Mitä tarkoittaa tietojen eheys?
Tietojen muuttumattomuus ja säilyminen kaikissa tilanteissa ovat avainasemassa tuotantoyrityksen tietoturvaa kehitettäessä.
Tässä artikkelissa pureudumme tietojen eheyden määritelmään ja siihen, miten tämän periaatteen tulisi näkyä tuotantoyrityksen OT-verkossa.
Eheys tietoturva – määritelmä
Tietojen eheys viittaa tiedon tai datan luotettavuuteen ja yhtenäisyyteen. Sen perimmäisenä tavoitteena on varmistaa, että tieto pysyy muuttumattomana sen siirron, tallennuksen ja haun aikana. Tietojen eheyden perusperiaatteena on, että tiedot ovat aina täsmälliset, kattavat ja saumattomat, minkä varmistamiseksi käytetään useita eri tietoturvatyökaluja ja -protokollia.
Käytännössä eheys voidaan jakaa fyysiseen ja loogiseen eheyteen.
- Fyysinen eheys varmistaa, että datan rakenteellinen eheys säilyy kaikissa olosuhteissa, esimerkiksi laitevika- tai sähkökatkotilanteissa.
- Looginen eheys puolestaan keskittyy datan sisältöön, ja sen avulla varmistetaan, että tiedot ovat ristiriidattomia ja niitä hallitaan kattavasti.
Miten tietojen eheys -periaatetta tulee noudattaa tuotantoyrityksen OT-verkossa?
Tuotantoyrityksen OT-verkossa datan eheyden suojaaminen on erityisen kriittistä, sillä siinä käsitellään aina arkaluonteisia tietoja, kuten tuotantotietoja ja muuta tärkeää dataa.
Datan korruptoituminen tai muu vaurioituminen voi johtaa vakaviin seurauksiin, kuten tuotannon keskeytymiseen, asiakastietojen menetykseen tai jopa liiketoiminnan maineen heikentymiseen. Katsotaan seuraavaksi miten näitä ongelmia voidaan taklata tuotanto- ja tietoliikenneverkoissa..
Tiedon säilytyksen johdonmukaisuus tulee huomioida OT-verkossa monella tasolla
Ensinnäkin, data siirto- ja tallennusjärjestelmien on oltava luotettavia ja niissä on oltava asianmukaiset suojaukset datan vahingoittumisen, hukkaantumisen tai luvattoman muuttamisen estämiseksi.
Toiseksi, järjestelmien on pystyttävä tunnistamaan ja korjaamaan mahdolliset tiedon eheyden rikkomukset, kuten virheelliset tai väärennetyt tiedot. Kolmanneksi, henkilöstön on oltava koulutettu ymmärtämään tietojen eheyden merkitys ja osattava noudattaa parhaita käytäntöjä sen varmistamiseksi.
Ota yhteyttä, niin laitetaan tuotantoverkon asiat kuntoon
SHA-tiivisteet
Yksi tapa tiedon eheyden varmistukseen on SHA-tiiviste ja se on lyhenne sanoista Secure Hash Algorithm. Se on hash-algoritmi, jota käytetään tiedostojen ja viestien muuttumattomuuden varmistamiseen. SHA-tiivisteet ovat yksisuuntaisia, mikä tarkoittaa, että tiedostoa tai viestiä ei voi palauttaa alkuperäiseen muotoonsa vain sen hash-tiivisteen perusteella. SHA-tiivisteet käytetään usein tiedostojen ja viestien autentikoinnin, integriteetin ja eheyden varmistamiseen.
SHA-tiivisteitä on useita erilaisia, joista yleisimmät ovat generaatioon SHA1, SHA2 ja SHA3 tiivisteitä. SHA1:tä ei enää pidetä turvallisena, ja sen käyttöä ei suositella. SHA2-256 ja SHA2-512 sekä SHA3 ovat kaikki turvallisia tiivisteitä, joita voidaan käyttää monenlaisissa sovelluksissa. Luku 256 sanassa SHA2-256 tarkoittaa, että tiiviste tuottaa aina luvun mukaisen bittimäärän, riippumatta lähdemateriaalin pituudesta.
SHA-tiivisteet luodaan ottamalla tiedosto tai viesti ja muuntamalla se sarjaksi numeroita. Nämä numerot ovat tiedoston tai viestin hash-tiivistettä. SHA-tiivistettä voidaan käyttää tiedoston tai viestin autentikoinnin, integriteetin ja eheyden varmistamiseen vertaamalla tiedoston tai viestin hash-tiivistettä sen todelliseen hash-tiivisteeseen. Jos hash-tiivisteet ovat erilaiset, tiedostoa tai viestiä on muutettu.
Tietoturva-auditointi tietojen eheyden takeena
Tietojen eheyden varmistamiseksi, on ensiarvoisen tärkeää, että yrityksen toiminnassa otetaan käyttöön kattava tietoturva-auditointi. Tällä tarkoitetaan prosessia, jossa asiantuntijat tarkastelevat ja arvioivat organisaation tietoturvajärjestelmiä sekä niitä ylläpitäviä prosesseja. Tarkastelun kohteena ovat kaikkien järjestelmien tiedot ja niiden käsittely, jotta voidaan varmistaa tiedon koskemattomuus ja johdonmukaisuus.
Auditoinnin keskeisenä tavoitteena on tunnistaa mahdolliset heikkoudet, jotka saattavat vaarantaa tiedon eheyden tai muuttaa sen tilaa. Tämä voi tarkoittaa esimerkiksi järjestelmävirheitä, puutteellista tietojen käsittelyä tai turvallisuusaukkoja. Tietoturvan asiantuntijat myös analysoivat, miten yritys reagoi mahdollisiin tietoturvaongelmiin, jotta voidaan varmistaa tehokas reagointi mahdollisiin tuleviin uhkiin.
Auditoinnin tulosten perusteella yritys ei ainoastaan voi tunnistaa ja korjata mahdolliset heikkoudet, vaan se voi myös kehittää tietoturvapolitiikkaansa ja prosessejaan. Tämä tarkoittaa esimerkiksi uusien tietoturvaratkaisujen käyttöönottoa, henkilöstön koulutuksen parantamista tai tietoturvan hallintaa koskevien prosessien tehostamista.
On kuitenkin tärkeää ymmärtää, että tietoturva-auditointi on vain osa laajempaa tietoturvan hallintaprosessia. Auditoinnin lisäksi yrityksen tulee myös jatkuvasti seurata ja arvioida tietojärjestelmiensä turvallisuutta, jotta tiedot pysyvät eheinä kaikissa olosuhteissa.
Yhteenveto
Tietojen eheys on keskeinen osa yrityksen tietoturvaa. Sen varmistaminen edellyttää sekä teknisiä ratkaisuja että henkilöstön kouluttamista. Tuotantoyrityksen OT-verkossa datan pysyminen koskemattomana on erityisen tärkeää, koska siellä käsitellään usein liiketoiminnan kannalta kriittisiä tietoja. Panostaminen tietoturvaan on siis investointi, joka tukee yrityksen liiketoiminnan jatkuvuutta ja auttaa välttämään vakavat tietoturvaongelmat.
Usein kysyttyä
Mitkä ovat tietoturvan osa-alueet
Tietoturvan osa-alueet yleisellä tasolla ovat saatavuus, luottamuksellisuus ja eheys. Täydentäviä osa-alueita ovat kiistämättömyys, tunnistus ja todennus. Yleisellä tietoturvalla tarkoitetaan tiedon suojaamista häviämiseltä, varastamiselta, korruptoitumiselta tai muulta ei-tarkoituksenmukaiselta muuttumiselta.
Tietoturvaa voidaan lähestyä eri näkökulmista tai osa-alueista, joista kukin kattaa oman osuutensa tietoturvan yleisestä kokonaisuudesta:
- Hallinnollinen tietoturva – Tämä kattaa tietoturvan strategisen ja operatiivisen johtamisen, kuten tietoturvakontrollit, menettelyt ja ohjeistukset.
- Fyysinen turvallisuus – Tämä viittaa fyysisiin turvatoimenpiteisiin, jotka suojaavat tietotekniikkalaitteita ja toimipaikkoja, esimerkiksi lukitut ovet, valvontakamerat ja palosuojaus.
- Laiteturvallisuus – Tähän kuuluu tietokoneiden, palvelinten, verkkolaitteiden ja muiden laitteiden tietoturvallisuuden ylläpitäminen.
- Sovellusturvallisuus – Tämä tarkoittaa tietoturvallisuuden varmistamista ohjelmistoissa, mukaan lukien sovellusten kehittäminen tietoturva huomioiden ja päivitysten hallinta.
- Dokumenttiturvallisuus – Tämä käsittää sähköisten ja paperisten tietoaineistojen turvallisen hallinnoinnin, varastoinnin ja käsittelyn.
- Verkkoturvallisuus – Tähän kuuluu tiedonsiirron turvaaminen, esimerkiksi verkkoliikenteen salaus ja palomuuripalvelu (esimerkiksi Save LAN:in ylläpitämä)
- Henkilöstön tietoturva – Tämä osa-alue kattaa roolien, vastuiden ja tietoturvaohjeistuksen noudattamisen henkilöstön keskuudessa.
- Käyttäjäturvallisuus – Tämä tietoturva-alue liittyy käyttäjien tunnistautumiseen ja salasanapolitiikoihin, ja se on usein yhdistetty osaksi ohjelmistoturvallisuutta.
Mitä tarkoittaa kiistämättömyys?
Tietoturvan kiistämättömyys viittaa siihen, että digitaalisessa ympäristössä tehdyn toiminnon tai lähetetyn viestin alkuperää ei voi jälkikäteen kiistää. Kiistämättömyys perustuu vahvaan käyttäjäautentikointiin, salaukseen ja digitaalisiin allekirjoituksiin, ja se on keskeinen osa tietoturvan oikeudellista suojaa ja vastuullista käyttöä.
Mitä tarkoitetaan tiedon luottamuksellisuudesta, eheydestä, käytettävyydestä ja todentamisesta tietoturvan yhteydessä?
Tietoturvan yhteydessä tiedon luottamuksellisuus tarkoittaa, että tietoa pääsevät käyttämään vain ne henkilöt, joilla on siihen oikeus. Eheydellä puolestaan tarkoitetaan, että tiedot pysyvät muuttumattomina ja niiden alkuperäisyys voidaan varmistaa. Tietoturvan käytettävyys viittaa siihen, että tietoja voidaan käyttää tarvittaessa, ja ne ovat saavutettavissa silloin kun niitä tarvitaan. Todentaminen tarkoittaa käyttäjän tai laitteen identiteetin varmistamista, esimerkiksi salasanalla tai biometrisellä tiedolla, ennen kuin pääsy tietoihin sallitaan.