Mitä tarkoittaa tietoturvan käytettävyys eli saatavuus?

TietoturvakonsulttiLauri Jurvanen Päivitetty
Mitä tarkoittaa tietoturvan käytettävyys eli saatavuus vastaa Save LAN tietoturvakonsultti Lauri Jurvanen

Tietoturvalla on merkittävä rooli yrityksen päivittäisissä toiminnoissa, ja yksi sen keskeisistä ulottuvuuksista on käytettävyys eli saatavuus. Kun puhumme tietoturvan käytettävyydestä, viittaamme tuotannon kykyyn käyttää tietojärjestelmiä ja niiden tietosisältöjä tarpeen mukaan ilman keskeytyksiä.

Tässä artikkelissa selitetään tietoturvan käytettävyyden merkitys ja annetaan ohjeita siitä, kuinka periaatetta tulisi noudattaa tuotantoyrityksen OT-verkossa.

Tietoturvan käytettävyyden määritelmä

Tietoturvan käytettävyyden perusajatuksena on varmistaa, että tietojärjestelmien käyttäjillä on jatkuva ja luotettava pääsy tietoihin. Käytettävyys on yksi tietoturvan kolmesta perusperiaatteesta, joita kutsutaan yhdessä CIA-malliksi (Confidentiality , Integrity, Availability). Käytettävyyden osalta keskitymme erityisesti järjestelmien toimintaan ja tietovarastojen saatavuuteen.

Käytettävyyden kannalta merkittäviä uhkia ovat esimerkiksi laitteiston viat, ohjelmistovirheet, tietoliikennekatkot sekä tarkoitukselliset hyökkäykset, kuten palvelunestohyökkäykset (DDoS). Näiden uhkien hallintaan tarvitaan monipuolista ja jatkuvaa riskienhallintaa.

Miten käytettävyysperiaatetta voidaan noudattaa tuotantoyrityksen OT-verkossa?

Tuotantoverkkojen käytettävyys täytyy olla niin lähellä 100% kuin vain mahdollista, sillä ne valvovat tai suorittavat fyysisiä prosesseja, jolloin katko verkon käytettävyydessä voi johtaa vakaviin tuotantohäiriöihin tai jopa turvallisuusriskeihin.

Varautuminen ja jatkuvuudenhallinta

Tärkein ensiaskel on varautuminen mahdollisiin häiriöihin. Jatkuvuudenhallinnan tulisi olla keskiössä kaikessa tietoturvatyössä. Niin luonnonmullistuksille, teknisille vioille kuin kyberhyökkäyksillekin tulisi olla valmiina suunnitelma. Tämä sisältää yksityiskohtaiset toimenpiteet kriittisten järjestelmien palauttamisesta vian tai hyökkäyksen jälkeen. Myös varmuuskopioinnin tulisi olla osa normaalia toimintaa. Tämä ei koske ainoastaan kriittisiä järjestelmiä, vaan myös vähemmän kriittisiä, sillä datan palauttaminen voi olla elintärkeää järjestelmien toiminnan palauttamisessa. Muiden järjestelmien, kuten varajärjestelmien ja peilauspalvelimien, käyttö auttaa osaltaan varmistamaan jatkuvan pääsyn palveluihin myös kriittisissä tilanteissa.

Kapasiteetin hallinta

OT-verkon on pystyttävä käsittelemään datan määrä, joka kulkee sen läpi. Järjestelmä tulee suunnitella ja rakentaa siten, että se kykenee käsittelemään normaalin työkuorman lisäksi myös odottamattomat kuormapiikit. Tätä varten on tarpeen tehdä säännöllisiä suorituskykytestejä, jotta voidaan varmistua järjestelmän kyvystä vastata kasvavaan datan määrään. Tämän lisäksi järjestelmän tulee olla suunniteltu skaalautuvaksi. Sen tulee siis kyetä mukautumaan kasvavaan kuormitukseen laajentamalla resurssejaan tarvittaessa.

Suojaus hyökkäyksiltä

OT-verkot ovat houkutteleva kohde kyberhyökkäyksille, sillä niiden kautta voidaan saada merkittävien tuotantoprosessien hallinta. Yrityksen on siksi toteutettava asianmukaiset suojatoimenpiteet.

Nämä voivat sisältää:

  • palomuurin tai esimerkiksi ylläpidetyn palomuuripalvelun käyttöä
  • tunkeutumisen havaitsemisjärjestelmiä (IDS)
  • säännöllisiä tietoturva-auditointeja, jotka paljastavat mahdolliset haavoittuvuudet ennen kuin ne ehtivät aiheuttaa ongelmia. 

OT-verkko kattaa tietyillä yrityksillä hyvin laajan maantieteellisen alueen. Tällöin suojauksen suunnitteluun täytyy kiinnittää erityistä huomiota. Fyysisen suojauksen lisäksi korostuu erityisesti tilojen etävalvonta. Valvonnan avulla voidaan saada luvattomat vierailijat kiinni jo ennenkuin he aiheuttavat lisähaittoja.

Ota yhteyttä, niin laitetaan tuotantoverkon asiat kuntoon

Järjestelmien päivitys ja ylläpito

Vanhentunut ohjelmisto voi aiheuttaa vakavia turvallisuusriskejä ja häiritä käytettävyyttä. Järjestelmän päivitysten tulisi olla säännöllisiä ja niitä tulisi hallinnoida keskitetysti. Myös ohjelmistovalmistajien tietoturvaohjeita on seurattava ja noudatettava tarkasti. Yrityksen tulee myös ymmärtää ja hallita järjestelmänsä riippuvuudet ja niiden mahdolliset yhteensopivuusongelmat.

Henkilöstön koulutus

Vaikka teknologia on tärkeässä roolissa tietoturvan ylläpidossa, loppujen lopuksi ihmiset ovat usein heikoin lenkki tietoturvaketjussa. Henkilöstön säännöllinen koulutus on avainasemassa sen varmistamisessa, että tietoturvakäytännöt ymmärretään ja niitä noudatetaan. Koulutuksen tulisi kattaa perustiedot tietoturvasta, yleiset uhkakuvat, yrityksen tietoturvapolitiikat ja -prosessit sekä käytännön ohjeet tietoturvalliseen toimintaan. Koulutuksen ja siihen sisältyvien ohjeiden tulisi olla ymmärrettäviä ja selkeitä, jotta ne sisäistettäisiin ja otettaisiin osaksi päivittäistä työntekoa.

Yhteenveto

Tietoturvan käytettävyys ei ole vain tekninen vaatimus, vaan se on liiketoiminnan jatkuvuuden, lainsäädännöllisten vaatimusten ja asiakasluottamuksen ylläpitämisen kannalta välttämätöntä. OT-verkoissa tämä on erityisen tärkeää, sillä niiden käytettävyys vaikuttaa suoraan tuotantoprosesseihin ja yrityksen kykyyn tuottaa tuotteita tai palveluita. Käytettävyysperiaatteen noudattaminen tietoturvassa vaatii jatkuvaa työtä, mutta se on välttämätöntä yrityksen toiminnan turvaamiseksi.

Usein kysytyt kysymykset

Mikä on tietoturvarikos?

Tietoturvarikos on toimintaa, joka rikkoo tietosuojaa tai tietoturvallisuuden periaatteita. Tämä voi tarkoittaa esimerkiksi luvatonta pääsyä tietoihin, niiden manipulointia tai tuhoamista. Tietoturvarikos voi tapahtua, kun käyttäjän henkilökohtaisia tietoja kerätään, käytetään tai paljastetaan ilman käyttäjän suostumusta tai kun yrityksen tietojärjestelmiä vastaan hyökätään haittaohjelman, huijauksen tai kyberhyökkäyksen avulla. Tietoturvarikokset voivat aiheuttaa merkittävää haittaa yksityishenkilöille ja organisaatioille.

Mitä tietoturvaan kuuluu?

Tietoturva kattaa toimenpiteet, joilla suojataan tiedot vahingoilta, luvattomalta käytöltä ja tietovuodoilta. Tietoturvan kolme peruspilaria ovat luottamuksellisuus, eheys ja saatavuus. Luottamuksellisuus tarkoittaa, että vain valtuutetut henkilöt pääsevät käsiksi tietoihin. Eheys varmistaa, että tiedon oikeellisuus säilyy muuttumattomana sen koko elinkaaren ajan. Tietosuojan kannalta on olennaista, että nämä periaatteet ymmärretään ja niitä noudatetaan kaikessa tietojen käsittelyssä. Jokainen tietoa käsittelevä osapuoli on vastuussa sen suojaamisesta ja luottamuksellisuuden säilyttämisestä.