Mitä on fyysinen tietoturva?
Tässä artikkelissa tutustumme fyysisen tietoturvallisuuden merkitykseen, uhkiin ja niihin keinoihin, joilla tietoja voidaan suojata fyysisiltä riskeiltä. Käymme läpi niin tilojen suunnittelun, turvallisuusjärjestelmien käytön kuin henkilöstön roolinkin tärkeyden kokonaisvaltaisen tietoturvallisuuden toteutuksessa.
Artikkelin tavoitteena on lisätä ymmärrystä siitä, kuinka fyysinen turvallisuus liittyy osana tuotantolaitoksen tietoturvakokonaisuutta, ja miten sitä voidaan tehokkaasti parantaa.
Fyysinen tietoturva määritelmä
Fyysinen tietoturvallisuus pitää sisällään kaikki ne keinot, joilla organisaation tärkeää tietoa suojataan fyysisiltä uhilta. Perustan muodostavat tiedon käsittely- ja säilytystiloja suojaavat ympäröivät fyysiset rakenteet sekä esimerkiksi tarvittavat näkösuojat ja äänieristykset sekä kulunvalvonta.
Mitä on fyysinen turvallisuus?
Fyysinen turvallisuus on yksi tietoturvan kolmesta keskeisestä osa-alueesta hallinnollisen ja teknisen tietoturvan lisäksi. Tietoturvan yleisenä päätavoitteena on tietojen luottamuksellisuuden, saatavuuden ja eheyden varmistaminen. Fyysinen tietoturvallisuuden vastuulla on tuotanto- ja työtilojen sekä niissä sijaitsevien laitteiden, fyysisen dokumentaation ja tietojärjestelmien suojaaminen eri tyyppisiä fyysisiä uhkia vastaan.
Fyysisen turvallisuuden riskit voivat olla esimerkiksi tulipaloja, sähkö- ja vesivahinkoja sekä varkauksia, väärinkäytöksiä ja ilkivaltatapauksia. Näiden torjumiseksi fyysisen turvallisuuden keinot on suunniteltu estämään luvaton fyysinen pääsy tietoverkkoihin, laitteisiin ja muuhun fyysiseen materiaaliin, kuten työasemiin, palvelimiin, verkkokytkimiin ja printattuihin yrityksen dokumentteihin.
Tilojen tietoturvallisuuden suojatoimenpiteet ja niiden laajuus pohjautuvat hallinnollisen tietoturvallisuuden asettamiin tavoitteisiin, riskiarviointeihin, eri organisaatioiden välisiin sopimuksiin sekä lainsäädäntöön. Erityisen tärkeää tämä on, kun kyseessä on viranomaisen luokitteleman tiedon suojaaminen.
Fyysisen tietoturvallisuuden näkökulmasta on ensiarvoisen tärkeää laatia huolelliset riskiarvioinnit, sillä toimitilojen sijainnilla ja suunnittelulla on suuri merkitys sille, miten suojaustoimet voidaan tai tulee järjestää. Esimerkiksi toimitilojen sijaintikerros, rakennuksen muut toimijat, muiden organisaatioiden mahdolliset poistumisreitit tilojen läpi sekä tilojen seinä-, lattia- ja kattorakenteet voivat vaikuttaa merkittävästi turvallisuusjärjestelyihin.
Ota yhteyttä, niin laitetaan tuotantoverkon asiat kuntoon
Mitä fyysinen tietoturvallisuus sisältää?
Fyysinen tietoturvallisuus sisältää toimenpiteitä, joiden avulla tärkeitä tietoja suojellaan erilaisilta fyysisiltä vaaroilta. Näitä suojaustoimenpiteitä ovat esimerkiksi tiedon käsittely- ja säilytystilojen fyysiset rakenteet, näkösuojaukset, äänieristys sekä sähköiset turvallisuusjärjestelmät, kuten kameravalvonta, kulunvalvonta, hälytysjärjestelmät sekä lukitus- ja paloilmaisujärjestelmät. Lisäksi vartiointipalvelut voivat olla osa fyysistä tietoturvaa. On tärkeää, että näiden järjestelmien käyttö ja laajuus perustuvat riskiarviointiin, jotta voidaan varmistaa, että suojatoimenpiteet ovat asianmukaiset suhteessa tunnistettuihin riskeihin.
Tietoturvaratkaisut työasemiin
Tietoturvakriittisten työasemien fyysinen suojelu on välttämätöntä organisaation tietovarantojen ja -järjestelmien turvaamiseksi. Siihen on olemassa monia eri keinoja.
Fyysinen este
Työasemat voidaan sijoittaa lukittaviin kaappeihin tai häkkeihin, jotka estävät pääsyn laitteisiin. Nämä rakenteet on suunniteltu siten, että ilmanvaihto ja jäähdytys toimivat, mutta laitteisiin käsiksi pääseminen on vaikeutettu.
Porttien lukitus
USB-portit ja muut liitäntäpisteet voidaan mekaanisesti lukita tai suojata erityisillä estolaitteilla, jotka estävät ulkopuolisten laitteiden liittämisen.
BIOS-tason rajoitukset
Työasemien BIOS-asetuksissa voidaan asettaa rajoituksia sille, mitkä laitteet voivat käynnistyä. Kuitenkin jo USB-tikkujen tai muiden ulkoisten laitteiden käynnistämisen esto vähentää riskiä haittaohjelmien lataamisesta.
Vahdit ja kameravalvonta
Strategisesti sijoitetut valvontakamerat ja vahdit voivat pelottaa mahdollisia hyökkääjiä ja tarjota lisäsuojaa kriittisille alueille.
Turva-alueet
On suositeltavaa määritellä suojattaville tiloille erilliset turva-alueet tai -vyöhykkeet, jotka auttavat toteuttamaan tehokkaan suojauksen. Tällaisen kehämäisen suojauksen ytimessä on yleensä kaikkein tärkein suojattava alue, esimerkiksi palvelinkeskus tai tila, jossa säilytetään luokiteltua tietoa.
Turva-alueiden rajat tulisi suojata paitsi kiinteillä esteillä, kuten seinillä, myös esimerkiksi kulunvalvonta- tai lukitusjärjestelmien avulla. Näin voidaan varmistaa, että tiloihin pääsevät vain ne henkilöt, joilla on todellinen tarve pääsyyn. Tämä auttaa estämään ilkivallan, vahingot ja väärinkäytökset, ja lisäksi rajojen olemassaolo helpottaa mahdollisten poikkeamien, rikosten tai väärinkäytösten selvittämistä.
Kulunhallinta
Avainten ja kulkutunnisteiden hallinta on erittäin tärkeää kulun- ja pääsynhallinnassa, sillä vaikka ovi olisi kuinka vahva tahansa, se avautuu helposti oikealla avaimella. Tämän vuoksi kriittisiin tiloihin pääsyyn saatetaan vaatia, avaimen tai tunnisteen lisäksi, koodin syöttäminen.
On mahdollista, että tuotanto- ja toimitiloille on määriteltävä tiettyjä vierailukäytäntöjä riskiarviointien perusteella. Vierailijoiden hallinta on olennainen osa fyysistä tietoturvallisuutta ja sen avulla voidaan vähentää tietorikosten ja ilkivallan todennäköisyyttä. Vierailijakäytäntöihin voi kuulua esimerkiksi vieraiden vastaanotto tietyssä tilassa, saattaminen tiloissa, vierailijakortit ja vieraiden kirjaaminen.
Suojautuminen olosuhteilta
Fyysinen turvallisuus sisältää myös suojautumisen erilaisilta olosuhteilta, kuten tulipaloilta, vesivahingoilta ja sähkövaurioilta. Tämä voidaan toteuttaa esimerkiksi riittävän ilmanvaihdon, palokuorman vähentämisen, palonilmaisu- ja sammutusjärjestelmien sekä katkottoman sähkönsyötön avulla. Tärkeää on valita kullekin tilalle ja tarkoitukselle sopivat ratkaisut. Rakennusautomaatiojärjestelmillä, kuten lämpötilan ja kosteuden säätelyllä, on myös merkittävä rooli fyysisen tietoturvallisuuden ylläpitämisessä palvelintiloissa.
Katso video: Physical Security Part 1: Intro and Site Barriers
Miten fyysinen tietoturva toteutetaan tuotantoyrityksen OT-verkossa?
Tuotantoyrityksen OT-verkko fyysinen tietoturva on erityisen tärkeää. Näissä verkoissa hallintaan kriittisiä prosesseja, jotka vaikuttavat tuotantolaitoksen turvallisuuteen ja tuotantotehokkuuteen.
Fyysisen tietoturvan toteuttaminen OT-verkossa edellyttää useita vaiheita:
- Riskiarviointi: Ensimmäinen askel on tunnistaa potentiaaliset fyysiset uhkat ja arvioida niiden vaikutus yrityksen toimintaan.
- Fyysisen tietoturvan suunnittelu: Tähän sisältyy turvajärjestelmien ja -prosessien suunnittelu, jotka vastaavat tunnistettuihin riskeihin.
- Toteutus: Tämä vaihe sisältää valittujen turvaratkaisujen asentamisen ja käyttöönoton.
- Ylläpito ja valvonta: Turvajärjestelmät ja -prosessit tulee valvoa ja ylläpitää varmistaakseen niiden tehokkuuden pitkällä aikavälillä.
- Jatkuva parantaminen: Fyysistä tietoturvaa on arvioitava ja parannettava jatkuvasti uusien uhkien ja muuttuvien olosuhteiden mukaan.
Tärkeää on myös ymmärtää, että fyysinen tietoturva on osa kokonaisvaltaista tietoturvaratkaisua, joka sisältää myös teknisen ja hallinnollisen tietoturvan. Niiden kaikkien tulee toimia yhdessä, jotta yrityksen tietoturva olisi mahdollisimman kattava ja tehokas.
Johtopäätös
Fyysinen tietoturva on olennainen osa organisaation tietoturvakokonaisuutta. Se ilmenee yrityksen arkipäiväisissä toimissa, jotka auttavat suojaamaan organisaation tietoa. Pienet teot, kuten työaseman lukitseminen työpisteeltä poistuttaessa, ”puhdas pöytä” -periaatteen noudattaminen, kannettavan tietokoneen turvallinen säilyttäminen kotona, matkoilla ja työpaikalla, sekä asiakirjojen oikeaoppinen käsittely ja säilytys, muodostavat tärkeän osan fyysisen tietoturvan ylläpitämisessä.
Henkilöstön sitouttaminen fyysisen tietoturvan periaatteisiin on avainasemassa. Heidän tulee ymmärtää ohjeiden tärkeys, jotta ne olisivat valmiita noudattamaan niitä. Sen vuoksi on tärkeää, että ohjeistus on käytännönläheistä ja yksinkertaista, jotta se olisi helposti ymmärrettävää ja toteutettavissa.
Kokonaisuudessaan fyysinen tietoturva on keskeinen tekijä varmistamassa, ettei organisaation tietoja pääse käyttämään tai käsittelemään oikeudettomat tahot. Päivittäiset toimet ja käytännöt muodostavat merkittävän suojan tietovuotoja ja muita tietoturvauhkia vastaan, suojellen siten organisaation tietovarantoja ja toiminnan jatkuvuutta.