Mitä on tietoturva? Opas tietoturvalliseen liiketoimintaan!

Jokaisella yrityksellä on hallussaan tietoja, jotka ovat yritykselle tärkeitä ja turvattavia. Toimenpiteitä ja menettelyitä, joilla nämä asiat suojataan, kutsutaan yhteisellä nimellä tietoturvaksi.

Syitä tietojen turvaamiseen on monia:

Esimerkiksi taloudellisesta näkökulmasta tärkeäksi muodostuu liikesalaisuuksien suojaaminen ja toiminnan jatkuvuuden varmistaminen, kun taas tietoturvalait ja tietoturvasääntely määräävät erilaisten aineistojen, kuten henkilötietojen käsittelemisestä. Tässä artikkelissa määrittelemme tietoturvan ja tutustumme sen eri osa-alueisiin.

Mitä tarkoittaa tietoturva eli tietoturvallisuus? [määritelmä]

Tietoturvallisuus tarkoittaa toimenpiteitä ja menetelmiä, joita käytetään tietojen, tietojärjestelmien ja tietoverkkojen turvaamiseen. Tietoturvan toteuttamisen tavoitteena on varmistaa tiedon saatavuus, luottamuksellisuus ja eheys. Seuraavaksi tutustutaan näihin jokaiseen erikseen:

Saatavuus eli käytettävyys (engl. availability)

Tietoturvan käytettävyydellä tarkoitetaan kyvykkyyttä tarjota käyttäjille jatkuva ja luotettava pääsy tietoihin ja tietojärjestelmiin. Tämä tarkoittaa, että järjestelmät toimivat suunnitellusti ja häiriöttömästi, ja että tiedot on saatavilla kun käyttäjät niitä tarvitsevat.

Luottamuksellisuus (engl. confidentiality)

Tietoturvan luottamuksellisuuden periaate on menetelmä, joka pyrkii estämään luvaton pääsy organisaation tietoihin. Se varmistaa, että tieto on saatavilla vain niille henkilöille, joilla on oikeus ja tarve tietää kyseinen tieto, suojaten tiedot väärinkäytöltä.

Eheys (engl. integrity)

Tietojen eheydellä tarkoitetaan tietojen ja järjestelmien muuttumattomuuden, yhtenäisyyden ja täsmällisyyden varmistamista. Tiedot eivät saa muuttua vahingossa tai tahallisesti tapahtuvan manipuloinnin takia, korruptoitua tai tuhoutua. Eheyden vaatimus koskee tietosisältöjen lisäksi myös niiden metatietoja ja rakenteita. On tärkeää huomata, että tietoturvatoimenpiteet kannattaa suunnata vain niille tieto-osioille, joita ne konkreettisesti koskevat.

Näitä kolmea osa-aluetta voidaan täydentää seuraavilla:

• Kiistämättömyys: Kiistämättömyys on informaatioturvallisuuden periaate, joka varmistaa, että digitaalisesta toiminnasta jää kiistaton, muuttamaton todiste. Esimerkiksi sähköpostissa käytetty digitaalinen allekirjoitus takaa viestin kiistämättömyyden, vahvistaen lähettäjän henkilöllisyyden ja viestin eheyden.
• Tunnistus: Tunnistaminen on prosessi, jossa henkilön, järjestelmän tai palvelun henkilöllisyys todennetaan esimerkiksi salasanan tai biometrisen tiedon perusteella. Esimerkiksi verkkopankissa käyttäjän tunnistaminen tapahtuu henkilökohtaisen salasanan ja/tai tunnuslukulistojen avulla.
• Todennus: Todennus on prosessi, jossa vahvistetaan, että henkilön, järjestelmän tai palvelun väitetty henkilöllisyys on todellinen. Esimerkkinä toimii kaksivaiheinen todennus, jossa tekstiviestinä saapuva kertakäyttöinen koodi vahvistaa käyttäjän identiteetin käyttäjätunnuksen ja salasanan lisäksi.

Tietoturvauhka

Mitä tietoturvauhkalla tarkoitetaan? Tietoturvauhkalla tarkoitetaan potentiaalisia riskejä ja uhkia, jotka saattavat heikentää tietoturvaa edellä mainittuja peritaatteita eli tiedon eheyttä, saatavuutta ja luottamuksellisuutta. Uhat voivat olla sekä sisäisiä että ulkoisia, ja niitä voi aiheuttaa esimerkiksi haittaohjelmat, tietomurrot, hakkerointi, inhimilliset virheet tai tekniset vikatilanteet. Tietoturvauhkien ymmärtäminen ja hallinta ovat keskeisessä asemassa tietoturvallisuuden toteuttamisessa.

Katso mitä ovat yleisimmät tietoturvauhkat?

Tuotantoverkon tietoturvauhkat

Tuotantoverkossa, joka on usein monimutkainen järjestelmä erilaisia tietotekniikan komponentteja ja ohjelmistoja, voi esiintyä useita erityyppisiä tietoturvauhkia:

• Haittaohjelmat: Virukset, madot, troijalaiset ja muut haittaohjelmat voivat tunkeutua tuotantoverkkoon ja aiheuttaa merkittävää vahinkoa, kuten tiedon menetystä, vahingollista toimintaa tai jopa koko järjestelmän lamaantumista.
• Hakkerointi: Ulkopuoliset hyökkääjät voivat yrittää murtautua verkkoon ja saada pääsyn sen resursseihin. Tämä voi johtaa arkaluontoisten tietojen vuotamiseen, järjestelmän luvattomaan käyttöön tai jopa palvelunestohyökkäyksiin.
• Tekniset vikatilanteet: Laitteiston tai ohjelmistojen tekniset viat tai yhteensopivuusongelmat voivat aiheuttaa katkoksia tai häiriöitä tuotantoverkon toiminnassa.
• Inhimilliset virheet: Työntekijöiden tekemät virheet tai tietämättömyys voivat johtaa tietoturvauhkiin. Esimerkiksi heikot salasanakäytännöt tai huolimaton sähköpostin käsittely voivat avata ovia haittaohjelmille tai hakkerointiyrityksille.
• Sisäiset uhkat: Harvemmin mainittu, mutta yhtä lailla tärkeä on sisäisten uhkien riski. Tämä voi liittyä esimerkiksi tyytymättömiin työntekijöihin, jotka saattavat tahallisesti vahingoittaa järjestelmää, tai sisäisiin tietovuotoihin, jotka voivat paljastaa arkaluontoista tietoa.

Jokainen näistä tietoturvauhkista edellyttää omia erityisiä torjuntakeinojaan ja tietoturvallisuuden strategioita. Tästä syystä on tärkeää ymmärtää tietoturvauhkien laajuus ja monimuotoisuus tuotantoverkossa.

Tutustu tarkemmin OT-verkkoihin laajasta oppaastamme: Mikä on OT verkko – opas tuotantoverkkojen maailmaan!

Tietoturvalla turvattava data kattaa useita eri tietomuotoja

01. Digitaalisten tallenteiden tietoturva

Ensinnäkin, dataturvallisuuden piiriin kuuluvat digitaaliset tallenteet. Digitaaliset tallenteet voivat sisältää esimerkiksi asiakastiedot, yrityksen taloudellisia tiedot, sähköpostiviestit, ohjelmistot ja paljon muuta. Digitaaliset tiedot saattavat olla erityisen haavoittuvia tietoturvaongelmille, jos ne ovat etäyhteyden kautta saatavilla, joten niitä voidaan yrittää käyttää tai muuttaa luvattomasti.

02. Fyysisten tallenteiden tietoturva

Toiseksi, fyysiset tallenteet tulee myös suojata. Vaikka monet yritykset ovat siirtyneet sähköisiin järjestelmiin, monet yritykset käyttävät edelleen paperitallenteita jossakin määrin. Fyysiset tallenteet voivat sisältää esimerkiksi paperidokumentteja, kirjallisia muistiinpanoja, tulosteita ja muita manuaalisesti tuotettuja tietolähteitä. Nämä fyysiset tallenteet tulee säilyttää turvallisesti lukituissa arkistokaapeissa tai turvallisissa säilytystiloissa, ja niiden hävittämiseen tulee käyttää tietoturvallisia menetelmiä, kuten silppurointia. Tähän kategoriaan sisällytetään myös käytöstä poistettavat tallennuslaitteet kuten kovalevyt ja muistitikut.

03. Ihmisten tietämyksen suojaaminen

Kolmanneksi, tietoturvallisuus kattaa myös ihmisten tietämyksen. Tämä voi sisältää työntekijöiden tai muiden sidosryhmien tietämystä yrityksen toiminnasta, tietojärjestelmistä tai salasanoista. Tämä tietämys voi olla erityisen arkaluonteista ja arvokasta, joten se tulee suojata asianmukaisesti. Työntekijöiden tietoturvakoulutus ja asianmukaiset käyttöoikeudet ovat avainasemassa tämän tyyppisen tiedon suojaamisessa.

04. Tiedon suojaaminen siirron aikana

Neljänneksi tietoturvallisuus tulee kattaa myös tiedon suojaaminen sen siirron aikana. Tiedon siirtoon liittyy usein tietoturvauhkia, sillä sen aikana tiedot ovat erityisen haavoittuvia luvattomalle käytölle tai vahingoittumiselle. Tietoturvaa voidaan parantaa käyttämällä salausta tietojen lähettämiseen, käyttämällä turvallisia tiedonsiirtomenetelmiä, kuten VPN-yhteyksiä, ja varmistamalla, että vain oikeutetut henkilöt pääsevät käsiksi siirrettäviin tietoihin.

Tietoturvan osa-alueet

Tietoturvan osa-alueet jaotellaan kolmeen pääluokkaan, joista kaikki ovat keskeisiä yrityksen kokonaisvaltaisen kyberturvallisuuden rakentamisessa:

• hallinnollinen tietoturva
• tekninen tietoturva
• fyysinen tietoturva

Mitä tarkoittaa hallinnollinen tietoturva?

Hallinnollinen tietoturva tarkoittaa organisaation toimintatapoja, menettelyjä ja ohjeistuksia, jotka ohjaavat tietojärjestelmän suojaamista käytännön tasolla. Tämä voi tarkoittaa esimerkiksi tietoturvapolitiikan laatimista, tietoturvakoulutuksen järjestämistä tai tietoturvaa koskevien vastuujärjestelyjen määrittämistä.

Lue lisää hallinnollisesta tietoturvasta?

Mitä tarkoittaa tekninen tietoturva?

Tekninen tietoturva tarkoittaa tietotekniikan ja tietoverkkojen suojauksen menetelmiä ja välineitä. Tämä voi tarkoittaa esimerkiksi palomuuria tai palomuuripalvelua, haittaohjelmien torjuntaohjelmistoja, salausta tai pääsynvalvontajärjestelmiä.

Lue lisää teknisestä tietoturvasta?

Mitä on fyysinen tietoturva?

Fyysinen tietoturva tarkoittaa toimenpiteitä, joilla suojataan fyysiset laitteet, kuten tietokoneet, palvelimet ja verkkolaitteet, sekä tilat, joissa nämä laitteet sijaitsevat. Fyysiseen tietoturvaan voi kuulua esimerkiksi lukitusjärjestelmät, kameravalvonta tai tietoturvallinen hävitys vanhentuneille laitteille ja tallenteille.

Lue lisää fyysisestä tietoturvasta?

Mitä tarkoittaa tietosuoja?

Tietosuoja on olennainen osa yksilön oikeutta yksityisyyteen. Se viittaa erityisesti henkilötietojen suojeluun – tiedon, joka voi tunnistaa henkilön, kuten nimen, osoitteen tai henkilötunnuksen. Tietosuoja koskee sekä yksilöiden että yritysten toimintaa, ja sen tarkoituksena on estää henkilötietojen väärinkäyttö ja turvata yksilön oikeudet.

Tietosuoja ja tietoturva ovat läheisessä yhteydessä toisiinsa

Tietoturva on joukko toimenpiteitä, joilla pyritään suojaamaan tiedot vahingoittumiselta, luvattomalta pääsyltä tai väärinkäytöltä.

Tietosuoja puolestaan keskittyy siihen, miten henkilötiedot kerätään, säilytetään, käsitellään ja tuhotaan. Toisin sanoen, tietoturva on väline, jonka avulla tietosuojaa voidaan toteuttaa käytännössä.

Tietosuojan toteuttaminen yrityksessä

Yritykset käyttävät monia palveluita ja toimintoja, jotka käsittelevät henkilötietoja. Niissä kaikissa on tärkeää varmistaa tietosuoja

• asiakasrekisterit
• verkkokaupat
• markkinointijärjestelmät
• henkilöstöhallinnon järjestelmät

Yritysten on toteutettava erilaisia toimenpiteitä henkilötietojen suojaamiseksi. Nämä voivat olla teknisiä ratkaisuja, kuten salaus tai palomuurit, ja organisatorisia toimenpiteitä, kuten tietosuojakäytännöt ja koulutukset. Nämä suojaamistoimenpiteet on suunniteltu varmistamaan, että henkilötietoja käsitellään lainmukaisesti, turvallisesti ja läpinäkyvästi.

Yksi tärkeä osa tietosuojaa on myös käyttäjien, eli henkilötietoja antavien henkilöiden, oikeuksien huomioiminen. Tämä tarkoittaa muun muassa oikeutta saada tietoa siitä, mitä tietoja kerätään, miten niitä käytetään ja kenellä on pääsy niihin. Lisäksi käyttäjillä on oikeus vaatia virheellisten tietojen korjaamista, tietojen poistamista tai siirtoa.

Linkki tietosuojalakiin

Johtopäätös

Tietoturva on nykyisessä turvallisuusympäristössä irrottamaton osa yrityksen ydintoimintaa ja sen merkitystä ei voi korostaa liikaa. Kuten olen käynyt tässä alustuksessa läpi, niin se ei ole ainoastaan tekninen kysymys, vaan se vaatii laaja-alaista ymmärrystä yrityksen toiminnoista, riskeistä ja toimenpiteistä, joilla näitä riskejä hallitaan.

Usein meiltä tiedustellaan nimenomaan tekniseen tietoturvaan liittyviä toimenpiteitä huomaamatta että tietoturva kokonaisuutena kattaa niin hallinnollisen, teknisen kuin fyysisenkin turvallisuuden. Toimenpiteet suojaamista varten vaihtelevat laite- ja ohjelmistotason ratkaisuista aina koko organisaation tietoturvapolitiikkaan ja -kulttuuriin asti. Turvallisuus ei ole jotain, joka laitetaan kerran päälle, vaan sen ylläpitäminen vaatii jatkuvaa yrityksen sisäistä tarkkailua, oppimista ja parantamista.

Yhteenvetona voidaan todeta, että jokaisen yrityksen on syytä ottaa tietoturva vakavasti. Yrityksen tulee suojata tarkasti ne digitaaliset palvelut, joita he asiakkailleen tarjoavat. Se ei suojaa ainoastaan yrityksen tietoja, vaan myös asiakkaiden arkaluonteista dataa. Data-turvallisuuden eteen tehty työ ole koskaan hukkaan heitettyä. Kun tietoturva on kunnossa, yritys on valmiimpi kohtaamaan digitaalisen aikakauden haasteet ja mahdollisuudet. Tästä syystä yritysten tulee panostaa tietoturvaan nyt enemmän kuin koskaan.

Tietoturvasta usein kysyttyä