta pääsyltä tai paljastamiselta. Se on yksi tietoturvan kolmesta peruspilarista, joihin kuuluvat luottamuksellisuuden (Confidentiality) lisäksi eheys (Integrity) ja saatavuus (Availability). Nämä tunnetaan yhdessä CIA-mallina. Luottamuksellisuudella taataan, että vain valtuutetut henkilöt pääsevät käsiksi arkaluonteisiin tietoihin.

Tietoturvan luottamuksellisuuden keskeinen tavoite on suojata arkaluonteisia ja arvokkaita tietoja joutumasta vääriin käsiin. Kyseeseen voivat tulla esimerkiksi henkilökohtaiset tiedot, yrityssalaisuudet, liikesuunnitelmat tai asiakastiedot. Tämä tavoite saavutetaan käyttämällä erilaisia suojamekanismeja, kuten salausmenetelmiä, käyttöoikeuksien hallintaa ja tunnistautumisprosesseja.

Miten luottamuksellisuusperiaatetta tulee noudattaa tuotantoyrityksen OT-verkossa?

Tietoturvan luottamuksellisuuden periaatteen noudattaminen on ehdottoman keskeistä tuotantoverkoissa. Nämä verkot ovat tuotantoyritysten päivittäisessä toiminnassa välttämättömiä, koska ne mahdollistavat kriittisten teollisten prosessien hallinnan ja valvonnan. Näissä verkoissa liikkuu usein strategisesti tärkeitä tietoja, jotka voivat liittyä esimerkiksi tuotannon laatuun, tehokkuuteen tai turvallisuuteen. Tämän tyyppisten tietojen luvaton paljastaminen tai häirintä voisi aiheuttaa vakavia vahinkoja yritykselle, mukaan lukien tuotantokatkoksia, taloudellisia tappioita tai mainehaittaa.

Ota yhteyttä, niin laitetaan tuotantoverkon asiat kuntoon

Käyttäjän tunnistautuminen ja oikeuksienhallinta

Luottamuksellisuuden varmistaminen OT-verkoissa vaatii erityisen tarkan huomion kiinnittämistä käyttäjän tunnistautumiseen ja oikeuksienhallintaan. On tärkeää, että jokaisella käyttäjällä on yksilölliset tunnistetiedot, ja pääsy tietoihin tulisi rajoittaa vain niihin, jotka kyseisiä tietoja tarvitsevat. Tämä tarkoittaa, että käyttöoikeudet tulee räätälöidä käyttäjäkohtaisesti ja yleiset tai jaetut käyttöoikeudet tulee minimoida. Käyttöoikeuksien valvonta ja seuranta ovat myös tärkeitä toimenpiteitä, jotta voidaan tunnistaa mahdolliset luvattomat käyttöyritykset tai väärinkäytökset.

Tehokas salaus

OT-verkkojen tiedon suojauksessa on tärkeää käyttää tehokkaita salaustekniikoita, erityisesti silloin, kun tieto liikkuu julkisen verkon yli. Salausmenetelmät muuntavat tiedon lukukelvottomaksi, ellei käytössä ole oikeaa avainta. Tämä tarkoittaa, että vaikka tieto päätyisi vääriin käsiin, se ei olisi luettavissa ilman oikeaa salausavainta. Salaus on erityisen tärkeää langattomissa yhteyksissä, jotka ovat usein haavoittuvaisempia hyökkäyksille.

Tiedon salaus tehdään yleensä VPN-protokollan avulla. Tällöin tieto pakataan putkeen tai tunneliin, jossa on vahva tunnistus, salaus ja autentikointi.

Verkon segmentointi

Verkon segmentointi on tehokas tapa vahvistaa OT-verkkojen luottamuksellisuutta. Segmentoinnilla tarkoitetaan verkon jakamista erillisiin osiin tai segmentteihin, joilla jokaisella on omat turvallisuusparametrinsa ja pääsynvalvontansa. Tämä tarkoittaa käytännössä sitä, että jos hyökkääjä pääsee läpi yhdestä pisteestä, hän ei pääse automaattisesti kaikkiin verkon osiin. Verkon segmentointi auttaa siis rajoittamaan mahdollisten tietoturvaloukkausten laajuutta ja vaikutusta.

Säännöllinen tietoturva-auditointi

Lopuksi tietoturvan luottamuksellisuuden ylläpitäminen OT-verkoissa vaatii säännöllistä tietoturvan auditointia ja valvontaa. Järjestelmän ja verkon jatkuva seuranta auttaa havaitsemaan mahdolliset epätavalliset tai luvattomat toimet ajoissa. Lisäksi on suositeltavaa suorittaa rutiininomaisia tietoturvatarkastuksia, joilla varmistetaan, että kaikki järjestelmät ovat ajan tasalla ja että parhaita tietoturvakäytäntöjä noudatetaan jatkuvasti. Tähän voi sisältyä myös tietoturvakoulutuksen järjestäminen henkilöstölle, jotta tietoturvariskit ymmärretään ja toimitaan tietoturvaperiaatteiden mukaisesti.

Yhteenveto

Yhteenvetona todettakoon, että tietoturvan luottamuksellisuus on elintärkeä osa yrityksen tietoturvastrategiaa. Tämä periaate vaatii jatkuvaa huomiota ja aktiivista ylläpitoa, jotta yrityksen arvokkaimmat tiedot pysyvät turvassa. OT-verkoissa tietoturvan luottamuksellisuuden periaatteen noudattaminen auttaa suojautumaan monilta mahdollisilta uhilta. Se on välttämätön osa tuotantoyrityksen tietoturvakäytäntöjä.

Usein kysyttyä

Mitä tarkoittaa luottamuksellisuus henkilötietojen käsittelyssä?

Luottamuksellisuus henkilötietojen käsittelyssä tarkoittaa, että tietoja käsitellään turvallisesti ja yksityisesti. Tällöin sitoudutaan pitämään kerätyt tiedot salassa ja käyttämään niitä ainoastaan sovittuihin tarkoituksiin. Järjestelmien ja prosessien tulee olla suunniteltu niin, että tietoihin pääsevät käsiksi vain ne henkilöt, jotka niitä tarvitsevat ja joilla on niihin oikeus. Luottamuksellisuus ulottuu kuitenkin tätä pidemmälle, koska siihen sisältyy myös tietojen suojaus vahingossa tapahtuvalta paljastumiselta tai väärintulkinnoilta.

Mikä on tietosuojan ja tietoturvan ero?

Tietosuoja ja tietoturva käsittävät molemmat tärkeitä aspekteja tiedon käsittelyssä, mutta ne viittaavat eri seikkoihin ja niillä on eri painotukset. Kun ymmärrät tietosuojan ja tietoturvan eroavuudet, voit suojata paremmin organisaatiosi tietoja ja varmistaa, että noudatat asianmukaisia lakeja ja säädöksiä.

Tietosuoja

Tietosuoja viittaa yksilöiden oikeuksiin ja vaatimuksiin liittyen heidän henkilökohtaisten tietojensa käsittelyyn. Tietosuojan keskeisenä tavoitteena on suojata ihmisten yksityisyyttä – erityisesti silloin, kun heidän henkilötietojaan kerätään, tallennetaan, käsitellään tai jaetaan. Tietosuoja pitää sisällään myös velvoitteita siitä, kuinka organisaatiot ja järjestelmät keräävät, tallentavat ja käsittelevät henkilötietoja. Tietosuojalait, kuten Euroopan unionin yleinen tietosuoja-asetus (GDPR), asettavat tiukat vaatimukset henkilötietojen käsittelylle.

Tietoturva

Tietoturva käsittää toimenpiteitä ja protokollia, jotka suojaavat tietoja kaikentyyppisiltä uhilta. Tietoturvalla pyritään varmistamaan tiedon saatavuus, eheys ja luottamuksellisuus. Tietoturvamekanismeja voidaan kohdentaa sekä fyysisiin että digitaalisiin järjestelmiin ja näillä mekanismeilla pyritään suojaamaan järjestelmiä vahingoilta, väärinkäytöltä ja luvattomalta pääsyltä. Tietoturva sisältää toimenpiteitä, joita voivat olla esimerkiksi palomuuri tai palomuuripalvelu, salaus, virustorjuntaohjelmistot ja pääsynhallinta.