What does information security confidentiality mean?

Information security consultantLauri Jurvanen Päivitetty
Confidentiality - what is confidentiality in information security - Security consultant Lauri Jurvanen answers

Information security is an essential part of today's digital business environment, where companies are increasingly dependent on technology and networks.

Tässä artikkelissa keskitymme tarkastelemaan yhtä tietoturvan tärkeimmistä osatekijöistä eli luottamuksellisuutta. Kerromme myös, miten sitä tulee noudattaa erityisesti tuotantoyrityksen OT-verkossa.

Tietoturvan luottamuksellisuuden määritelmä

Data confidentiality means protecting data from unauthorized access or disclosure. It is one of the three pillars of information security, which in addition to confidentiality include eheys (Integrity) and Availability (Availability). Nämä tunnetaan yhdessä CIA-mallina. Luottamuksellisuudella taataan, että vain valtuutetut henkilöt pääsevät käsiksi arkaluonteisiin tietoihin.

Tietoturvan luottamuksellisuuden keskeinen tavoite on suojata arkaluonteisia ja arvokkaita tietoja joutumasta vääriin käsiin. Kyseeseen voivat tulla esimerkiksi henkilökohtaiset tiedot, yrityssalaisuudet, liikesuunnitelmat tai asiakastiedot. Tämä tavoite saavutetaan käyttämällä erilaisia suojamekanismeja, kuten salausmenetelmiä, käyttöoikeuksien hallintaa ja tunnistautumisprosesseja.

Miten luottamuksellisuusperiaatetta tulee noudattaa tuotantoyrityksen OT-verkossa?

Tietoturvan luottamuksellisuuden periaatteen noudattaminen on ehdottoman keskeistä tuotantoverkoissa. Nämä verkot ovat tuotantoyritysten päivittäisessä toiminnassa välttämättömiä, koska ne mahdollistavat kriittisten teollisten prosessien hallinnan ja valvonnan. Näissä verkoissa liikkuu usein strategisesti tärkeitä tietoja, jotka voivat liittyä esimerkiksi tuotannon laatuun, tehokkuuteen tai turvallisuuteen. Tämän tyyppisten tietojen luvaton paljastaminen tai häirintä voisi aiheuttaa vakavia vahinkoja yritykselle, mukaan lukien tuotantokatkoksia, taloudellisia tappioita tai mainehaittaa.

Give us a call, then let's fix things in the production network

User authentication and rights management

Luottamuksellisuuden varmistaminen OT-verkoissa vaatii erityisen tarkan huomion kiinnittämistä käyttäjän tunnistautumiseen ja oikeuksienhallintaan. On tärkeää, että jokaisella käyttäjällä on yksilölliset tunnistetiedot, ja pääsy tietoihin tulisi rajoittaa vain niihin, jotka kyseisiä tietoja tarvitsevat. Tämä tarkoittaa, että käyttöoikeudet tulee räätälöidä käyttäjäkohtaisesti ja yleiset tai jaetut käyttöoikeudet tulee minimoida. Käyttöoikeuksien valvonta ja seuranta ovat myös tärkeitä toimenpiteitä, jotta voidaan tunnistaa mahdolliset luvattomat käyttöyritykset tai väärinkäytökset.

Tehokas salaus

OT-verkkojen tiedon suojauksessa on tärkeää käyttää tehokkaita salaustekniikoita, erityisesti silloin, kun tieto liikkuu julkisen verkon yli. Salausmenetelmät muuntavat tiedon lukukelvottomaksi, ellei käytössä ole oikeaa avainta. Tämä tarkoittaa, että vaikka tieto päätyisi vääriin käsiin, se ei olisi luettavissa ilman oikeaa salausavainta. Salaus on erityisen tärkeää langattomissa yhteyksissä, jotka ovat usein haavoittuvaisempia hyökkäyksille.

Data encryption is usually done using a VPN protocol. In this case, the data is packed into a pipe or tunnel with strong authentication, encryption and authentication.

Network segmentation

Network segmentation is an effective way to strengthen OT networks confidentiality. Segmentation refers to the division of a network into separate parts or segments, each with its own security parameters and access controls. In practice, this means that if an attacker gets through at one point, he will not automatically gain access to all parts of the network. Network segmentation therefore helps to limit the scope and impact of potential security breaches.

Regular security audits

Lopuksi tietoturvan luottamuksellisuuden ylläpitäminen OT-verkoissa vaatii säännöllistä tietoturvan auditointia ja valvontaa. Järjestelmän ja verkon jatkuva seuranta auttaa havaitsemaan mahdolliset epätavalliset tai luvattomat toimet ajoissa. Lisäksi on suositeltavaa suorittaa rutiininomaisia tietoturvatarkastuksia, joilla varmistetaan, että kaikki järjestelmät ovat ajan tasalla ja että parhaita tietoturvakäytäntöjä noudatetaan jatkuvasti. Tähän voi sisältyä myös tietoturvakoulutuksen järjestäminen henkilöstölle, jotta tietoturvariskit ymmärretään ja toimitaan tietoturvaperiaatteiden mukaisesti.

Summary

Yhteenvetona todettakoon, että tietoturvan luottamuksellisuus on elintärkeä osa yrityksen tietoturvastrategiaa. Tämä periaate vaatii jatkuvaa huomiota ja aktiivista ylläpitoa, jotta yrityksen arvokkaimmat tiedot pysyvät turvassa. OT-verkoissa tietoturvan luottamuksellisuuden periaatteen noudattaminen auttaa suojautumaan monilta mahdollisilta uhilta. Se on välttämätön osa tuotantoyrityksen tietoturvakäytäntöjä.

Frequently asked

Mitä tarkoittaa luottamuksellisuus henkilötietojen käsittelyssä?

Luottamuksellisuus henkilötietojen käsittelyssä tarkoittaa, että tietoja käsitellään turvallisesti ja yksityisesti. Tällöin sitoudutaan pitämään kerätyt tiedot salassa ja käyttämään niitä ainoastaan sovittuihin tarkoituksiin. Järjestelmien ja prosessien tulee olla suunniteltu niin, että tietoihin pääsevät käsiksi vain ne henkilöt, jotka niitä tarvitsevat ja joilla on niihin oikeus. Luottamuksellisuus ulottuu kuitenkin tätä pidemmälle, koska siihen sisältyy myös tietojen suojaus vahingossa tapahtuvalta paljastumiselta tai väärintulkinnoilta.

What is the difference between data protection and data security?

Tietosuoja ja tietoturva käsittävät molemmat tärkeitä aspekteja tiedon käsittelyssä, mutta ne viittaavat eri seikkoihin ja niillä on eri painotukset. Kun ymmärrät tietosuojan ja tietoturvan eroavuudet, voit suojata paremmin organisaatiosi tietoja ja varmistaa, että noudatat asianmukaisia lakeja ja säädöksiä.

Data protection

Tietosuoja viittaa yksilöiden oikeuksiin ja vaatimuksiin liittyen heidän henkilökohtaisten tietojensa käsittelyyn. Tietosuojan keskeisenä tavoitteena on suojata ihmisten yksityisyyttä – erityisesti silloin, kun heidän henkilötietojaan kerätään, tallennetaan, käsitellään tai jaetaan. Tietosuoja pitää sisällään myös velvoitteita siitä, kuinka organisaatiot ja järjestelmät keräävät, tallentavat ja käsittelevät henkilötietoja. Tietosuojalait, kuten Euroopan unionin yleinen tietosuoja-asetus (GDPR), asettavat tiukat vaatimukset henkilötietojen käsittelylle.

Information security

Tietoturva käsittää toimenpiteitä ja protokollia, jotka suojaavat tietoja kaikentyyppisiltä uhilta. Tietoturvalla pyritään varmistamaan tiedon saatavuus, eheys ja luottamuksellisuus. Tietoturvamekanismeja voidaan kohdentaa sekä fyysisiin että digitaalisiin järjestelmiin ja näillä mekanismeilla pyritään suojaamaan järjestelmiä vahingoilta, väärinkäytöltä ja luvattomalta pääsyltä. Tietoturva sisältää toimenpiteitä, joita voivat olla esimerkiksi palomuuri tai firewall service, encryption, antivirus software and access management.