Mitä tarkoittaa tietoturvan käytettävyys eli saatavuus?
Tietoturvalla on merkittävä rooli yrityksen päivittäisissä toiminnoissa, ja yksi sen keskeisistä ulottuvuuksista on käytettävyys eli saatavuus. Kun puhumme tietoturvan käytettävyydestä, viittaamme tuotannon kykyyn käyttää tietojärjestelmiä ja niiden tietosisältöjä tarpeen mukaan ilman keskeytyksiä.
Tämä artikkeli selittää tietoturvan käytettävyyden merkityksen ja antaa ohjeita siitä, kuinka periaatetta tulisi noudattaa tuotantoyrityksen OT-verkossa.
Tietoturva käytettävyys määritelmä
Tietoturvan käytettävyyden perusajatuksena on varmistaa, että tietojärjestelmien käyttäjillä on jatkuva ja luotettava pääsy tietoihin. Käytettävyys on yksi tietoturvan kolmesta perusperiaatteesta, joita kutsutaan yhdessä CIA-malliksi (Confidentiality , Integrity, Availability). Käytettävyyden osalta keskitymme erityisesti järjestelmien toimintaan ja tietovarastojen saatavuuteen.
Käytettävyyden kannalta merkittäviä uhkia ovat esimerkiksi laitteiston viat, ohjelmistovirheet, tietoliikennekatkot sekä tarkoitukselliset hyökkäykset, kuten palvelunestohyökkäykset (DDoS). Näiden uhkien hallintaan tarvitaan monipuolista ja jatkuvaa riskienhallintaa.
Miten käytettävyys-periaatetta voidaan noudattaa tuotantoyrityksen OT-verkossa?
Tuotantoverkkojen käytettävyys täytyy olla niin lähellä 100% kuin vain mahdollista, sillä ne valvovat tai suorittavat fyysisiä prosesseja, jolloin katko verkon käytettävyydessä voi johtaa vakaviin tuotantohäiriöihin tai jopa turvallisuusriskeihin.
Varautuminen ja jatkuvuudenhallinta
Tärkein ensiaskel on varautuminen mahdollisiin häiriöihin. Jatkuvuudenhallinnan tulisi olla keskiössä kaikessa tietoturvatyössä. Suunnitelma tulisi olla valmiina niin luonnonmullistuksille, teknisille vioille kuin kyberhyökkäyksillekin. Tämä sisältää yksityiskohtaiset suunnitelmat kriittisten järjestelmien palauttamisesta vian tai hyökkäyksen jälkeen. Myös varmuuskopioinnin tulisi olla osa normaalia toimintaa – ei vain kriittisissä järjestelmissä, vaan myös vähemmän kriittisissä, sillä datan palauttaminen voi olla elintärkeää järjestelmien toiminnan palauttamisessa. Redundanttien järjestelmien, kuten varajärjestelmien ja peilauspalvelimien, käyttö auttaa myös varmistamaan jatkuvan pääsyn palveluihin myös kriittisissä tilanteissa.
Kapasiteetin hallinta
OT-verkon on pystyttävä käsittelemään datan määrä, joka kulkee sen läpi. Järjestelmä tulee suunnitella ja rakentaa siten, että se kykenee käsittelemään normaalin työkuorman lisäksi myös odottamattomat kuormapiikit. Tätä varten on tarpeen tehdä säännöllisiä suorituskykytestejä, jotta voidaan varmistua järjestelmän kyvystä vastata kasvavaan datan määrään. Tämän lisäksi järjestelmän tulee olla suunniteltu skaalautuvaksi – sen tulee pystyä mukautumaan kasvavaan kuormitukseen laajentamalla resurssejaan tarvittaessa.
Suojaus hyökkäyksiltä
OT-verkot ovat houkutteleva kohde kyberhyökkäyksille, sillä niiden kautta voidaan saada kontrolli merkittäviin tuotantoprosesseihin. Yrityksen on siksi toteutettava asianmukaiset suojatoimenpiteet.
Nämä voivat sisältää:
- palomuurin tai esimerkiksi ylläpidetyn palomuuripalvelun käyttöä
- tunkeutumisen havaitsemisjärjestelmiä (IDS)
- säännöllisiä tietoturva-auditointeja, jotka paljastavat mahdolliset haavoittuvuudet ennen kuin ne ehtivät aiheuttaa ongelmia.
OT-verkko kattaa tietyillä yrityksillä hyvin laajan maantieteellisen alueen, tällöin suojauksen suunniteluun täytyy kiinnittää erityistä huomiota. Fyysien suojauksen lisäksi, korostuu erityisesti tilojen etävalvonta. Valvonnan avulla voidaan saada luvattomat vierailijat kiinni, jo ennenkuin he aiheuttavat lisähaittoja.
Ota yhteyttä, niin laitetaan tuotantoverkon asiat kuntoon
Järjestelmien päivitys ja ylläpito
Vanhentunut ohjelmisto voi aiheuttaa vakavia turvallisuusriskejä ja häiritä käytettävyyttä. Järjestelmän päivitysten tulisi olla säännöllisiä ja niitä tulisi hallinnoida keskitetysti. Myös ohjelmistonvalmistajien tietoturvaohjeita on seurattava ja noudatettava tarkasti. Yrityksen tulee myös ymmärtää ja hallita järjestelmänsä riippuvuudet ja niiden mahdolliset yhteensopivuusongelmat.
Henkilöstön koulutus
Vaikka teknologia on tärkeässä roolissa tietoturvan ylläpidossa, loppujen lopuksi ihmiset ovat usein heikoin lenkki tietoturvaketjussa. Henkilöstön säännöllinen koulutus on avainasemassa sen varmistamisessa, että he ymmärtävät ja noudattavat tietoturvakäytäntöjä. Koulutuksen tulisi kattaa perustiedot tietoturvasta, yleiset uhkakuvat, yrityksen tietoturvapolitiikat ja -prosessit sekä käytännön ohjeet tietoturvalliseen toimintaan. Koulutuksen ja sen sisältämien ohjeiden tulisi olla ymmärrettäviä ja selkeitä, jotta ne ymmärrettäisiin ja otettaisiin osaksi päivittäistä työntekoa.
Yhteenveto
Tietoturvan käytettävyys ei ole vain tekninen vaatimus, vaan se on liiketoiminnan jatkuvuuden, lainsäädännöllisten vaatimusten ja asiakasluottamuksen ylläpitämisen kannalta välttämätöntä. OT-verkoissa tämä on erityisen tärkeää, sillä niiden käytettävyys vaikuttaa suoraan tuotantoprosesseihin ja yrityksen kykyyn tuottaa tuotteita tai palveluita. Käytettävyysperiaatteen noudattaminen tietoturvassa vaatii jatkuvaa työtä, mutta se on välttämätöntä yrityksen toiminnan turvaamiseksi.
Usein kysytyt kysymykset
Mikä on tietoturvarikos?
Tietoturvarikos on toiminta, joka rikkoo tietosuojaa tai tietoturvallisuuden periaatteita. Tämä voi tarkoittaa esimerkiksi luvatonta pääsyä tietoihin, niiden manipulointia tai tuhoamista. Tietoturvarikos voi tapahtua, kun käyttäjän henkilökohtaisia tietoja kerätään, käytetään tai paljastetaan ilman käyttäjän suostumusta tai kun yrityksen tietojärjestelmiä vastaan hyökätään haittaohjelman, huijauksen tai kyberhyökkäyksen avulla. Tietoturvarikokset voivat aiheuttaa merkittävää haittaa yksityishenkilöille ja organisaatioille.
Mitä tietoturvaan kuuluu?
Tietoturva kattaa toimenpiteet, joilla suojataan tiedot vahingoilta, luvattomalta käytöltä ja tietovuodoilta. Tietoturvan kolme peruspilaria ovat luottamuksellisuus, eheys ja saatavuus. Luottamuksellisuus tarkoittaa, että vain oikeutetut henkilöt pääsevät käsiksi tietoihin. Eheys varmistaa, että tiedon oikeellisuus säilyy muuttumattomana sen koko elinkaaren ajan. Tietosuojan kannalta on olennaista, että nämä periaatteet ymmärretään ja noudatetaan kaikessa tietojen käsittelyssä. Jokainen tietoa käsittelevä osapuoli on vastuussa sen turvallisuudesta ja luottamuksellisuuden säilyttämisestä.