top of page

T3.5 Tietoturva ja kyberturva 

Mistä tiedämme, mitä tietoturva- ja kyberuhkia meitä uhkaa? Miten varaudumme näihin, jotta ne eivät vie tietoja ja vaaranna toimintaamme? Miten ja kuka kouluttaa henkilöstömme, jotta he osaavat toimia erilaisissa tietoturvallisuuden kannalta uhkaavissa tilanteissa? Miten uhkatilanteista tulisi dokumentoida? Miten organisaatio huolehtii, että toimintaa uhkatilanteissa arvioidaan ja tietoturvakäytäntöjä kehitetään kokemusten pohjalta.  

Tavoitteena on, että osion aineistoihin tutustumisen ja käyttöönottamisen jälkeen oppilaitos on varautunut erilaisiin tietoturva- ja kyberuhkiin, henkilöstöllä on valmiudet toimia erilaisissa tietoturvallisuuden kannalta uhkaavissa tilanteissa ja kokemusten pohjalta tietoturvakäytäntöjä kehitetään. 

Lainaus itewiki.fi/opas/cyber-security: ”Cyber Security eli kyberturvallisuus viittaa turvallisuuden osa-alueeseen, jolla pyritään sähköisen ja verkotetun yhteiskunnan turvallisuuteen. Kyberturvallisuudessa tunnistetaan, ehkäistään ja varaudutaan sähköisten järjestelmien häiriöiden vaikutuksiin. Kyberturvallisuus koskee sekä julkisia organisaatioita että yksityisiä yrityksiä. 

Cyber Security eroaa tietoturvasta siinä, että tietoturva viittaa nimensä mukaisesti tiedon turvaamiseen, kyberturvallisuus taas kattaa verkon kautta tehtävät tietomurrot ja verkon välityksellä toimivan digitaalisen infrastruktuurin turvallisuuden.” 

T3.5 Tietoturva ja kyberturva 

Toimintasuositukset

Jokaisella yrityksellä on hallussaan tietoja, jotka ovat heille tärkeitä turvattavia kohteita. Toimenpiteitä ja menettelyitä, joilla nämä asiat suojataan, kutsutaan yhteisellä nimellä tietoturvaksi.  Syitä tietojen turvaamiseen on monia. Esimerkiksi taloudellisesta näkökulmasta tärkeäksi muodostuu liikesalaisuuksien suojaaminen. Juridiset vaatimukset saattavat puolestaan määrätä erilaisten aineistojen, kuten henkilötietojen käsittelemisestä.  

Tietoturva on tietojen suojaamista  

Yrityksen toimialasta ja koosta riippuen, tietoturvaa voidaan toteuttaa eri tavoilla. Tietoturvasta vain 20 prosenttia on teknistä suojaamista, kuten palomuurilaitteistojen ja virustorjuntaohjelmistojen käyttöä. Loput 80 prosenttia ovat puolestaan hallinnollisia toimenpiteitä, jotka sisältävät esimerkiksi kouluttamista ja päivittäisten toimintatapojen ohjeistamista.  

Hallinnolliset toimenpiteet vs tekniset toimenpiteet  

Perinteisessä jaottelussa tietoturva koostuu kolmesta tavoitteesta: tiedon luottamuksellisuudesta, eheydestä ja saatavuudesta. Nykyisin tätä kolmen kohdan määrittelyä ei kuitenkaan pidetä tarpeeksi kattavana. Esimerkiksi luottamuksellisuus ja eheys voivat kadota jo tiedon siirtovaiheessa, mikäli joku on päässyt valtuudetta muokkaamaan siirrettävää informaatiota. Vastaanottaja luulee käsittelevänsä asianmukaista tietoa, olematta kuitenkaan täysin varma siitä. Tästä johtuen kiistämättömyys ja todentaminen on lisätty mukaan tavoitteisiin. 

Tietoturvallisuuden tavoitteet

Turvaamalla suojattavan kohteen luottamuksellisuus pyritään estämään tiedon näkyminen ulkopuolisille tahoille.  

Eheyden tarkoituksena on puolestaan varmistaa, että informaatiota ei päästä muokkaamaan ilman asianmukaisia valtuutuksia.  

Teknisillä toimenpiteillä, kuten salauksilla, voidaan esimerkiksi edistää tiedon luottamuksellisuutta ja eheyttä. Ulkopuoliset tahot eivät pysty lukemaan tai muokkaamaan kyseistä tietoa. Mikäli suojattava kohde on salattu, tallennettu fyysiselle ulkoiselle medialle ja toimitettu turvattuun tilaan, voidaan puhua jo hyvästä luottamuksellisuudesta ja eheydestä.  

 

Tiedon saatavuus on kuitenkin huono, koska käyttäjä joutuu ensin hakemaan tallennusmedian ja avaamaan salatun tiedoston. Luottamuksellisuuden, eheyden ja saatavuuden varmistaminen on yksittäin helppoa, mutta kaikkien kolmen yhtäaikainen toteuttaminen vaatii suunnittelua.

Luottamuksellisuus, eheys ja saatavuus  

Käyttövaltuuksien todistaminen  

Käyttäjän todentaminen on olennainen osa tiedon luottamuksellisuutta. Todentamisella tarkoitetaan sitä toimenpidettä, jolla esimerkiksi työntekijä todistaa IT-järjestelmälle olevansa valtuutettu ylläpitohenkilö.  

Tyypillinen todennus tapahtuu esimerkiksi oikealla tunnuksen ja salasanan yhdistelmällä. Vahvemmissa järjestelmissä voidaan käyttää useaa yhtäaikaista menetelmää, kuten sormenjäljen tunnistusta, sähköistä avainkorttia ja vaihtuvaa koodia. Kun käyttäjä on tunnistettu, voidaan hänelle luovuttaa asianmukaiset käyttöoikeudet.  

Todentaminen ja kiistämättömyys  

Väärinkäytön vähentämiseksi ja estämiseksi on järjestelmän käyttöä ja siellä tapahtuvia muutoksia seurattava. Tiedot voidaan tallentaa esimerkiksi erilliselle lokipalvelimelle. Näin on mahdollista myöhemmin kiistämättömästi todistaa käyttäjien tapahtumat tiettyinä kellonaikoina.  

Tietoja tallennettaessa on kuitenkin huomioitava myös luottamuksellisuus ja eheys. Mikäli lokipalvelimella tapahtuu tietomurto, eivät tiedot ole enää luotettavia. Tietojen kiistämättömyys on hävinnyt, koska luottamuksellisuutta ja eheyttä ei voida varmistaa.  

Tiedon kiistämättömyys  

Yleisen tietoturvan lisäksi yritysten on pystyttävä tarjoamaan työntekijöilleen ja muille sidosryhmille lain velvoittama yksityisyyden suoja. Tämä tietosuojana tunnettu termi tarkoittaa ihmisestä kerättävien henkilökohtaisten tietojen tallennusta ja käsittelyä koskevia asioita. Termiä ei pidä sekoittaa tietoturvaan, jonka tarkoituksena on kokonaisvaltaisempi tietojen suojeleminen.  

Nykyaikaiset Internetissä toimivat palvelut mahdollistavat esimerkiksi henkilön sijainnin näyttämisen kartalla matkapuhelimen avustuksella. Tällaisen palvelun tarjoaminen muille, ilman asianomaisen lupaa, olisi yksityisyyden loukkaamista. Yritysmaailmaan sopivampi esimerkki on työntekijöiden henkilötietojen paljastuminen ulkopuolisille henkilöille.  

Tietosuoja  

T3.5 Tietoturva ja kyberturva 

Lyhyt tietoturvan tarkastuslista  
 

  1. Sähköpostin suojaus  

    1. Sähköpostin sisältö suodatetaan lähettäjän maineen perusteella  

    2. Sähköpostissa on lisäsuojaus haitallisten liitteiden ja linkkien tunnistamiseen  

    3. Sähköpostissa on lisäsuojaus, joka tunnistaa salasanojen kalastelun tai huijausyrityksen  

  2. Microsoft 365 -ympäristö  

    1. Käyttäjät ovat suojattu kaksivaiheisella kirjautumisella (esim. kännykkään tulee tekstarilla lisäkoodi, jota kirjautumiseen tarvitsee)  

    2. Hallintatunnukset ovat eri tunnukset, kun päivittäisessä työssä käytetyt tunnukset  

    3. Kolmannen osapuolen liitännäisohjelmistojen asennus ilman ylläpitäjän tunnuksia on estetty  

    4. Hallintapaneelin viestikeskuksessa ei ole kriittisiä ilmoituksia  

  3. Verkkolaitteet  

    1. Verkon aktiivilaitteet ovat valvonnan ja ylläpidon piirissä.  

    2. Laitteiden sisältämä ohjelmisto (firmware) on päivitetty.  

  4. Päätelaitteet  

    1. Päätelaite vaatii käyttäjää kirjautumaan yrityksen tunnuksia käyttäen  

    2. Tiedot ovat salattu ja ilman kirjautumista tietoihin ei pääse käsiksi  

    3. Kaikissa käytetyissä päätelaitteissa on antivirusohjelmisto ja palomuuri päällä  

    4. Käyttöjärjestelmän ja käytettyjen ohjelmistojen (erityisesti selainten) päivitykset ovat ajan tasalla  

    5. Laitteet ovat fyysisesti ehjä, eikä laite anna hälytyksiä laitteen kuntoon liittyen  

  5. Koulutukset ja osaaminen  

    1. Onko henkilöstön käytössä yrityksen tietoturvaohjeistus  

    2. Onko henkilöstöänne koulutettu tietoturvaan liittyen  

    3. Pystyykö käyttäjänne tunnistamaan vaarallisen tilanteen  

Mitä on kyberturvallisuus?  

Kyberturvallisuus kattaa kaiken ohjelmistoista toimiin, joilla pyritään turvaamaan esimerkiksi laitteita ja tietoa hyökkäyksiltä, häiriöiltä ja muilta vaaroilta. Kyberturvallisuuden merkitys on viime vuosina kasvanut entisestään.  

Kyberturvallisuus torjuu verkkouhkia  

Sähköiset ja internetistä riippuvaiset toiminnot ovat nykyään arkipäivää ja iso osa myös valtioiden kriittisestä infrastruktuurista on näistä riippuvainen. Tästä syystä kyberturvallisuuden merkitystä ei voi korostaa tarpeeksi. Voi vain kuvitella mitä tapahtuisi, jos yhteiskunnan kannalta tärkeät toiminnot lakkaisivat yhtäkkiä toimimasta, esimerkiksi kyberhyökkäyksen seurauksena.  

Sähköinen maksuliikenne lakkaisi, yhteydenpito verkon välityksellä olisi mahdotonta ja monien asioiden, kuten sähkön sekä veden, toimitus lakkaisi nopeasti. Arkipäivässä jo pienet häiriöt esimerkiksi sosiaalisen median palvelussa tai sähköpostissa aiheuttavat usein suurta harmia. Isompien haittojen ehkäisemiseksi valtiot ovat varautuneet kyberturvallisuuden ylläpitoon vakavissaan.  

Suomessa kyberturvallisuuden eteen tekee töitä vuonna 2014 perustettu Liikenne- ja viestintävirasto Traficomin alaisuudessa toimiva Kyberturvallisuuskeskus. Tämän lisäksi kyberturvallisuus on nykyään äärimmäisen tärkeää yrityksille ja organisaatiolle, joten alan osaajien kysyntä on suurta ja jatkaa kasvamistaan.  

Kyberturvallisuus koskee kaikkia  

Vaikka ei pitäisi itseään tärkeänä kohteena, tämä ei tarkoita ettei voisi joutua verkkorikollisten uhriksi. Verkkorikolliset valikoivat kohteensa usein täysin sattumalta hyödyntämällä automatisoituja hyökkäyksiä tietojenkalasteluun, tietomurtoihin ja haittaohjelmien levittämiseen.  

Verkkorikolliset eivät ole yhtenäinen ryhmä, vaan joukkoon mahtuu monenlaisia tahoja, joilla on omat motiivinsa. Hakkerointi ja muut verkkorikollisuuden muodot kuuluvat esimerkiksi järjestäytyneen rikollisuuden, terroristiryhmien sekä kansallisten toimijoiden työkalupakkiin.  

Yksityishenkilöiden ja yritysten lisäksi kyberturvallisuus on tärkeä osa valtioiden puolustusta sekä sodankäyntiä. Vaikka isot yritykset ja organisaatiot voivat olla houkuttelevia kohteita verkkorikollisille, riittämättömät toimet omasta kyberturvallisuudesta huolehtimiseen voivat aiheuttaa monenlaista haittaa. 

Näihin kuuluvat:  

  • rahan menetys  

  • identiteettivarkaus  

  • tilien kaappaaminen  

  • datan häviäminen  

  • henkilökohtaisten tiedostojen lukitseminen  

  • yksityisyyden menetys  

Mikä on tieto- ja kyberturvallisuuden ero?  

Kaksi toisiinsa helposti sekoitettavaa käsitettä ovat kyberturvallisuus ja tietoturvallisuus. Näitä voidaankin käyttää arkipuheessa usein synonyymeinä toisilleen. Tietoturvallisuudesta käytetään myös yksinkertaisempaa nimitystä tietoturva. Vaikka käsitteitä käytetään usein samaan tarkoitukseen, tieto- ja kyberturvallisuuden välillä on kuitenkin eroja.  

Mikä on tieto- ja kyberturvallisuuden ero?  

  • Kyberturvallisuus keskittyy tiedon, tietojärjestelmien ja laitteiden turvallisuuden takaamiseen verkkoympäristössä.  

  • Tietoturvallisuus kattaa tiedon turvaamisen laajemmin. Tietoturvaan kuuluvat myös tiedon fyysinen tallentaminen ja tietoon pääsyn rajoittaminen digitaalisen ympäristön ulkopuolella.  

  • Kyberturvallisuuden ja tietoturvan uhat ovat osin erilaisia. Siinä missä kyberturvallisuus pyrkii estämään haittaohjelmien kaltaisten haittojen aiheuttamia vahinkoja, tietoturvaan kuuluu myös kaikenlaisen tiedon levittämisen sekä väärän tiedon torjunta.  

Näiden erojen valossa kyberturvallisuutta voi pitää tietoturvan yhtenä osa-alueena. Tämän lisäksi tietoturvallisuuteen sekoittuu helposti tietosuoja, jolla viitataan henkilötietojen asianmukaiseen ja lakeja noudattavaan käyttöön sekä keräämiseen.  

Kyberturvallisuuden trendit vuonna 2023  

Kun ihmisten työpaikat ja kriittinen infrastruktuuri ovat yhä riippuvaisempia tietokoneista ja interneti