- COMP.SEC.100
- 2. Johdanto
- 2.1 Kyberturvallisuuden määritelmä
Kyberturvallisuuden määritelmä¶
Tietoyhteiskunta on riippuvainen tietoverkkojen ja -järjestelmien toiminnasta ja altis niihin kohdistuville häiriöille. Perinteisesti kyberturvallisuuteen liittyvät asiat käsitettiin ICT-asioista vastaavien tahojen toiminnoiksi. Digitaalisuuden muuttaessa toimintaympäristöä oleellisesti näin ei kuitenkaan enää ole. Digitaalinen toimintaympäristö on nykyisin läsnä kaikkialla ja kiinteä osa ihmisten arkea. Kyberturvallisuudesta on tullut kaikkien yhteinen asia.
Turvallisuus¶
Turvallisuus on sana, jolla on englannin kielessä kaksi vastinetta: safety ja security. Karkeasti ajateltuna safety kuvaa enemmän tunnetilaa (olla turvassa joltakin) ja security käytännön keinoja (turvallisuuden saavuttaminen). Toisaalta erilaisia suojauskeinoja ajateltaessa safety liitetään useammin välineisiin ja security toimijoihin. Lisäksi tavallisessa kielenkäytössä safety yhdistyy enemmän tahattomaan vahinkoon ja security tahalliseen vahingoittamiseen siinä mielessä, että safety suojaa onnettomuuksilta (esim. liikenneturvallisuus), kun taas security suojaa tarkoitukselliselta vahingoittamiselta (esim. tietokonevirukset). Erottelu tulee esiin mm. kyberfyysisten järjestelmien yhteydessä.
Suomen kielessä turvallisuus-sanaan niputetaan laajasti erilaisia asioita. Kaksi vaikeasti erotettavaa ovat kyberturvallisuus (cyber security) ja tietoturvallisuus (information security). Käsitteitä käytetään ristiin, eikä se ole usein kovinkaan johdonmukaista, vaan tilanteesta ja asiayhteydestä riippuen on ymmärrettävä, kummasta on kyse.
Tietoturvallisuuden osa-alueita¶
Tietoturvallisuus on perinteisesti määritetty olevan kolmen tietoon kohdistuvan keskeisen asian huomioimista: luottamuksellisuus (confidentiality), eheys (integrity) ja saatavuus (availability). Nämä yhdessä muodostavat tietoturvallisuuden CIA-mallin.
Tietoturvallisuus (information security)
Tarkoittaa järjestelyjä, joilla pyritään varmistamaan tiedon luottamuksellisuus, eheys ja saatavuus.
Luottamuksellisuus (confidentiality) tarkoittaa, että tieto ei saa olla saatavissa muiden toimesta kuin niiden, joilla on lupa tietoa hyödyntää. Esimerkkejä luottamuksellisuudesta ovat mm. verkkoliikenteen salaaminen, viranomaisasiakirjoille asetettavat turvallisuusluokat ja se ettei kaikilla terveydenhuollossa toimivilla ole oikeuksia katsoa kaikkien asiakkaiden tietoja.
Eheys (integrity) tarkoittaa sitä, että tieto on sitä mitä sen kuuluisikin olla. Keskeisiä eheyteen liittyviä asioita ovat mm. tiedon muuttumattomuuden varmistaminen. Tiedon eheyteen liittyvä asia on esim. varmistua siitä, että suurta verkkolaskua maksaessa vastaanottajan maksutiedot ovat todellakin ne mitkä niiden pitää olla.
Saatavuus (availability) tarkoittaa niitä keinoja, joilla huolehditaan tiedon olevan käytettävissä silloin, kun sitä tarvitaan. Esimerkiksi tietoliikenneyhteyksien toimivuus on merkittävä osa tätä tietoturvallisuuden tavoitetta.
Kyberturvallisuus¶
Kurssin nimenä ja aiheena on kyberturvallisuus, koska tietoturvallisuus ei enää riitä. Kukaan tietoturva-ammattilainen ei saa enää sivuuttaa oman organisaationsa ulkopuolista turvallisuusmaisemaa. Mikä tahansa tietoturvaloukkaus voi olla osa jotain vakavampaa, joka vaikuttaa kriittiseen infrastruktuuriin tai on jopa suoraan kohdistettu siihen. Kriittisellä infrastuktuurilla tarkoitetaan näitä seitsemää alaa: energia, vesihuolto, terveydenhuolto, kuljetukset, pankkitoiminta, rahoitusmarkkinat, tietoverkko. Muitakin kybervaikutuksen kohteita on, esimerkiksi poliittinen päätöksenteko.
Kyberturvallisuus on siis laajempi käsite kuin tietoturvallisuus, mutta asia ei ole näin yksiselitteinen. Tietoturvallisuus laajenee myös ns. digitaalisen maailman ulkopuolelle ja koskettaa “kaikkea tietoa”, kun taas kyberturvallisuuden “ydin” on digitaalisen maailman toiminnoissa. Tietoturvallisuuden keinot ja kolme keskeistä tavoitetta ovat myös kyberturvallisuudessa tärkeitä. Toisaalta kyberturvallisuus käsittelee myös niitä vaikutuksia, jotka ulottuvat digitaalisen maailman ulkopuolelle fyysiseen maailmaan. Kyberturvallisuus ei siis käsitteenä ole niin konkreettinen kuin tietoturvallisuus, vaan kuvaa abstraktimpaa tavoitetilaa. Usein kyberturvallisuus saatetaan mieltää vain viranomaisten asiaksi. Tämän kurssin jälkeen tiedät, mikä oman tietoturvasi kybervaikutus voi olla ja miksi jotkin kyberturvatoimet voivat vaikuttaa sinun tietoihisi.
Kyberturvallisuus (cyber security)
Tarkoittaa tavoitetilaa, jossa sähköriippuvaiseen ja laajasti verkkottuneeseen digitaaliseen toimintaympäristöön voidaan luottaa.
Kyberturvallisuuden sanasto ja Tepa-termipankki määrittelevät näiden termien eroa seuraavasti:
Tietoturvaa ovat ne järjestelyt, joilla pyritään varmistamaan tiedon saatavuus, eheys ja luottamuksellisuus. Kyberturvallisuuteen kuuluvat toimenpiteet, joilla voidaan ennakoivasti hallita ja tarvittaessa sietää erilaisia kyberuhkia ja niiden vaikutuksia.
Siinä missä tietoturvalla tarkoitetaan tiedon saatavuutta, eheyttä ja luottamuksellisuutta, kyberturvallisuus tarkoittaa digitaalisen ja verkottuneen yhteiskunnan tai organisaation turvallisuutta ja sen vaikutusta niiden toimintoihin.
Digitaalinen turvallisuus¶
Digitaalinen turvallisuus koostuu viidestä osa-alueesta: kyberturvallisuus, riskienhallinta, toiminnan jatkuvuus ja varautuminen, tietoturvallisuus ja tietosuoja. Se on sateenvarjotermi, jonka alle muut mahtuvat.