Tietoturvallisuus

Yrityksen tietoturvallisuutta uhkaavat yhtälailla perinteiset riskit (toimitiloissa sattuva tulipalo, vesivahinko, murto tai ilkivalta), kuin tekniset laiteviat, sähkönjakelun katkeaminen tai tietoliikenteen häiriöt. Tietojenkäsittelytekniikan monimutkaisuudesta johtuen ohjelmissa olevat ohjelmointivirheet tai käyttäjien väärä toiminta saattavat myös aiheuttaa peruuttamatonta tuhoa tiedoille.

Erityisesti tietoverkkojen myötä merkittäväksi uhaksi ovat nousseet haittaohjelmatartunnat, tietomurrot ja palvelunestohyökkäykset. Haittaohjelmat ovat ohjelmia, joiden tarkoituksena on tahallisesti ja oikeudettomasti tuhota, muuttaa tai vakoilla tietoja ja tietojärjestelmiä. Leviämistavasta, käytetyistä tekniikoista ja toimintatarkoituksesta riippuen haittaohjelmia kutsutaan esimerkiksi viruksiksi tai madoiksi. Jos haittaohjelman tarkoituksena on saada luvattomasti tietoja kohdejärjestelmästä, sitä sanotaan vakoojaohjelmaksi.

Tietomurrolla eli krakkeroinnilla yritetään tunkeutua oikeudettomasti tietojärjestelmään toisen tunnuksilla tai järjestelmän suojaukset murtaen. Yleensä tavoitteena on saada järjestelmästä luottamuksellista tai rahanarvoista tietoa. Tietomurrolla voidaan myös valjastaa murrettu järjestelmä esimerkiksi uusiin tietomurtoihin, palvelunestohyökkäyksiin tai roskapostitukseen.

Tietojärjestelmien toimintaa voidaan myös häiritä ilkivaltaisesti tai kiristystarkoituksessa palvelunestohyökkäyksellä. Palvelunestohyökkäyksessä järjestelmään kohdistetaan niin paljon häiritsevää tietoliikennettä, että se ei pysty enää toimimaan normaalisti.

Sähköpostitse, sosiaalisen median ja väärennettyjen verkkosivujen välityksellä pyritään huijaamaan käyttäjiä luovuttamaan luottamuksellisia tai taloudellisesti arvokkaita tietoja (pankkitunnisteet, luottokorttinumerot, kehitys- ja tutkimustiedot) kyselijälle. Viestin lähettäjän tai verkkosivun tiedot ovat yleensä väärennettyjä tai varastettuja.

Henkilökohtaiseen vaikuttamiseen (esimerkiksi puhelimitse tai kasvokkain) pyrkivää, rikollisessa tarkoituksessa tehtyä tietojen huijaamista nimitetään sosiaaliseksi hakkeroinniksi.

Tietoturvallisuusuhkia torjuessa on tärkeintä tiedottaa käyttäjille tietojenkäsittelyyn liittyvistä riskeistä ja järjestelmien turvallisesta käytöstä.

Tärkeimmät tietovälineet, tietojenkäsittely- ja tietoliikennelaitteet tulee suojata fyysisesti. Tämä tapahtuu sijoittamalla ne lukittuihin, palo-, murto- ja vuotohälyttimillä varustettuihin paloturvallisiin tiloihin. Paloturvallisuuden osalta on erityisesti huomioitava läpivientien (putkistojen ja kaapelointien kulku rakenteissa) tiiviys, jotta estetään savukaasujen ja noen leviäminen toisesta tilasta mahdollisessa tulipalossa. Tilojen rakenteiden (seinät, katto ja lattia) tulee olla tunkeutumista hidastavaa, tukevatekoista rakennusmateriaalia (esimerkiksi betonia tai paksua puuta). Vuotovahinkojen minimoimiseksi tietotekniset laitteet virta- ja tietoliikennekaapelointeineen tulee korottaa lattiatasolta vähintään 10 cm korkeuteen.

Merkityksellisistä tiedoista on otettava varmuuskopioita säännöllisesti, vähintään viikoittain ja tarvittaessa useamminkin. Tietojen kriittisyydestä riippuen varmuuskopiointi on tehtävä jopa päivittäin tai jatkuvana toimintana. Tietojen palauttamista on myös syytä harjoitella.

Järjestelmät on pidettävä turvallisina päivittämällä niihin viimeisimmät toimivat tietoturvapäivitykset. Tarvittaessa tulee rajoittaa järjestelmän käyttöoikeuksia vain kunkin käyttäjän työtehtävissään tarvitsemiin oikeuksiin. Ajantasainen virustorjunta ja oikein asennettu palomuuri torjuvat valtaosan haittaohjelmista ja tunkeutujista.

Henkilöstön osaamista on pyrittävä levittämään siten, että yhden käyttäjän poissaolo esimerkiksi pitkän sairauden vuoksi ei vaaranna järjestelmien turvallista toimintaa.

Suojeluohjeistamme löydät lisää tietoturvallisuutta edistäviä ohjeita ja neuvoja vahinkojen syntymisen ehkäisemiseksi ja vahinkojen pienentämiseksi.

Yleisesti ottaen tietoteknisiä laitteita (tietokoneita, tietoliikennelaitteita ja tietoliikennekaapelointia) voi vakuuttaa kuten muutakin yrityksen omaisuutta.

Laitteita voi vakuuttaa esimerkiksi tulipalon, murron, ilkivallan, vuotovahingon, ylijännitteen tai rikkoontumisen varalta.Tietotekniikan osalta tekniikan nopea kehittyminen vaikuttaa kuitenkin siten, että ikääntyneen laitteen korvausarvo vahinkotapauksessa voi olla hyvinkin pieni tai lähes olematon.

Myös kaupallisia (muualta ostettavia, yleisesti kaupan olevia) ohjelmia voidaan vakuuttaa niiden tuhoutumisen (esimerkiksi tulipalossa) tai menettämisen (esimerkiksi murtovarkaudessa) varalta. Tällöin on huomioitava, että vakuutuksenottajalla on velvollisuus säilyttää turvallisesti varmuuskopiot ohjelmista ja niihin tehdyistä muutoksista. Ohjelman myyjän tai valmistajan kanssa kannattaa sopia, että heiltä saa menettämistapauksessa uuden version esimerkiksi lisenssikoodia tai -sopimusta vastaan.

Tietoja (kuten asiakasrekisterit, kirjanpito, laskutusaineisto, tuotekehitystiedot ja valokuvat) ei yleensä voi vakuuttaa, koska niiden taloudellista arvoa on vaikea arvioida puolueettomasti. Sen sijaan näiden tietojen palautus- ja uudelleenluontikustannuksia voi vakuuttaa. Palautuskustannukset ovat työ- ja palveluveloituskustannuksia tietojen palauttamisesta varmuuskopioilta toimivaan järjestelmään. Uudelleenluonnilla tarkoitetaan tietojen uudelleensyöttöä / -muodostamista tietojärjestelmiin.

Ohjelmia ja tietoja vakuutettaessa on ehdottomasti huolehdittava vakuutusehtojen ja suojeluohjeiden edellyttämästä varmuuskopioinnista. Tietojen palautus tuhoutuneelta tietovälineeltä tietojenpalautuspalvelua käyttäen ei ole normaalisti vakuutuksesta korvattavaa toimintaa.

Tietoverkkorikollisuuden (esimerkiksi haittaohjelmatartunnat, palvelunestohyökkäykset ja tietomurrot) varalle on luotu erityisiä cyber- tai tietoturvavakuutuksia, jotka kattavat mm. tietojärjestelmäongelmasta aiheutuvaa liiketoiminnan keskeytystä, korvausvastuuta ulkopuolisia kohtaan sekä tilanteen selvittelykuluja. Omaisuusvakuutukset ja muut perinteiset vakuutustuotteet kattavat näitä riskejä vain hyvin rajallisesti.

Tutustu omaisuuden ja toiminnan vakuutuksiin.

Tietoturvasta ja tietosuojasta säädetään useissa eri laeissa. Tärkeimmät yrityksiä koskevat, yleiset tietoturvaan ja -suojaan liittyvät lait, ovat:

- Henkilötietojen käsittelyä koskeva uusi tietosuojalaki, joka on tullut voimaan 1.1.2019. Lailla täydennetään EU:n yleistä tietosuoja-asetusta.
- Tietoyhteiskuntakaari
- Laki yksityisyyden suojasta työelämässä
- Rikoslaki, erityisesti sen 38. luku

Lisäksi toimialakohtaisissa erityislaeissa, kuten Terveydenhuoltolaki tai Vakuutusyhtiölaki, voi olla tietoturvaan ja –suojaan liittyviä erityissäädöksiä. Tietoyhteiskuntakaareen (917/2014) on koottu keskeiset sähköistä viestintää koskevat säädökset, kuten sähköisen viestinnän tietosuojalaki ja viestintämarkkinalaki. Suomessa tietoturvallisuusviranomaisena toimii yleisellä tasolla Liikenne- ja viestintäviraston Kyberturvallisuuskeskus, jonka tehtävänä on tietoturvallisuuden loukkausten ennaltaehkäisy, tilannekuvan seuranta ja uhista raportointi. Kyberturvallisuuskeskus ei tee varsinaista rikostutkintaa, mutta opastaa sellaisen järjestämisessä. Lue lisää asiasta kyberturvallisuus.fi-sivustolta.

Tietosuojaa valvoo Suomessa tietosuojavaltuutettu. Tietoa tietosuojasta ja tietosuojavaltuutetun tehtävistä löytyy sivustolta tietosuoja.fi.

Tietorikoksen uhriksi joutunut voi ilmoittaa asiasta poliisille, joka tutkii rikoksen. Poliisin kyberrikossivuilta poliisi.fi/kyberrikokset löydät lisää tietoa.