Tietoturvallisuus

Usb-tikku

Tietoturvallisuudella tavoitellaan organisaation häiriötöntä, laadukasta, virheetöntä ja tehokasta tietokäsittelyä. Tämä pyritään varmistamaan ennakkosuunnittelulla, suojaustoimenpiteillä ja vararatkaisuilla.

Tietoturvallisuus on tietojen luottamuksellisuuden, eheyden ja käytettävyyden säilymistä

Tietoturvallisuus määritellään usein siten, että se on tietojen luottamuksellisuuden, eheyden ja käytettävyyden säilymistä. Luottamuksellisuudella tarkoitetaan sitä, että tieto on vain niiden saatavissa, jolla on sitä oikeus katsoa tai käsitellä. Eheys tarkoittaa tietojen virheettömyyttä eli sitä, että ne eivät vahingossa tai tahallisesti muutu vääriksi tai puutteellisiksi. Käytettävyydellä tarkoitetaan, että tieto on siihen oikeutetun käyttäjän saatavilla aina, kun hän sitä tarvitsee.

Tietosuojalla tarkoitetaan luonnollisen henkilön henkilötietojen (esimerkiksi asiakkuus-, terveys-, jäsenyys-, osoite- ja palkkatiedot) suojaamista luvattomalta käytöltä.

Tietoturvallisuus koskee myös muita kuin pelkästään sähköisessä muodossa olevia rekistereitä. Perinteiset paperiarkistot, valokuvat, videot, äänitallenteet ja jopa ihmisten osaaminen voivat myös vaatia tietoturvallisuusratkaisuja suojakseen.


Lue lisää


Tyypillisiä tietoturvallisuusuhkia

Yrityksen tietoturvallisuutta uhkaavat yhtälailla perinteiset riskit (toimitiloissa sattuva tulipalo, vesivahinko, murto tai ilkivalta), kuin tekniset laiteviat, sähkönjakelun katkeaminen tai tietoliikenteen häiriöt. Tietojenkäsittelytekniikan monimutkaisuudesta johtuen ohjelmissa olevat ohjelmointivirheet tai käyttäjien väärä toiminta saattavat myös aiheuttaa peruuttamatonta tuhoa tiedoille.

Erityisesti tietoverkkojen myötä merkittäväksi uhaksi ovat nousseet haittaohjelmatartunnat, tietomurrot ja palvelunestohyökkäykset.
Haittaohjelmat ovat ohjelmia, joiden tarkoituksena on tahallisesti ja oikeudettomasti tuhota, muuttaa tai vakoilla tietoja ja tietojärjestelmiä. Leviämistavasta, käytetyistä tekniikoista ja toimintatarkoituksesta riippuen haittaohjelmia kutsutaan esimerkiksi viruksiksi tai madoiksi. Jos haittaohjelman tarkoituksena on saada luvattomasti tietoja kohdejärjestelmästä, sitä sanotaan vakoojaohjelmaksi.

Tietomurrolla eli krakkeroinnilla yritetään tunkeutua oikeudettomasti tietojärjestelmään toisen tunnuksilla tai järjestelmän suojaukset murtaen. Yleensä tavoitteena on saada järjestelmästä luottamuksellista tai rahanarvoista tietoa. Tietomurrolla voidaan myös valjastaa murrettu järjestelmä esimerkiksi uusiin tietomurtoihin, palvelunestohyökkäyksiin tai roskapostitukseen.

Tietojärjestelmien toimintaa voidaan myös häiritä ilkivaltaisesti tai kiristystarkoituksessa palvelunestohyökkäyksellä. Palvelunestohyökkäyksessä järjestelmään kohdistetaan niin paljon häiritsevää tietoliikennettä, että se ei pysty enää toimimaan normaalisti.

Sähköpostitse, sosiaalisen median ja väärennettyjen verkkosivujen välityksellä pyritään huijaamaan käyttäjiä luovuttamaan luottamuksellisia tai taloudellisesti arvokkaita tietoja (pankkitunnisteet, luottokorttinumerot, kehitys- ja tutkimustiedot) kyselijälle. Viestin lähettäjän tai verkkosivun tiedot ovat yleensä väärennettyjä tai varastettuja.

Henkilökohtaiseen vaikuttamiseen (esimerkiksi puhelimitse tai kasvokkain) pyrkivää, rikollisessa tarkoituksessa tehtyä tietojen huijaamista nimitetään sosiaaliseksi hakkeroinniksi.

Miten tietoturvallisuusuhkia voi torjua?

Tietoturvallisuusuhkia torjuessa on tärkeintä tiedottaa käyttäjille tietojenkäsittelyyn liittyvistä riskeistä ja järjestelmien turvallisesta käytöstä.

Tärkeimmät tietovälineet, tietojenkäsittely- ja tietoliikennelaitteet tulee suojata fyysisesti. Tämä tapahtuu sijoittamalla ne lukittuihin, palo-, murto- ja vuotohälyttimillä varustettuihin paloturvallisiin tiloihin. Paloturvallisuuden osalta on erityisesti huomiotava läpivientien (putkistojen ja kaapelointien kulku rakenteissa) tiiviys, jotta estetään savukaasujen ja noen leviäminen toisesta tilasta mahdollisessa tulipalossa. Tilojen rakenteiden (seinät, katto ja lattia) tulee olla tunkeutumista hidastavaa, tukevatekoista rakennusmateriaalia (esimerkiksi betonia tai paksua puuta). Vuotovahinkojen minimoimiseksi tietotekniset laitteet virta- ja tietoliikennekaapelointeineen tulee korottaa lattiatasolta vähintään 10 cm korkeuteen.

Merkityksellisistä tiedoista on otettava varmuuskopioita säännöllisesti, vähintään viikoittain ja tarvittaessa useamminkin. Tietojen kriittisyydestä riippuen varmuuskopiointi on tehtävä jopa päivittäin tai jatkuvana toimintana. Varmuuskopiot on talletettava turvallisesti eri rakennukseen kuin missä toimiva tietojärjestelmä on.

Järjestelmät on pidettävä turvallisina päivittämällä niihin viimeisimmät toimivat tietoturvapäivitykset. Tarvittaessa tulee rajoittaa järjestelmän käyttöoikeuksia vain kunkin käyttäjän työtehtävissään tarvitsemiin oikeuksiin. Ajantasainen virustorjunta ja oikein asennettu palomuuri torjuvat valtaosan haittaohjelmista ja tunkeutujista.

Henkilöstön osaamista on pyrittävä levittämään siten, että yhden käyttäjän poissaolo esimerkiksi pitkän sairauden vuoksi ei vaaranna järjestelmien turvallista toimintaa.
LähiTapiolan suojeluohjeista löydät lisää tietoturvallisuutta edistäviä ohjeita ja neuvoja vahinkojen syntymisen ehkäisemiseksi ja vahinkojen pienentämiseksi.

Vakuuttaminen

Yleisesti ottaen tietoteknisiä laitteita (tietokoneita, tietoliikennelaitteita ja tietoliikennekaapelointia) voi vakuuttaa kuten muutakin yrityksen omaisuutta.

Laitteita voi vakuuttaa esimerkiksi tulipalon, murron, ilkivallan, vuotovahingon, ylijännitteen tai rikkoontumisen varalta.Tietotekniikan osalta tekniikan nopea kehittyminen vaikuttaa kuitenkin siten, että ikääntyneen laitteen korvausarvo vahinkotapauksessa voi olla hyvinkin pieni tai lähes olematon.

Myös kaupallisia (muualta ostettavia, yleisesti kaupan olevia) ohjelmia voidaan vakuuttaa niiden tuhoutumisen (esimerkiksi tulipalossa) tai menettämisen (esimerkiksi murtovarkaudessa) varalta. Tällöin on huomioitava, että vakuutuksenottajalla on velvollisuus säilyttää turvallisesti varmuuskopiot ohjelmista ja niihin tehdyistä muutoksista. Ohjelman myyjän tai valmistajan kanssa kannattaa sopia, että heiltä saa menettämistapauksessa uuden version esimerkiksi lisenssikoodia tai -sopimusta vastaan.

Tietoja (kuten asiakasrekisterit, kirjanpito, laskutusaineisto, tuotekehitystiedot ja valokuvat) ei yleensä voi vakuuttaa, koska niiden taloudellista arvoa on vaikea arvioida puolueettomasti. Sen sijaan näiden tietojen palautus- ja uudelleenluontikustannuksia voi vakuuttaa. Palautuskustannukset ovat työ- ja palveluveloituskustannuksia tietojen palauttamisesta varmuuskopioilta toimivaan järjestelmään. Uudelleenluonnilla tarkoitetaan tietojen uudelleensyöttöä / -muodostamista tietojärjestelmiin.

Ohjelmia ja tietoja vakuutettaessa on ehdottomasti huolehdittava vakuutusehtojen ja suojeluohjeiden edellyttämästä varmuuskopioinnista. Tietojen palautus tuhoutuneelta tietovälineeltä tietojenpalautuspalvelua käyttäen ei ole normaalisti vakuutuksesta korvattavaa toimintaa.

Tietoverkkorikollisuuden (esimerkiksi haittaohjelmatartunnat, palvelunestohyökkäykset ja tietomurrot) varalle on luotu erityisiä cyber- tai tietoturvavakuutuksia, jotka kattavat mm. tietojärjestelmäongelmasta aiheutuvaa liiketoiminnan keskeytystä, korvausvastuuta ulkopuolisia kohtaan sekä tilanteen selvittelykuluja. Omaisuusvakuutukset ja muut perinteiset vakuutustuotteet kattavat näitä riskejä vain hyvin rajallisesti.

Lisätietoa vakuuttamisesta ja suojeluohjeita löydät LähiTapiolan verkkosivuilta.

Lainsäädäntö ja viranomaisvalvonta

Tietoturvasta ja tietosuojasta säädetään useissa eri laeissa. Tärkeimmät yrityksiä koskevat, yleiset tietoturvaan ja –suojaan liittyvät lait, ovat:
• Henkilötietolaki
• Tietoyhteiskuntakaari
• Laki yksityisyyden suojasta työelämässä
• Rikoslaki, erityisesti sen 38. luku

Lisäksi toimialakohtaisissa erityislaeissa, kuten Terveydenhuoltolaki tai Vakuutusyhtiölaki, voi olla tietoturvaan ja –suojaan liittyviä erityissäädöksiä.

Tietoyhteiskuntakaareen (917/2014) on koottu keskeiset sähköistä viestintää koskevat säädökset, kuten sähköisen viestinnän tietosuojalaki ja viestintämarkkinalaki.

Suomessa tietoturvallisuusviranomaisena toimii yleisellä tasolla Viestintävirasto Ficoran Kyberturvallisuuskeskus, jonka tehtävänä on tietoturvallisuuden loukkausten ennaltaehkäisy, tilannekuvan seuranta ja uhista raportointi. Kyberturvallisuuskeskus ei tee varsinaista rikostutkintaa, mutta opastaa sellaisen järjestämisessä.

Tietosuojaa valvoo Suomessa tietosuojavaltuutettu.

Tietorikoksen uhriksi joutunut voi ilmoittaa asiasta paikallispoliisille, joka tutkii rikoksen.